Säkerhetsmetodtips för IaaS-arbetsbelastningar i Azure
I den här artikeln beskrivs metodtips för säkerhet för virtuella datorer och operativsystem.
Metodtipsen baseras på konsensus och fungerar med aktuella funktioner och funktionsuppsättningar för Azure-plattformen. Eftersom åsikter och tekniker kan ändras över tid kommer den här artikeln att uppdateras för att återspegla dessa ändringar.
I de flesta IaaS-scenarier (infrastruktur som en tjänst) är virtuella Azure-datorer den viktigaste arbetsbelastningen för organisationer som använder molnbaserad databehandling. Det här är tydligt i hybridscenarier där organisationer vill migrera arbetsbelastningar till molnet långsamt. I sådana scenarier följer du de allmänna säkerhetsövervägandena för IaaS och tillämpar metodtips för säkerhet på alla dina virtuella datorer.
Skydda virtuella datorer med hjälp av autentisering och åtkomstkontroll
Det första steget för att skydda dina virtuella datorer är att se till att endast behöriga användare kan konfigurera nya virtuella datorer och komma åt virtuella datorer.
Kommentar
För att förbättra säkerheten för virtuella Linux-datorer i Azure kan du integrera med Microsoft Entra-autentisering. När du använder Microsoft Entra-autentisering för virtuella Linux-datorer styr och tillämpar du principer som tillåter eller nekar åtkomst till de virtuella datorerna centralt.
Bästa praxis: Kontrollera åtkomst till virtuella datorer. Information: Använd Azure-principer för att upprätta konventioner för resurser i din organisation och skapa anpassade principer. Tillämpa dessa principer på resurser, till exempel resursgrupper. Virtuella datorer som tillhör en resursgrupp ärver dess principer.
Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper tillhandahåller en omfattningsnivå över prenumerationer. Du organiserar prenumerationer i hanteringsgrupper (containrar) och tillämpar dina styrningsvillkor på dessa grupper. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på gruppen. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.
Bästa praxis: Minska variabiliteten i konfigurationen och distributionen av virtuella datorer. Information: Använd Azure Resource Manager-mallar för att stärka dina distributionsalternativ och göra det enklare att förstå och inventera de virtuella datorerna i din miljö.
Bästa praxis: Säker privilegierad åtkomst. Information: Använd en metod med minsta möjliga behörighet och inbyggda Azure-roller för att göra det möjligt för användare att komma åt och konfigurera virtuella datorer:
- Virtuell datordeltagare: Kan hantera virtuella datorer, men inte det virtuella nätverk eller lagringskonto som de är anslutna till.
- Klassisk virtuell datordeltagare: Kan hantera virtuella datorer som skapats med hjälp av den klassiska distributionsmodellen, men inte det virtuella nätverk eller lagringskonto som de virtuella datorerna är anslutna till.
- Säkerhetsadministratör: Endast i Defender för molnet: Kan visa säkerhetsprinciper, visa säkerhetstillstånd, redigera säkerhetsprinciper, visa aviseringar och rekommendationer, stänga aviseringar och rekommendationer.
- DevTest Labs-användare: Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.
Dina prenumerationsadministratörer och coadmins kan ändra den här inställningen, vilket gör dem till administratörer för alla virtuella datorer i en prenumeration. Se till att du litar på att alla dina prenumerationsadministratörer och coadmins loggar in på någon av dina datorer.
Kommentar
Vi rekommenderar att du konsoliderar virtuella datorer med samma livscykel till samma resursgrupp. Genom att använda resursgrupper kan du distribuera, övervaka och samla in faktureringskostnader för dina resurser.
Organisationer som styr åtkomst och konfiguration av virtuella datorer förbättrar sin övergripande säkerhet för virtuella datorer.
Använda flera virtuella datorer för bättre tillgänglighet
Om den virtuella datorn kör kritiska program som måste ha hög tillgänglighet rekommenderar vi starkt att du använder flera virtuella datorer. Använd en tillgänglighetsuppsättning eller tillgänglighetszoner för bättre tillgänglighet.
En tillgänglighetsuppsättning är en logisk gruppering som du kan använda i Azure för att säkerställa att de virtuella datorresurser som du placerar i den är isolerade från varandra när de distribueras i ett Azure-datacenter. Azure ser till att de virtuella datorer som du placerar i en tillgänglighetsuppsättning körs över flera fysiska servrar, beräkningsrack, lagringsenheter och nätverksväxlar. Om ett maskinvaru- eller Azure-programvarufel inträffar påverkas endast en delmängd av dina virtuella datorer och ditt övergripande program fortsätter att vara tillgängligt för dina kunder. Tillgänglighetsuppsättningar är en viktig funktion när du vill skapa tillförlitliga molnlösningar.
Skydd mot skadlig kod
Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Du kan installera Microsoft Antimalware eller en Microsoft-partners slutpunktsskyddslösning (Trend Micro, Broadcom, McAfee, Windows Defender och System Center Endpoint Protection).
Microsoft Antimalware innehåller funktioner som realtidsskydd, schemalagd genomsökning, reparation av skadlig kod, signaturuppdateringar, motoruppdateringar, exempelrapportering och insamling av undantagshändelser. För miljöer som finns separat från produktionsmiljön kan du använda ett tillägg för program mot skadlig kod för att skydda dina virtuella datorer och molntjänster.
Du kan integrera Microsoft Antimalware- och partnerlösningar med Microsoft Defender för molnet för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).
Bästa praxis: Installera en lösning mot skadlig kod för att skydda mot skadlig kod.
Information: Installera en Microsoft-partnerlösning eller Microsoft Antimalware
Bästa praxis: Integrera din lösning för program mot skadlig kod med Defender för molnet för att övervaka statusen för ditt skydd.
Information: Hantera problem med slutpunktsskydd med Defender för molnet
Hantera dina VM-uppdateringar
Virtuella Azure-datorer, precis som alla lokala virtuella datorer, är avsedda att hanteras av användaren. Azure skickar inte Windows-uppdateringar till dem. Du måste hantera dina vm-uppdateringar.
Bästa praxis: Håll dina virtuella datorer aktuella.
Information: Använd uppdateringshanteringslösningen i Azure Automation för att hantera operativsystemuppdateringar för dina Windows- och Linux-datorer som distribueras i Azure, i lokala miljöer eller i andra molnleverantörer. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.
Datorer som hanteras med Uppdateringshantering använder följande konfigurationer för att utföra utvärdering och uppdateringsdistributioner:
- Microsoft Monitoring Agent (MMA) för Windows eller Linux
- Önskad PowerShell-tillståndskonfiguration (DSC) för Linux
- Automation Hybrid Runbook Worker
- Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorer
Om du använder Windows Update låter du inställningen automatisk Windows Update vara aktiverad.
Bästa praxis: Se till att avbildningar som du har skapat vid distributionen innehåller den senaste omgången Windows-uppdateringar.
Information: Sök efter och installera alla Windows-uppdateringar som ett första steg i varje distribution. Det här måttet är särskilt viktigt att tillämpa när du distribuerar avbildningar som kommer från antingen dig eller ditt eget bibliotek. Även om avbildningar från Azure Marketplace uppdateras automatiskt som standard kan det finnas en fördröjningstid (upp till några veckor) efter en offentlig version.
Bästa praxis: Distribuera regelbundet om dina virtuella datorer för att tvinga fram en ny version av operativsystemet.
Information: Definiera den virtuella datorn med en Azure Resource Manager-mall så att du enkelt kan distribuera om den. Med hjälp av en mall får du en korrigerad och säker virtuell dator när du behöver den.
Bästa praxis: Tillämpa säkerhetsuppdateringar snabbt på virtuella datorer.
Information: Aktivera Microsoft Defender för molnet (kostnadsfri nivå eller standardnivå) för att identifiera saknade säkerhetsuppdateringar och tillämpa dem.
Bästa praxis: Installera de senaste säkerhetsuppdateringarna.
Information: Några av de första arbetsbelastningarna som kunderna flyttar till Azure är labb och externa system. Om dina virtuella Azure-datorer är värdar för program eller tjänster som måste vara tillgängliga för Internet bör du vara uppmärksam på korrigeringar. Korrigera utanför operativsystemet. Okopplade säkerhetsrisker i partnerprogram kan också leda till problem som kan undvikas om bra korrigeringshantering finns på plats.
Bästa praxis: Distribuera och testa en säkerhetskopieringslösning.
Information: En säkerhetskopia måste hanteras på samma sätt som du hanterar andra åtgärder. Detta gäller för system som ingår i din produktionsmiljö som sträcker sig till molnet.
Test- och utvecklingssystem måste följa säkerhetskopieringsstrategier som ger återställningsfunktioner som liknar vad användarna har vant sig vid, baserat på deras erfarenhet av lokala miljöer. Produktionsarbetsbelastningar som flyttas till Azure bör integreras med befintliga säkerhetskopieringslösningar när det är möjligt. Du kan också använda Azure Backup för att uppfylla dina krav på säkerhetskopiering.
