Osvědčené postupy zabezpečení pro úlohy IaaS v Azure

  • Článek

Tento článek popisuje osvědčené postupy zabezpečení pro virtuální počítače a operační systémy.

Osvědčené postupy vycházejí ze názorů a pracují s aktuálními možnostmi platformy Azure a sadami funkcí. Vzhledem k tomu, že se názory a technologie můžou v průběhu času měnit, bude tento článek aktualizován tak, aby odrážel tyto změny.

Ve většině scénářů infrastruktury jako služby (IaaS) jsou virtuální počítače Azure hlavními úlohami pro organizace, které používají cloud computing. Tato skutečnost je zřejmé v hybridních scénářích , kdy organizace chtějí pomalu migrovat úlohy do cloudu. V takových scénářích postupujte podle obecných aspektů zabezpečení pro IaaS a použijte osvědčené postupy zabezpečení pro všechny vaše virtuální počítače.

Ochrana virtuálních počítačů pomocí ověřování a řízení přístupu

Prvním krokem při ochraně virtuálních počítačů je zajistit, aby nové virtuální počítače a přístup k virtuálním počítačům mohli nastavovat jenom autorizovaní uživatelé.

Poznámka:

Pokud chcete zlepšit zabezpečení virtuálních počítačů s Linuxem v Azure, můžete se integrovat s ověřováním Microsoft Entra. Pokud používáte ověřování Microsoft Entra pro virtuální počítače s Linuxem, centrálně řídíte a vynucujete zásady, které povolují nebo zakazují přístup k virtuálním počítačům.

Osvědčený postup: Řízení přístupu k virtuálním počítačům Podrobnosti: Pomocí zásad Azure můžete vytvářet konvence pro prostředky ve vaší organizaci a vytvářet přizpůsobené zásady. Tyto zásady použijte u prostředků, jako jsou skupiny prostředků. Virtuální počítače, které patří do skupiny prostředků, dědí své zásady.

Pokud má vaše organizace mnoho předplatných, můžete potřebovat způsob, jak efektivně u těchto předplatných spravovat přístup, zásady a dodržování předpisů. Skupiny pro správu Azure poskytují úroveň rozsahu nad předplatnými. Předplatná uspořádáte do skupin pro správu (kontejnerů) a na tyto skupiny použijete podmínky zásad správného řízení. Všechna předplatná ve skupině pro správu automaticky dědí podmínky použité pro skupinu. Skupiny pro správu poskytují správu na podnikové úrovni ve velkém měřítku bez ohledu na to, jaké typy předplatného případně máte.

Osvědčený postup: Snižte variabilitu nastavení a nasazení virtuálních počítačů. Podrobnosti: Pomocí šablon Azure Resource Manageru můžete posílit volby nasazení a usnadnit pochopení a inventarizaci virtuálních počítačů ve vašem prostředí.

Osvědčený postup: Zabezpečení privilegovaného přístupu Podrobnosti: Použijte přístup s nejnižšími oprávněními a předdefinované role Azure, abyste uživatelům umožnili přístup k virtuálním počítačům a jejich nastavení:

  • Přispěvatel virtuálních počítačů: Může spravovat virtuální počítače, ale ne virtuální síť nebo účet úložiště, ke kterému jsou připojené.
  • Přispěvatel klasických virtuálních počítačů: Může spravovat virtuální počítače vytvořené pomocí modelu nasazení Classic, ale ne virtuální síť nebo účet úložiště, ke kterému jsou virtuální počítače připojené.
  • Správa zabezpečení: Pouze v Programu Defender pro cloud: Může zobrazit zásady zabezpečení, zobrazit stavy zabezpečení, upravit zásady zabezpečení, zobrazit výstrahy a doporučení, zavřít výstrahy a doporučení.
  • Uživatel DevTest Labs: Může zobrazit všechno a připojit se, spustit, restartovat a vypnout virtuální počítače.

Správci a spolusprávci předplatného můžou toto nastavení změnit, aby je správci všech virtuálních počítačů v předplatném. Ujistěte se, že důvěřujete všem správcům předplatného a spolusprávců, aby se přihlásili k libovolnému počítači.

