Szabályzatok biztonsága és használata virtuális gépeken az Azure-ban
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
Fontos, hogy a virtuális gép (VM) biztonságban legyen a futtatott alkalmazások számára. A virtuális gépek biztonságossá tétele tartalmazhat egy vagy több Azure-szolgáltatást és szolgáltatást, amelyek lefedik a virtuális gépekhez való biztonságos hozzáférést és az adatok biztonságos tárolását. Ez a cikk olyan információkat tartalmaz, amelyekkel biztonságossá teheti a virtuális gépet és az alkalmazásokat.
Kártevőirtó
A felhőkörnyezetek modern fenyegetési környezete dinamikus, ami növeli a hatékony védelem fenntartására irányuló nyomást a megfelelőségi és biztonsági követelmények teljesítése érdekében. Az Azure-hoz készült Microsoft Antimalware egy ingyenes valós idejű védelmi képesség, amely segít azonosítani és eltávolítani a vírusokat, kémprogramokat és egyéb rosszindulatú szoftvereket. A riasztások konfigurálhatók úgy, hogy értesítést küldjenek, ha ismert rosszindulatú vagy nemkívánatos szoftverek próbálják telepíteni magát, vagy futnak a virtuális gépen. Linux vagy Windows Server 2008 rendszerű virtuális gépeken nem támogatott.
Microsoft Defender for Cloud
Felhőhöz készült Microsoft Defender segít megelőzni, észlelni és reagálni a virtuális gépekkel kapcsolatos fenyegetésekre. Felhőhöz készült Defender integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és a biztonsági megoldások széles körű ökoszisztémájával működik.
Felhőhöz készült Defender igény szerint elérhető hozzáférése a virtuális gép üzemelő példányán keresztül is alkalmazható az Azure-beli virtuális gépek bejövő forgalmának zárolásához, csökkentve a támadásoknak való kitettséget, miközben szükség esetén könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz. Ha engedélyezve van az igényalapú hozzáférés, és egy felhasználó hozzáférést kér egy virtuális géphez, Felhőhöz készült Defender ellenőrzi, hogy a felhasználó milyen engedélyekkel rendelkezik a virtuális géphez. Ha a megfelelő engedélyekkel rendelkeznek, a rendszer jóváhagyja a kérést, és Felhőhöz készült Defender automatikusan konfigurálja a hálózati biztonsági csoportokat (NSG-ket), hogy korlátozott ideig engedélyezze a kijelölt portokra irányuló bejövő forgalmat. Az idő lejárta után Felhőhöz készült Defender visszaállítja az NSG-ket a korábbi állapotukba.
Titkosítás
A felügyelt lemezekhez két titkosítási módszer érhető el. Titkosítás operációsrendszer-szinten, azaz Azure Disk Encryption, platformszinten pedig titkosítás, azaz kiszolgálóoldali titkosítás.
Kiszolgálóoldali titkosítás
Az Azure által felügyelt lemezek alapértelmezés szerint automatikusan titkosítják az adatokat a felhőben való megőrzésekor. A kiszolgálóoldali titkosítás védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek. Az Azure-beli felügyelt lemezeken lévő adatok transzparens módon, 256 bites AES-titkosítással titkosítva lesznek, amely az egyik legerősebb elérhető blokktitkosítás, és a FIPS 140-2 szabványnak megfelelő.
A titkosítás nem befolyásolja a felügyelt lemezek teljesítményét. A titkosításnak nincs további költsége.
A felügyelt lemez titkosításához platform által felügyelt kulcsokra támaszkodhat, vagy saját kulcsokkal kezelheti a titkosítást. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, megadhat egy ügyfél által felügyelt kulcsot , amelyet a felügyelt lemezeken lévő összes adat titkosításához és visszafejtéséhez használhat.
A kiszolgálóoldali titkosítással kapcsolatos további információkért tekintse meg a Windowshoz vagy Linuxhoz készült cikkeket.
Azure Disk Encryption
A Windows rendszerű virtuális gépek és Linux rendszerű virtuális gépek fokozott biztonsága és megfelelősége érdekében az Azure-beli virtuális lemezek titkosíthatók. A Windows rendszerű virtuális gépek virtuális lemezei inaktív állapotban vannak titkosítva a BitLocker használatával. A Linux rendszerű virtuális gépek virtuális lemezei inaktív állapotban vannak titkosítva dm-crypt használatával.
