Osvědčené postupy zabezpečení pro úlohy IaaS v Azure

  • Článek
  • 12 min ke čtení

Tento článek popisuje osvědčené postupy zabezpečení pro virtuální počítače a operační systémy.

Osvědčené postupy jsou založené na shodě na základě konsensu a pracují s funkcemi a sadami funkcí platformy Azure. Vzhledem k tomu, že se názory a technologie můžou v průběhu času měnit, bude tento článek aktualizován tak, aby odrážel tyto změny.

Ve většině scénářů infrastruktury jako služby (IaaS) jsou virtuální počítače Azure hlavním zatížením pro organizace, které využívají cloud computing. Tento fakt je zřejmý v hybridních scénářích , ve kterých organizace chtějí pomalu migrovat úlohy do cloudu. V takových scénářích použijte Obecné požadavky na zabezpečení pro IaaSa použijte doporučené postupy zabezpečení pro všechny vaše virtuální počítače.

Ochrana virtuálních počítačů pomocí ověřování a řízení přístupu

Prvním krokem při ochraně virtuálních počítačů je zajištění toho, aby mohli vytvářet nové virtuální počítače a přistupovat k virtuálním počítačům jenom autorizovaným uživatelům.

Poznámka

Pro zlepšení zabezpečení virtuálních počítačů se systémem Linux v Azure můžete integrovat s ověřováním Azure AD. Když použijete ověřování Azure AD pro virtuální počítače se systémem Linux, centrálně ovládáte a vynutili zásady, které povolují nebo odmítnou přístup k virtuálním počítačům.

Osvědčený postup: řízení přístupu k virtuálnímu počítači.
Podrobnosti: pomocí zásad Azure můžete navázat konvence pro prostředky ve vaší organizaci a vytvářet přizpůsobené zásady. Tyto zásady použijte u prostředků, jako jsou třeba skupiny prostředků. Virtuální počítače patřící do skupiny prostředků dědí své zásady.

Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň rozsahu nad odběry. Předplatná uspořádáte do skupin pro správu (kontejnery) a podmínky zásad správného řízení aplikujete na tyto skupiny. Všechna předplatná v rámci skupiny pro správu automaticky přebírají podmínky použité pro skupinu. Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte.

Osvědčený postup: Snižte proměnlivost nastavení a nasazení virtuálních počítačů.
Podrobnosti: pomocí šablon Azure Resource Manager můžete posílit možnosti nasazení a usnadnit pochopení a inventarizaci virtuálních počítačů ve vašem prostředí.

Osvědčený postup: zabezpečený privilegovaný přístup.
Podrobnosti: použijte přístup s nejnižšími oprávněními a předdefinované role Azure, které uživatelům umožní přístup k virtuálním počítačům a jejich nastavení:

  • Přispěvatel virtuálních počítačů: může spravovat virtuální počítače, ale ne virtuální síť nebo účet úložiště, ke kterým jsou připojené.
  • Přispěvatel klasických virtuálních počítačů: může spravovat virtuální počítače vytvořené pomocí modelu nasazení Classic, ale ne virtuální sítě nebo účtu úložiště, ke kterým jsou virtuální počítače připojené.
  • Správce zabezpečení: v programu Defender pouze pro Cloud: může zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, upravit zásady zabezpečení, zobrazit výstrahy a doporučení, zavřít výstrahy a doporučení.
  • Uživatel DevTest Labs: může zobrazit vše a připojit, spustit, restartovat a vypnout virtuální počítače.

Správci a spolusprávci předplatného můžou toto nastavení změnit, aby měli správci všech virtuálních počítačů v rámci předplatného. Ujistěte se, že všem správcům předplatného a spolusprávcem důvěřujete, abyste se přihlásili k některým z vašich počítačů.

Poznámka

Doporučujeme konsolidovat virtuální počítače se stejným životním cyklem do stejné skupiny prostředků. Pomocí skupin prostředků můžete nasazovat, monitorovat a shrnout náklady na fakturaci svých prostředků.

