Omówienie zabezpieczeń usługi Azure Virtual Machines

Ten artykuł zawiera omówienie podstawowych funkcji zabezpieczeń platformy Azure, które mogą być używane z maszynami wirtualnymi.

Za pomocą usługi Azure Virtual Machines można wdrożyć szeroką gamę rozwiązań obliczeniowych w elastyczny sposób. Usługa obsługuje usługi Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP i Azure BizTalk Services. Dzięki temu można wdrożyć dowolne obciążenie i dowolny język w niemal dowolnym systemie operacyjnym.

Maszyna wirtualna Azure umożliwia swobodne korzystanie z wirtualizacji bez konieczności kupowania i utrzymywania fizycznego sprzętu potrzebnego do działania maszyny wirtualnej. Aplikacje można tworzyć i wdrażać przy użyciu zapewnienia, że dane są chronione i bezpieczne w wysoce zabezpieczonych centrach danych.

Za pomocą platformy Azure możesz tworzyć rozwiązania zabezpieczeń ulepszone i zgodne z zabezpieczeniami, które:

• Ochrona maszyn wirtualnych przed wirusami i złośliwym oprogramowaniem.
• Szyfruj poufne dane.
• Zabezpieczanie ruchu sieciowego.
• Identyfikowanie i wykrywanie zagrożeń.
• Spełnianie wymagań dotyczących zgodności.

Oprogramowanie chroniące przed złośliwym kodem

Za pomocą platformy Azure możesz używać oprogramowania chroniącego przed złośliwym kodem od dostawców zabezpieczeń, takich jak Microsoft, Symantec, Trend Micro i Kaspersky. To oprogramowanie pomaga chronić maszyny wirtualne przed złośliwymi plikami, oprogramowaniem adware i innymi zagrożeniami.

Microsoft Antimalware dla usług Azure Cloud Services i Virtual Machines to funkcja ochrony w czasie rzeczywistym, która pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie. Program Microsoft Antimalware dla platformy Azure udostępnia konfigurowalne alerty, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić w systemach platformy Azure.

Microsoft Antimalware dla platformy Azure to rozwiązanie z jednym agentem dla aplikacji i środowisk dzierżawy. Jest ona przeznaczona do uruchamiania w tle bez interwencji człowieka. Ochronę można wdrożyć na podstawie potrzeb obciążeń aplikacji przy użyciu podstawowej, domyślnej lub zaawansowanej konfiguracji niestandardowej, w tym monitorowania ochrony przed złośliwym kodem.

Dowiedz się więcej o programie Microsoft Antimalware dla platformy Azure i dostępnych podstawowych funkcjach.

Dowiedz się więcej o oprogramowaniu chroniącym przed złośliwym kodem, aby chronić maszyny wirtualne:

• Wdrażanie rozwiązań do ochrony przed złośliwym kodem na maszynach wirtualnych platformy Azure
• Jak zainstalować i skonfigurować rozwiązanie Trend Micro Deep Security jako usługa na maszynie wirtualnej z systemem Windows
• Rozwiązania zabezpieczeń w witrynie Azure Marketplace

Aby uzyskać jeszcze bardziej zaawansowaną ochronę, rozważ użycie Ochrona punktu końcowego w usłudze Microsoft Defender. Usługa Defender dla punktu końcowego zapewnia:

• Zmniejszenie obszaru podatnego na ataki
• Ochrona nowej generacji
• Ochrona punktu końcowego i odpowiedź
• Zautomatyzowane badanie i korygowanie
• Wskaźnik bezpieczeństwa
• Zaawansowane wyszukiwanie zagrożeń
• Zarządzanie i interfejsy API
• Microsoft Threat Protection

Dowiedz się więcej: Wprowadzenie do Ochrona punktu końcowego w usłudze Microsoft Defender

Sprzętowy moduł zabezpieczeń

Zwiększenie bezpieczeństwa kluczy może zwiększyć ochronę szyfrowania i uwierzytelniania. Zarządzanie krytycznymi wpisami tajnymi i kluczami oraz ich zabezpieczenia można uprościć, przechowując je w usłudze Azure Key Vault.