Az Azure-beli virtuális lemezek titkosítása díjmentes. A titkosítási kulcsokat az Azure Key Vault tárolja szoftveres védelemmel, vagy importálhatja vagy létrehozhatja kulcsait a FIPS 140 által hitelesített hardverbiztonsági modulokban (HSM-ekben). Ezek a titkosítási kulcsok a virtuális géphez csatlakoztatott virtuális lemezek titkosítására és visszafejtésére szolgálnak. Megtarthatja a titkosítási kulcsok feletti irányítást, és naplózhatja azok használatát. A Microsoft Entra szolgáltatásnév biztonságos mechanizmust biztosít ezeknek a titkosítási kulcsoknak a kiadásához, mivel a virtuális gépek be- és kikapcsolása történik.
Key Vault és SSH-kulcsok
A titkos kulcsokat és tanúsítványokat erőforrásokként modellezheti, és a Key Vault biztosítja. Az Azure PowerShell használatával kulcstartókat hozhat létre a Windows rendszerű virtuális gépekhez és az Azure CLI for Linux rendszerű virtuális gépekhez. A titkosításhoz kulcsokat is létrehozhat.
A Kulcstartó hozzáférési szabályzatai külön-külön engedélyezik a kulcsokat, titkos kulcsokat és tanúsítványokat. Egy adott felhasználó számára hozzáférést engedélyezhet például kizárólag a kulcsokhoz, de a titkos kulcsokhoz nem. A kulcsok, titkos kulcsok és tanúsítványok hozzáférése ugyanakkor tárolószinten engedélyezett. Más szóval a Key Vault hozzáférési szabályzata nem támogatja az objektumszintű engedélyeket.
Amikor virtuális gépekhez csatlakozik, nyilvános kulcsú titkosítást kell használnia, hogy biztonságosabb módot biztosítson a bejelentkezésre. Ez a folyamat magában foglal egy nyilvános és titkos kulcscserét a biztonságos rendszerhéj (SSH) paranccsal, hogy felhasználónév és jelszó helyett saját magát hitelesítse. A jelszavak ki vannak téve a találgatásos támadásoknak, különösen az internetes virtuális gépeken, például a webkiszolgálókon. A biztonságos rendszerhéj (SSH) kulcspárjával létrehozhat egy Linux rendszerű virtuális gépet, amely SSH-kulcsokat használ a hitelesítéshez, így nincs szükség jelszavakra a bejelentkezéshez. SSH-kulcsokkal windowsos virtuális gépről Linux rendszerű virtuális gépre is csatlakozhat.
Azure-erőforrások felügyelt identitásai
A felhőalapú alkalmazások készítése során általános kihívást jelenti a hitelesítő adatok a kódban való kezelése, amelyekkel az alkalmazás magát a felhőalapú szolgáltatásokban hitelesíti. A hitelesítő adatok biztonságának megőrzése fontos feladat. Ideális esetben a hitelesítő adatok soha nem jelennek meg a fejlesztői munkaállomásokon, és a verziókövetési rendszerbe sem kerülnek be. Az Azure Key Vault módot kínál a hitelesítő adatok, titkos kódok és egyéb kulcsok biztonságos tárolására, azonban a kódnak hitelesítenie kell magát a Key Vaultban az adatok lekéréséhez.
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra szolgáltatásban megoldják ezt a problémát. A szolgáltatás automatikusan felügyelt identitást biztosít az Azure-szolgáltatásoknak a Microsoft Entra-azonosítóban. Az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést, beleértve a Key Vaultot is, anélkül, hogy a kódban hitelesítő adatok szerepelnek. A virtuális gépen futó kód két végpontról kérhet jogkivonatot, amelyek csak a virtuális gépen belülről érhetők el. A szolgáltatással kapcsolatos részletesebb információkért tekintse át az Azure-erőforrások felügyelt identitásainak áttekintési oldalát.
Szabályzatok
Az Azure-szabályzatok segítségével meghatározhatja a szervezet virtuális gépeinek kívánt viselkedését. A szabályzatok használatával a vállalat különböző konvenciókra és szabályokra kényszerítheti a vállalatot. A kívánt viselkedés érvényesítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.
Azure szerepköralapú hozzáférés-vezérlő
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával elkülönítheti a csapaton belüli feladatokat, és csak annyi hozzáférést biztosíthat a virtuális gép felhasználóinak, amennyi a feladataik elvégzéséhez szükséges. Ahelyett, hogy mindenki számára korlátlan engedélyeket adnának a virtuális géphez, csak bizonyos műveleteket engedélyezhet. Az Azure Portalon konfigurálhatja a virtuális gép hozzáférés-vezérlését az Azure CLI vagyaz Azure PowerShell használatával.