Organizace, které řídí přístup k VIRTUÁLNÍm počítačům a jejich celkové zabezpečení virtuálních počítačů, vylepšit.

Použití více virtuálních počítačů pro lepší dostupnost

Pokud váš virtuální počítač spouští kritické aplikace, které potřebují vysokou dostupnost, důrazně doporučujeme použít více virtuálních počítačů. Pro lepší dostupnost použijte skupinu dostupnosti nebo zónydostupnosti.

Skupina dostupnosti je logické seskupení, které můžete v Azure použít k zajištění toho, že prostředky virtuálních počítačů, které do nich umístíte, jsou při jejich nasazení v datacentru Azure izolované od sebe. Azure zajišťuje, aby virtuální počítače, které umístíte do skupiny dostupnosti, běžely na několika fyzických serverech, výpočetních skříních, jednotkách úložiště a síťových přepínačích. Pokud dojde k selhání hardwaru nebo softwaru Azure, ovlivní to jenom podmnožinu vašich virtuálních počítačů a vaše celková aplikace bude dál k dispozici pro vaše zákazníky. Skupiny dostupnosti jsou zásadní funkcí, pokud chcete vytvářet spolehlivé cloudová řešení.

Ochrana před malwarem

Měli byste nainstalovat ochranu proti malwaru, která vám usnadní identifikaci a odstraňování virů, spywaru a dalšího škodlivého softwaru. můžete nainstalovat Microsoft Antimalware nebo řešení ochrany koncových bodů partnera microsoftu (Trend Micro, Broadcom, McAfee, Windows Defendera System Center Endpoint Protection).

Microsoft Antimalware zahrnují funkce, jako je ochrana v reálném čase, plánované prohledávání, náprava malwaru, aktualizace signatur, aktualizace modulu, vytváření sestav ukázek a shromažďování událostí vyloučení. Pro prostředí, která jsou hostovaná nezávisle na produkčním prostředí, můžete použít antimalwarové rozšíření, které vám pomůžou ochránit vaše virtuální počítače a cloudové služby.

můžete integrovat Microsoft Antimalware a partnerská řešení pomocí programu Microsoft Defender pro Cloud a usnadnit tak nasazení a integrovanou detekci (výstrahy a incidenty).

Osvědčený postup: Nainstalujte antimalwarové řešení pro ochranu před malwarem.
Podrobnosti: instalace partnerského řešení Microsoftu nebo Microsoft Antimalware

Osvědčený postup: Integrujte své antimalwarové řešení pomocí programu Defender pro Cloud, abyste mohli monitorovat stav vaší ochrany.
Podrobnosti: Správa potíží s ochranou Endpoint Protection pomocí programu Defender pro Cloud

Správa aktualizací virtuálních počítačů

Virtuální počítače Azure, jako jsou všechny místní virtuální počítače, se považují za spravované uživatelem. Azure v nich nenabízí instalaci aktualizací Windows. Musíte spravovat aktualizace virtuálních počítačů.

Osvědčený postup: Udržujte své virtuální počítače aktuální.
podrobnosti: řešení Update Management v Azure Automation můžete použít ke správě aktualizací operačního systému pro počítače s Windows a Linux, které jsou nasazené v Azure, v místních prostředích nebo v jiných poskytovatelích cloudu. Můžete rychle vyhodnotit stav dostupných aktualizací na všech počítačích agenta a spravovat proces instalace požadovaných aktualizací pro servery.

Počítače spravované pomocí Update Managementu používají k provádění posuzovacích a aktualizačních nasazení následující konfigurace:

  • Agenta Microsoft Monitoring Agent (MMA) pro Windows nebo Linux
  • Konfiguraci požadovaného stavu (DSC) PowerShellu pro Linux
  • Funkci Hybrid Runbook Worker služby Automation
  • Služby Microsoft Update nebo Windows Server Update Services (WSUS) pro počítače s Windows

pokud používáte web Windows Update, nechte automatické nastavení web Windows Update povolené.

osvědčené postupy: zajistěte, aby vytvořené image zahrnovaly nejnovější kulaté Windows aktualizace.
podrobnosti: vyhledání a instalace všech aktualizací Windows jako prvního kroku při každém nasazení. Tato míra je obzvláště důležitá pro použití při nasazování bitových kopií, které pocházejí buď z vaší aplikace, nebo z vaší vlastní knihovny. I když se obrázky z Azure Marketplace ve výchozím nastavení automaticky aktualizují, může po veřejné verzi docházet k prodlevě (až na pár týdnů).

Osvědčený postup: pravidelně znovu nasaďte virtuální počítače, abyste vynutili novou verzi operačního systému.
Podrobnosti: Definujte svůj virtuální počítač pomocí šablony Azure Resource Manager , abyste ho mohli snadno znovu nasadit. Pomocí šablony získáte opravu a zabezpečený virtuální počítač, když ho potřebujete.

Osvědčený postup: rychlé použití aktualizací zabezpečení u virtuálních počítačů.
Podrobnosti: povolit Microsoft Defender pro Cloud (úroveň Free nebo Standard) k identifikaci chybějících aktualizací zabezpečení a jejich použití.

Osvědčený postup: Nainstalujte nejnovější aktualizace zabezpečení.
Podrobnosti: některé z prvních úloh, které zákazníci přesouvají do Azure, jsou laboratoře a systémy s přístupem k externímu prostředí. Pokud vaše virtuální počítače Azure hostují aplikace nebo služby, které musí být dostupné pro Internet, ostražití se o opravách. Oprava nad operačním systémem. Neopravované chyby zabezpečení u partnerských aplikací můžou také vést k problémům, které se dají vyvarovat, pokud je zavedená řádná správa oprav.

Osvědčený postup: nasazení a testování záložního řešení.
Podrobnosti: záloha musí být zpracována stejným způsobem, jakým se zpracovává jakákoli jiná operace. To platí pro systémy, které jsou součástí produkčního prostředí, které se šíří do cloudu.

Testovací a vývojové systémy musí splňovat strategie zálohování, které poskytují možnosti obnovení, které jsou podobné těm, na které uživatelé zvyklí, na základě zkušeností s místními prostředími. Produkční úlohy přesunuté do Azure by se měly integrovat se stávajícími řešeními zálohování, pokud je to možné. Nebo můžete použít Azure Backup k vyřešení požadavků na zálohování.

Organizace, které vynutily zásady aktualizace softwaru, jsou vystavené hrozbám, které využívají známé, dříve opravené chyby zabezpečení. Společnosti musí prokázat, že jsou pečlivé vylaďování a používají správné bezpečnostní mechanismy, aby bylo zajištěno zabezpečení jejich úloh v cloudu, aby vyhověly oborovým předpisům.

Osvědčené postupy pro aktualizace softwaru pro tradiční datové centrum a Azure IaaS mají spoustu podobnosti. Doporučujeme, abyste své aktuální zásady aktualizace softwaru vyhodnotili tak, aby zahrnovaly virtuální počítače umístěné v Azure.

Správa stav zabezpečení virtuálních počítačů

Týká kybernetických hrozeb se vyvíjí. Ochrana virtuálních počítačů vyžaduje funkci monitorování, která dokáže rychle detekovat hrozby, zabránit neoprávněnému přístupu k prostředkům, aktivovat výstrahy a snížit falešně pozitivní výsledky.

pokud chcete monitorovat stav zabezpečení virtuálních počítačůs Windows a linuxem, použijte Microsoft Defender pro Cloud. V programu Defender pro Cloud Chraňte své virtuální počítače pomocí následujících možností:

  • Použijte nastavení zabezpečení operačního systému s doporučenými konfiguračními pravidly.
  • Identifikujte a stáhněte zabezpečení systému a důležité aktualizace, které mohou chybět.
  • Nasaďte doporučení pro antimalwarovou ochranu Endpoint Protection.
  • Ověřte šifrování disku.
  • Vyhodnoťte a opravte chyby zabezpečení.
  • Detekuje hrozby.

Defender for Cloud může aktivně monitorovat hrozby a potenciální hrozby jsou zveřejněné v výstrahách zabezpečení. Korelované hrozby se agregují v jednom zobrazení, které se nazývá incident zabezpečení.

Defender for Cloud ukládá data do Azure Monitor protokolů. Azure Monitor protokoly poskytují dotazovací jazyk a analytický modul, který poskytuje přehled o provozu vašich aplikací a prostředků. Data se shromažďují také z Azure Monitor,řešení pro správu a agentů nainstalovaných na virtuálních počítačích v cloudu nebo místně. Tyto sdílené funkce umožňují, abyste si vytvořili úplný přehled o vašem prostředí.

Organizace, které nevynucují silné zabezpečení svých virtuálních počítačů, si nejsou vědomy potenciálních pokusů neautorizovaných uživatelů obejít bezpečnostní prvky.

Monitorování výkonu virtuálního počítače

Zneužití prostředků může být problém, když procesy virtuálního počítače spotřebovávají více prostředků, než by měly. Problémy s výkonem virtuálního počítače mohou vést k přerušení služeb, což porušuje princip zabezpečení dostupnosti. To je zvláště důležité pro virtuální počítače, které hostují službu IIS nebo jiné webové servery, protože vysoké využití procesoru nebo paměti může znamenat útok DoS (Denial of Service). Je nezbytné monitorovat přístup k virtuálnímu počítače nejen reaktivně, když dochází k problému, ale také proaktivně proti základnímu výkonu měřenému během normálního provozu.

K získání přehledu Azure Monitor prostředků doporučujeme použít nástroj . Azure Monitor funkce:

Organizace, které ne monitorují výkon virtuálního počítače, neumění určit, jestli jsou určité změny vzorců výkonu normální nebo neobvyklé. Virtuální počítač, který spotřebovává více prostředků než obvykle, může indikovat útok z externího prostředku nebo ohrožený proces spuštěný ve virtuálním počítači.

Šifrování souborů virtuálního pevného disku

Doporučujeme šifrovat virtuální pevné disky (VHD), které vám pomůžou chránit spouštěcí svazek a datové svazky v úložišti společně s šifrovacími klíči a tajnými klíči.

Azure Disk Encryption pomáhá šifrovat disky Windows virtuálních počítačů IaaS s Linuxem. Azure Disk Encryption používá standardní funkci BitLockeru systému Windows a funkci DM-Crypt systému Linux k zajištění šifrování svazků pro operační systém a datové disky. Řešení je integrované s Azure Key Vault vám pomůže řídit a spravovat klíče a tajné kódy pro šifrování disků ve vašem předplatném trezoru klíčů. Řešení také zajišťuje, aby všechna data na discích virtuálního počítače byla zašifrovaná v klidových Azure Storage.

Toto jsou osvědčené postupy pro používání Azure Disk Encryption:

Osvědčený postup: Povolení šifrování na virtuálních počítači.
Podrobnosti: Azure Disk Encryption vygeneruje a zapíše šifrovací klíče do vašeho trezoru klíčů. Správa šifrovacích klíčů ve vašem trezoru klíčů vyžaduje ověřování Azure AD. K tomuto účelu vytvořte aplikaci Azure AD. Pro účely ověřování můžete použít ověřování založené na tajných kódech klienta nebo ověřování Azure AD na základě klientského certifikátu.

Osvědčený postup: Pro další vrstvu zabezpečení šifrovacích klíčů použijte šifrovací klíč klíče (KEK). Přidejte do trezoru klíčů klíč KEK.
Podrobnosti: Pomocí rutiny Add-AzKeyVaultKey vytvořte šifrovací klíč klíče v trezoru klíčů. Můžete také importovat klíč KEK z místního modulu hardwarového zabezpečení (HSM) pro správu klíčů. Další informace najdete v Key Vault . Pokud je zadaný šifrovací klíč klíče, Azure Disk Encryption klíč k zabalení šifrovacích tajných kódů před zápisem do Key Vault. Uchovávání kopie tohoto klíče v systému správy klíčů v místním modulu hardwarového zabezpečení nabízí další ochranu před náhodným odstraněním klíčů.

Osvědčený postup: Pořízení snímku nebo zálohy před šifrováním disků. Zálohy poskytují možnost obnovení v případě neočekávaného selhání během šifrování.
Podrobnosti: Virtuální počítače se spravovanými disky vyžadují před šifrováním zálohu. Po vytvoření zálohy můžete použít rutinu Set-AzVMDiskEncryptionExtension k šifrování spravovaných disků zadáním parametru -skipVmBackup. Další informace o tom, jak zálohovat a obnovovat šifrované virtuální počítače, najdete v Azure Backup článku.

Osvědčený postup: Aby bylo možné zajistit, aby šifrovací tajné kódy překročily místní hranice, Azure Disk Encryption trezor klíčů a virtuální počítače musí být umístěné ve stejné oblasti.
Podrobnosti: Vytvořte a použijte trezor klíčů, který je ve stejné oblasti jako virtuální počítač, který se má šifrovat.

Když použijete Azure Disk Encryption, můžete splnit následující obchodní potřeby:

  • K zabezpečení neaktivních uložených virtuálních počítačů IaaS se používá standardní oborová šifrovací technologie, která řeší jak požadavky organizace na zabezpečení, tak požadavky na dodržování předpisů.
  • Virtuální počítače IaaS začínají v rámci zásad a klíčů řízených zákazníkem a můžete auditovat jejich využití ve vašem trezoru klíčů.

Omezení přímého připojení k internetu

Monitorujte a omezte přímé připojení virtuálního počítače k internetu. Útočníci neustále kontrolují rozsahy IP adres veřejného cloudu, zda nejsou otevřené porty pro správu, a snaží se "snadné" útoky, jako jsou běžná hesla a známá neopatřená ohrožení zabezpečení. Následující tabulka uvádí osvědčené postupy, které pomáhají chránit před těmito útoky:

Osvědčený postup: Prevence nechtěného vystavení směrování a zabezpečení sítě.
Podrobnosti: Pomocí Azure RBAC zajistěte, aby oprávnění k síťovým prostředkům měla pouze centrální skupina sítí.

Osvědčený postup: Identifikujte a opravte vystavené virtuální počítače, které umožňují přístup ze zdrojové IP adresy "any".
Podrobnosti: Použijte Microsoft Defender for Cloud. Defender for Cloud doporučí omezit přístup prostřednictvím internetových koncových bodů, pokud má kterákoli ze skupin zabezpečení sítě jedno nebo více příchozích pravidel, která umožňují přístup ze zdrojové IP adresy "jakékoli". Defender for Cloud vám doporučí upravit tato příchozí pravidla, abyste omezili přístup ke zdrojovým IP adresám, které skutečně potřebují přístup.

Osvědčený postup: Omezte porty pro správu (RDP, SSH).
Podrobnosti: Přístup k virtuálnímu počítači za běhu (JIT) je možné použít k uzamčení příchozího provozu do virtuálních počítače Azure, což snižuje vystavení útokům a v případě potřeby poskytuje snadný přístup pro připojení k virtuálním počítači. Když je povolený JIT, Defender for Cloud uzamkne příchozí provoz do virtuálních počítače Azure vytvořením pravidla skupiny zabezpečení sítě. Na virtuálním počítači vyberete porty, na které se příchozí provoz uzamkne. Tyto porty řídí řešení JIT.

Další kroky

V tématu Osvědčené postupy a vzory zabezpečení Azure najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.

K dispozici jsou následující zdroje informací, které poskytují obecné informace o zabezpečení Azure a souvisejících služby Microsoft: