Overzicht van beveiliging van Azure-VM's

Dit artikel bevat een overzicht van de belangrijkste Azure-beveiligingsfuncties die kunnen worden gebruikt met virtuele machines.

U kunt Azure Virtual Machines gebruiken om een breed scala aan computingoplossingen op een flexibele manier te implementeren. De service ondersteunt Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP en Azure BizTalk Services. U kunt dus elke workload en elke taal implementeren op vrijwel elk besturingssysteem.

Een virtuele machine in Azure biedt u de flexibiliteit van virtualisatie zonder dat u de fysieke hardware hoeft te kopen en te beheren waarop de virtuele machine wordt uitgevoerd. U kunt uw toepassingen bouwen en implementeren met de zekerheid dat uw gegevens zijn beveiligd en veilig zijn in uiterst veilige datacenters.

Met Azure kunt u verbeterde, compatibele oplossingen bouwen die voldoen aan de volgende vereisten:

• Bescherm uw virtuele machines tegen virussen en malware.
• Versleutel uw gevoelige gegevens.
• Netwerkverkeer beveiligen.
• Bedreigingen identificeren en detecteren.
• Voldoen aan nalevingsvereisten.

Antimalware

Met Azure kunt u antimalwaresoftware van beveiligingsleveranciers gebruiken, zoals Microsoft, Symantec, Trend Micro en Resource. Deze software helpt uw virtuele machines te beschermen tegen schadelijke bestanden, adware en andere bedreigingen.

Microsoft Antimalware voor Azure Cloud Services en Virtual Machines is een realtime-beveiligingsmogelijkheid waarmee virussen, spyware en andere schadelijke software kunnen worden geïdentificeerd en verwijderd. Microsoft Antimalware voor Azure biedt configureerbare waarschuwingen wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of op uw Azure-systemen uit te voeren.

Microsoft Antimalware voor Azure is een oplossing met één agent voor toepassingen en tenantomgevingen. Het is ontworpen om op de achtergrond te lopen zonder menselijke tussenkomst. U kunt beveiliging implementeren op basis van de behoeften van uw toepassingsworkloads, met standaard beveiligde of geavanceerde aangepaste configuratie, waaronder bewaking van antimalware.

Meer informatie over Microsoft Antimalware voor Azure en de belangrijkste functies die beschikbaar zijn.

Meer informatie over antimalwaresoftware om uw virtuele machines te beschermen:

• Deploying Antimalware Solutions on Azure Virtual Machines (Antimalware-oplossingen implementeren op virtuele machines van Azure)
• Trend Micro Deep Security installeren en configureren als een service op een Windows-VM
• Beveiligingsoplossingen in Azure Marketplace

Voor nog krachtigere beveiliging kunt u overwegen Microsoft Defender voor Eindpunt te gebruiken. Met Defender voor Eindpunt krijgt u het volgende:

• Kwetsbaarheid voor aanvallen verminderen
• Beveiliging van de volgende generatie
• Eindpuntbeveiliging en -respons
• Geautomatiseerd onderzoek en herstel
• Beveiligingsscore
• Geavanceerde opsporing
• Beheer en API's
• Microsoft Threat Protection

Meer informatie: Aan de slag met Microsoft Defender voor Eindpunt

Hardwarebeveiligingsmodule

Het verbeteren van de sleutelbeveiliging kan versleuteling en verificatiebeveiliging verbeteren. U kunt het beheer en de beveiliging van uw kritieke geheimen en sleutels vereenvoudigen door ze op te slaan in Azure Key Vault.

Key Vault biedt de mogelijkheid om uw sleutels op te slaan in HSM's (Hardware Security Modules) die zijn gecertificeerd voor gevalideerde FIPS 140-standaarden . Uw SQL Server-versleutelingssleutels voor back-up of transparante gegevensversleuteling kunnen allemaal worden opgeslagen in Key Vault met sleutels of geheimen uit uw toepassingen. Machtigingen en toegang tot deze beveiligde items worden beheerd via Microsoft Entra-id.

Meer informatie:

• Wat is Azure Key Vault?
• Azure Key Vault-blog

Schijfversleuteling van virtuele machines

Azure Disk Encryption is een nieuwe mogelijkheid voor het versleutelen van uw schijven van virtuele Windows- en Linux-machines. Azure Disk Encryption maakt gebruik van de industriestandaard BitLocker-functie van Windows en de dm-crypt-functie van Linux om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven.

De oplossing is geïntegreerd met Azure Key Vault, zodat u de schijfversleutelingssleutels en -geheimen in uw sleutelkluisabonnement kunt beheren en beheren. Het zorgt ervoor dat alle gegevens op de schijven van de virtuele machine in rust worden versleuteld in Azure Storage.

Meer informatie:

• Azure Disk Encryption voor Linux-VM's en Azure Disk Encryption voor Windows-VM's
• Quickstart: Een Virtuele Linux IaaS-machine versleutelen met Azure PowerShell

Back-up van virtuele machine

Azure Backup is een schaalbare oplossing waarmee u uw toepassingsgegevens kunt beveiligen met nul kapitaalinvesteringen en minimale operationele kosten. Toepassingsfouten kunnen uw gegevens beschadigen, en menselijke fouten kunnen fouten introduceren in uw toepassingen. Met Azure Backup worden uw virtuele machines met Windows en Linux beveiligd.

Meer informatie:

• Wat is Azure Backup?
• Veelgestelde vragen over de Azure Backup-service

Azure Site Recovery

Een belangrijk onderdeel van de BCDR-strategie van uw organisatie is het bepalen hoe zakelijke workloads en apps worden uitgevoerd wanneer geplande en ongeplande storingen optreden. Azure Site Recovery helpt bij het organiseren van replicatie, failover en herstel van workloads en apps, zodat deze beschikbaar zijn vanaf een secundaire locatie als uw primaire locatie uitvalt.

