通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟机安全概述

本文概述了虚拟机的核心 Azure 安全功能。

Azure 虚拟机允许以敏捷的方式部署各种计算解决方案。 该服务支持 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk Services。 可以在几乎任何作系统上部署任何工作负载和任何语言。

Azure VM 提供虚拟化的灵活性,无需购买和维护物理硬件。 可以生成和部署应用程序,并确保数据在高度安全的数据中心受到保护。

借助 Azure,可以构建更加安全的、合规的解决方案:

  • 保护虚拟机免受病毒和恶意软件的侵害
  • 加密敏感数据
  • 保护网络流量
  • 识别和检测威胁
  • 满足合规性要求

受信任的启动

受信任的启动 是新创建的第 2 代 Azure VM 和虚拟机规模集的默认值。 受信任的启动可防范高级和持久性攻击技术,包括启动工具包、rootkit 和内核级恶意软件。

可信启动提供:

  • 安全启动:通过确保只有经过签名的操作系统和驱动程序才能启动,防止安装基于恶意软件的 rootkit 和启动套件
  • vTPM (虚拟受信任的平台模块):用于密钥和度量的专用安全保管库,可实现证明和启动完整性验证
  • 启动完整性监视:通过 Microsoft Defender for Cloud 使用证明来验证启动链完整性并针对故障发出警报

可以在现有 VM 和虚拟机规模集上启用受信任的启动。 有关详细信息,请参阅 Azure 虚拟机的受信任启动

机密计算

Azure 机密计算在数据使用过程中通过基于硬件的受信任执行环境保护数据。 机密 VM 使用 AMD SEV-SNP 技术在应用程序和虚拟化堆栈之间创建硬件强制边界。

机密虚拟机提供:

  • 基于硬件的隔离:虚拟机、虚拟机监控程序和主机管理代码之间
  • 机密 OS 磁盘加密:将磁盘加密密钥绑定到 VM 的 TPM,使磁盘内容只能访问 VM
  • 安全密钥版本:平台证明与 VM 加密密钥之间的加密绑定
  • 证明:可自定义策略,以确保部署前的主机符合性

有关详细信息,请参阅 Azure 机密虚拟机

Azure 备份

Azure 备份 是一种可缩放的解决方案,它通过零资本投资和最低运营成本来保护应用程序数据。 应用程序错误可能损坏数据,人为错误可能将 bug 引入应用程序。 借助 Azure 备份,可以保护运行 Windows 和 Linux 的虚拟机。

Azure 备份提供独立和隔离的备份,以防止意外销毁数据。 备份存储在提供恢复点内置管理的恢复服务保管库中。

有关详细信息,请参阅 什么是 Azure 备份?Azure 备份服务常见问题解答

Azure Site Recovery

Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移和恢复,以便在主要位置出现故障时从辅助位置获取它们。

Site Recovery:

  • 简化 BCDR 策略:可以轻松地从单个位置处理多个业务工作负荷和应用的复制、故障转移和恢复
  • 提供灵活的复制:复制在 Hyper-V VM、VMware VM 和 Windows/Linux 物理服务器上运行的工作负荷
  • 支持故障转移和恢复:为灾难恢复演练提供测试故障转移,而不会影响生产环境
  • 消除辅助数据中心:复制到 Azure,消除维护辅助站点的成本和复杂性

有关详细信息,请参阅什么是 Azure Site Recovery?Azure Site Recovery 的工作原理?以及哪些工作负载受 Azure Site Recovery 保护?

虚拟网络

虚拟机需要网络连接。 Azure 要求虚拟机连接到 Azure 虚拟网络。

Azure 虚拟网络是一个构建于物理 Azure 网络结构之上的逻辑构造。 每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。 这种隔离可帮助确保部署中的网络流量对于其他 Microsoft Azure 客户不可访问。

有关详细信息,请参阅 Azure 网络安全概述虚拟网络概述

安全策略管理

Microsoft Defender for Cloud 可帮助防止、检测和响应威胁。 通过 Defender for Cloud 可提高对 Azure 资源的可见性和安全可控性。 它为 Azure 订阅提供集成的安全监控和策略管理。

Defender for Cloud 通过以下方式帮助你优化和监视 VM 安全性:

  • 为虚拟机提供安全建议
  • 监视虚拟机的状态
  • 为服务器提供具有高级威胁防护的 Microsoft Defender

Microsoft Defender for Servers 包括:

  • Microsoft Defender for Endpoint 终结点检测和响应集成
  • 用于识别安全漏洞的漏洞评估
  • 实时 VM 访问以减少攻击面
  • 文件完整性监视以检测对关键文件的更改
  • 已批准应用程序的自适应控制

有关详细信息,请参阅 Microsoft Defender for CloudMicrosoft Defender for ServersMicrosoft Defender for Cloud 常见问题简介

合规性

Azure 虚拟机已针对 FISMA、FedRAMP、HIPAA、PCI DSS Level 1 和其他关键合规性计划进行了认证。 通过此认证,Azure 应用程序可以更轻松地满足合规性要求,使企业能够应对国内外法规要求。

有关详细信息,请参阅 Microsoft信任中心:合规性Azure 合规性文档

硬件安全模块

Azure Key Vault 为密钥和机密提供安全存储。 Key Vault 提供用于将密钥存储在经过 FIPS 140 验证标准的硬件安全模块(HSM)中的选项。

用于备份或透明数据加密的 SQL Server 加密密钥都可以存储在 Key Vault 中,其中包含来自应用程序的任何密钥或机密。 权限和对这些受保护项的访问权限通过 Microsoft Entra ID 进行管理。

有关 Azure 密钥管理的详细信息,请参阅 Azure 中的密钥管理

后续步骤

了解虚拟机和操作系统的安全最佳做法。

  • Last updated on