Organisationer som inte tillämpar principer för programuppdatering är mer utsatta för hot som utnyttjar kända, tidigare fasta säkerhetsrisker. För att följa branschreglerna måste företag bevisa att de är flitiga och använda korrekta säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar i molnet.
Metodtips för programuppdatering för ett traditionellt datacenter och Azure IaaS har många likheter. Vi rekommenderar att du utvärderar dina aktuella principer för programuppdatering så att de inkluderar virtuella datorer som finns i Azure.
Hantera säkerhetsstatusen för den virtuella datorn
Cyberhot utvecklas. För att skydda dina virtuella datorer krävs en övervakningsfunktion som snabbt kan identifiera hot, förhindra obehörig åtkomst till dina resurser, utlösa aviseringar och minska falska positiva identifieringar.
Om du vill övervaka säkerhetsstatusen för dina virtuella Windows- och Linux-datorer använder du Microsoft Defender för molnet. I Defender för molnet skyddar du dina virtuella datorer genom att dra nytta av följande funktioner:
- Använd operativsystemets säkerhetsinställningar med rekommenderade konfigurationsregler.
- Identifiera och ladda ned systemsäkerhet och kritiska uppdateringar som kanske saknas.
- Distribuera rekommendationer för skydd mot skadlig kod för slutpunkter.
- Verifiera diskkryptering.
- Utvärdera och åtgärda sårbarheter.
- Identifiera hot.
Defender för molnet kan aktivt övervaka hot och potentiella hot exponeras i säkerhetsaviseringar. Korrelerade hot aggregeras i en enda vy som kallas en säkerhetsincident.
Defender för molnet lagrar data i Azure Monitor-loggar. Azure Monitor-loggar innehåller en frågespråks- och analysmotor som ger dig insikter om hur dina program och resurser fungerar. Data samlas också in från Azure Monitor, hanteringslösningar och agenter som är installerade på virtuella datorer i molnet eller lokalt. Denna delade funktion hjälper dig att få en komplett bild av din miljö.
Organisationer som inte framtvingar stark säkerhet för sina virtuella datorer förblir omedvetna om potentiella försök av obehöriga användare att kringgå säkerhetskontroller.
Övervaka vm-prestanda
Resursmissbruk kan vara ett problem när virtuella datorprocesser förbrukar mer resurser än de borde. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, vilket strider mot säkerhetsprincipen för tillgänglighet. Detta är särskilt viktigt för virtuella datorer som är värdar för IIS eller andra webbservrar, eftersom hög CPU- eller minnesanvändning kan tyda på en DoS-attack (Denial of Service). Det är absolut nödvändigt att övervaka åtkomsten till virtuella datorer inte bara reaktivt när ett problem uppstår, utan även proaktivt mot baslinjeprestanda som mäts under normal drift.
Vi rekommenderar att du använder Azure Monitor för att få insyn i resursens hälsa. Azure Monitor-funktioner:
- Filer för resursdiagnostiklogg: Övervakar dina vm-resurser och identifierar potentiella problem som kan äventyra prestanda och tillgänglighet.
- Azure Diagnostics-tillägget: Tillhandahåller övervaknings- och diagnostikfunktioner på virtuella Windows-datorer. Du kan aktivera dessa funktioner genom att inkludera tillägget som en del av Azure Resource Manager-mallen.
Organisationer som inte övervakar prestanda för virtuella datorer kan inte avgöra om vissa ändringar i prestandamönstren är normala eller onormala. En virtuell dator som förbrukar mer resurser än normalt kan tyda på en attack från en extern resurs eller en komprometterad process som körs på den virtuella datorn.
Kryptera dina virtuella hårddiskfiler
Vi rekommenderar att du krypterar dina virtuella hårddiskar (VHD) för att skydda din startvolym och dina datavolymer i vila i lagringen, tillsammans med dina krypteringsnycklar och hemligheter.
Azure Disk Encryption för virtuella Linux-datorer och Azure Disk Encryption för virtuella Windows-datorer hjälper dig att kryptera dina virtuella Linux- och Windows IaaS-diskar. Azure Disk Encryption använder den branschstandardmässiga DM-Crypt-funktionen i Linux och BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för operativsystemet och datadiskarna. Lösningen är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter i din nyckelvalvsprenumeration. Lösningen säkerställer också att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.
