Azure 中 IaaS 工作負載的安全性最佳作法

  • 發行項

本文說明 VM 和作業系統的安全性最佳做法。

最佳做法是以意見共識為基礎,且會使用目前的 Azure 平臺功能和功能集。 由於意見和技術可能會隨著時間而改變,本文將會更新以反映這些變更。

在大部分基礎結構即服務 (IaaS) 案例中, Azure 虛擬機器 (VM) 是使用雲端運算的組織的主要工作負載。 在組織想要將工作負載緩慢移轉至雲端的混合式案例 ,這一事實顯而易見。 在這種情況下,請遵循 IaaS 的一般安全性考慮,並將安全性最佳做法套用至所有 VM。

使用驗證和存取控制來保護 VM

保護您 VM 的第一個步驟是確保只有授權使用者能夠設定新的 VM 及存取 VM。

注意

若要改善 Azure 上 Linux VM 的安全性,您可以與 Microsoft Entra 驗證整合。 當您針對 Linux VM 使用 Microsoft Entra 驗證時,您可以集中控制並強制執行允許或拒絕存取 VM 的原則。

最佳做法 :控制 VM 存取。 詳細 資料:使用 Azure 原則 為組織中的資源建立慣例,並建立自訂的原則。 將這些原則套用至資源,例如 資源群組。 屬於資源群組的 VM 會繼承其原則。

如果您的組織有許多訂用帳戶,則可能需要有效管理這些訂用帳戶的存取權、原則與合規性方法。 Azure 管理群組 提供高於訂用帳戶的範圍層級。 您可以將訂用帳戶組織成管理群組(容器),並將治理條件套用至這些群組。 管理群組中的所有訂用帳戶都會自動繼承套用至群組的條件。 無論您具有何種類型的訂用帳戶,管理群組都可為您提供企業級的大規模管理功能。

最佳做法 :減少設定和部署 VM 的變化。 詳細 資料:使用 Azure Resource Manager 範本加強部署選擇,讓您更輕鬆地瞭解和清查環境中的 VM。

最佳做法 :保護特殊許可權存取。 詳細 資料:使用 最低許可權方法和 內建 Azure 角色,讓使用者能夠存取和設定 VM:

  • 虛擬機器參與者 :可以管理 VM,但無法管理其所連線的虛擬網路或儲存體帳戶。
  • 傳統虛擬機器參與者 :可以使用傳統部署模型來管理建立的 VM,但無法管理 VM 所連接的虛擬網路或儲存體帳戶。
  • 安全性管理員 :僅限適用於雲端的 Defender:可以檢視安全性原則、檢視安全性狀態、編輯安全性原則、檢視警示和建議、關閉警示和建議。
  • DevTest Labs 使用者 :可以檢視所有專案,並聯機、啟動、重新開機和關閉 VM。

您的訂用帳戶管理員和共同管理員可以變更此設定,使其成為訂用帳戶中所有 VM 的系統管理員。 請確定您信任所有訂用帳戶管理員和共同管理員,以登入任何電腦。

注意

我們建議您將具有相同生命週期的 VM 合併到相同的資源群組中。 藉由使用資源群組,您可以部署、監視及匯總資源的計費成本。

控制 VM 存取和設定的組織可改善其整體 VM 安全性。

使用多個 VM 以取得更佳的可用性

如果您的 VM 執行需要高可用性的重要應用程式,強烈建議您使用多個 VM。 若要獲得更好的可用性,請使用 可用性設定組 或可用性 區域

可用性設定組是一個邏輯群組,您可以在 Azure 中使用,以確保部署在 Azure 資料中心內的 VM 資源彼此隔離。 Azure 可確保您放置在可用性設定組中的 VM 可跨多部實體伺服器、計算機架、儲存單位和網路交換器執行。 如果硬體或 Azure 軟體發生故障時,只有一部分的 VM 子集會受到影響,整體的應用程式則會持續可供客戶使用。 當您想要建置可靠的雲端解決方案時,可用性設定組是一項基本功能。

