تأمين السياسات على الأجهزة الظاهرية في Azure واستخدامها
ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات التوسعة المرنة ✔️ مجموعات التوسعة الموحدة
من المهم الحفاظ على أمان جهازك الظاهري (VM) للتطبيقات التي تقوم بتشغيلها. يمكن أن يتضمن تأمين الأجهزة الظاهرية الخاصة بك واحدة أو أكثر من خدمات Azure والميزات التي تغطي الوصول الآمن إلى الأجهزة الظاهرية والتخزين الآمن لبياناتك. توفر هذه المقالة معلومات تمكنك من الحفاظ على أمان الجهاز الظاهري والتطبيقات.
مكافح البرامج الضارة
يعد مشهد التهديدات الحديثة للبيئات السحابية ديناميكيًا، مما يزيد الضغط للحفاظ على حماية فعالة من أجل تلبية متطلبات التوافق والأمان. Microsoft Antimalware لـ Azure إنها حماية مجانية في الوقت الحقيقي تساعد على تحديد ومسح الفيروسات وبرامج التجسس والبرامج الضارة الأخرى. يمكن تكوين التنبيهات لإعلامك عندما يحاول برنامج ضار أو غير مرغوب فيه تثبيت نفسه أو تشغيله على الجهاز الظاهري. وهو غير مدعوم على الأجهزة الظاهرية التي تعمل بنظام التشغيل Linux أو Windows Server 2008.
Microsoft Defender للسحابة
Microsoft Defender for Cloud يساعد على منع التهديدات التي تواجهك واكتشافها والاستجابة لها. يوفر Defender for Cloud مراقبة أمنية متكاملة وإدارة للنهج عبر اشتراكات Azure الخاصة بك، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.
يمكن تطبيق وصول Defender for Cloud في نفس الوقت عبر توزيع الجهاز الظاهري الخاص بك لتأمين نسبة استخدام الشبكة الواردة إلى أجهزة Azure الظاهرية الخاصة بك، مما يقلل من التعرض للهجمات مع توفير وصول سهل للاتصال بالأجهزة الظاهرية عند الحاجة. عندما يتم تمكين في الوقت المناسب ويطلب المستخدم الوصول إلى جهاز ظاهري، يتحقق Defender for Cloud من الأذونات التي يمتلكها المستخدم للجهاز الظاهري. إذا كانت لديهم الأذونات الصحيحة، تتم الموافقة على الطلب ويقوم Defender for Cloud تلقائيًا بتكوين مجموعات أمان الشبكة (NSGs) للسماح بنسبة استخدام الشبكة الواردة إلى المنافذ المحددة لفترة زمنية محدودة. بعد انتهاء الوقت، مركز الأمان يعيد NSGs إلى حالاتها السابقة.
التشفير
يتم تقديم طريقتي تشفير للأقراص المُدارة. التشفير على مستوى نظام التشغيل، وهو تشفير قرص Azure، والتشفير على مستوى النظام الأساسي، وهو تشفير من جانب الخادم.
تشفير من جانب الخادم
تقوم الأقراص المُدارة من Azure تلقائيًا بتشفير بياناتك بشكل افتراضي عند استمرارها في السحابة. يحمي التشفير من جانب الخادم بياناتك ويساعدك على الوفاء بالتزامات الأمان والتوافق للمؤسسات الخاصة بك. يتم تشفير البيانات في أقراص Azure المُدارة بشفافية باستخدام تشفير AES 256-بت، وهو أحد أقوى تشفير الكتل المتوفرة، ويتوافق مع FIPS 140-2.
لا يؤثر التشفير على أداء الأقراص المُدارة. لا توجد تكلفة إضافية للتشفير.
يمكنك الاعتماد على المفاتيح المدارة من خلال النظام الأساسي لتشفير القرص المدار، أو يمكنك إدارة التشفير باستخدام مفاتيحك الخاصة. إذا اخترت إدارة التشفير باستخدام مفاتيحك الخاصة، يمكنك تحديد مفتاح يديره العميل لاستخدامه في تشفير وفك تشفير كل البيانات الموجودة في أقراصك المدارة.
لمعرفة المزيد حول التشفير من جانب الخادم، راجع إما المقالات الخاصة بـ Windows أو Linux.
تشفير قرص Azure
لتحسين الأمان والتوافق لـ الجهاز الظاهري الذي يعمل بنظام التشغيل Windows والجهاز الظاهري الذي يعمل بنظام التشغيل Linux، يمكن تشفير الأقراص الظاهرية في Azure. يتم تشفير الأقراص الظاهرية على الأجهزة الظاهرية التي تعمل بنظام التشغيل Windows في حالة السكون باستخدام BitLocker. يتم تشفير الأقراص الظاهرية على الأجهزة الظاهرية التي تعمل بنظام التشغيل Linux في حالة السكون باستخدام dm-crypt.
لا توجد رسوم لتشفير الأقراص الظاهرية في Azure. يتم تخزين مفاتيح التشفير في Azure Key Vault باستخدام حماية البرامج، أو يمكنك استيراد أو إنشاء مفاتيحك في وحدات أمان الأجهزة (HSMs) المعتمدة لمعايير FIPS 140 التي تم التحقق من صحتها. تُستخدم مفاتيح التشفير هذه لتشفير وفك تشفير الأقراص الظاهرية المرفقة بجهازك الظاهري. تحتفظ بالسيطرة على مفاتيح التشفير هذه ويمكنك مراجعة استخدامها. يوفر كيان خدمة Microsoft Entra آلية آمنة لإصدار مفاتيح التشفير هذه حيث يتم تشغيل الأجهزة الظاهرية وإيقاف تشغيلها.
مفاتيح Key Vault وSSH
يمكن نمذجة البيانات السرية والشهادات كموارد وتوفيرها من قبل Key Vault. يمكنك استخدام Azure PowerShell لإنشاء مخازن مفاتيح للأجهزة الظاهرية التي تعمل بنظام التشغيل Windows وAzure CLI للأجهزة الظاهرية التي تعمل بنظام التشغيل Linux. يمكنك أيضًا إنشاء مفاتيح للتشفير.
تمنح نُهج الوصول إلى مخزن المفاتيح أذونات بشكل منفصل للمفاتيح أو البيانات السرية أو الشهادات. على سبيل المثال، يمكنك منح المستخدم حق الوصول إلى المفاتيح فقط، ولكن بدون أذونات للبيانات السرية. ومع ذلك، تكون أذونات الوصول إلى المفاتيح أو البيانات السرية أو الشهادات على مستوى المخزن. بمعنى آخر، لا يدعم نهج الوصول إلى مخزن المفاتيح أذونات على مستوى العنصر.
عند الاتصال بالأجهزة الظاهرية، يجب عليك استخدام تشفير المفتاح العام لتوفير طريقة أكثر أمانًا لتسجيل الدخول إليها. تتضمن هذه العملية تبادل المفاتيح العامة والخاصة باستخدام الأمر shell الآمن (SSH) لمصادقة نفسك بدلاً من اسم المستخدم وكلمة المرور. كلمات المرور عرضة لهجمات القوة الغاشمة، خاصة على الأجهزة الظاهرية التي تواجه الإنترنت مثل خوادم الويب. باستخدام المفتاح المزدوج shell الآمن (SSH)، يمكنك إنشاء جهاز ظاهري يعمل بنظام التشغيل Linux يستخدم مفاتيح SSH للمصادقة، مما يلغي الحاجة إلى كلمات المرور لتسجيل الدخول. يمكنك أيضًا استخدام مفاتيح SSH للاتصال من جهاز ظاهري يعمل بنظام التشغيل Windows إلى جهاز ظاهري يعمل بنظام التشغيل Linux.
الهويات المُدارة لموارد Azure
يتمثل أحد التحديات الشائعة عند إنشاء التطبيقات السحابية في كيفية إدارة بيانات الاعتماد في التعليمات البرمجية للمصادقة على الخدمات السحابية. الحفاظ على بيانات الاعتماد آمنة مهمة هامة. وبشكل مثالي، لا تظهر بيانات الاعتماد أبداً على محطات عمل المطور ولا يتم إيداعها في عنصر تحكم المصدر. يوفر Azure Key Vault طريقة لتخزين بيانات الاعتماد والأسرار والمفاتيح الأخرى بشكل آمن، ولكن يجب أن تتم مصادقة الرمز إلى Key Vault لاستردادها.
تحل الهويات المدارة لميزة موارد Azure في Microsoft Entra هذه المشكلة. توفر الميزة خدمات Azure بهوية مدارة تلقائيا في معرف Microsoft Entra. يمكنك استخدام الهوية للمصادقة على أي خدمة تدعم مصادقة Microsoft Entra، بما في ذلك Key Vault، دون أي بيانات اعتماد في التعليمات البرمجية الخاصة بك. التعليمة البرمجية التي تعمل على جهاز ظاهري يمكنها طلب رمز مميز من نقطتي نهاية المتاح الوصول لهما فقط من داخل الجهاز الظاهري. لمزيد من المعلومات التفصيلية حول هذه الخدمة، راجع صفحة نظرة عامة على الهويات المُدارة لموارد Azure.
السياسات
يمكن استخدام نهج Azure لتحديد السلوك المطلوب للأجهزة الظاهرية لمؤسستك. باستخدام النهج، يمكن للمؤسسة فرض اتفاقيات وقواعد مختلفة في جميع أنحاء المؤسسة. يمكن أن يساعد تطبيق السلوك المطلوب في التخفيف من المخاطر مع المساهمة في نجاح المؤسسة.
عنصر تحكم الوصول المستند إلى دور Azure
باستخدام التحكم في الوصول استناداً إلى الدور (Azure RBAC)، يمكنك فصل المهام داخل فريقك ومنح قدر الوصول فقط إلى المستخدمين التي يحتاجونها لأداء وظائفهم. بدلاً من منح الجميع أذونات غير مقيدة على الجهاز الظاهري، يمكنك السماح بإجراءات معينة فقط. يمكنك تكوين التحكم في الوصول للجهاز الظاهري في مدخل Azure، باستخدام Azure CLI، أو Azure PowerShell.