Najlepsze rozwiązania dotyczące zabezpieczeń dla obciążeń IaaS na platformie Azure

W tym artykule opisano najlepsze rozwiązania dotyczące zabezpieczeń maszyn wirtualnych i systemów operacyjnych.

Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami i zestawami funkcji platformy Azure. Ponieważ opinie i technologie mogą się zmieniać wraz z upływem czasu, ten artykuł zostanie zaktualizowany w celu odzwierciedlenia tych zmian.

W większości scenariuszy infrastruktury jako usługi (IaaS) maszyny wirtualne platformy Azure są głównym obciążeniem dla organizacji korzystających z przetwarzania w chmurze. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. W takich scenariuszach postępuj zgodnie z ogólnymi zagadnieniami dotyczącymi zabezpieczeń IaaS i zastosuj najlepsze rozwiązania w zakresie zabezpieczeń do wszystkich maszyn wirtualnych.

Ochrona maszyn wirtualnych przy użyciu uwierzytelniania i kontroli dostępu

Pierwszym krokiem ochrony maszyn wirtualnych jest zapewnienie, że tylko autoryzowani użytkownicy mogą skonfigurować nowe maszyny wirtualne i uzyskiwać dostęp do maszyn wirtualnych.

Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Maszyny wirtualne należące do grupy zasobów dziedziczą swoje zasady.

Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje można organizować w grupach zarządzania (kontenerach) i stosować warunki ładu do tych grup. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do grupy. Grupy zarządzania umożliwiają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji.

Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

• Współautor maszyny wirtualnej: może zarządzać maszynami wirtualnymi, ale nie z siecią wirtualną ani kontem magazynu, z którym są połączone.
• Współautor klasycznej maszyny wirtualnej: może zarządzać maszynami wirtualnymi utworzonymi przy użyciu klasycznego modelu wdrażania, ale nie sieci wirtualnej ani konta magazynu, z którym są połączone maszyny wirtualne.
• Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
• Użytkownik usługi DevTest Labs: może wyświetlać wszystkie elementy i łączyć się, uruchamiać, ponownie uruchamiać i zamykać maszyny wirtualne.

Administratorzy subskrypcji i współadministratorzy mogą zmienić to ustawienie, dzięki czemu administratorzy wszystkich maszyn wirtualnych w subskrypcji. Upewnij się, że ufasz wszystkim administratorom subskrypcji i współadministratorom, aby zalogować się do dowolnego komputera.

Organizacje kontrolujące dostęp do maszyn wirtualnych i konfigurujące zwiększają ich ogólne zabezpieczenia maszyn wirtualnych.

Używanie zestawów skalowania maszyn wirtualnych w celu zapewnienia wysokiej dostępności

Jeśli maszyna wirtualna uruchamia krytyczne aplikacje, które muszą mieć wysoką dostępność, zdecydowanie zalecamy używanie zestawów skalowania maszyn wirtualnych.

Zestawy skalowania maszyn wirtualnych umożliwiają tworzenie grupy maszyn wirtualnych o zrównoważonym obciążeniu i zarządzanie nimi. Liczba wystąpień maszyn wirtualnych może automatycznie zwiększać się lub zmniejszać w reakcji na zapotrzebowanie lub według zdefiniowanego harmonogramu. Zestawy skalowania zapewniają wysoką dostępność aplikacji i umożliwiają centralne zarządzanie, konfigurowanie i aktualizowanie wielu maszyn wirtualnych. Sam zestaw skalowania nie wiąże się z żadnymi kosztami. Płacisz tylko za każde utworzone wystąpienie maszyny wirtualnej.

Maszyny wirtualne w zestawie skalowania można również wdrożyć w wielu strefach dostępności, w jednej strefie dostępności lub w regionie.

Ochrona przed złośliwym oprogramowaniem

Należy zainstalować ochronę przed złośliwym kodem, aby ułatwić identyfikowanie i usuwanie wirusów, programów szpiegujących i innego złośliwego oprogramowania. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

Program Microsoft Antimalware zawiera funkcje, takie jak ochrona w czasie rzeczywistym, zaplanowane skanowanie, korygowanie złośliwego oprogramowania, aktualizacje sygnatur, aktualizacje aparatu, raportowanie przykładów i zbieranie zdarzeń wykluczeń. W przypadku środowisk hostowanych niezależnie od środowiska produkcyjnego można użyć rozszerzenia ochrony przed złośliwym kodem, aby chronić maszyny wirtualne i usługi w chmurze.

Rozwiązania firmy Microsoft antimalware i rozwiązania partnerskie można zintegrować z Microsoft Defender dla Chmury w celu ułatwienia wdrażania i wbudowanych wykryć (alertów i zdarzeń).

Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware

Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud

Zarządzanie aktualizacjami maszyny wirtualnej

Maszyny wirtualne platformy Azure, podobnie jak wszystkie lokalne maszyny wirtualne, mają być zarządzane przez użytkownika. Platforma Azure nie wypycha do nich aktualizacji systemu Windows. Musisz zarządzać aktualizacjami maszyny wirtualnej.

Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Umożliwia ono szybką ocenę stanu dostępnych aktualizacji na wszystkich komputerach agentów oraz zarządzanie procesem instalacji wymaganych aktualizacji serwerów.

W celu przeprowadzania ocen i wdrożeń aktualizacji na komputerach zarządzanych przez rozwiązanie Update Management są używane następujące konfiguracje:

• Program Microsoft Monitoring Agent (MMA) dla systemu Windows lub Linux
• Platforma PowerShell Desired State Configuration (DSC) dla systemu Linux
• Hybrydowy proces roboczy elementu runbook usługi Automation
• Usługa Microsoft Update lub Windows Server Update Services (WSUS) dla komputerów z systemem Windows

Jeśli używasz usługi Windows Update, pozostaw włączone ustawienie automatycznej usługi Windows Update.

Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Ta miara jest szczególnie ważna w przypadku wdrażania obrazów pochodzących z Ciebie lub własnej biblioteki. Chociaż obrazy z witryny Azure Marketplace są domyślnie aktualizowane automatycznie, po publicznej wersji może wystąpić opóźnienie (do kilku tygodni).

Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Użycie szablonu zapewnia poprawną i bezpieczną maszynę wirtualną w razie potrzeby.

Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.

Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Jeśli maszyny wirtualne platformy Azure hostować aplikacje lub usługi, które muszą być dostępne dla Internetu, bądź czujny w zakresie stosowania poprawek. Stosowanie poprawek poza systemem operacyjnym. Niezaznaczone luki w zabezpieczeniach aplikacji partnerskich mogą również prowadzić do problemów, których można uniknąć, jeśli istnieje dobre zarządzanie poprawkami.

Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. Dotyczy to systemów, które są częścią środowiska produkcyjnego rozszerzającego się na chmurę.

Systemy testowe i deweloperskie muszą postępować zgodnie ze strategiami tworzenia kopii zapasowych, które zapewniają możliwości przywracania podobne do tego, do których użytkownicy przyzwyczaili się, w oparciu o swoje doświadczenie w środowiskach lokalnych. Obciążenia produkcyjne przeniesione na platformę Azure powinny zostać zintegrowane z istniejącymi rozwiązaniami do tworzenia kopii zapasowych, jeśli to możliwe. Or, you can use Azure Backup to help address your backup requirements.

Organizacje, które nie wymuszają zasad aktualizacji oprogramowania, są bardziej narażone na zagrożenia wykorzystujące znane, wcześniej naprawione luki w zabezpieczeniach. Aby zapewnić zgodność z przepisami branżowymi, firmy muszą udowodnić, że są sumienni i używają odpowiednich mechanizmów kontroli zabezpieczeń, aby zapewnić bezpieczeństwo obciążeń znajdujących się w chmurze.

Najlepsze rozwiązania dotyczące aktualizacji oprogramowania dla tradycyjnego centrum danych i usługi Azure IaaS mają wiele podobieństw. Zalecamy ocenę bieżących zasad aktualizacji oprogramowania w celu uwzględnienia maszyn wirtualnych znajdujących się na platformie Azure.

Zarządzanie stanem zabezpieczeń maszyny wirtualnej

Cyberataki ewoluują. Ochrona maszyn wirtualnych wymaga możliwości monitorowania, która umożliwia szybkie wykrywanie zagrożeń, zapobieganie nieautoryzowanemu dostępowi do zasobów, wyzwalanie alertów i zmniejszanie liczby wyników fałszywie dodatnich.

To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. W Defender dla Chmury zabezpiecz maszyny wirtualne, korzystając z następujących funkcji:

• Zastosuj ustawienia zabezpieczeń systemu operacyjnego z zalecanymi regułami konfiguracji.
• Zidentyfikuj i pobierz zabezpieczenia systemu oraz aktualizacje krytyczne, których może brakować.
• Wdrażanie zaleceń dotyczących ochrony przed złośliwym kodem punktu końcowego.
• Zweryfikuj szyfrowanie dysków.
• Ocenianie i korygowanie luk w zabezpieczeniach.
• Detect threats.

Defender dla Chmury mogą aktywnie monitorować zagrożenia, a potencjalne zagrożenia są widoczne w alertach zabezpieczeń. Skorelowane zagrożenia są agregowane w jednym widoku nazywanym zdarzeniem zabezpieczeń.

Defender dla Chmury przechowuje dane w Dzienniki usługi Azure Monitor. Dzienniki usługi Azure Monitor udostępniają język zapytań i aparat analityczny, który zapewnia wgląd w działanie aplikacji i zasobów. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Ta wspólna funkcjonalność pomaga utworzyć pełny obraz środowiska.

Organizacje, które nie wymuszają silnych zabezpieczeń maszyn wirtualnych, pozostają nieświadome potencjalnych prób przez nieautoryzowanych użytkowników w celu obejścia mechanizmów kontroli zabezpieczeń.

Monitorowanie wydajności maszyny wirtualnej

Nadużycie zasobów może być problemem, gdy procesy maszyn wirtualnych zużywają więcej zasobów niż powinny. Problemy z wydajnością maszyny wirtualnej mogą prowadzić do zakłóceń w działaniu usługi, co narusza zasadę zabezpieczeń dostępności. Jest to szczególnie ważne w przypadku maszyn wirtualnych hostujących usługi IIS lub innych serwerów sieci Web, ponieważ wysokie użycie procesora CPU lub pamięci może wskazywać na atak typu "odmowa usługi" (DoS). Konieczne jest monitorowanie dostępu do maszyny wirtualnej nie tylko reaktywnie, gdy występuje problem, ale także proaktywnie w stosunku do wydajności punktu odniesienia mierzonego podczas normalnego działania.

We recommend that you use Azure Monitor to gain visibility into your resource’s health. Funkcje usługi Azure Monitor:

• Pliki dziennika diagnostycznego zasobów: monitoruje zasoby maszyny wirtualnej i identyfikuje potencjalne problemy, które mogą naruszyć wydajność i dostępność.
• rozszerzenie Diagnostyka Azure: zapewnia możliwości monitorowania i diagnostyki na maszynach wirtualnych z systemem Windows. Te możliwości można włączyć, dołączając rozszerzenie w ramach szablonu usługi Azure Resource Manager.

Organizacje, które nie monitorują wydajności maszyn wirtualnych, nie mogą określić, czy pewne zmiany w wzorcach wydajności są normalne, czy nietypowe. Maszyna wirtualna, która zużywa więcej zasobów niż zwykle, może wskazywać na atak z zasobu zewnętrznego lub naruszony proces uruchomiony na maszynie wirtualnej.

Szyfrowanie plików wirtualnego dysku twardego

Zalecamy szyfrowanie wirtualnych dysków twardych (VHD), aby chronić wolumin rozruchowy i woluminy danych magazynowanych w magazynie wraz z kluczami szyfrowania i wpisami tajnymi.

Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux i usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows ułatwia szyfrowanie dysków maszyn wirtualnych IaaS z systemem Linux i Windows. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. Rozwiązanie jest zintegrowane z usługą Azure Key Vault , aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi w ramach subskrypcji magazynu kluczy. Rozwiązanie zapewnia również, że wszystkie dane na dyskach maszyny wirtualnej są szyfrowane w spoczynku w usłudze Azure Storage.

Poniżej przedstawiono najlepsze rozwiązania dotyczące korzystania z usługi Azure Disk Encryption:

Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Zarządzanie kluczami szyfrowania w magazynie kluczy wymaga uwierzytelniania firmy Microsoft Entra. W tym celu utwórz aplikację Firmy Microsoft Entra. W celach uwierzytelniania można użyć uwierzytelniania opartego na wpisach tajnych klienta lub uwierzytelniania opartego na certyfikatach klienta firmy Microsoft.

Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Dodaj klucz KEK do magazynu kluczy.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Klucz KEK można również zaimportować z lokalnego sprzętowego modułu zabezpieczeń (HSM) na potrzeby zarządzania kluczami. Aby uzyskać więcej informacji, zobacz dokumentację usługi Key Vault. Po określeniu klucza szyfrowania klucza usługa Azure Disk Encryption używa tego klucza do opakowania wpisów tajnych szyfrowania przed zapisaniem w usłudze Key Vault. Przechowywanie kopii depozytu tego klucza w lokalnym module HSM zarządzania kluczami zapewnia dodatkową ochronę przed przypadkowym usunięciem kluczy.

Best practice: Take a snapshot and/or backup before disks are encrypted. Kopie zapasowe zapewniają opcję odzyskiwania, jeśli podczas szyfrowania wystąpi nieoczekiwany błąd.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

W przypadku stosowania usługi Azure Disk Encryption można spełnić następujące potrzeby biznesowe:

• Maszyny wirtualne IaaS są zabezpieczone przy użyciu technologii szyfrowania zgodnej ze standardami branżowymi, aby sprostać wymaganiom organizacji w zakresie bezpieczeństwa i zgodności.
• Maszyny wirtualne IaaS zaczynają się w ramach kluczy i zasad kontrolowanych przez klienta i można przeprowadzić inspekcję ich użycia w magazynie kluczy.

Ograniczanie bezpośredniej łączności z Internetem

Monitorowanie i ograniczanie bezpośredniej łączności z Internetem maszyny wirtualnej. Osoby atakujące stale skanują zakresy adresów IP chmury publicznej pod kątem otwartych portów zarządzania i próbują "łatwych" ataków, takich jak typowe hasła i znane luki w zabezpieczeniach. W poniższej tabeli wymieniono najlepsze rozwiązania ułatwiające ochronę przed tymi atakami:

Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.

Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender dla Chmury zaleca ograniczenie dostępu za pośrednictwem internetowych punktów końcowych, jeśli którakolwiek z sieciowych grup zabezpieczeń ma co najmniej jedną regułę ruchu przychodzącego zezwalającą na dostęp z "dowolnego" źródłowego adresu IP. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Po włączeniu trybu JIT Defender dla Chmury blokuje ruch przychodzący do maszyn wirtualnych platformy Azure przez utworzenie reguły sieciowej grupy zabezpieczeń. Należy wybrać porty na maszynie wirtualnej, do których ruch przychodzący zostanie zablokowany. Te porty są kontrolowane przez rozwiązanie JIT.

Next steps

Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.

Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usługi firmy Microsoft:

• Blog zespołu ds. zabezpieczeń platformy Azure — aby uzyskać aktualne informacje na temat najnowszych informacji w usłudze Azure Security
• Centrum zabezpieczeń firmy Microsoft — gdzie luki w zabezpieczeniach firmy Microsoft, w tym problemy z platformą Azure, mogą być zgłaszane lub za pośrednictwem poczty e-mail secure@microsoft.com