Azure 虛擬機器安全性概觀
本文對可用於虛擬機器的 Azure 安全性功能提供核心的概觀。
您可以使用 Azure 虛擬機器靈活地部署各種運算方案。 此服務支援 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk 服務。 因此,您幾乎可以在所有作業系統上部署任何工作負載和任何語言。
Azure 虛擬機器讓您能夠有彈性地進行虛擬化,而不需購買並維護執行虛擬機器的實體硬體。 您可以建置並部署您的應用程式,並保證您的資料會在高度安全資料中心中受到安全的保護。
您可以使用 Azure 建置安全性已加強且相容的解決方案:
- 保護虛擬機器抵禦病毒和惡意程式碼。
- 將敏感性資料加密。
- 保護網路流量。
- 識別和偵測威脅。
- 符合規範需求。
反惡意程式碼
運用 Azure,您可以使用來自安全性廠商 (例如 Microsoft、Symantec、Trend Micro 和 Kaspersky) 的反惡意程式碼軟體。 此軟體可協助保護您的虛擬機器來抵禦惡意檔案、廣告軟體和其他威脅。
適用於 Azure 雲端服務和虛擬機器的 Microsoft Antimalware 是即時保護功能,有助於識別和移除病毒、間諜軟體和其他惡意軟體。 適用於 Azure 的 Microsoft Antimalware 會提供可設定的警示,在已知的惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時發出警示。
適用於 Azure 的 Microsoft Antimalware 是針對應用程式和租用戶環境所提供的單一代理程式解決方案。 其設計為在背景中執行,而無須任何人為操作。 您可以根據您的應用程式工作負載需求,使用基礎的預設保護或進階的自訂設定 (包括反惡意程式碼軟體監視) 來部署保護。
深入瞭解適用於 Azure 的 Microsoft Antimalware 和可用的核心功能。
深入了解反惡意程式碼軟體以協助保護虛擬機器︰
- 在 Azure 虛擬機器上部署反惡意程式碼解決方案
- 如何在 Windows VM 上安裝和設定 Trend Micro Deep Security as a Service
- Azure Marketplace 中的安全性解決方案
如需更強大的保護,請考慮使用適用於端點的 Microsoft Defender。 適用於端點的 Defender 提供:
深入了解:開始使用適用於端點的 Microsoft Defender
硬體安全模型
改善金鑰安全性可增強加密和驗證保護。 您可以藉由將關鍵密碼和金鑰存放在 Azure 金鑰保存庫中來簡化其管理與安全性。
金鑰保存庫 提供選項,將您的金鑰儲存在經認證的硬體安全性模組 (HSM) 中FIPS 140 已驗證的標準。 備份或 透明資料加密 的 SQL Server 加密金鑰都能與應用程式的任何金鑰或密碼一起存放在金鑰保存庫中。 這些受保護項目的權限和存取權是透過 Microsoft Entra ID 來管理。
深入了解:
虛擬機器磁碟加密
Azure 磁碟加密是用於加密 Windows 和 Linux 虛擬機器磁碟的新功能。 Azure 磁碟加密使用 Windows 的業界標準 BitLocker 功能和 Linux 的 dm-crypt 功能,為 OS 和資料磁碟提供磁碟區加密。
此解決方案與 Azure Key Vault 整合,協助您控制及管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。 其確保虛擬機器磁碟中的所有資料都會在 Azure 儲存體中進行待用加密。
深入了解:
虛擬機器備份
Azure 備份是可調式解決方案,可以不需成本地協助保護您的應用程式資料,以及將操作成本降到最低。 應用程式錯誤可能導致資料損毀,而人為錯誤可能會將 Bug 導入應用程式中。 使用 Azure 備份,您執行 Windows 與 Linux 的虛擬機器會受到保護。
深入了解:
Azure Site Recovery