抵禦惡意程式碼

您應安裝反惡意程式碼軟體,以協助識別及移除病毒、間諜軟體和其他惡意軟體。 您可以安裝 Microsoft Antimalware 或 Microsoft 合作夥伴的端點保護解決方案( Trend Micro Broadcom 、McAfee Windows Defender System Center Endpoint Protection )。

Microsoft Antimalware 包含即時保護、排程掃描、惡意程式碼補救、簽章更新、引擎更新、範例報告和排除事件集合等功能。 針對與生產環境分開裝載的環境,您可以使用反惡意程式碼擴充功能來協助保護您的 VM 和雲端服務。

您可以將 Microsoft Antimalware 和合作夥伴解決方案與 適用於雲端的 Microsoft Defender 整合,以方便部署和內建偵測(警示和事件)。

最佳做法 :安裝反惡意程式碼解決方案以防範惡意程式碼。
詳細 資料: 安裝 Microsoft 合作夥伴解決方案或 Microsoft Antimalware

最佳做法 :整合反惡意程式碼解決方案與適用於雲端的 Defender,以監視保護的狀態。
詳細 資料: 使用 適用於雲端的 Defender 管理端點保護問題

管理您的 VM 更新

Azure VM 就跟所有內部部署 VM 一樣,受控於使用者。 Azure 不會向使用者推送 Windows 更新。 您需要管理您的 VM 更新。

最佳做法 :讓您的 VM 保持最新狀態。
詳細 資料:使用 Azure 自動化 中的更新管理解決方案 來管理部署在 Azure、內部部署環境或其他雲端提供者中之 Windows 和 Linux 電腦的作業系統更新。 您可以快速評估所有代理程式電腦上可用更新的狀態,並管理為伺服器安裝必要更新的程序。

由更新管理管理的電腦會使用下列設定來執行評量和更新部署:

  • 適用於 Windows 或 Linux 的 Microsoft Monitoring Agent (MMA)
  • 適用於 Linux 的 PowerShell Desired State Configuration (DSC)
  • 自動化混合式 Runbook 背景工作角色
  • 適用於 Windows 電腦的 Microsoft Update 或 Windows Server Update Services (WSUS)

如果您使用 Windows Update,請保留啟用自動 Windows Update 設定。

最佳做法 :確定您在部署時所建置的映射包含最新一輪的 Windows 更新。
詳細 資料:檢查並安裝所有 Windows 更新作為每個部署的第一個步驟。 當您部署來自您或您自己的程式庫的映射時,此量值特別重要。 雖然 Azure Marketplace 中的映射預設會自動更新,但公開發行後可能會有延遲時間(最多幾周)。

最佳做法 :定期重新部署您的 VM,以強制新版的 OS。
詳細 資料:使用 Azure Resource Manager 範本 定義 VM,讓您可以輕鬆地重新部署 VM。 當您需要範本時,使用範本可提供已修補且安全的 VM。

最佳做法 :將安全性更新快速套用至 VM。
詳細 資料:啟用適用於雲端的 Microsoft Defender(免費層或標準層)以 識別遺漏的安全性更新並加以 套用。

最佳做法 :安裝最新的安全性更新。
詳細 資料:客戶移至 Azure 的一些第一個工作負載是實驗室和麵向外部的系統。 如果您的 Azure VM 裝載需要網際網路存取的應用程式或服務,請警惕修補。 作業系統以外的修補程式。 在合作夥伴應用程式上未修補的弱點也可能導致在良好的修補程式管理就緒時避免的問題。

最佳做法 :部署及測試備份解決方案。
詳細 資料:您必須以處理任何其他作業的相同方式處理備份。 這是擴充至雲端之生產環境一部分的系統。

測試和開發系統必須遵循備份策略,根據使用者對內部部署環境的體驗,提供與已習慣的還原功能類似。 移至 Azure 的生產工作負載應盡可能與現有的備份解決方案整合。 或者,您可以使用 Azure 備份 來協助解決備份需求。