Poznámka:

Doporučujeme konsolidovat virtuální počítače se stejným životním cyklem do stejné skupiny prostředků. Pomocí skupin prostředků můžete nasazovat, monitorovat a zahrnovat fakturační náklady pro vaše prostředky.

Organizace, které řídí přístup k virtuálním počítačům a nastavují, zlepšují celkové zabezpečení virtuálních počítačů.

Použití více virtuálních počítačů pro lepší dostupnost

Pokud váš virtuální počítač spouští důležité aplikace, které potřebují vysokou dostupnost, důrazně doporučujeme používat více virtuálních počítačů. Pro lepší dostupnost použijte sadu dostupnosti nebo zóny dostupnosti.

Skupina dostupnosti je logické seskupení, které můžete použít v Azure, abyste zajistili, že prostředky virtuálních počítačů, které v ní umístíte, jsou při nasazení v datacentru Azure izolované. Azure zajišťuje, že virtuální počítače, které umístíte do skupiny dostupnosti, běží na několika fyzických serverech, výpočetních rackech, jednotkách úložiště a síťových přepínačích. Pokud dojde k selhání hardwaru nebo softwaru Azure, ovlivní to jenom podmnožinu virtuálních počítačů a vaše celková aplikace bude dál dostupná pro vaše zákazníky. Skupiny dostupnosti jsou základní schopností, když chcete vytvářet spolehlivá cloudová řešení.

Ochrana před malwarem

Měli byste nainstalovat antimalwarovou ochranu, která vám pomůže identifikovat a odstranit viry, spyware a další škodlivý software. Můžete nainstalovat Microsoft Antimalware nebo řešení koncové ochrany partnera Microsoftu (Trend Micro, Broadcom, McAfee, Windows Defender a System Center Endpoint Protection).

Microsoft Antimalware obsahuje funkce, jako je ochrana v reálném čase, plánovaná kontrola, náprava malwaru, aktualizace podpisů, aktualizace modulu, generování sestav ukázek a shromažďování událostí vyloučení. Pro prostředí hostovaná odděleně od produkčního prostředí můžete použít antimalwarové rozšíření, které pomáhá chránit vaše virtuální počítače a cloudové služby.

Microsoft Antimalware a partnerskou řešení můžete integrovat s Programem Microsoft Defender for Cloud , abyste usnadnili nasazení a předdefinované detekce (výstrahy a incidenty).

Osvědčený postup: Nainstalujte antimalwarové řešení pro ochranu před malwarem.
Podrobnosti: Instalace partnerského řešení Microsoftu nebo Microsoft Antimalware

Osvědčený postup: Integrujte antimalwarové řešení s programem Defender for Cloud, abyste mohli monitorovat stav ochrany.
Podrobnosti: Správa problémů s ochranou koncových bodů v Defenderu pro cloud

Správa aktualizací virtuálního počítače

Virtuální počítače Azure, stejně jako všechny místní virtuální počítače, mají být spravované uživatelem. Azure v nich nenabízí instalaci aktualizací Windows. Potřebujete spravovat aktualizace virtuálních počítačů.

Osvědčený postup: Udržujte virtuální počítače aktuální.
Podrobnosti: Pomocí řešení Update Management ve službě Azure Automation můžete spravovat aktualizace operačního systému pro počítače s Windows a Linuxem nasazené v Azure, v místních prostředích nebo v jiných poskytovatelích cloudu. Můžete rychle vyhodnotit stav dostupných aktualizací na všech počítačích agenta a spravovat proces instalace požadovaných aktualizací pro servery.

Počítače spravované pomocí Update Managementu používají k provádění posuzovacích a aktualizačních nasazení následující konfigurace:

  • Agenta Microsoft Monitoring Agent (MMA) pro Windows nebo Linux
  • Konfiguraci požadovaného stavu (DSC) PowerShellu pro Linux
  • Funkci Hybrid Runbook Worker služby Automation
  • Služby Microsoft Update nebo Windows Server Update Services (WSUS) pro počítače s Windows

Pokud používáte služba Windows Update, nechte nastavení automatického služba Windows Update povolené.

Osvědčený postup: Při nasazení se ujistěte, že image, které jste vytvořili, obsahují nejnovější kolo aktualizací Windows.
Podrobnosti: Zkontrolujte a nainstalujte všechny aktualizace Windows jako první krok každého nasazení. Tato míra je obzvláště důležitá při nasazování imagí, které pocházejí z vaší nebo vlastní knihovny. I když se image z Azure Marketplace ve výchozím nastavení aktualizují automaticky, může docházet k prodlevě (až několik týdnů) po veřejné verzi.

Osvědčený postup: Pravidelně nasaďte virtuální počítače znovu, aby vynutily novou verzi operačního systému.
Podrobnosti: Definujte virtuální počítač pomocí šablony Azure Resource Manageru, abyste ho mohli snadno znovu nasadit. Pomocí šablony získáte opravený a zabezpečený virtuální počítač, když ho potřebujete.

Osvědčený postup: Rychlé použití aktualizací zabezpečení na virtuální počítače
Podrobnosti: Povolte Microsoft Defender for Cloud (úroveň Free nebo úroveň Standard), abyste identifikovali chybějící aktualizace zabezpečení a použili je.

Osvědčený postup: Nainstalujte nejnovější aktualizace zabezpečení.
Podrobnosti: Některé z prvních úloh, které zákazníci přecházejí do Azure, jsou testovací prostředí a externí systémy. Pokud vaše virtuální počítače Azure hostují aplikace nebo služby, které musí být přístupné pro internet, buďte opatrní ohledně oprav. Oprava nad rámec operačního systému Nepatchované chyby zabezpečení v partnerských aplikacích můžou také vést k problémům, kterým se můžete vyhnout, pokud je zavedená správná správa oprav.

Osvědčený postup: Nasazení a testování řešení zálohování
Podrobnosti: Zálohování musí být zpracováno stejným způsobem, jakým zpracováváte jakoukoli jinou operaci. To platí pro systémy, které jsou součástí vašeho produkčního prostředí, které se rozšiřují do cloudu.

Testovací a vývojové systémy musí na základě zkušeností s místními prostředími dodržovat strategie zálohování, které poskytují možnosti obnovení podobné tomu, na co si uživatelé zvykli. Produkční úlohy přesunuté do Azure by se měly integrovat s existujícími řešeními zálohování, pokud je to možné. Nebo můžete použít Azure Backup k řešení požadavků na zálohování.

Organizace, které nevynucují zásady aktualizace softwaru, jsou vystaveny hrozbám, které zneužívají známé, dříve opravené chyby zabezpečení. Aby byly společnosti v souladu s oborovými předpisy, musí prokázat, že jsou usilovné a používají správné kontrolní mechanismy zabezpečení, které pomáhají zajistit zabezpečení svých úloh umístěných v cloudu.

Osvědčené postupy aktualizace softwaru pro tradiční datové centrum a Azure IaaS mají mnoho podobností. Doporučujeme vyhodnotit aktuální zásady aktualizací softwaru tak, aby zahrnovaly virtuální počítače umístěné v Azure.

Správa stavu zabezpečení virtuálního počítače

Cyberthreats se vyvíjejí. Sejf ochrana virtuálních počítačů vyžaduje funkci monitorování, která dokáže rychle detekovat hrozby, zabránit neoprávněnému přístupu k vašim prostředkům, aktivovat výstrahy a snížit falešně pozitivní výsledky.

Pokud chcete monitorovat stav zabezpečení virtuálních počítačů s Windows a Linuxem, použijte Microsoft Defender pro cloud. V defenderu pro cloud zabezpečte virtuální počítače pomocí následujících možností:

  • Použijte nastavení zabezpečení operačního systému s doporučenými konfiguračními pravidly.
  • Identifikujte a stáhněte zabezpečení systému a důležité aktualizace, které můžou chybět.
  • Nasaďte doporučení pro antimalwarovou ochranu koncového bodu.
  • Ověřte šifrování disku.
  • Posouzení a náprava ohrožení zabezpečení
  • Detekuje hrozby.

Defender for Cloud může aktivně monitorovat hrozby a potenciální hrozby jsou vystavené v výstrahách zabezpečení. Korelované hrozby se agregují v jednom zobrazení označovaného jako incident zabezpečení.

Defender for Cloud ukládá data do protokolů služby Azure Monitor. Protokoly služby Azure Monitor poskytují dotazovací jazyk a analytický modul, který vám poskytne přehled o provozu vašich aplikací a prostředků. Data se shromažďují také z Azure Monitoru, řešení pro správu a agentů nainstalovaných na virtuálních počítačích v cloudu nebo místně. Tyto sdílené funkce umožňují, abyste si vytvořili úplný přehled o vašem prostředí.

Organizace, které nevynucují silné zabezpečení virtuálních počítačů, si stále neuvědomují potenciální pokusy neoprávněných uživatelů o obcházení bezpečnostních prvků.

Monitorování výkonu virtuálního počítače

Zneužití prostředků může být problém, když procesy virtuálních počítačů spotřebovávají více prostředků, než by měly. Problémy s výkonem virtuálního počítače můžou vést k přerušení služeb, což porušuje princip zabezpečení dostupnosti. To je zvlášť důležité pro virtuální počítače, které hostují službu IIS nebo jiné webové servery, protože vysoké využití procesoru nebo paměti může znamenat útok doS (DoS). Je nezbytné monitorovat nejen přístup k virtuálním počítačům v době, kdy k problému dochází, ale také proaktivně proti základnímu výkonu měřeným během normálního provozu.

Ke zjištění stavu vašeho prostředku doporučujeme použít Azure Monitor . Funkce služby Azure Monitor:

  • Soubory protokolu diagnostiky prostředků: Monitoruje prostředky virtuálních počítačů a identifikuje potenciální problémy, které by mohly ohrozit výkon a dostupnost.
  • Rozšíření Azure Diagnostics: Poskytuje funkce monitorování a diagnostiky na virtuálních počítačích s Windows. Tyto funkce můžete povolit zahrnutím rozšíření do šablony Azure Resource Manageru.

Organizace, které nemonitorují výkon virtuálních počítačů, nemůžou určit, jestli jsou určité změny ve vzorech výkonu normální nebo neobvyklé. Virtuální počítač, který využívá více prostředků než obvykle, může značit útok z externího prostředku nebo ohroženého procesu spuštěného na virtuálním počítači.

Šifrování souborů virtuálního pevného disku

Doporučujeme zašifrovat virtuální pevné disky (VHD), které vám pomůžou chránit neaktivní uložený svazek a datové svazky v úložišti spolu s šifrovacími klíči a tajnými klíči.

Azure Disk Encryption pro virtuální počítače s Linuxem a Azure Disk Encryption pro virtuální počítače s Windows pomáhá šifrovat disky virtuálních počítačů s Linuxem a Windows IaaS. Azure Disk Encryption používá standardní funkci DM-Crypt systému Linux a funkci BitLockeru systému Windows k zajištění šifrování svazků pro operační systém a datové disky. Řešení je integrované se službou Azure Key Vault , které vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disku v předplatném trezoru klíčů. Řešení také zajišťuje šifrování všech dat na discích virtuálního počítače v klidovém stavu ve službě Azure Storage.

Pro použití služby Azure Disk Encryption platí následující osvědčené postupy:

Osvědčený postup: Povolení šifrování na virtuálních počítačích
Podrobnosti: Azure Disk Encryption generuje a zapisuje šifrovací klíče do trezoru klíčů. Správa šifrovacích klíčů ve vašem trezoru klíčů vyžaduje ověřování Microsoft Entra. Pro tento účel vytvořte aplikaci Microsoft Entra. Pro účely ověřování můžete použít ověřování založené na tajných klíčích klienta nebo ověřování Microsoft Entra založené na klientském certifikátu.

Osvědčený postup: Použijte šifrovací klíč klíče (KEK) pro další vrstvu zabezpečení šifrovacích klíčů. Přidejte klíč KEK do trezoru klíčů.
Podrobnosti: K vytvoření šifrovacího klíče v trezoru klíčů použijte rutinu Add-AzKeyVaultKey . KEK můžete také importovat z místního modulu hardwarového zabezpečení (HSM) pro správu klíčů. Další informace najdete v dokumentaci ke službě Key Vault. Když zadáte šifrovací klíč klíče, Azure Disk Encryption tento klíč použije k zabalení šifrovacích tajných kódů před zápisem do služby Key Vault. Uložení kopie tohoto klíče v místní správě klíčů hsM nabízí další ochranu před náhodným odstraněním klíčů.

Osvědčený postup: Pořízení snímku nebo zálohování před zašifrovanými disky Zálohy poskytují možnost obnovení, pokud během šifrování dojde k neočekávané chybě.
Podrobnosti: Virtuální počítače se spravovanými disky před šifrováním vyžadují zálohu. Po vytvoření zálohy můžete pomocí rutiny Set-AzVMDiskEncryptionExtension zašifrovat spravované disky zadáním parametru -skipVmBackup. Další informace o zálohování a obnovení šifrovaných virtuálních počítačů najdete v článku Azure Backup .

Osvědčený postup: Aby se zajistilo, že tajné kódy šifrování nepřekročí hranice oblastí, azure Disk Encryption potřebuje trezor klíčů a virtuální počítače, které se mají nacházet ve stejné oblasti.
Podrobnosti: Vytvořte a použijte trezor klíčů, který je ve stejné oblasti jako virtuální počítač, který se má šifrovat.

Při použití služby Azure Disk Encryption můžete splňovat následující obchodní potřeby:

  • K zabezpečení neaktivních uložených virtuálních počítačů IaaS se používá standardní oborová šifrovací technologie, která řeší jak požadavky organizace na zabezpečení, tak požadavky na dodržování předpisů.
  • Virtuální počítače IaaS se spouštějí v rámci klíčů a zásad řízených zákazníkem a můžete auditovat jejich využití ve vašem trezoru klíčů.

Omezení přímého připojení k internetu

Monitorujte a omezte přímé připojení k internetu virtuálního počítače. Útočníci neustále prohledávají rozsahy IP adres veřejného cloudu pro otevřené porty pro správu a pokoušejí se "snadné" útoky, jako jsou běžná hesla a známá nepatchovaná ohrožení zabezpečení. Následující tabulka uvádí osvědčené postupy, které pomáhají chránit před těmito útoky:

Osvědčený postup: Zabránění neúmyslné expozici směrování a zabezpečení sítě
Podrobnosti: Pomocí Azure RBAC zajistěte, aby k síťovým prostředkům měli oprávnění pouze centrální skupina sítí.

Osvědčený postup: Identifikujte a opravte vystavené virtuální počítače, které umožňují přístup z libovolné zdrojové IP adresy.
Podrobnosti: Použijte Microsoft Defender for Cloud. Defender for Cloud vám doporučí omezit přístup přes internetové koncové body, pokud některá z vašich skupin zabezpečení sítě má jedno nebo více příchozích pravidel, která povolují přístup z libovolné zdrojové IP adresy. Defender for Cloud vám doporučí upravit tato příchozí pravidla, abyste omezili přístup ke zdrojovým IP adresám, které skutečně potřebují přístup.

Osvědčený postup: Omezení portů pro správu (RDP, SSH)
Podrobnosti: Přístup k virtuálním počítačům za běhu (JIT) se dá použít k uzamčení příchozího provozu do virtuálních počítačů Azure, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Když je povolený JIT, Defender for Cloud uzamkne příchozí provoz do virtuálních počítačů Azure vytvořením pravidla skupiny zabezpečení sítě. Na virtuálním počítači vyberete porty, na které se zamkne příchozí provoz. Tyto porty řídí řešení JIT.

Další kroky

Podívejte se na osvědčené postupy a vzory zabezpečení Azure, kde najdete další osvědčené postupy zabezpečení, které můžete použít při navrhování, nasazování a správě cloudových řešení pomocí Azure.

K dispozici jsou následující zdroje informací, které poskytují obecnější informace o zabezpečení Azure a souvisejících služby Microsoft:

  • Blog týmu zabezpečení Azure – Aktuální informace o nejnovější verzi zabezpečení Azure
  • Microsoft Security Response Center – kde můžou být nahlášená ohrožení zabezpečení Microsoftu, včetně problémů s Azure, nebo prostřednictvím e-mailu secure@microsoft.com