יצירת תוכנית בסיסית של VM ב- Azure
Azure Policy הוא שירות Azure שניתן להשתמש בו כדי ליצור, להקצות ולנהל פריטי מדיניות. פריטי המדיניות שאתה יוצר אוכפים כללים ואפקטים שונים על-פני המשאבים שלך כדי שהמשאבים יישארו תואמים לתקנים הארגוניים ולהסכמים ברמת השירות שלך. מדיניות Azure עונה על צורך זה על-ידי הערכת המשאבים שלך לצורך אי-תאימות עם פריטי מדיניות שהוקצו. לדוגמה, באפשרותך להגדיר מדיניות המאפשרת רק גודל SKU מסוים של מחשב וירטואלי בסביבה שלך. לאחר יישום מדיניות זו, משאבים חדשים וקיימים מוערכים לתאימות. עם סוג המדיניות הנכון, באפשרותך להביא משאבים קיימים לתאימות.
המלצות אבטחה של Azure VM
הסעיפים הבאים מתארים את המלצות האבטחה של Azure VM ב- CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. השלבים הבסיסיים הכלולים בכל המלצה מפורטים בפורטל Azure. עליך להשלים שלבים אלה עבור המנוי שלך ועל-ידי שימוש במשאבים שלך כדי לאמת כל המלצה אבטחה. זכור כי אפשרויות ברמה 2 להגביל תכונות או פעילות מסוימות, לכן שקול בקפידה אילו אפשרויות אבטחה אתה מחליט לאכוף.
ודא שהדיסקים של מערכת ההפעלה מוצפנים - רמה 1
הצפנת דיסק של Azure עוזרת להגן על הנתונים שלך ולהגן על הנתונים שלך כדי לעמוד בהתחייבויות האבטחה והתאימות של הארגון שלך. הצפנת דיסק של Azure:
- משתמש בתכונה BitLocker של Windows ובתכונת DM-Crypt של Linux כדי לספק הצפנת אמצעי אחסון עבור מערכת ההפעלה ודיסקי הנתונים של מחשבים וירטואליים של Azure.
- משתלב עם Azure Key Vault כדי לעזור לך לשלוט במפתחות ובסודות של הצפנת דיסק ולנהל אותם.
- מבטיח שכל הנתונים בדיסקי ה- VM מוצפנים במנוחה כאשר הם באחסון של Azure.
הצפנת דיסק של Azure עבור מחשבים וירטואליים של Windows ו- Linux נמצאת בזמינות הכללית בכל האזורים הציבוריים של Azure ובאזורי Azure Government עבור מחשבים וירטואליים רגילים ומחשבים וירטואליים עם Azure Premium Storage.
אם אתה משתמש ב- Microsoft Defender עבור ענן (מומלץ), תקבל התראה אם יש לך מחשבים וירטואליים שאינם מוצפנים. בצע את השלבים הבאים עבור כל מחשב וירטואלי במנוי Azure שלך.
היכנס ל- Azure. חפש ובחר מחשבים וירטואליים.
בחר מחשב וירטואלי.
בתפריט הימני תחת הגדרות ,בחר דיסקים.
תחת הדיסק של מערכת, ודא שלדיסק מערכת ההפעלה יש סוג הצפנה מוגדר.
תחת נתונים של, ודא של כל דיסק יש סוג הצפנה מוגדר.
אם תשנה הגדרות כלשהן, בחר שמור בשורת התפריטים.
ודא שרק הרחבות VM מאושרות מותקנות - רמה 1
הרחבות Azure VM הן אפליקציות קטנות המספקות משימות תצורה ואוטומציה לאחר פריסה במחשבים וירטואליים של Azure. לדוגמה, אם מחשבים וירטואליים דורשים התקנת תוכנה או הגנת אנטי-וירוס או אם המחשב הווירטואלי צריך להפעיל קובץ Script, באפשרותך להשתמש בהרחבת VM. באפשרותך להפעיל הרחבת VM של Azure באמצעות ממשקי ה- CLI של Azure, PowerShell, תבנית של Azure Resource Manager או פורטל Azure. באפשרותך לאחסן הרחבות בפריסת VM חדשה או להפעיל אותן מול כל מערכת קיימת. כדי להשתמש בפורטל Azure כדי להבטיח שרק הרחבות מאושרות מותקנות במחשבים הווירטואליים שלך, בצע את השלבים הבאים עבור כל מחשב וירטואלי במנוי Azure שלך.
היכנס ל- Azure. חפש ובחר מחשבים וירטואליים.
בחר מחשב וירטואלי.
בתפריט הימני תחת הגדרות ,בחר הרחבות ואפליקציות.
בחלונית הרחבות +, ודא שההרחבות המפורטות מאושרות לשימוש.
ודא שהחלת את תיקוני מערכת ההפעלה עבור מחשבי וירטואליים - רמה 1
Microsoft Defender עבור ענן מנטר מחשבים וירטואליים של Windows ו- Linux מדי יום לעדכונים חסרים של מערכת ההפעלה. Defender עבור ענן מאחזר רשימה של עדכוני אבטחה ועדכונים קריטיים זמינים מ- Windows Update או Windows Server Update Services (WSUS). העדכונים שתקבל תלויים בשירות שתקבע את תצורתו במחשב Windows. Defender עבור ענן גם מחפש את העדכונים האחרונים במערכות Linux. אם במחשב או במחשב שלך חסר עדכון מערכת, Defender עבור ענן ממליץ להחיל עדכוני מערכת.
היכנס ל- Azure. חפש ובחר את Microsoft Defender for Cloud.
בתפריט הימני, תחת חלונית כללי, בחר המלצות.
בהמלצות, ודא שאין המלצות עבור החל עדכוני מערכת.
ודא שלמחשבים וירטואליים יש פתרון הגנה של נקודת קצה מותקן פועלים - רמה 1
Microsoft Defender עבור ענן מנטר את המצב של הגנה נגד תוכנות זדוניות. הוא מדווח על מצב זה הגנה של נקודת החלונית. Defender עבור ענן מדגיש בעיות כגון איומים שזוהו והגנה לא מספיקה, מה שעלול להפוך את המחשבים הווירטואליים והמחשבים שלך לפגיעים לאיומים נגד תוכנות זדוניות. על-ידי שימוש במידע הגנה על נקודת, באפשרותך להתחיל ליצור תוכנית כדי לטפל בבעיות המזוהות.
השתמש באותו תהליך כפי שמתואר בהמלצה הקודמת.