أفضل ممارسات الأمان لأحمال عمل IaaS في Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح هذه المقالة أفضل ممارسات الأمان للأجهزة الظاهرية وأنظمة التشغيل.

تستند أفضل الممارسات إلى إجماع الآراء، وهي تعمل مع إمكانات النظام الأساسي الحالي ل Azure ومجموعات الميزات. نظرا لأن الآراء والتقنيات يمكن أن تتغير بمرور الوقت، سيتم تحديث هذه المقالة لتعكس هذه التغييرات.

في معظم سيناريوهات البنية الأساسية كخدمة (IaaS)، تعد أجهزة Azure الظاهرية (VMs) عبء العمل الرئيسي للمؤسسات التي تستخدم الحوسبة السحابية. تتجلى هذه الحقيقة في السيناريوهات المختلطة حيث ترغب المؤسسات في ترحيل أعباء العمل ببطء إلى السحابة. في مثل هذه السيناريوهات، اتبع اعتبارات الأمان العامة ل IaaS، وطبق أفضل ممارسات الأمان على جميع الأجهزة الظاهرية الخاصة بك.

حماية الأجهزة الظاهرية باستخدام المصادقة والتحكم في الوصول

تتمثل الخطوة الأولى في حماية الأجهزة الظاهرية في التأكد من أن المستخدمين المصرح لهم فقط هم الذين يمكنهم إعداد أجهزة ظاهرية جديدة والوصول إلى الأجهزة الظاهرية.

ملاحظة

لتحسين أمان الأجهزة الظاهرية لنظام التشغيل Linux على Azure، يمكنك التكامل مع مصادقة Azure AD. عند استخدام مصادقة Azure AD للأجهزة الظاهرية لنظام التشغيل Linux، فإنك تتحكم مركزيا في السياسات التي تسمح بالوصول إلى الأجهزة الظاهرية أو ترفضه.

أفضل الممارسات: التحكم في الوصول إلى الأجهزة الظاهرية.
التفاصيل: استخدم نهج Azure لإنشاء اصطلاحات للموارد في مؤسستك وإنشاء سياسات مخصصة. تطبيق هذه النهج على الموارد، مثل مجموعات الموارد. ترث الأجهزة الظاهرية التي تنتمي إلى مجموعة موارد سياساتها.

إذا كان لدى مؤسستك العديد من الاشتراكات، فقد تحتاج إلى طريقة لإدارة الوصول والسياسات والامتثال لهذه الاشتراكات بكفاءة. توفر مجموعات إدارة Azure مستوى من النطاق أعلى من الاشتراكات. يمكنك تنظيم الاشتراكات في مجموعات الإدارة (الحاويات) وتطبيق شروط الحوكمة على تلك المجموعات. ترث جميع الاشتراكات داخل مجموعة الإدارة تلقائيا الشروط المطبقة على المجموعة. تمنحك مجموعات الإدارة إدارة على مستوى المؤسسة على نطاق واسع بغض النظر عن نوع الاشتراكات التي قد تحصل عليها.

أفضل الممارسات: تقليل التباين في إعداد الأجهزة الظاهرية ونشرها.
التفاصيل: استخدم قوالب Azure Resource Manager لتعزيز خيارات النشر وتسهيل فهم الأجهزة الظاهرية وجردها في بيئتك.

أفضل الممارسات: الوصول المميز الآمن.
التفاصيل: استخدم نهج أقل امتيازا وأدوار Azure المضمنة لتمكين المستخدمين من الوصول إلى الأجهزة الظاهرية وإعدادها:

• مساهم الجهاز الظاهري: يمكنه إدارة الأجهزة الظاهرية، ولكن ليس الشبكة الظاهرية أو حساب التخزين المتصل به.
• مساهم الجهاز الظاهري الكلاسيكي: يمكنه إدارة الأجهزة الظاهرية التي تم إنشاؤها باستخدام نموذج النشر الكلاسيكي، ولكن ليس الشبكة الظاهرية أو حساب التخزين الذي تتصل به الأجهزة الظاهرية.
• مسؤول الأمان: في Defender for Cloud فقط: يمكنه عرض سياسات الأمان وعرض حالات الأمان وتحرير سياسات الأمان وعرض التنبيهات والتوصيات ورفض التنبيهات والتوصيات.
• DevTest Labs User: يمكنه عرض كل شيء والاتصال بالأجهزة الظاهرية وتشغيلها وإعادة تشغيلها وإيقاف تشغيلها.