Följande är metodtips för att använda Azure Disk Encryption:
Bästa praxis: Aktivera kryptering på virtuella datorer.
Information: Azure Disk Encryption genererar och skriver krypteringsnycklarna till ditt nyckelvalv. För att hantera krypteringsnycklar i nyckelvalvet krävs Microsoft Entra-autentisering. Skapa ett Microsoft Entra-program för detta ändamål. I autentiseringssyfte kan du använda antingen klienthemlighetsbaserad autentisering eller klientcertifikatbaserad Microsoft Entra-autentisering.
Bästa praxis: Använd en nyckelkrypteringsnyckel (KEK) för ytterligare ett säkerhetslager för krypteringsnycklar. Lägg till en KEK i ditt nyckelvalv.
Information: Använd cmdleten Add-AzKeyVaultKey för att skapa en nyckelkrypteringsnyckel i nyckelvalvet. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM) för nyckelhantering. Mer information finns i Key Vault-dokumentationen. När en nyckelkrypteringsnyckel har angetts använder Azure Disk Encryption den nyckeln för att omsluta krypteringshemligheterna innan du skriver till Key Vault. Att behålla en depositionskopia av den här nyckeln i en lokal HSM för nyckelhantering ger ytterligare skydd mot oavsiktlig borttagning av nycklar.
Bästa praxis: Ta en ögonblicksbild och/eller säkerhetskopia innan diskarna krypteras. Säkerhetskopior ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.
Information: Virtuella datorer med hanterade diskar kräver en säkerhetskopia innan kryptering sker. När en säkerhetskopia har gjorts kan du använda cmdleten Set-AzVMDiskEncryptionExtension för att kryptera hanterade diskar genom att ange parametern -skipVmBackup . Mer information om hur du säkerhetskopierar och återställer krypterade virtuella datorer finns i artikeln Säkerhetskopiera Azure.
Bästa praxis: För att säkerställa att krypteringshemligheterna inte korsar regionala gränser behöver Azure Disk Encryption nyckelvalvet och de virtuella datorerna som ska finnas i samma region.
Information: Skapa och använd ett nyckelvalv som finns i samma region som den virtuella datorn som ska krypteras.
När du använder Azure Disk Encryption kan du uppfylla följande affärsbehov:
- Virtuella IaaS-datorer skyddas i vila med hjälp av krypteringsteknik som är branschstandard i syfte att uppfylla organisationens krav på säkerhet och efterlevnad.
- Virtuella IaaS-datorer börjar under kundkontrollerade nycklar och principer och du kan granska deras användning i ditt nyckelvalv.
Begränsa direkt internetanslutning
Övervaka och begränsa direkt internetanslutning för virtuella datorer. Angripare söker ständigt igenom offentliga moln-IP-intervall efter öppna hanteringsportar och försöker med "enkla" attacker som vanliga lösenord och kända opatcherade sårbarheter. I följande tabell visas metodtips för att skydda mot dessa attacker:
Bästa praxis: Förhindra oavsiktlig exponering för nätverksroutning och säkerhet.
Information: Använd Azure RBAC för att säkerställa att endast den centrala nätverksgruppen har behörighet till nätverksresurser.
Bästa praxis: Identifiera och åtgärda exponerade virtuella datorer som tillåter åtkomst från "alla" käll-IP-adresser.
Information: Använd Microsoft Defender för molnet. Defender för molnet rekommenderar att du begränsar åtkomsten via internetuppkopplade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera inkommande regler som tillåter åtkomst från "valfri" käll-IP-adress. Defender för molnet rekommenderar att du redigerar dessa inkommande regler för att begränsa åtkomsten till käll-IP-adresser som faktiskt behöver åtkomst.
Bästa praxis: Begränsa hanteringsportar (RDP, SSH).
Information: Just-in-time-åtkomst (JIT) för virtuella datorer kan användas för att låsa inkommande trafik till dina virtuella Azure-datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs. När JIT är aktiverat låser Defender för molnet inkommande trafik till dina virtuella Azure-datorer genom att skapa en regel för nätverkssäkerhetsgrupp. Du väljer de portar på den virtuella datorn som inkommande trafik ska låsas till. Dessa portar styrs av JIT-lösningen.
Nästa steg
Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.
Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:
- Azure Security Team-blogg – för uppdaterad information om det senaste i Azure Security
- Microsoft Security Response Center – där Microsofts säkerhetsrisker, inklusive problem med Azure, kan rapporteras eller via e-post till secure@microsoft.com