Обеспечение безопасности и использование политик на виртуальных машинах в Azure
Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы
Очень важно обеспечить безопасность виртуальной машины для выполняемых приложений. Для защиты виртуальных машин можно применить одну или несколько служб или функций Azure, которые обеспечивают безопасный доступ к виртуальным машинам и безопасное хранение данных. Из этой статьи вы узнаете, как обеспечить защиту своих виртуальных машин и приложений.
Защита от вредоносных программ;
Спектр современных угроз, с которыми сталкиваются пользователи облачных сред, расширяется быстро, что вынуждает искать средства эффективной защиты, обеспечивающие соответствие требованиям к безопасности и нормативным требованиям. Антивредоносное ПО Майкрософт для Azure предоставляет бесплатную защиту в реальном времени, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Вы можете настроить предупреждения, уведомляющие о попытках установки или запуска известных вредоносных или нежелательных программ на виртуальной машине. Это не поддерживается в виртуальных машинах с Linux или Windows Server 2008.
Microsoft Defender для облака
Microsoft Defender для облака позволяет предотвращать и обнаруживать угрозы для виртуальных машин, а также реагировать на них. Defender для облака содержит встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
JIT-доступ к Defender для облака можете применить в развертывании вашей виртуальной машины, чтобы блокировать входящий трафик на виртуальные машины Azure, снизить уязвимость к атакам и обеспечить удобный доступ к виртуальным машинам, когда это необходимо. Если включен режим JIT и пользователь запрашивает доступ к виртуальной машине, Defender для облака проверяет, какие разрешения есть у пользователя для этой виртуальной машины. Если у пользователя есть правильные разрешения, запрос подтвержден и Defender для облака автоматически настраивает группу безопасности сети, которая разрешает передачу входящего трафика через выбранные порты на ограниченный период времени. По истечении этого времени Defender для облака восстанавливает группы безопасности сети в предыдущие состояния.
Шифрование
Для управляемых дисков предлагается два метода шифрования. Шифрование на уровне операционной системы (Шифрование дисков Azure) и шифрование на уровне платформы (шифрование на стороне сервера).
Шифрование на стороне сервера
Управляемые диски Azure по умолчанию автоматически шифруют данные при сохранении их в облаке. Шифрование на стороне сервера защищает данные и помогает соблюсти корпоративные обязательства по обеспечению безопасности и соответствия. Данные в управляемых дисках Azure шифруются прозрачно с использованием 256-разрядного шифрования AES, одного из наиболее сильных блочных шифров, который совместим со стандартом FIPS 140-2.
Шифрование не влияет на производительность управляемых дисков. За использование шифрования дополнительная плата не взимается.
Вы можете использовать ключи, управляемые платформой, для шифрования управляемого диска или управлять шифрованием с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, вы можете указать управляемый клиентом ключ, который будет использоваться для шифрования и расшифровки всех данных на управляемых дисках.
Дополнительные сведения о шифровании на стороне сервера см. в соответствующих статьях для Windows и Linux.
Шифрование дисков Azure
Для повышения уровня безопасности и соответствия требованиям виртуальных машин Windows и Linux содержимое виртуальных дисков в Azure можно зашифровать. Виртуальные диски на виртуальных машинах Windows шифруются в неактивном состоянии с помощью Bitlocker. А виртуальные диски на виртуальных машинах Linux шифруются в неактивном состоянии с помощью dm-crypt.
В Azure за шифрование виртуальных дисков плата не взимается. Криптографические ключи хранятся в Azure Key Vault с помощью программной защиты, или вы можете импортировать или создать ключи в аппаратных модулях безопасности (HSM), сертифицированных в стандартах FIPS 140. Эти криптографические ключи используются для шифрования и расшифровки виртуальных дисков, подключенных к виртуальной машине. Вы сохраняете контроль над этими криптографическими ключами и можете проводить аудит их использования. Субъект-служба Microsoft Entra предоставляет безопасный механизм выдачи этих криптографических ключей при включении и отключении виртуальных машин.
Хранилище ключей и ключи SSH
Секреты и сертификаты могут моделироваться как ресурсы и предоставляться решением Key Vault. Создать хранилища ключей для виртуальных машин Windows можно с помощью Azure PowerShell, а для виртуальных машин Linux — с помощью Azure CLI. Вы также можете создать ключи для шифрования.
Политики доступа к хранилищу ключей предоставляют доступ отдельно к ключам, секретам и сертификатам. Например, можно предоставить пользователю доступ только к ключам, но не предоставить разрешения на секреты. Тем не менее разрешения на доступ к ключам и секретам или сертификатам находятся на уровне хранилища. Другими словами, политика доступа к хранилищу ключей не поддерживает разрешения на уровне объектов.
При подключении к виртуальным машинам необходимо использовать шифрование с открытым ключом, чтобы обеспечить более высокий уровень безопасности при входе на виртуальные машины. Этот процесс предполагает обмен открытыми и закрытыми ключами с использованием команды Secure Shell (SSH), что позволяет аутентифицировать себя, не вводя имя пользователя и пароль. Пароли подвержены атакам методом подбора, особенно на виртуальных машинах с подключением к Интернету, таких как веб-серверы. С помощью пары ключей Secure Shell (SSH) можно создавать виртуальные машины Linux, использующие ключи SSH для проверки подлинности, что позволяет обойтись без использования паролей для входа. Кроме того, с помощью ключей SSH можно подключаться с виртуальной машины Windows к виртуальной машине Linux.
Управляемые удостоверения для ресурсов Azure
Распространенная проблема при создании облачных приложений — управление учетными данными в коде для проверки подлинности в облачных службах. Обеспечение безопасности учетных данных является важной задачей. В идеальном случае учетные данные никогда не передаются на рабочие станции разработчиков и не проверяются после изменения в системе управления версиями. Azure Key Vault позволяет обеспечить безопасное хранение учетных данных, секретов, а также других ключей, но для их получения код должен выполнять проверку подлинности в Key Vault.
Функция управляемых удостоверений для ресурсов Azure в Microsoft Entra решает эту проблему. Эта функция предоставляет службы Azure с автоматически управляемым удостоверением в идентификаторе Microsoft Entra. Удостоверение можно использовать для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra, включая Key Vault, без каких-либо учетных данных в коде. Код, выполняющийся на виртуальной машине, может выполнить запрос на получение маркера из двух конечных точек, доступных только на виртуальной машине. Дополнительные подробные сведения об этой службе см. в статье c общими сведениями об управляемых удостоверениях для ресурсов Azure.
Политики
Политики Azure можно использовать для определения требуемого поведения для виртуальных машин вашей организации. С помощью политик организация может обеспечить выполнение различных норм и правил во всей организации. Обязательные для выполнения стандарты поведения помогают снизить риск, что способствует успешной деятельности организации.
Управление доступом на основе ролей Azure
С помощью управления доступом на основе ролей Azure (Azure RBAC) вы можете распределить обязанности внутри команды и предоставить пользователям виртуальной машины доступ на уровне, который им необходим для выполнения поставленных задач. Вместо того чтобы предоставлять всем неограниченные разрешения для виртуальной машины, можно разрешить только определенные действия. Вы можете настроить управление доступом для виртуальной машины на портале Azure с помощью Azure CLI или Azure PowerShell.