Tworzenie punktu odniesienia maszyny wirtualnej platformy Azure

  • 5 min

Azure Policy to usługa platformy Azure, której można użyć do tworzenia, przypisywania i zarządzania zasadami. Utworzone zasady wymuszają różne reguły i efekty dotyczące zasobów, dzięki czemu zasoby te pozostają zgodne ze standardami firmowymi i umowami dotyczącymi poziomu usług. Usługa Azure Policy spełnia to wymaganie, oceniając zasoby pod kątem niezgodności z przypisanymi zasadami. Można na przykład mieć zasady zezwalania na tylko określony rozmiar jednostki SKU maszyny wirtualnej w danym środowisku. Po wdrożeniu tej zasady nowe i istniejące zasoby są oceniane pod kątem zgodności. Użycie odpowiedniego typu zasad umożliwia zapewnienie zgodności istniejących zasobów.

Zalecenia dotyczące zabezpieczeń maszyny wirtualnej platformy Azure

W poniższych sekcjach opisano zalecenia dotyczące zabezpieczeń maszyn wirtualnych platformy Azure, które znajdują się w ciS Microsoft Azure Foundations Security Benchmark v. 1.3.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń. Pamiętaj, że opcje na poziomie 2 mogą ograniczać niektóre funkcje lub działania, dlatego dokładnie zastanów się, które opcje zabezpieczeń mają być wymuszane.

Włączanie i instalowanie agenta maszyny wirtualnej na potrzeby zbierania danych Microsoft Defender dla Chmury — poziom 1

Microsoft Defender dla Chmury informuje, kiedy maszyna wirtualna wymaga agenta maszyny wirtualnej. Agent jest instalowany domyślnie dla maszyn wirtualnych wdrożonych z witryny Azure Marketplace. Dane są niezbędne do oceny stanu zabezpieczeń maszyny wirtualnej, przedstawiania rekomendacji dotyczących zabezpieczeń oraz ostrzegania o zagrożeniach opartych na hoście.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  2. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Ustawienia środowiska.

  3. W okienku Ustawienia środowiska wybierz swoją subskrypcję.

  4. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Automatyczna aprowizacja.

  5. W przypadku agenta maszyny wirtualnej, którego chcesz użyć, wybierz pozycję Włączone. Wybierz obszar roboczy do użycia.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

Sprawdzanie, czy dysk systemu operacyjnego został zaszyfrowany — poziom 1

Usługa Azure Disk Encryption pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Azure Disk Encryption:

  • Używa funkcji BitLocker systemu Windows i funkcji DM-Crypt systemu Linux w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych maszyn wirtualnych platformy Azure.
  • Integruje się z usługą Azure Key Vault, aby ułatwić kontrolowanie kluczy szyfrowania dysków i wpisów tajnych oraz zarządzanie nimi.
  • Gwarantuje, że wszystkie dane na dyskach maszyn wirtualnych są szyfrowane w spoczynku, gdy znajdują się w usłudze Azure Storage.

Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows i Linux jest ogólnie dostępna we wszystkich regionach publicznych platformy Azure i regionach platformy Azure Government dla standardowych maszyn wirtualnych i maszyn wirtualnych z usługą Azure Premium Storage.

Jeśli używasz Microsoft Defender dla Chmury (zalecane), otrzymasz alert, jeśli masz maszyny wirtualne, które nie są szyfrowane. Wykonaj następujące kroki dla każdej maszyny wirtualnej w ramach subskrypcji platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Maszyny wirtualne.

  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Dyski.

  3. W obszarze Dysk systemu operacyjnego upewnij się, że dysk systemu operacyjnego ma ustawiony typ szyfrowania.

  4. W obszarze Dyski danych upewnij się, że każdy dysk ma ustawiony typ szyfrowania.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia maszyn wirtualnych — poziom 1

Rozszerzenia maszyn wirtualnych platformy Azure to małe aplikacje, które zapewniają konfigurację po wdrożeniu i zadania automatyzacji na maszynach wirtualnych platformy Azure. Jeśli na przykład maszyna wirtualna wymaga ochrony oprogramowania lub ochrony antywirusowej lub jeśli maszyna wirtualna musi uruchomić skrypt, możesz użyć rozszerzenia maszyny wirtualnej. Rozszerzenie maszyny wirtualnej platformy Azure można uruchomić przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, szablonu usługi Azure Resource Manager lub witryny Azure Portal. Rozszerzenia można pakować przy użyciu nowego wdrożenia maszyny wirtualnej lub uruchamiać je w dowolnym istniejącym systemie. Aby użyć witryny Azure Portal, aby upewnić się, że na maszynach wirtualnych są zainstalowane tylko zatwierdzone rozszerzenia, wykonaj następujące kroki dla każdej maszyny wirtualnej w ramach subskrypcji platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Maszyny wirtualne.

  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Rozszerzenia i aplikacje.

  3. W okienku Rozszerzenia i aplikacje upewnij się, że wymienione rozszerzenia są zatwierdzone do użycia.

Screenshot that shows V M extensions in the Extensions + applications pane.

Sprawdzanie, czy poprawki systemu operacyjnego dla maszyn wirtualnych zostały zastosowane — poziom 1

Microsoft Defender dla Chmury codziennie monitoruje maszyny wirtualne z systemem Windows i Linux oraz komputery pod kątem brakujących aktualizacji systemu operacyjnego. Defender dla Chmury pobiera listę dostępnych aktualizacji zabezpieczeń i aktualizacji krytycznychWindows Update lub Windows Server Update Services (WSUS). Otrzymane aktualizacje zależą od usługi skonfigurowanej na komputerze z systemem Windows. Defender dla Chmury również sprawdza dostępność najnowszych aktualizacji w systemach Linux. Jeśli na maszynie wirtualnej lub komputerze brakuje aktualizacji systemu, Defender dla Chmury zaleca zastosowanie aktualizacji systemu.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

  2. W menu po lewej stronie w obszarze Ogólne wybierz pozycję Rekomendacje.

  3. W Rekomendacje upewnij się, że nie ma żadnych zaleceń dotyczących stosowania aktualizacji systemowych.

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

Upewnij się, że maszyny wirtualne mają zainstalowane i uruchomione rozwiązanie ochrony punktu końcowego — poziom 1

Microsoft Defender dla Chmury monitoruje stan ochrony przed złośliwym kodem. Raportuje ten stan w okienku Problemy z programem Endpoint Protection. Defender dla Chmury wyróżnia problemy, takie jak wykryte zagrożenia i niewystarczająca ochrona, co może sprawić, że maszyny wirtualne i komputery będą narażone na zagrożenia chroniące przed złośliwym kodem. Korzystając z informacji w temacie Problemy z programem Endpoint Protection, możesz rozpocząć tworzenie planu rozwiązywania wszelkich zidentyfikowanych problemów.

Użyj tego samego procesu, jak opisano w poprzednim poleceniu.