未強制執行軟體更新原則的組織會更暴露在惡意探索已知、先前已修正弱點的威脅。 為了遵守業界法規,公司必須證明他們是勤奮的,並使用正確的安全性控制來協助確保其工作負載在雲端的安全性。

傳統資料中心和 Azure IaaS 的軟體更新最佳做法有許多相似之處。 建議您評估目前的軟體更新原則,以包含位於 Azure 中的 VM。

管理您的 VM 安全性狀態

網路威脅正在演變。 保護您的 VM 需要監視功能,以快速偵測威脅、防止未經授權存取您的資源、觸發警示,以及減少誤判。

若要監視 WindowsLinux VM 的安全性狀態,請使用 適用于雲端的 Microsoft Defender。 在 適用於雲端的 Defender 中,利用下列功能保護您的 VM:

  • 使用建議的組態規則套用 OS 安全性設定。
  • 識別並下載可能遺失的系統安全性和重大更新。
  • 部署端點反惡意程式碼保護的建議。
  • 驗證磁片加密。
  • 評估和補救弱點。
  • 偵測威脅。

適用於雲端的 Defender可以主動監視威脅,且潛在威脅會在安全性警示中公開。 相互關聯的威脅會匯總在稱為安全性事件的單一檢視中。

適用於雲端的 Defender將資料儲存在 Azure 監視器記錄 。 Azure 監視器記錄提供查詢語言和分析引擎,讓您深入瞭解應用程式和資源的作業。 資料也會從 安裝在雲端或內部部署虛擬機器上的 Azure 監視器 、管理解決方案和代理程式收集。 此共用功能可協助您形成環境的完整畫面。

未對其 VM 強制執行強式安全性的組織仍無法察覺未經授權的使用者可能嘗試規避安全性控制。

監視 VM 效能

當 VM 程序耗用的資源比應該要耗用的還多時,資源濫用可能會是個問題。 VM 的效能問題可能會導致服務中斷,這違反了可用性的安全性原則。 對於裝載 IIS 或其他網頁伺服器的 VM 來說,這特別重要,因為高 CPU 或記憶體使用量可能表示阻斷服務 (DoS) 攻擊。 在發生問題時,不僅必須主動監視 VM 存取權,而且必須主動監視在正常作業期間測量的基準效能。

建議您使用 Azure 監視器 來瞭解資源的健康情況。 Azure 監視器功能:

  • 資源診斷記錄檔 :監視您的 VM 資源,並找出可能危害效能和可用性的潛在問題。
  • Azure 診斷擴充 功能:提供 Windows VM 上的監視和診斷功能。 您可以藉由將擴充功能納入 Azure Resource Manager 範本 來啟用這些功能。

未監視 VM 效能的組織無法判斷效能模式的某些變更是否正常或異常。 耗用比正常資源更多的 VM 可能表示來自外部資源的攻擊或 VM 中執行的遭入侵進程。

加密虛擬硬碟檔案

建議您加密虛擬硬碟 (VHD),以協助保護開機磁碟區和儲存體中的待用資料磁碟區,還有加密金鑰與密碼。

適用于 Linux VM 的 Azure 磁碟加密適用于 Windows VM 的 Azure 磁碟加密 可協助您加密 Linux 和 Windows IaaS 虛擬機器磁碟。 Azure 磁碟加密使用 Linus 的業界標準 DM-Crypt 功能和 Windows 的 BitLocker 功能,為作業系統和資料磁碟提供磁碟區加密。 此解決方案與 Azure Key Vault 整合,協助您控制及管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。 該解決方案也確保了虛擬機器磁碟上的所有資料都會在 Azure 儲存體中進行待用加密。

以下是使用 Azure 磁碟加密 的最佳做法:

最佳做法 :在 VM 上啟用加密。
詳細 資料:Azure 磁碟加密產生加密金鑰並將其寫入金鑰保存庫。 管理金鑰保存庫中的加密金鑰需要 Microsoft Entra 驗證。 為此建立 Microsoft Entra 應用程式。 基於驗證目的,您可以使用用戶端密碼型驗證或 用戶端憑證型 Microsoft Entra 驗證

最佳做法 :使用金鑰加密金鑰 (KEK) 為加密金鑰提供額外一層的安全性。 將 KEK 新增至金鑰保存庫。
詳細 資料:使用 Add-AzKeyVaultKey Cmdlet 在金鑰保存庫中建立金鑰加密金鑰。 您也可以從內部部署硬體安全性模組 (HSM) 匯入 KEK,以進行金鑰管理。 如需詳細資訊,請參閱 金鑰保存庫檔 。 指定金鑰加密金鑰時,Azure 磁碟加密使用該金鑰來包裝加密密碼,再寫入至金鑰保存庫。 在內部部署金鑰管理 HSM 中保留此金鑰的委付複本可提供額外的保護,以防止意外刪除金鑰。

最佳做法 :在加密磁片之前建立 快照 集和/或備份。 如果加密期間發生非預期的失敗,備份會提供復原選項。
詳細資料 :具有受控磁片的 VM 需要備份,才能進行加密。 備份完成之後,您可以使用 Set-AzVMDiskEncryptionExtension Cmdlet 來指定 -skipVmBackup 參數來加密受控磁片。 如需如何備份和還原加密 VM 的詳細資訊,請參閱 Azure 備份 一文。

最佳做法 :為了確保加密秘密不會跨越區域界限,Azure 磁碟加密需要金鑰保存庫和 VM 位於相同區域。
詳細 資料:建立並使用與要加密之 VM 位於相同區域中的金鑰保存庫。

當您套用Azure 磁碟加密時,您可以滿足下列商務需求:

  • 使用業界標準的加密技術以達到組織安全性和合規性需求,藉此保護 IaaS VM 的安全。
  • IaaS VM 從客戶控制的金鑰和原則開始,您可以稽核金鑰保存庫中的使用量。

限制直接網際網路連線能力

監視和限制 VM 直接網際網路連線能力。 攻擊者會針對開放管理連接埠持續掃描公用雲端 IP 範圍,並嘗試「簡單的」攻擊,例如常見密碼與已知未修補的弱點。 下表列出可協助防範這些攻擊的最佳做法:

最佳做法 :防止不小心暴露在網路路由和安全性。
詳細 資料:使用 Azure RBAC 確保只有中央網路群組具有網路資源的許可權。

最佳做法 :識別並補救允許從「任何」來源 IP 位址存取的公開 VM。
詳細 資料:使用適用於雲端的 Microsoft Defender。 如果任何網路安全性群組有一或多個允許從「任何」來源 IP 位址存取的輸入規則,則適用於雲端的 Defender建議您限制透過網際網路對向端點的存取。 適用於雲端的 Defender建議您編輯這些輸入規則,以 限制實際需要存取 的來源 IP 位址存取。

最佳做法 :限制管理埠(RDP、SSH)。
詳細 資料: Just-In-Time (JIT) VM 存取 可用來鎖定 Azure VM 的輸入流量,減少攻擊的風險,同時在需要時輕鬆存取 VM。 啟用 JIT 時,適用於雲端的 Defender建立網路安全性群組規則來鎖定 Azure VM 的輸入流量。 您選取 VM 上的埠,將鎖定輸入流量。 這些埠是由 JIT 解決方案所控制。

下一步

請參閱 Azure 安全性最佳作法和模式 ,以取得當您使用 Azure 設計、部署和管理雲端解決方案時要使用的更多安全性最佳做法。

下列資源可用來提供有關 Azure 安全性和相關Microsoft 服務的一般資訊: