Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: ✔️ Maszyny wirtualne Linux ✔️ Maszyny wirtualne Windows ✔️ Elastyczne zestawy skalowania ✔️ Jednolite zestawy skalowania
Ważne jest, aby zapewnić bezpieczeństwo maszyny wirtualnej dla uruchomionych aplikacji. Zabezpieczanie maszyn wirtualnych może obejmować co najmniej jedną usługę i funkcje platformy Azure, które obejmują bezpieczny dostęp do maszyn wirtualnych i bezpieczny magazyn danych. Ten artykuł zawiera informacje, które umożliwiają zapewnienie bezpieczeństwa maszyn wirtualnych i aplikacji.
Oprogramowanie chroniące przed złośliwym kodem
Nowoczesny krajobraz zagrożeń dla środowisk w chmurze jest dynamiczny, zwiększając presję na utrzymanie skutecznej ochrony w celu spełnienia wymagań dotyczących zgodności i zabezpieczeń. Microsoft Antimalware dla platformy Azure to bezpłatna funkcja ochrony w czasie rzeczywistym, która pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie. Alerty można skonfigurować tak, aby otrzymywać powiadomienia, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić na maszynie wirtualnej. Nie jest obsługiwany na maszynach wirtualnych z systemem Linux lub Windows Server 2008.
Microsoft Defender for Cloud
Usługa Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom maszyn wirtualnym, wykrywać je i reagować na nie. Usługa Defender for Cloud zapewnia zintegrowane monitorowanie zabezpieczeń i zarządzanie zasadami w ramach subskrypcji platformy Azure, pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone i współdziała z szerokim ekosystemem rozwiązań zabezpieczeń.
Dostęp just in time usługi Defender for Cloud można zastosować we wdrożeniu maszyny wirtualnej, aby zablokować ruch przychodzący do maszyn wirtualnych platformy Azure, zmniejszając narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby. Gdy jest włączona funkcja just in time i użytkownik żąda dostępu do maszyny wirtualnej, usługa Defender for Cloud sprawdza, jakie uprawnienia ma użytkownik dla maszyny wirtualnej. Jeśli mają odpowiednie uprawnienia, żądanie zostanie zatwierdzone, a usługa Defender for Cloud automatycznie skonfiguruje sieciowe grupy zabezpieczeń w celu zezwolenia na ruch przychodzący do wybranych portów przez ograniczony czas. Po wygaśnięciu czasu usługa Defender for Cloud przywraca sieciowe grupy zabezpieczeń (NSG) do poprzednich stanów.
Szyfrowanie
Dostępne są dwie metody szyfrowania dla dysków zarządzanych. Szyfrowanie na poziomie systemu operacyjnego, czyli Azure Disk Encryption i szyfrowanie na poziomie platformy, czyli szyfrowanie po stronie serwera.
Szyfrowanie po stronie serwera
Dyski zarządzane platformy Azure automatycznie szyfrują dane domyślnie podczas utrwalania ich w chmurze. Szyfrowanie po stronie serwera chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Dane na zarządzanych dyskach Azure są szyfrowane w sposób niewidoczny przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych, a także są zgodne ze standardem FIPS 140-2.
Szyfrowanie nie ma wpływu na wydajność dysków zarządzanych. Szyfrowanie nie wiąże się z dodatkowymi kosztami.
Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania dysku zarządzanego lub zarządzać szyfrowaniem przy użyciu własnych kluczy. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich danych na dyskach zarządzanych.
Aby dowiedzieć się więcej na temat szyfrowania po stronie serwera, zapoznaj się z artykułami dotyczącymi systemu Windows lub Linux.
Usługa Azure Disk Encryption
W celu zapewnienia zwiększonego bezpieczeństwa i zgodności maszyn wirtualnych z systemem Windows oraz Linux, można zaszyfrować dyski wirtualne na platformie Azure. Dyski wirtualne na maszynach wirtualnych z systemem Windows są szyfrowane w spoczynku przy użyciu funkcji BitLocker. Dyski wirtualne na maszynach wirtualnych z systemem Linux są szyfrowane w spoczynku przy użyciu narzędzia dm-crypt.
Za szyfrowanie dysków wirtualnych na platformie Azure nie są naliczane opłaty. Klucze kryptograficzne są przechowywane w usłudze Azure Key Vault przy użyciu ochrony oprogramowania lub można zaimportować lub wygenerować klucze w sprzętowych modułach zabezpieczeń (HSM) certyfikowanych przez standard FIPS 140 . Te klucze kryptograficzne służą do szyfrowania i odszyfrowywania dysków wirtualnych dołączonych do maszyny wirtualnej. Zachowasz kontrolę nad tymi kluczami kryptograficznymi i możesz przeprowadzić inspekcję ich użycia. Jednostka usługi Microsoft Entra zapewnia bezpieczny mechanizm wydawania tych kluczy kryptograficznych podczas włączania i wyłączania maszyn wirtualnych.
Usługa Key Vault i klucze SSH
Wpisy tajne i certyfikaty można modelować jako zasoby i udostępniane przez usługę Key Vault. Program Azure PowerShell umożliwia tworzenie magazynów kluczy dla maszyn wirtualnych z systemem Windows i interfejsu wiersza polecenia platformy Azure dla maszyn wirtualnych z systemem Linux. Możesz również utworzyć klucze na potrzeby szyfrowania.
Zasady dostępu do magazynu kluczy udzielają uprawnień do kluczy, tajemnic i certyfikatów oddzielnie. Na przykład możesz przyznać użytkownikowi dostęp tylko do kluczy, ale bez uprawnień do wpisów tajnych. Jednak uprawnienia dostępu do kluczy lub tajemnic lub certyfikatów są na poziomie magazynu. Innymi słowy, zasady dostępu magazynu kluczy nie obsługują uprawnień na poziomie obiektu.
Podczas nawiązywania połączenia z maszynami wirtualnymi należy użyć kryptografii klucza publicznego w celu zapewnienia bezpieczniejszego sposobu logowania się do nich. Ten proces obejmuje wymianę kluczy publicznych i prywatnych przy użyciu polecenia secure shell (SSH) w celu uwierzytelnienia się samodzielnie, a nie nazwy użytkownika i hasła. Hasła są narażone na ataki siłowe, zwłaszcza na maszynach wirtualnych dostępnych z Internetu, takich jak serwery internetowe. Za pomocą pary kluczy secure shell (SSH) można utworzyć maszynę wirtualną z systemem Linux , która używa kluczy SSH do uwierzytelniania, eliminując konieczność logowania haseł. Możesz również użyć kluczy SSH, aby nawiązać połączenie z maszyny wirtualnej z systemem Windows z maszyną wirtualną z systemem Linux.
Tożsamości zarządzane dla zasobów platformy Azure
Typowym wyzwaniem podczas tworzenia aplikacji w chmurze jest sposób zarządzania poświadczeniami w kodzie na potrzeby uwierzytelniania w usługach w chmurze. Zabezpieczanie poświadczeń jest ważnym zadaniem. Najlepiej, aby poświadczenia nigdy nie pojawiały się na stacjach roboczych deweloperów i nie powinny być zaewidencjonowane w systemie kontroli wersji. Usługa Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń, wpisów tajnych i innych kluczy, ale kod musi uwierzytelniać się w usłudze Key Vault, aby je pobrać.
Funkcja tożsamości zarządzanych dla zasobów platformy Azure w firmie Microsoft Entra rozwiązuje ten problem. Ta funkcja zapewnia usługom platformy Azure automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Za pomocą tożsamości można uwierzytelnić się w dowolnej usłudze, która obsługuje uwierzytelnianie firmy Microsoft Entra, w tym usługę Key Vault, bez żadnych poświadczeń w kodzie. Kod uruchomiony na maszynie wirtualnej może zażądać tokenu z dwóch punktów końcowych, które są dostępne tylko z poziomu maszyny wirtualnej. Aby uzyskać bardziej szczegółowe informacje na temat tej usługi, zapoznaj się ze stroną przeglądu tożsamości zarządzanych dla zasobów platformy Azure .
Polityki
Zasady platformy Azure mogą służyć do definiowania żądanego zachowania dla maszyn wirtualnych organizacji. Korzystając z zasad, organizacja może wymuszać różne konwencje i reguły w całym przedsiębiorstwie. Wymuszanie żądanego zachowania może pomóc zmniejszyć ryzyko, jednocześnie przyczyniając się do sukcesu organizacji.
Kontrola dostępu na podstawie ról na platformie Azure
Korzystając z kontroli dostępu opartej na rolach (Azure RBAC), możesz podzielić obowiązki w zespole i przyznać użytkownikom na maszynie wirtualnej tylko taki poziom dostępu, jaki jest im potrzebny do wykonywania ich zadań. Zamiast udzielać wszystkim nieograniczonych uprawnień na maszynie wirtualnej, możesz zezwolić tylko na określone akcje. Kontrolę dostępu dla maszyny wirtualnej można skonfigurować w witrynie Azure Portal przy użyciu interfejsu wiersza polecenia platformy Azure lubprogramu Azure PowerShell.