Usługa Key Vault umożliwia przechowywanie kluczy w sprzętowych modułach zabezpieczeń (HSM) certyfikowanych do zweryfikowanych standardów FIPS 140. Klucze szyfrowania programu SQL Server na potrzeby tworzenia kopii zapasowych lub przezroczystego szyfrowania danych mogą być przechowywane w usłudze Key Vault przy użyciu dowolnych kluczy lub wpisów tajnych z aplikacji. Uprawnienia i dostęp do tych chronionych elementów są zarządzane za pośrednictwem identyfikatora Entra firmy Microsoft.

Więcej informacji:

• Co to jest usługa Azure Key Vault?
• Blog usługi Azure Key Vault

Szyfrowanie dysków maszyny wirtualnej

Usługa Azure Disk Encryption to nowa funkcja szyfrowania dysków maszyn wirtualnych z systemem Windows i Linux. Usługa Azure Disk Encryption używa standardowej w branży funkcji BitLocker systemu Windows i funkcji dm-crypt systemu Linux w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych.

Rozwiązanie jest zintegrowane z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy szyfrowania dysków i wpisów tajnych oraz zarządzanie nimi w ramach subskrypcji magazynu kluczy. Gwarantuje to, że wszystkie dane na dyskach maszyny wirtualnej są szyfrowane w spoczynku w usłudze Azure Storage.

Więcej informacji:

• Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux i usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows
• Szybki start: szyfrowanie maszyny wirtualnej IaaS z systemem Linux przy użyciu programu Azure PowerShell

Kopia zapasowa maszyny wirtualnej

Usługa Azure Backup to skalowalne rozwiązanie, które pomaga chronić dane aplikacji bez inwestycji kapitałowych i minimalnych kosztów operacyjnych. Błędy aplikacji mogą powodować uszkodzenia danych, a błędy użytkowników — usterki aplikacji. Dzięki usłudze Azure Backup maszyny wirtualne z systemami Windows i Linux są chronione.

Więcej informacji:

• Co to jest Azure Backup?
• Usługa Azure Backup — często zadawane pytania

Azure Site Recovery

Ważną częścią strategii BCDR organizacji jest ustalenie, jak utrzymać obciążenia i aplikacje firmowe uruchomione w przypadku wystąpienia planowanych i nieplanowanych awarii. Usługa Azure Site Recovery pomaga organizować replikację, tryb failover i odzyskiwanie obciążeń i aplikacji, aby były dostępne z lokalizacji dodatkowej, jeśli lokalizacja podstawowa ulegnie awarii.

Site Recovery:

• Upraszcza strategię BCDR: usługa Site Recovery ułatwia obsługę replikacji, trybu failover i odzyskiwania wielu obciążeń biznesowych i aplikacji z jednej lokalizacji. Usługa Site Recovery organizuje replikację i tryb failover, ale nie przechwytuje danych aplikacji ani nie zawiera żadnych informacji o niej.
• Zapewnia elastyczną replikację: za pomocą usługi Site Recovery można replikować obciążenia uruchomione na maszynach wirtualnych funkcji Hyper-V, maszynach wirtualnych VMware i serwerach fizycznych z systemem Windows/Linux.
• Obsługuje tryb failover i odzyskiwanie: usługa Site Recovery udostępnia testowe przejścia w tryb failover w celu obsługi próbnych odzyskiwania po awarii bez wpływu na środowiska produkcyjne. Możesz również uruchomić planowane tryby failover (brak utraty danych) w przypadku przewidywanych przerw w działaniu lub nieplanowane tryby failover (minimalna utrata danych, zależna od częstotliwości replikacji) w przypadku nieoczekiwanych awarii. Po przejściu w tryb failover możesz wrócić po awarii do lokacji głównych. Usługa Site Recovery udostępnia plany odzyskiwania, które mogą obejmować skrypty i skoroszyty usługi Azure Automation, dzięki czemu można dostosować tryb failover i odzyskiwanie aplikacji wielowarstwowych.
• Eliminuje dodatkowe centra danych: można replikować do dodatkowej lokacji lokalnej lub na platformę Azure. Korzystanie z platformy Azure jako miejsca docelowego na potrzeby odzyskiwania po awarii eliminuje koszty i złożoność obsługi lokacji dodatkowej. Replikowane dane są przechowywane w usłudze Azure Storage.
• Integruje się z istniejącymi technologiami BCDR: usługa Site Recovery współpracuje z funkcjami BCDR innych aplikacji. Na przykład możesz użyć usługi Site Recovery, aby chronić zaplecze programu SQL Server obciążeń firmowych. Obejmuje to natywną obsługę zawsze włączonego programu SQL Server w celu zarządzania trybem failover grup dostępności.