組織的 BCDR 策略的其中一個重要部分是,找出在計劃中和非計劃中的中斷發生時讓企業工作負載和應用程式保持執行的方法。 Azure Site Recovery 有助於協調工作負載和應用程式的複寫、容錯移轉及復原,因此能夠在主要位置發生故障時透過次要位置來提供工作負載和應用程式。
網站復原:
- 簡化 BCDR 策略:Site Recovery 可讓您從單一位置輕鬆處理多個商務工作負載和應用程式的複寫、容錯移轉及復原。 Site Recovery 會協調複寫和容錯移轉,但不會攔截應用程式資料或擁有任何相關資訊。
- 提供彈性的複寫:使用 Site Recovery,您就可以複寫 Hyper-V 虛擬機器、VMware 虛擬機器和 Windows/Linux 實體伺服器上執行的工作負載。
- 支援容錯移轉和復原:Site Recovery 可提供測試用容錯移轉,既能支援災害復原演練,又不會影響生產環境。 您也可以執行計劃性容錯移轉,因為是預期中的中斷,所以不會遺失任何資料;或是執行非計劃性容錯移轉,以在發生非未預期的災害時將資料損失減到最少 (取決於複寫頻率)。 在容錯移轉之後,您可以容錯回復到主要站台。 Site Recovery 提供了包含指令碼和 Azure 自動化活頁簿的復原計畫,以供您自訂多層式應用程式的容錯移轉和復原。
- 消除次要資料中心:您可以複寫至次要內部部署站台或 Azure。 使用 Azure 做為災害復原目的地,可排除次要站台的維護成本和複雜度。 複寫的資料會儲存在 Azure 儲存體。
- 與現有 BCDR 技術整合:Site Recovery 能夠與其他應用程式的 BCDR 功能搭配使用。 例如,您可以使用 Site Recovery 來協助保護公司工作負載的 SQL Server 後端。 這包括原生支援 SQL Server Always On 以管理可用性群組的容錯移轉。
深入了解:
虛擬網路
虛擬機器需要遠端連線。 為了支援該需求,Azure 需要虛擬機器連接到 Azure 虛擬網路。
Azure 虛擬網路是一種以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯 Azure 虛擬網路都會與所有其他 Azure 虛擬網路隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。
深入了解:
安全性原則管理和報告
適用於雲端的 Microsoft Defender 可協助您防止、偵測及回應威脅。 適用於雲端的 Defender 可讓您完整檢視並控制 Azure 資源的安全性。 它提供您 Azure 訂用帳戶之間的整合式安全性監視和原則管理。 它有助於偵測可能會被忽視的威脅,並可搭配廣泛的安全性解決方案生態系統使用。
適用於雲端的 Defender 藉由下列方式來協助您最佳化和監視虛擬機器安全性:
- 為虛擬機器提供安全性建議。 建議範例包括:套用系統更新、設定 ACL 端點、啟用反惡意程式碼、啟用網路安全性群組,以及套用磁碟加密。
- 監視您的虛擬機器的狀態。
深入了解:
法規遵循
Azure 虛擬機器經過 FISMA、FedRAMP、HIPAA、PCI DSS Level 1 及其他重要規範計劃認證。 此認證可讓您自己的 Azure 應用程式更容易符合規範要求,並讓您的企業解決廣泛的國內與國際法規要求。
深入了解:
機密運算
雖然就技術上而言,機密運算並不是虛擬機器安全性的一部分,虛擬機器安全性的主題仍位於「運算」安全性這個更高層級的主題之內。 機密運算位於「運算」安全性這個類別之內。
機密運算能確保資料「暴露在外」(這對於有效進行處理來說是必要的) 時,該資料會被保護在受信任的執行環境 https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE,也稱為保護區) 之內,其範例如下圖所示。
TEE 能確保沒有任何方法可以從外部檢視資料或內部作業,就算是使用偵錯工具也一樣。 它們甚至能確保只有獲授權的程式碼可以存取該資料。 如果程式碼被修改或竄改,系統就會拒絕作業並停用環境。 TEE 能在位於其中的程式碼執行期間,強制執行這些保護。
深入了解:
- Azure 機密運算簡介 \(英文\)
- Azure 機密運算 \(英文\)
下一步
深入了解適用於 VM 和作業系統的最佳做法。