Site Recovery:

• Vereenvoudigt uw BCDR-strategie: Met Site Recovery kunt u eenvoudig replicatie, failover en herstel van meerdere zakelijke workloads en apps vanaf één locatie afhandelen. Site Recovery organiseert replicatie en failover, maar onderschept uw toepassingsgegevens niet of bevat er informatie over.
• Biedt flexibele replicatie: Met Behulp van Site Recovery kunt u workloads repliceren die worden uitgevoerd op virtuele Hyper-V-machines, virtuele VMware-machines en fysieke Windows-/Linux-servers.
• Ondersteunt failover en herstel: Site Recovery biedt testfailovers ter ondersteuning van noodherstelanalyses zonder dat dit van invloed is op productieomgevingen. Bovendien kunt u bij verwachte uitval geplande failovers uitvoeren zonder gegevensverlies, en bij onverwachte noodsituaties ongeplande failovers met minimaal gegevensverlies (afhankelijk van de replicatiefrequentie). Na een failover kunt u een failback uitvoeren naar uw primaire sites. Site Recovery biedt herstelplannen die scripts en Azure Automation-werkmappen kunnen bevatten, zodat u failover en herstel van toepassingen met meerdere lagen kunt aanpassen.
• Elimineert secundaire datacenters: u kunt repliceren naar een secundaire on-premises site of naar Azure. Het gebruik van Azure als bestemming voor herstel na noodgevallen elimineert de kosten en complexiteit van het onderhouden van een secundaire site. Gerepliceerde gegevens worden opgeslagen in Azure Storage.
• Integreert met bestaande BCDR-technologieën: Site Recovery-partners met bcdr-functies van andere toepassingen. U kunt bijvoorbeeld Site Recovery gebruiken om de SQL Server-back-end van bedrijfsworkloads te beveiligen. Dit omvat systeemeigen ondersteuning voor SQL Server AlwaysOn voor het beheren van de failover van beschikbaarheidsgroepen.

Meer informatie:

• Wat is Azure Site Recovery?
• Hoe werkt Azure Site Recovery?
• Welke workloads worden beveiligd door Azure Site Recovery?

Virtueel netwerk

Virtuele machines hebben netwerkconnectiviteit nodig. Om deze vereiste te ondersteunen, moeten virtuele machines in Azure zijn verbonden met een virtueel Azure-netwerk.

Een virtueel Azure-netwerk is een logische constructie die is gebouwd op de fysieke Azure-netwerkinfrastructuur. Elk logisch virtueel Azure-netwerk is geïsoleerd van alle andere virtuele Azure-netwerken. Deze isolatie zorgt ervoor dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Microsoft Azure-klanten.

Meer informatie:

• Azure network security overview
• Overzicht van Virtual Network
• Netwerkfuncties en partnerschappen voor bedrijfsscenario's

Beheer en rapportage van beveiligingsbeleid

Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. Defender voor Cloud geeft u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen. Het helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een breed ecosysteem van beveiligingsoplossingen.

Defender voor Cloud helpt u bij het optimaliseren en bewaken van de beveiliging van uw virtuele machines door:

• Het bieden van beveiligingsaanaanveling voor de virtuele machines. Voorbeelden van aanbevelingen zijn: systeemupdates toepassen, ACL-eindpunten configureren, antimalware inschakelen, netwerkbeveiligingsgroepen inschakelen en schijfversleuteling toepassen.
• De status van uw virtuele machines bewaken.

Meer informatie:

• Inleiding tot Microsoft Defender voor Cloud
• Microsoft Defender voor Cloud veelgestelde vragen
• Microsoft Defender voor Cloud planning en bewerkingen

Naleving

Azure Virtual Machines is gecertificeerd voor FISMA, FedRAMP, HIPAA, PCI DSS Level 1 en andere belangrijke nalevingsprogramma's. Deze certificering maakt het eenvoudiger voor uw eigen Azure-toepassingen om te voldoen aan nalevingsvereisten en voor uw bedrijf om te voldoen aan een breed scala aan nationale en internationale wettelijke vereisten.

Meer informatie:

• Vertrouwenscentrum van Microsoft: naleving
• Vertrouwde cloud: Microsoft Azure-beveiliging, -privacy en -naleving

Confidential Computing

Vertrouwelijke computing maakt technisch geen deel uit van de beveiliging van virtuele machines, maar het onderwerp van beveiliging van virtuele machines behoort tot het onderwerp 'compute'-beveiliging op een hoger niveau. Confidential computing behoort tot de categorie 'compute'-beveiliging.

Confidential Computing zorgt ervoor dat wanneer gegevens 'duidelijk' zijn, die nodig zijn voor efficiënte verwerking, de gegevens worden beveiligd in een TRUSTED Execution Environment https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE, ook wel enclave genoemd), een voorbeeld hiervan wordt weergegeven in de onderstaande afbeelding.

TEEs zorgen ervoor dat er geen manier is om gegevens of bewerkingen van buitenaf weer te geven, zelfs niet met een foutopsporingsprogramma. Ze zorgen er zelfs voor dat alleen geautoriseerde code toegang heeft tot gegevens. Als de code wordt gewijzigd of gemanipuleerd, worden de bewerkingen geweigerd en wordt de omgeving uitgeschakeld. De TEE dwingt deze beveiligingen af tijdens de uitvoering van code hierin.

Meer informatie:

• Inleiding tot Azure Confidential Computing
• Azure Confidential Computing

Volgende stappen

Meer informatie over aanbevolen beveiligingsprocedures voor VM's en besturingssystemen.