Więcej informacji:

• Co to jest usługa Azure Site Recovery?
• Jak działa usługa Azure Site Recovery?
• Jakie obciążenia są chronione przez usługę Azure Site Recovery?

Sieć wirtualna

Maszyny wirtualne wymagają łączności sieciowej. Aby spełnić to wymaganie, platforma Azure wymaga, aby maszyny wirtualne można było połączyć z siecią wirtualną platformy Azure.

Sieć wirtualna platformy Azure to konstrukcja logiczna oparta na fizycznej sieci szkieletowej platformy Azure. Każda logiczna sieć wirtualna platformy Azure jest odizolowana od wszystkich innych sieci wirtualnych platformy Azure. Ta izolacja pomaga zapewnić, że ruch sieciowy we wdrożeniach nie jest dostępny dla innych klientów platformy Microsoft Azure.

Więcej informacji:

• Omówienie zabezpieczeń sieci na platformie Azure
• Omówienie usługi Virtual Network
• Funkcje sieci i partnerstwa dla scenariuszy dla przedsiębiorstw

Zarządzanie zasadami zabezpieczeń i raportowanie

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie. Defender dla Chmury zapewnia zwiększony wgląd i kontrolę nad zabezpieczeniami zasobów platformy Azure. Zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure. Pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z szerokim ekosystemem rozwiązań zabezpieczeń.

Defender dla Chmury ułatwia optymalizowanie i monitorowanie zabezpieczeń maszyn wirtualnych przez:

• Dostarczanie zaleceń dotyczących zabezpieczeń dla maszyn wirtualnych. Przykładowe zalecenia obejmują: stosowanie aktualizacji systemu, konfigurowanie punktów końcowych list ACL, włączanie ochrony przed złośliwym kodem, włączanie sieciowych grup zabezpieczeń i stosowanie szyfrowania dysków.
• Monitorowanie stanu maszyn wirtualnych.

Więcej informacji:

• Wprowadzenie do Microsoft Defender dla Chmury
• Microsoft Defender dla Chmury często zadawane pytania
• Microsoft Defender dla Chmury planowanie i operacje

Zgodność

Usługa Azure Virtual Machines ma certyfikat FISMA, FedRAMP, HIPAA, PCI DSS Level 1 i innych kluczowych programów zgodności. Ten certyfikat ułatwia tworzenie własnych aplikacji platformy Azure w celu spełnienia wymagań dotyczących zgodności i spełnienia przez firmę szerokiej gamy krajowych i międzynarodowych wymagań prawnych.

Więcej informacji:

• Centrum zaufania Firmy Microsoft: zgodność
• Zaufana chmura: zabezpieczenia, prywatność i zgodność platformy Microsoft Azure

Poufne przetwarzanie

Chociaż poufne przetwarzanie nie jest technicznie częścią zabezpieczeń maszyny wirtualnej, temat zabezpieczeń maszyny wirtualnej należy do wyższego poziomu zabezpieczeń "obliczeniowych". Poufne przetwarzanie należy do kategorii zabezpieczeń "obliczeniowych".

Poufne przetwarzanie gwarantuje, że gdy dane są "w stanie jasnym", co jest wymagane do wydajnego przetwarzania, dane są chronione wewnątrz zaufanego środowiska https://en.wikipedia.org/wiki/Trusted_execution_environment wykonawczego (TEE , nazywanego również enklawą), na przykładzie pokazanym na poniższej ilustracji.

Tees zapewniają, że nie ma możliwości wyświetlania danych ani operacji wewnątrz z zewnątrz, nawet przy użyciu debugera. Zapewniają nawet, że dostęp do danych jest dozwolony tylko autoryzowany kod. Jeśli kod zostanie zmieniony lub naruszony, operacje zostaną odrzucone i środowisko zostanie wyłączone. TeE wymusza te zabezpieczenia przez cały czas wykonywania kodu.

Więcej informacji:

• Wprowadzenie do poufnego przetwarzania na platformie Azure
• Poufne przetwarzanie na platformie Azure

Następne kroki

Dowiedz się więcej o najlepszych rozwiązaniach w zakresie zabezpieczeń dla maszyn wirtualnych i systemów operacyjnych.