يمكن لمسؤولي الاشتراك والمسؤولين المشاركين تغيير هذا الإعداد، مما يجعلهم مسؤولين عن جميع الأجهزة الظاهرية في الاشتراك. تأكد من أنك تثق في جميع مسؤولي الاشتراك والمسؤولين المشاركين لتسجيل الدخول إلى أي من أجهزتك.

ملاحظة

نوصي بدمج الأجهزة الظاهرية بنفس دورة الحياة في نفس مجموعة الموارد. باستخدام مجموعات الموارد، يمكنك نشر تكاليف الفوترة لمواردك ومراقبتها وتجميعها.

تعمل المؤسسات التي تتحكم في الوصول إلى الأجهزة الظاهرية وإعدادها على تحسين أمان الأجهزة الظاهرية بشكل عام.

استخدام أجهزة ظاهرية متعددة لتحسين التوافر

إذا كان الجهاز الظاهري الخاص بك يقوم بتشغيل تطبيقات مهمة تحتاج إلى توفر عالي، فإننا نوصي بشدة باستخدام أجهزة ظاهرية متعددة. للحصول على توفر أفضل، استخدم مجموعة توافر الخدمات أو مناطق توافر الخدمات.

مجموعة التوفر هي تجميع منطقي يمكنك استخدامه في Azure لضمان عزل موارد الجهاز الظاهري التي تضعها داخلها عن بعضها البعض عند نشرها في مركز بيانات Azure. يضمن Azure تشغيل الأجهزة الظاهرية التي تضعها في مجموعة توفر عبر خوادم فعلية متعددة وحوامل حوسبة ووحدات تخزين ومحولات شبكة. في حالة حدوث عطل في الأجهزة أو برامج Azure، لا تتأثر سوى مجموعة فرعية من الأجهزة الظاهرية، ويظل التطبيق العام متاحا لعملائك. تعد مجموعات التوفر إمكانية أساسية عندما تريد إنشاء حلول سحابية موثوقة.

الحماية من البرامج الضارة

يجب تثبيت الحماية من البرامج الضارة للمساعدة في تحديد الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. يمكنك تثبيت Microsoft Antimalware أو حل حماية نقطة النهاية الخاص بأحد شركاء Microsoft (Trend MicroوBroadcomوMcAfeeWindows Defenderو System Center Endpoint Protection).

يتضمن Microsoft Antimalware ميزات مثل الحماية في الوقت الفعلي والفحص المجدول ومعالجة البرامج الضارة وتحديثات التوقيع وتحديثات المحرك وإعداد تقارير العينات وجمع أحداث الاستبعاد. بالنسبة للبيئات التي تتم استضافتها بشكل منفصل عن بيئة الإنتاج، يمكنك استخدام ملحق مكافحة البرامج الضارة للمساعدة في حماية الأجهزة الظاهرية والخدمات السحابية.

يمكنك دمج حلول مكافحة البرامج الضارة من Microsoft والشراكة مع Microsoft Defender for Cloud لسهولة النشر والاكتشافات المضمنة (التنبيهات والحوادث).

أفضل الممارسات: قم بتثبيت حل لمكافحة البرامج الضارة للحماية من البرامج الضارة.
التفاصيل: تثبيت حل شريك Microsoft أو برنامج Microsoft لمكافحة البرامج الضارة

أفضل الممارسات: ادمج حل مكافحة البرامج الضارة مع Defender for Cloud لمراقبة حالة الحماية.
التفاصيل: إدارة مشكلات حماية نقطة النهاية باستخدام Defender for Cloud

إدارة تحديثات الجهاز الظاهري

من المفترض أن تتم إدارة الأجهزة الظاهرية Azure، مثل جميع الأجهزة الظاهرية المحلية، من قبل المستخدم. لا ينقل Azure تحديثات Windows لها. تحتاج إلى إدارة تحديثات الجهاز الظاهري الخاص بك.

أفضل الممارسات: حافظ على تحديث الأجهزة الظاهرية.
التفاصيل: استخدم حل إدارة التحديثات في Azure Automation لإدارة تحديثات نظام التشغيل لأجهزة الكمبيوتر Windows وLinux التي يتم نشرها في Azure أو في البيئات المحلية أو في موفري الخدمات السحابية الآخرين. يمكنك تقييم حالة التحديثات المتوفرة بسرعة على جميع أجهزة كمبيوتر الوكلاء وإدارة عملية تثبيت التحديثات المطلوبة للخوادم.

تستخدم أجهزة الكمبيوتر التي تتم إدارتها بواسطة "إدارة التحديثات" التكوينات التالية لإجراء عمليات نشر التقييم والتحديث:

• Microsoft Monitoring Agent (MMA) لـ Windows أو Linux
• تكوين الحالة المطلوبة من PowerShell (DSC) لنظام التشغيل Linux
• عامل التشغيل المختلط للأتمتة
• Azure Automation أوWindows Server Update Services (WSUS) لأجهزة الكمبيوتر Windows

إذا كنت تستخدم Windows تحديث، فاترك إعداد تحديث Windows التلقائي ممكنا.

أفضل الممارسات: تأكد عند النشر من أن الصور التي قمت بإنشائها تتضمن أحدث جولة من تحديثات Windows.
التفاصيل: تحقق من وجود جميع تحديثات Windows وقم بتثبيتها كخطوة أولى في كل عملية نشر. من المهم بشكل خاص تطبيق هذا الإجراء عند نشر الصور التي تأتي منك أو من مكتبتك الخاصة. على الرغم من أنه يتم تحديث الصور من Azure Marketplace تلقائيا بشكل افتراضي، إلا أنه قد يكون هناك وقت تأخير (يصل إلى بضعة أسابيع) بعد الإصدار العام.

أفضل الممارسات: قم بإعادة نشر الأجهزة الظاهرية بشكل دوري لفرض إصدار جديد من نظام التشغيل.
التفاصيل: حدد جهازك الظاهري باستخدام قالب Azure Resource Manager حتى تتمكن من إعادة نشره بسهولة. يمنحك استخدام قالب جهاز ظاهري مصحح وآمن عند الحاجة إليه.

أفضل الممارسات: تطبيق تحديثات الأمان بسرعة على الأجهزة الظاهرية.
التفاصيل: قم بتمكين Microsoft Defender for Cloud (الطبقة المجانية أو الطبقة القياسية) لتحديد تحديثات الأمان المفقودة وتطبيقها.

أفضل الممارسات: قم بتثبيت آخر تحديثات الأمان.
التفاصيل: بعض أعباء العمل الأولى التي ينقلها العملاء إلى Azure هي المختبرات والأنظمة الخارجية التي تواجه العملاء. إذا كانت أجهزة Azure الظاهرية تستضيف تطبيقات أو خدمات تحتاج إلى إمكانية الوصول إليها عبر الإنترنت، فكن حذرا بشأن التصحيح. تصحيح خارج نظام التشغيل. يمكن أن تؤدي نقاط الضعف غير المصححة في تطبيقات الشركاء أيضا إلى مشاكل يمكن تجنبها إذا كانت هناك إدارة جيدة للتصحيح.

أفضل الممارسات: نشر حل النسخ الاحتياطي واختباره.
التفاصيل: يجب التعامل مع النسخة الاحتياطية بنفس الطريقة التي تتعامل بها مع أي عملية أخرى. وينطبق هذا على الأنظمة التي تشكل جزءا من بيئة الإنتاج الخاصة بك والتي تمتد إلى السحابة.

