Skydda och använda principer på virtuella datorer i Azure
Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar
Det är viktigt att skydda den virtuella datorn (VM) för de program som du kör. Att skydda dina virtuella datorer kan innehålla en eller flera Azure-tjänster och funktioner som omfattar säker åtkomst till dina virtuella datorer och säker lagring av dina data. Den här artikeln innehåller information som gör att du kan skydda din virtuella dator och dina program.
Programvara mot skadlig kod
Det moderna hotlandskapet för molnmiljöer är dynamiskt, vilket ökar trycket på att upprätthålla ett effektivt skydd för att uppfylla efterlevnads- och säkerhetskrav. Microsoft Antimalware för Azure är en kostnadsfri realtidsskyddsfunktion som hjälper dig att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Aviseringar kan konfigureras för att meddela dig när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på den virtuella datorn. Det stöds inte på virtuella datorer som kör Linux eller Windows Server 2008.
Microsoft Defender for Cloud
Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot mot dina virtuella datorer. Defender för molnet tillhandahåller integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer, hjälper till att identifiera hot som annars skulle gå obemärkt förbi och fungerar med ett brett ekosystem med säkerhetslösningar.
Defender för molnet just-in-time-åtkomst kan användas för distribution av virtuella datorer för att låsa inkommande trafik till dina virtuella Azure-datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs. När just-in-time är aktiverat och en användare begär åtkomst till en virtuell dator kontrollerar Defender för molnet vilka behörigheter användaren har för den virtuella datorn. Om de har rätt behörigheter godkänns begäran och Defender för molnet konfigurerar automatiskt nätverkssäkerhetsgrupper (NSG:er) för att tillåta inkommande trafik till de valda portarna under en begränsad tid. När tiden har gått ut återställer Defender för molnet NSG:erna till sina tidigare tillstånd.
Kryptering
Två krypteringsmetoder erbjuds för hanterade diskar. Kryptering på OS-nivå, som är Azure Disk Encryption, och kryptering på plattformsnivå, vilket är kryptering på serversidan.
Kryptering på serversidan
Azure-hanterade diskar krypterar automatiskt dina data som standard när de bevaras i molnet. Kryptering på serversidan skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Data i Azure-hanterade diskar krypteras transparent med 256-bitars AES-kryptering, en av de starkaste blockkrypteringarna som är tillgängliga och är FIPS 140-2-kompatibel.
Kryptering påverkar inte prestanda för hanterade diskar. Det finns ingen extra kostnad för krypteringen.
Du kan förlita dig på plattformshanterade nycklar för kryptering av den hanterade disken eller hantera kryptering med dina egna nycklar. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla data på hanterade diskar.
Mer information om kryptering på serversidan finns i artiklarna för Windows eller Linux.
Azure Disk Encryption
För förbättrad säkerhet och efterlevnad för virtuella Windows-datorer och Linux-datorer kan virtuella diskar i Azure krypteras. Virtuella diskar på virtuella Windows-datorer krypteras i vila med BitLocker. Virtuella diskar på virtuella Linux-datorer krypteras i vila med dm-crypt.
Det kostar inget att kryptera virtuella diskar i Azure. Kryptografiska nycklar lagras i Azure Key Vault med hjälp av programvaruskydd, eller så kan du importera eller generera dina nycklar i maskinvarusäkerhetsmoduler (HSM) som är certifierade enligt FIPS 140-verifierade standarder. Dessa kryptografiska nycklar används för att kryptera och dekryptera virtuella diskar som är anslutna till den virtuella datorn. Du behåller kontrollen över dessa kryptografiska nycklar och kan granska deras användning. Ett Microsoft Entra-tjänsthuvudnamn tillhandahåller en säker mekanism för att utfärda dessa kryptografiska nycklar när virtuella datorer är påslagna och avstängda.
Key Vault och SSH-nycklar
Hemligheter och certifikat kan modelleras som resurser och tillhandahålls av Key Vault. Du kan använda Azure PowerShell för att skapa nyckelvalv för virtuella Windows-datorer och virtuella Azure CLI för Linux-datorer. Du kan också skapa nycklar för kryptering.
Åtkomstprinciper för nyckelvalvet beviljar behörigheter till nycklar, hemligheter och certifikat separat. Du kan till exempel ge en användare åtkomst till bara nycklar, men inte hemligheter. Behörighet att komma åt nycklar eller hemligheter eller certifikat är dock valvnivå. Med andra ord har åtkomstprincipen för nyckelvalvet inte stöd för behörigheter på objektnivå.
När du ansluter till virtuella datorer bör du använda kryptering med offentliga nycklar för att ge ett säkrare sätt att logga in på dem. Den här processen omfattar ett offentligt och privat nyckelutbyte med hjälp av SSH-kommandot (Secure Shell) för att autentisera dig själv i stället för ett användarnamn och lösenord. Lösenord är sårbara för råstyrkeattacker, särskilt på internetuppkopplade virtuella datorer som webbservrar. Med ett SSH-nyckelpar (Secure Shell) kan du skapa en virtuell Linux-dator som använder SSH-nycklar för autentisering, vilket eliminerar behovet av lösenord för inloggning. Du kan också använda SSH-nycklar för att ansluta från en virtuell Windows-dator till en virtuell Linux-dator.
Hanterade identiteter för Azure-resurser
En vanlig utmaning vid utvecklingen av molnprogram är hur man ska hantera autentiseringsuppgifterna i koden som krävs för autentisering mot molntjänsterna. Det är viktigt att dessa autentiseringsuppgifter skyddas. Helst bör autentiseringsuppgifterna aldrig visas på utvecklarnas arbetsstationer eller checkas in i källkontrollen. Azure Key Vault är ett sätt att lagra autentiseringsuppgifter, hemligheter och andra nycklar på ett säkert sätt, men din kod måste autentisera mot Key Vault för att kunna hämta dem.
Funktionen hanterade identiteter för Azure-resurser i Microsoft Entra löser det här problemet. Funktionen tillhandahåller Azure-tjänster med en automatiskt hanterad identitet i Microsoft Entra-ID. Du kan använda identiteten för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden. Din kod som körs på en virtuell dator kan begära en token från två slutpunkter som endast är tillgängliga från den virtuella datorn. Mer detaljerad information om den här tjänsten finns på översiktssidan för hanterade identiteter för Azure-resurser .
Principer
Azure-principer kan användas för att definiera önskat beteende för organisationens virtuella datorer. Genom att använda principer kan en organisation framtvinga olika konventioner och regler i hela företaget. Tillämpning av önskat beteende kan bidra till att minska risken och samtidigt bidra till att organisationen lyckas.
Azure rollbaserad åtkomstkontroll
Med rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan du separera uppgifter inom ditt team och endast bevilja den mängd åtkomst till användare på den virtuella datorn som de behöver för att utföra sina jobb. I stället för att ge alla obegränsade behörigheter på den virtuella datorn kan du bara tillåta vissa åtgärder. Du kan konfigurera åtkomstkontroll för den virtuella datorn i Azure-portalen med hjälp av Azure CLI ellerAzure PowerShell.