Zabezpieczanie maszyn wirtualnych platformy Azure i stosowanie zasad

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Ważne jest, aby zapewnić bezpieczeństwo maszyny wirtualnej dla uruchomionych aplikacji. Zabezpieczanie maszyn wirtualnych może obejmować co najmniej jedną usługę i funkcje platformy Azure, które obejmują bezpieczny dostęp do maszyn wirtualnych i bezpieczny magazyn danych. Ten artykuł zawiera informacje, które umożliwiają zapewnienie bezpieczeństwa maszyn wirtualnych i aplikacji.

Oprogramowanie chroniące przed złośliwym kodem

Nowoczesny krajobraz zagrożeń dla środowisk w chmurze jest dynamiczny, zwiększając presję na utrzymanie skutecznej ochrony w celu spełnienia wymagań dotyczących zgodności i zabezpieczeń. Microsoft Antimalware dla platformy Azure to bezpłatna funkcja ochrony w czasie rzeczywistym, która pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie. Alerty można skonfigurować tak, aby otrzymywać powiadomienia, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić na maszynie wirtualnej. Nie jest obsługiwany na maszynach wirtualnych z systemem Linux lub Windows Server 2008.

Microsoft Defender for Cloud

Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom maszyn wirtualnym, wykrywać je i reagować na nie. Defender dla Chmury zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziałają z szerokim ekosystemem rozwiązań zabezpieczeń.

Defender dla Chmury dostęp just in time można zastosować we wdrożeniu maszyny wirtualnej, aby zablokować ruch przychodzący do maszyn wirtualnych platformy Azure, zmniejszając narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby. Gdy jest włączona opcja just in time i użytkownik żąda dostępu do maszyny wirtualnej, Defender dla Chmury sprawdza, jakie uprawnienia ma użytkownik dla maszyny wirtualnej. Jeśli mają odpowiednie uprawnienia, żądanie zostanie zatwierdzone i Defender dla Chmury automatycznie skonfiguruje sieciowe grupy zabezpieczeń w celu zezwolenia na ruch przychodzący do wybranych portów przez ograniczony czas. Po upływie czasu Defender dla Chmury przywraca sieciowe grupy zabezpieczeń do ich poprzednich stanów.

Szyfrowanie

Dostępne są dwie metody szyfrowania dla dysków zarządzanych. Szyfrowanie na poziomie systemu operacyjnego, czyli Azure Disk Encryption i szyfrowanie na poziomie platformy, czyli szyfrowanie po stronie serwera.

Szyfrowanie po stronie serwera

Dyski zarządzane platformy Azure automatycznie szyfrują dane domyślnie podczas utrwalania ich w chmurze. Szyfrowanie po stronie serwera chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Dane na dyskach zarządzanych platformy Azure są szyfrowane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i jest zgodny ze standardem FIPS 140-2.

Szyfrowanie nie ma wpływu na wydajność dysków zarządzanych. Szyfrowanie nie wiąże się z dodatkowymi kosztami.

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.

Aby dowiedzieć się więcej na temat szyfrowania po stronie serwera, zapoznaj się z artykułami dotyczącymi systemu Windows lub Linux.

Usługa Azure Disk Encryption

W celu zapewnienia zwiększonych zabezpieczeń i zgodności maszyn wirtualnych z systemem Windows oraz zgodności można zaszyfrować dyski wirtualne na platformie Azure. Dyski wirtualne na maszynach wirtualnych z systemem Windows są szyfrowane w spoczynku przy użyciu funkcji BitLocker. Dyski wirtualne na maszynach wirtualnych z systemem Linux są szyfrowane w spoczynku przy użyciu narzędzia dm-crypt.

Za szyfrowanie dysków wirtualnych na platformie Azure nie są naliczane opłaty. Klucze kryptograficzne są przechowywane w usłudze Azure Key Vault przy użyciu ochrony oprogramowania lub można zaimportować lub wygenerować klucze w sprzętowych modułach zabezpieczeń (HSM) certyfikowanych przez standard FIPS 140. Te klucze kryptograficzne służą do szyfrowania i odszyfrowywania dysków wirtualnych dołączonych do maszyny wirtualnej. Zachowasz kontrolę nad tymi kluczami kryptograficznymi i możesz przeprowadzić inspekcję ich użycia. Jednostka usługi Microsoft Entra zapewnia bezpieczny mechanizm wydawania tych kluczy kryptograficznych, ponieważ maszyny wirtualne są włączone i wyłączone.

Usługa Key Vault i klucze SSH

Wpisy tajne i certyfikaty można modelować jako zasoby i udostępniane przez usługę Key Vault. Program Azure PowerShell umożliwia tworzenie magazynów kluczy dla maszyn wirtualnych z systemem Windows i interfejsu wiersza polecenia platformy Azure dla maszyn wirtualnych z systemem Linux. Możesz również utworzyć klucze na potrzeby szyfrowania.

Zasady dostępu do magazynu kluczy udzielają uprawnień do kluczy, wpisów tajnych i certyfikatów oddzielnie. Na przykład można udzielić użytkownikowi dostępu tylko do kluczy, ale żadnych uprawnień do wpisów tajnych. Uprawnienia dostępu do kluczy, wpisów tajnych lub certyfikatów są jednak przyznawane na poziomie magazynu. Innymi słowy, zasady dostępu magazynu kluczy nie obsługują uprawnień na poziomie obiektu.

Podczas nawiązywania połączenia z maszynami wirtualnymi należy użyć kryptografii klucza publicznego w celu zapewnienia bezpieczniejszego sposobu logowania się do nich. Ten proces obejmuje wymianę kluczy publicznych i prywatnych przy użyciu polecenia secure shell (SSH) w celu uwierzytelnienia się samodzielnie, a nie nazwy użytkownika i hasła. Hasła są narażone na ataki siłowe, zwłaszcza na maszynach wirtualnych dostępnych z Internetu, takich jak serwery internetowe. Za pomocą pary kluczy secure shell (SSH) można utworzyć maszynę wirtualną z systemem Linux, która używa kluczy SSH do uwierzytelniania, eliminując konieczność logowania haseł. Możesz również użyć kluczy SSH, aby nawiązać połączenie z maszyny wirtualnej z systemem Windows z maszyną wirtualną z systemem Linux.

Tożsamości zarządzane dla zasobów platformy Azure

Typowym wyzwaniem podczas kompilowania aplikacji w chmurze jest sposób zarządzania poświadczeniami w kodzie w przypadku uwierzytelniania przy użyciu usług w chmurze. Zabezpieczanie poświadczeń to ważne zadanie. W idealnej sytuacji poświadczenia nie są nigdy wyświetlane na stacjach roboczych deweloperów ani zaewidencjonowane do kontroli źródła. Usługa Azure Key Vault oferuje bezpieczny sposób przechowywania poświadczeń, wpisów tajnych i innych kluczy, ale w celu ich pobrania należy uwierzytelnić kod w usłudze Key Vault.

Funkcja tożsamości zarządzanych dla zasobów platformy Azure w firmie Microsoft Entra rozwiązuje ten problem. Ta funkcja zapewnia usługom platformy Azure automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Za pomocą tożsamości można uwierzytelnić się w dowolnej usłudze, która obsługuje uwierzytelnianie firmy Microsoft Entra, w tym usługę Key Vault, bez żadnych poświadczeń w kodzie. Kod uruchomiony na maszynie wirtualnej może zażądać tokenu z dwóch punktów końcowych, które są dostępne tylko z poziomu maszyny wirtualnej. Aby uzyskać bardziej szczegółowe informacje na temat tej usługi, zapoznaj się ze stroną przeglądu tożsamości zarządzanych dla zasobów platformy Azure.

Zasady

Zasady platformy Azure mogą służyć do definiowania żądanego zachowania dla maszyn wirtualnych organizacji. Korzystając z zasad, organizacja może wymuszać różne konwencje i reguły w całym przedsiębiorstwie. Wymuszanie żądanego zachowania może pomóc zmniejszyć ryzyko, jednocześnie przyczyniając się do sukcesu organizacji.

Kontrola dostępu na podstawie ról na platformie Azure

Korzystając z kontroli dostępu opartej na rolach platformy Azure (RBAC) platformy Azure, możesz rozdzielić obowiązki w zespole i przyznać tylko użytkownikom dostęp do maszyny wirtualnej, których potrzebują do wykonywania swoich zadań. Zamiast udzielać wszystkim nieograniczonych uprawnień na maszynie wirtualnej, możesz zezwolić tylko na określone akcje. Kontrolę dostępu dla maszyny wirtualnej można skonfigurować w witrynie Azure Portal przy użyciu interfejsu wiersza polecenia platformy Azure lubprogramu Azure PowerShell.

Następne kroki

  • Zapoznaj się z krokami monitorowania zabezpieczeń maszyn wirtualnych przy użyciu Microsoft Defender dla Chmury dla systemu Linux lub Windows.