تأمين السياسات على الأجهزة الظاهرية في Azure واستخدامها
ينطبق على: ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Linux ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Windows ✔️ مجموعات تغيير السعة المرنة ✔️ مجموعات تغيير السعة الموحدة
من المهم الحفاظ على أمان جهازك الظاهري (VM) للتطبيقات التي تقوم بتشغيلها. يمكن أن يتضمن تأمين الأجهزة الظاهرية الخاصة بك واحدة أو أكثر من خدمات Azure والميزات التي تغطي الوصول الآمن إلى الأجهزة الظاهرية والتخزين الآمن لبياناتك. توفر هذه المقالة معلومات تمكنك من الحفاظ على أمان الجهاز الظاهري والتطبيقات.
مكافح البرامج الضارة
يعد مشهد التهديدات الحديثة للبيئات السحابية ديناميكيًا، مما يزيد الضغط للحفاظ على حماية فعالة من أجل تلبية متطلبات التوافق والأمان. Microsoft Antimalware لـ Azure إنها حماية مجانية في الوقت الحقيقي تساعد على تحديد ومسح الفيروسات وبرامج التجسس والبرامج الضارة الأخرى. يمكن تكوين التنبيهات لإعلامك عندما يحاول برنامج ضار أو غير مرغوب فيه تثبيت نفسه أو تشغيله على الجهاز الظاهري. وهو غير مدعوم على الأجهزة الظاهرية التي تعمل بنظام التشغيل Linux أو Windows Server 2008.
Microsoft Defender للسحابة
Microsoft Defender for Cloud يساعد على منع التهديدات التي تواجهك واكتشافها والاستجابة لها. يوفر Defender for Cloud مراقبة أمنية متكاملة وإدارة للنهج عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.
يمكن تطبيق وصول Defender for Cloud في نفس الوقت عبر توزيع الجهاز الظاهري الخاص بك لتأمين نسبة استخدام الشبكة الواردة إلى أجهزة Azure الظاهرية الخاصة بك، مما يقلل من التعرض للهجمات مع توفير وصول سهل للاتصال بالأجهزة الظاهرية عند الحاجة. عندما يتم تمكين في الوقت المناسب ويطلب المستخدم الوصول إلى جهاز ظاهري، يتحقق Defender for Cloud من الأذونات التي يمتلكها المستخدم للجهاز الظاهري. إذا كانت لديهم الأذونات الصحيحة، تتم الموافقة على الطلب ويقوم Defender for Cloud تلقائيًا بتكوين مجموعات أمان الشبكة (NSGs) للسماح بنسبة استخدام الشبكة الواردة إلى المنافذ المحددة لفترة زمنية محدودة. بعد انتهاء الوقت، Defender for Cloud يعيد NSGs إلى حالاتها السابقة.
التشفير
يتم تقديم طريقتي تشفير للأقراص المُدارة. التشفير على مستوى نظام التشغيل، وهو تشفير قرص Azure، والتشفير على مستوى النظام الأساسي، وهو تشفير من جانب الخادم.
تشفير من جانب الخادم
تقوم الأقراص المُدارة من Azure تلقائيًا بتشفير بياناتك بشكل افتراضي عند استمرارها في السحابة. يحمي التشفير من جانب الخادم بياناتك ويساعدك على الوفاء بالتزامات الأمان والتوافق للمؤسسات الخاصة بك. يتم تشفير البيانات في أقراص Azure المُدارة بشفافية باستخدام تشفير AES 256-بت، وهو أحد أقوى تشفير الكتل المتوفرة، ويتوافق مع FIPS 140-2.
لا يؤثر التشفير على أداء الأقراص المُدارة. لا توجد تكلفة إضافية للتشفير.
يمكنك الاعتماد على المفاتيح المُدارة من خلال النظام الأساسي لتشفير القرص المُدار، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، يمكنك تحديد مفتاح مُدار بواسطة العميل لاستخدامه في تشفير وفك تشفير كل البيانات الموجودة في أقراصك المُدارة.
لمعرفة المزيد حول التشفير من جانب الخادم، راجع إما المقالات الخاصة بـ Windows أو Linux.
تشفير قرص Azure
لتحسين الأمان والتوافق لـ الجهاز الظاهري الذي يعمل بنظام التشغيل Windows والجهاز الظاهري الذي يعمل بنظام التشغيل Linux، يمكن تشفير الأقراص الظاهرية في Azure. يتم تشفير الأقراص الظاهرية على الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows في حالة السكون باستخدام BitLocker. يتم تشفير الأقراص الظاهرية على الأجهزة الظاهرية التي تعمل بنظام التشغيل Linux في حالة السكون باستخدام dm-crypt.
لا توجد رسوم لتشفير الأقراص الظاهرية في Azure. يتم تخزين مفاتيح التشفير في Azure Key Vault باستخدام حماية البرامج، أو يمكنك استيراد أو إنشاء مفاتيحك في وحدات أمان الأجهزة (HSM) المعتمدة وفقًا لمعايير FIPS 140-2 من المستوى 2. تُستخدم مفاتيح التشفير هذه لتشفير وفك تشفير الأقراص الظاهرية المرفقة بجهازك الظاهري. تحتفظ بالسيطرة على مفاتيح التشفير هذه ويمكنك مراجعة استخدامها. يوفر كيان خدمة Azure Active Directory آلية آمنة لإصدار مفاتيح التشفير هذه أثناء تشغيل الأجهزة الظاهرية وإيقاف تشغيلها.
مفاتيح Key Vault وSSH
يمكن نمذجة البيانات السرية والشهادات كموارد وتوفيرها من قبل Key Vault. يمكنك استخدام Azure PowerShell لإنشاء مخازن مفاتيح للأجهزة الظاهرية التي تعمل بنظام التشغيل Windows وAzure CLI للأجهزة الظاهرية التي تعمل بنظام التشغيل Linux. يمكنك أيضًا إنشاء مفاتيح للتشفير.
تمنح نُهج الوصول إلى مخزن المفاتيح أذونات بشكل منفصل للمفاتيح أو البيانات السرية أو الشهادات. على سبيل المثال، يمكنك منح المستخدم حق الوصول إلى المفاتيح فقط، ولكن بدون أذونات للبيانات السرية. ومع ذلك، تكون أذونات الوصول إلى المفاتيح أو البيانات السرية أو الشهادات على مستوى المخزن. بمعنى آخر، لا يدعم نهج الوصول إلى مخزن المفاتيح أذونات على مستوى العنصر.
عند الاتصال بالأجهزة الظاهرية، يجب عليك استخدام تشفير المفتاح العام لتوفير طريقة أكثر أمانًا لتسجيل الدخول إليها. تتضمن هذه العملية تبادل المفاتيح العامة والخاصة باستخدام الأمر shell الآمن (SSH) لمصادقة نفسك بدلاً من اسم المستخدم وكلمة المرور. كلمات المرور عرضة لهجمات القوة الغاشمة، خاصة على الأجهزة الظاهرية التي تواجه الإنترنت مثل خوادم الويب. باستخدام المفتاح المزدوج shell الآمن (SSH)، يمكنك إنشاء جهاز ظاهري يعمل بنظام التشغيل Linux يستخدم مفاتيح SSH للمصادقة، مما يلغي الحاجة إلى كلمات المرور لتسجيل الدخول. يمكنك أيضًا استخدام مفاتيح SSH للاتصال من جهاز ظاهري يعمل بنظام التشغيل Windows إلى جهاز ظاهري يعمل بنظام التشغيل Linux.
الهويات المُدارة لموارد Azure
يتمثل أحد التحديات الشائعة عند إنشاء التطبيقات السحابية في كيفية إدارة بيانات الاعتماد في التعليمات البرمجية للمصادقة على الخدمات السحابية. الحفاظ على بيانات الاعتماد آمنة مهمة هامة. وبشكل مثالي، لا تظهر بيانات الاعتماد أبداً على محطات عمل المطور ولا يتم إيداعها في عنصر تحكم المصدر. يوفر Azure Key Vault طريقة لتخزين بيانات الاعتماد والأسرار والمفاتيح الأخرى بشكل آمن، ولكن يجب أن تتم مصادقة الرمز إلى Key Vault لاستردادها.
تعمل ميزة الهويات المُدارة لموارد Azure في Azure Active Directory (Azure AD) على حل هذه المشكلة. توفر الميزة خدمات Azure مع هوية مُدارة تلقائيًا في Azure AD. يمكنك استخدام الهوية للمُصادقة على أي خدمة تدعم مصادقة Azure AD، بما في ذلك Azure Key Vault، دون أي بيانات اعتماد في التعليمات البرمجية. التعليمة البرمجية التي تعمل على جهاز ظاهري يمكنها طلب رمز مميز من نقطتي نهاية المتاح الوصول لهما فقط من داخل الجهاز الظاهري. لمزيد من المعلومات التفصيلية حول هذه الخدمة، راجع صفحة نظرة عامة على الهويات المُدارة لموارد Azure.
النُهج
يمكن استخدام نُهج Azure لتحديد السلوك المطلوب للأجهزة الظاهرية التي تعمل بنظام التشغيل Windows والأجهزة الظاهرية التي تعمل بنظام التشغيل Linux الخاصة بمؤسستك. باستخدام النهج، يمكن للمؤسسة فرض اتفاقيات وقواعد مختلفة في جميع أنحاء المؤسسة. يمكن أن يساعد تطبيق السلوك المطلوب في التخفيف من المخاطر مع المساهمة في نجاح المؤسسة.
التحكم في الوصول المستند إلى الدور من Azure
باستخدام التحكم في الوصول استناداً إلى الدور (Azure RBAC)، يمكنك فصل المهام داخل فريقك ومنح قدر الوصول فقط إلى المستخدمين التي يحتاجونها لأداء وظائفهم. بدلاً من منح الجميع أذونات غير مقيدة على الجهاز الظاهري، يمكنك السماح بإجراءات معينة فقط. يمكنك تكوين التحكم في الوصول للجهاز الظاهري في مدخل Azure، باستخدام Azure CLI، أو Azure PowerShell.