يجب أن تتبع أنظمة الاختبار والتطوير استراتيجيات النسخ الاحتياطي التي توفر إمكانات استعادة مشابهة لما اعتاد عليه المستخدمون ، استنادا إلى تجربتهم مع البيئات المحلية. يجب أن تتكامل أحمال عمل الإنتاج المنقولة إلى Azure مع حلول النسخ الاحتياطي الموجودة عندما يكون ذلك ممكنا. أو يمكنك استخدام Azure Backup للمساعدة في معالجة متطلبات النسخ الاحتياطي.

المؤسسات التي لا تفرض سياسات تحديث البرامج أكثر عرضة للتهديدات التي تستغل الثغرات الأمنية المعروفة والتي تم إصلاحها سابقا. للامتثال للوائح الصناعة، يجب على الشركات إثبات أنها مجتهدة وتستخدم ضوابط الأمان الصحيحة للمساعدة في ضمان أمان أعباء العمل الموجودة في السحابة.

تحتوي أفضل ممارسات تحديث البرامج لمركز البيانات التقليدي وAzure IaaS على العديد من أوجه التشابه. نوصي بتقييم نهج تحديث البرامج الحالية لتضمين الأجهزة الظاهرية الموجودة في Azure.

إدارة وضع أمان الجهاز الظاهري

التهديدات السيبرانية تتطور. تتطلب حماية الأجهزة الظاهرية الخاصة بك قدرة مراقبة يمكنها اكتشاف التهديدات بسرعة ومنع الوصول غير المصرح به إلى مواردك وتشغيل التنبيهات وتقليل الإيجابيات الكاذبة.

لمراقبة الوضع الأمني للأجهزة الظاهرية Windows وLinux، استخدم Microsoft Defender for Cloud. في Defender for Cloud، يمكنك حماية الأجهزة الظاهرية من خلال الاستفادة من الإمكانات التالية:

• تطبيق إعدادات أمان نظام التشغيل باستخدام قواعد التكوين الموصى بها.
• تحديد وتنزيل أمان النظام والتحديثات الهامة التي قد تكون مفقودة.
• نشر توصيات للحماية من البرامج الضارة في نقطة النهاية.
• التحقق من صحة تشفير القرص.
• تقييم نقاط الضعف ومعالجتها.
• اكتشاف التهديدات.

يمكن ل Defender for Cloud مراقبة التهديدات بنشاط ، ويتم الكشف عن التهديدات المحتملة في تنبيهات الأمان. يتم تجميع التهديدات المرتبطة في طريقة عرض واحدة تسمى حادث أمني.

يقوم Defender for Cloud بتخزين البيانات في سجلات Azure Monitor. توفر سجلات Azure Monitor لغة استعلام ومحرك تحليلات يمنحك رؤى حول تشغيل تطبيقاتك ومواردك. يتم أيضا جمع البيانات من Azure Monitor وحلول الإدارة والوكلاء المثبتين على الأجهزة الظاهرية في السحابة أو محليا. تساعدك هذه الوظيفة المشتركة على تكوين صورة كاملة عن بيئتك.

تظل المؤسسات التي لا تفرض أمانا قويا على أجهزتها الظاهرية غير مدركة للمحاولات المحتملة من قبل المستخدمين غير المصرح لهم للتحايل على ضوابط الأمان.

مراقبة أداء الجهاز الظاهري

يمكن أن تكون إساءة استخدام الموارد مشكلة عندما تستهلك عمليات VM موارد أكثر مما ينبغي. يمكن أن تؤدي مشكلات الأداء مع الجهاز الظاهري إلى انقطاع الخدمة ، مما ينتهك مبدأ الأمان المتمثل في التوافر. هذا مهم بشكل خاص للأجهزة الظاهرية التي تستضيف IIS أو خوادم الويب الأخرى ، لأن الاستخدام العالي لوحدة المعالجة المركزية أو الذاكرة قد يشير إلى هجوم رفض الخدمة (DoS). من الضروري مراقبة الوصول إلى الأجهزة الظاهرية ليس فقط بشكل تفاعلي أثناء حدوث مشكلة ، ولكن أيضا بشكل استباقي ضد الأداء الأساسي كما تم قياسه أثناء التشغيل العادي.

نوصي باستخدام Azure Monitor للحصول على رؤية واضحة لصحة المورد. ميزات شاشة Azure:

• ملفات سجل تشخيص الموارد: يراقب موارد الجهاز الظاهري ويحدد المشكلات المحتملة التي قد تعرض الأداء والتوفر للخطر.
• ملحق Azure Diagnostics: يوفر إمكانات المراقبة والتشخيص على الأجهزة الظاهرية Windows. يمكنك تمكين هذه الإمكانات عن طريق تضمين الملحق كجزء من قالب Azure Resource Manager.

لا يمكن للمؤسسات التي لا تراقب أداء الأجهزة الظاهرية تحديد ما إذا كانت بعض التغييرات في أنماط الأداء طبيعية أو غير طبيعية. قد يشير الجهاز الظاهري الذي يستهلك موارد أكثر من المعتاد إلى هجوم من مورد خارجي أو عملية مخترقة تعمل في الجهاز الظاهري.

تشفير ملفات القرص الثابت الافتراضية

نوصي بتشفير الأقراص الثابتة الافتراضية (VHDs) للمساعدة في حماية وحدة تخزين التمهيد وأحجام البيانات في وضع السكون في التخزين، إلى جانب مفاتيح التشفير والأسرار.

يساعدك Azure Disk Encryption على تشفير أقراص الجهاز الظاهري Windows وLinux IaaS. يستخدم Azure Disk Encryption ميزة BitLocker المتوافقة مع معايير الصناعة Windows وميزة DM-Crypt في Linux لتوفير تشفير وحدة التخزين لنظام التشغيل وأقراص البيانات. تم دمج الحل مع Azure Key Vault لمساعدتك في التحكم في مفاتيح تشفير الأقراص وأسرارها وإدارتها في اشتراكك في قبو المفاتيح. يضمن الحل أيضا تشفير جميع البيانات الموجودة على أقراص الجهاز الظاهري في وضع السكون في Azure Storage.

فيما يلي أفضل الممارسات لاستخدام تشفير قرص Azure:

أفضل الممارسات: تمكين التشفير على الأجهزة الظاهرية.
التفاصيل: يقوم Azure Disk Encryption بإنشاء مفاتيح التشفير الخاصة بخزينة المفاتيح وكتابتها. تتطلب إدارة مفاتيح التشفير في مخزن المفاتيح مصادقة Azure AD. إنشاء تطبيق Azure AD لهذا الغرض. لأغراض المصادقة، يمكنك استخدام إما المصادقة المستندة إلى سر العميل أو مصادقة Azure AD المستندة إلى شهادة العميل.

أفضل الممارسات: استخدم مفتاح تشفير مفتاح (KEK) للحصول على طبقة إضافية من الأمان لمفاتيح التشفير. أضف KEK إلى مخزن المفاتيح الخاص بك.
التفاصيل: استخدم cmdlet Add-AzKeyVaultKey لإنشاء مفتاح تشفير مفتاح في مخزن المفاتيح. يمكنك أيضا استيراد KEK من وحدة أمان الأجهزة المحلية (HSM) لإدارة المفاتيح. لمزيد من المعلومات، راجع وثائق Key Vault. عند تحديد مفتاح تشفير مفتاح، يستخدم Azure Disk Encryption هذا المفتاح لتحصين أسرار التشفير قبل الكتابة إلى Key Vault. يوفر الاحتفاظ بنسخة ضمان من هذا المفتاح في إدارة المفاتيح المحلية HSM حماية إضافية ضد الحذف العرضي للمفاتيح.

أفضل الممارسات: التقط لقطة و/أو نسخة احتياطية قبل تشفير الأقراص. توفر النسخ الاحتياطية خيار استرداد في حالة حدوث فشل غير متوقع أثناء التشفير.
التفاصيل: تتطلب الأجهزة الظاهرية المزودة بأقراص مدارة نسخة احتياطية قبل حدوث التشفير. بعد إجراء نسخة احتياطية، يمكنك استخدام cmdlet Set-AzVMDiskEncryptionExtension لتشفير الأقراص المدارة عن طريق تحديد المعلمة -skipVmBackup . لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من الأجهزة الظاهرية المشفرة واستعادتها، راجع مقالة النسخ الاحتياطي ل Azure .

أفضل الممارسات: للتأكد من أن أسرار التشفير لا تعبر الحدود الإقليمية، يحتاج Azure Disk Encryption إلى وجود مخزن المفاتيح والأجهزة الظاهرية في نفس المنطقة.
التفاصيل: يمكنك إنشاء مخزن مفاتيح موجود في نفس المنطقة مثل الجهاز الظاهري المراد تشفيره واستخدامه.

عند تطبيق Azure Disk Encryption، يمكنك تلبية احتياجات العمل التالية:

• يتم تأمين الأجهزة الظاهرية لخدمة تأجير البنية التحتية الثابتة من خلال تقنية التشفير القياسية في الصناعة لتلبية متطلبات الأمان والتوافق التنظيمية.
• تبدأ الأجهزة الظاهرية IaaS ضمن المفاتيح والسياسات التي يسيطر عليها العميل، ويمكنك تدقيق استخدامها في مخزن المفاتيح الخاص بك.

تقييد الاتصال المباشر بالإنترنت

مراقبة وتقييد اتصال VM المباشر بالإنترنت. يقوم المهاجمون باستمرار بفحص نطاقات IP السحابية العامة بحثا عن منافذ الإدارة المفتوحة ويحاولون شن هجمات "سهلة" مثل كلمات المرور الشائعة والثغرات الأمنية المعروفة غير المصححة. يسرد الجدول التالي أفضل الممارسات للمساعدة في الحماية من هذه الهجمات:

أفضل الممارسات: منع التعرض غير المقصود لتوجيه الشبكة وأمانها.
التفاصيل: استخدم Azure RBAC للتأكد من أن مجموعة الشبكات المركزية فقط هي التي لديها إذن بموارد الشبكات.

أفضل الممارسات: تحديد ومعالجة الأجهزة الظاهرية المكشوفة التي تسمح بالوصول من عنوان IP "أي" مصدر.
التفاصيل: استخدم Microsoft Defender للسحابة. ستوصي Defender for Cloud بتقييد الوصول من خلال نقاط النهاية التي تواجه الإنترنت إذا كانت أي من مجموعات أمان الشبكة لديك تحتوي على قاعدة واردة واحدة أو أكثر تسمح بالوصول من عنوان IP "أي" مصدر. ستوصي Defender for Cloud بتحرير هذه القواعد الواردة لتقييد الوصول إلى عناوين IP المصدر التي تحتاج بالفعل إلى الوصول.

أفضل الممارسات: تقييد منافذ الإدارة (RDP، SSH).
التفاصيل: يمكن استخدام الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT) لتأمين حركة المرور الواردة إلى أجهزة Azure الظاهرية، مما يقلل من التعرض للهجمات مع توفير وصول سهل للاتصال بالأجهزة الظاهرية عند الحاجة. عند تمكين JIT، يقوم Defender for Cloud بتأمين حركة المرور الواردة إلى أجهزة Azure الظاهرية عن طريق إنشاء قاعدة مجموعة أمان الشبكة. يمكنك تحديد المنافذ الموجودة على الجهاز الظاهري والتي سيتم تأمين حركة المرور الواردة إليها. يتم التحكم في هذه المنافذ بواسطة حل JIT.

الخطوات التالية

راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .

تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure خدمات Microsoft ذات الصلة:

• مدونة فريق أمان Azure - للحصول على أحدث المعلومات حول أحدث ما توصل إليه أمان Azure
• مركز الاستجابة الأمنية ل Microsoft - حيث يمكن الإبلاغ عن الثغرات الأمنية في Microsoft، بما في ذلك المشكلات المتعلقة ب Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com