Ajánlott biztonsági eljárások IaaS számítási feladatokhoz az Azure-ban

  • Cikk

Ez a cikk a virtuális gépek és operációs rendszerek biztonsági ajánlott eljárásait ismerteti.

Az ajánlott eljárások a véleményen alapuló konszenzuson alapulnak, és az Azure-platform jelenlegi képességeivel és funkciókészleteivel működnek együtt. Mivel a vélemények és a technológiák idővel változhatnak, ez a cikk frissülni fog, hogy tükrözze ezeket a változásokat.

A szolgáltatásként nyújtott infrastruktúra (IaaS) legtöbb forgatókönyvében az Azure-beli virtuális gépek a felhőalapú számítástechnikát használó szervezetek fő számítási feladatai. Ez a tény olyan hibrid forgatókönyvekben is nyilvánvaló, ahol a szervezetek lassan szeretnének számítási feladatokat migrálni a felhőbe. Ilyen esetekben kövesse az IaaS általános biztonsági szempontjait, és alkalmazza a biztonsági ajánlott eljárásokat az összes virtuális gépre.

Virtuális gépek védelme hitelesítéssel és hozzáférés-vezérléssel

A virtuális gépek védelmének első lépése annak biztosítása, hogy csak a jogosult felhasználók állíthatnak be új virtuális gépeket, és hozzáférhetnek a virtuális gépekhez.

Megjegyzés:

Az Azure-beli Linux rendszerű virtuális gépek biztonságának javítása érdekében integrálható a Microsoft Entra-hitelesítéssel. Ha Microsoft Entra-hitelesítést használ Linux rendszerű virtuális gépekhez, központilag szabályozhatja és kényszerítheti azokat a házirendeket, amelyek engedélyezik vagy megtagadják a virtuális gépekhez való hozzáférést.

Ajánlott eljárás: A virtuális gépek hozzáférésének szabályozása. Részletek: Azure-szabályzatok használatával konvenciókat hozhat létre a szervezet erőforrásaihoz, és testre szabott szabályzatokat hozhat létre. Alkalmazza ezeket a szabályzatokat az erőforrásokra, például az erőforráscsoportokra. Az erőforráscsoporthoz tartozó virtuális gépek öröklik a szabályzatait.

Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure felügyeleti csoportjai az előfizetések feletti hatókörszintet biztosítják. Az előfizetéseket felügyeleti csoportokba (tárolókba) rendezheti, és a szabályozási feltételeket alkalmazhatja ezekre a csoportokra. A felügyeleti csoport összes előfizetése automatikusan örökli a csoportra alkalmazott feltételeket. A felügyeleti csoportok nagy léptékű, nagyvállalati szintű felügyeletet tesznek lehetővé, függetlenül az előfizetése típusától.

Ajánlott eljárás: Csökkentse a virtuális gépek beállításának és üzembe helyezésének variabilitását. Részletek: Az Azure Resource Manager-sablonok használatával megerősítheti az üzembe helyezési lehetőségeket, és könnyebben megértheti és leltározhatja a környezetben lévő virtuális gépeket.

Ajánlott eljárás: Biztonságos emelt szintű hozzáférés. Részletek: Használjon minimális jogosultsági megközelítést és beépített Azure-szerepköröket a virtuális gépek eléréséhez és beállításához:

  • Virtuálisgép-közreműködő: Kezelheti a virtuális gépeket, de nem azt a virtuális hálózatot vagy tárfiókot, amelyhez csatlakoznak.
  • Klasszikus virtuálisgép-közreműködő: Kezelheti a klasszikus üzemi modellel létrehozott virtuális gépeket, de nem azt a virtuális hálózatot vagy tárfiókot, amelyhez a virtuális gépek csatlakoznak.
  • Biztonsági Rendszergazda: Csak Felhőhöz készült Defender: Megtekintheti a biztonsági szabályzatokat, megtekintheti a biztonsági állapotokat, szerkesztheti a biztonsági szabályzatokat, megtekintheti a riasztásokat és javaslatokat, elutasíthatja a riasztásokat és javaslatokat.
  • DevTest Labs-felhasználó: Mindent megtekinthet, csatlakozhat, elindíthat, újraindíthat és kikapcsolhat virtuális gépeket.

Az előfizetés rendszergazdái és társadminisztrátorai módosíthatják ezt a beállítást, így az előfizetés összes virtuális gépének rendszergazdáivá tehetik őket. Győződjön meg arról, hogy megbízik az összes előfizetés rendszergazdájában és társadminisztrátorában, hogy jelentkezzen be bármelyik gépére.

Megjegyzés:

Javasoljuk, hogy az azonos életciklusú virtuális gépeket ugyanabba az erőforráscsoportba összesítse. Erőforráscsoportok használatával üzembe helyezheti, figyelheti és összesítheti az erőforrások számlázási költségeit.

A virtuális gépek hozzáférését és beállítását szabályozó szervezetek javítják a virtuális gépek általános biztonságát.

Több virtuális gép használata a jobb rendelkezésre állás érdekében

Ha a virtuális gép kritikus fontosságú alkalmazásokat futtat, amelyeknek magas rendelkezésre állásra van szükségük, javasoljuk, hogy több virtuális gépet használjon. A jobb rendelkezésre állás érdekében használjon rendelkezésre állási csoportot vagy rendelkezésre állási zónákat.

A rendelkezésre állási csoport egy logikai csoportosítás, amelyet az Azure-ban használhat annak biztosítására, hogy a benne található virtuálisgép-erőforrások el legyenek különítve egymástól, amikor egy Azure-adatközpontban vannak üzembe helyezve. Az Azure biztosítja, hogy a rendelkezésre állási csoportban tárolt virtuális gépek több fizikai kiszolgálón, számítási állványon, tárolóegységen és hálózati kapcsolón futnak. Hardver- vagy Azure-szoftverhiba esetén a rendszer csak a virtuális gépek egy részét érinti, és a teljes alkalmazás továbbra is elérhető marad az ügyfelek számára. A rendelkezésre állási csoportok alapvető fontosságúak, ha megbízható felhőmegoldásokat szeretne létrehozni.

Védekezés a kártevők ellen

Telepítenie kell a kártevőirtó-védelmet a vírusok, kémprogramok és egyéb rosszindulatú szoftverek azonosításához és eltávolításához. Telepítheti a Microsoft Antimalware-t vagy a Microsoft-partner végpontvédelmi megoldását (Trend Micro, Broadcom, McAfee, Windows Defender és System Center Endpoint Protection).

A Microsoft Antimalware olyan funkciókat tartalmaz, mint a valós idejű védelem, az ütemezett vizsgálat, a kártevők szervizelése, az aláírásfrissítések, a motorfrissítések, a minták jelentése és a kizárási események gyűjtése. Az éles környezettől külön üzemeltetett környezetek esetén kártevőirtó bővítmény használatával védheti a virtuális gépeket és a felhőszolgáltatásokat.

A Microsoft Antimalware és a partnermegoldások integrálhatók a Felhőhöz készült Microsoft Defender a könnyű üzembe helyezés és a beépített észlelések (riasztások és incidensek) érdekében.

Ajánlott eljárás: Kártevőirtó megoldás telepítése a kártevők elleni védelem érdekében.
Részletek: Microsoft-partnermegoldás vagy Microsoft Antimalware telepítése

Ajánlott eljárás: A kártevőirtó megoldás integrálása Felhőhöz készült Defender a védelem állapotának monitorozásához.
Részletek: A Felhőhöz készült Defender végpontvédelmi problémáinak kezelése

A virtuálisgép-frissítések kezelése

Az Azure-beli virtuális gépek, mint minden helyszíni virtuális gép, felhasználói felügyeletre szolgálnak. Ezekre az Azure nem küldi le a Windows-frissítéseket. A virtuálisgép-frissítéseket kezelnie kell.

Ajánlott eljárás: A virtuális gépek naprakészen tartása.
Részletek: Az Azure Automation Update Management megoldásával kezelheti az Azure-ban, a helyszíni környezetekben vagy más felhőszolgáltatókban üzembe helyezett Windows- és Linux-számítógépek operációsrendszer-frissítéseit. Az elérhető frissítések állapota minden ügynökszámítógépen egyszerűen felmérhető, és felügyelhető a kiszolgálók szükséges frissítéseinek telepítése is.

A Frissítéskezelés által kezelt számítógépek a következő konfigurációk használatával hajtják végre a felméréseket és frissítik az üzemelő példányokat:

  • Microsoft Monitoring Agent (MMA) Windows vagy Linux rendszerhez
  • PowerShell-célállapotkonfiguráció (DSC) Linux rendszerre
  • Automation hibrid runbook-feldolgozó
  • Microsoft Update vagy Windows Server Update Services (WSUS) Windows-számítógépekhez

Ha Windows Update-et használ, hagyja engedélyezve az automatikus Windows Update-beállítást.

Ajánlott eljárás: Győződjön meg arról, hogy az üzembe helyezéskor a létrehozott rendszerképek tartalmazzák a Windows legújabb frissítéseit.
Részletek: Minden telepítés első lépéseként ellenőrizze és telepítse az összes Windows-frissítést. Ezt a mértéket különösen fontos alkalmazni, ha öntől vagy a saját tárából származó képeket helyez üzembe. Bár az Azure Marketplace-ről származó rendszerképek alapértelmezés szerint automatikusan frissülnek, a nyilvános kiadás után (akár néhány héttel) késés is előfordulhat.

Ajánlott eljárás: A virtuális gépek rendszeres ismételt üzembe helyezése az operációs rendszer új verziójának kényszerítéséhez.
Részletek: Definiálja a virtuális gépet egy Azure Resource Manager-sablonnal , hogy könnyen újra üzembe helyezhesse. Ha szüksége van rá, egy sablon használatával javítva és biztonságosan használhatja a virtuális gépet.

Ajánlott eljárás: Biztonsági frissítések gyors alkalmazása virtuális gépekre.
Részletek: Engedélyezze a Felhőhöz készült Microsoft Defender (ingyenes vagy standard szint) a hiányzó biztonsági frissítések azonosításához és alkalmazásához.

Ajánlott eljárás: Telepítse a legújabb biztonsági frissítéseket.
Részletek: Az ügyfelek által az Azure-ba áthelyezett első számítási feladatok közül néhány tesztkörnyezet és külső elérésű rendszer. Ha az Azure-beli virtuális gépek olyan alkalmazásokat vagy szolgáltatásokat üzemeltetnek, amelyeknek el kell érnie az internetet, ügyeljen a javításra. Javítás az operációs rendszeren kívül. A partneralkalmazások nem javított biztonsági rései olyan problémákhoz is vezethetnek, amelyek elkerülhetők, ha megfelelő javításkezelés van érvényben.

Ajánlott eljárás: Biztonsági mentési megoldás üzembe helyezése és tesztelése.
Részlet: A biztonsági mentést ugyanúgy kell kezelni, mint bármely más műveletet. Ez az éles környezet felhőre kiterjedő részét képező rendszerekre is igaz.

A tesztelési és fejlesztési rendszereknek olyan biztonsági mentési stratégiákat kell követniük, amelyek a helyszíni környezetekben szerzett tapasztalataik alapján olyan visszaállítási képességeket biztosítanak, amelyek hasonlóak a felhasználók által megszokotthoz. Az Azure-ba áthelyezett éles számítási feladatoknak lehetőség szerint integrálniuk kell a meglévő biztonsági mentési megoldásokkal. Vagy az Azure Backup segítségével is kezelheti a biztonsági mentési követelményeket.

Azok a szervezetek, amelyek nem kényszerítik a szoftverfrissítési szabályzatokat, jobban ki vannak téve az ismert, korábban kijavított biztonsági réseket kihasználó fenyegetéseknek. Az iparági előírásoknak való megfelelés érdekében a vállalatoknak bizonyítaniuk kell, hogy szorgalmasak, és megfelelő biztonsági vezérlőkkel gondoskodnak a felhőben található számítási feladataik biztonságáról.

A hagyományos adatközpontok és az Azure IaaS szoftverfrissítési ajánlott eljárásai számos hasonlósággal rendelkeznek. Javasoljuk, hogy értékelje ki az aktuális szoftverfrissítési szabályzatokat, hogy az Azure-ban található virtuális gépeket is tartalmazza.

A virtuális gép biztonsági helyzetének kezelése

A kibertámadások fejlődnek. Széf virtuális gépek védelme olyan monitorozási képességet igényel, amely gyorsan észleli a fenyegetéseket, megakadályozza az erőforrásokhoz való jogosulatlan hozzáférést, riasztásokat aktivál, és csökkenti a hamis pozitív értékeket.

A Windows és Linux rendszerű virtuális gépek biztonsági helyzetének figyeléséhez használja a Felhőhöz készült Microsoft Defender. Az Felhőhöz készült Defender a következő képességek kihasználásával védje meg a virtuális gépeket:

  • Az operációs rendszer biztonsági beállításainak alkalmazása az ajánlott konfigurációs szabályokkal.
  • Azonosíthatja és letöltheti a hiányzó rendszerbiztonsági és kritikus frissítéseket.
  • Javaslatokat helyezhet üzembe a végpontok kártevőirtó-védelméhez.
  • Lemeztitkosítás ellenőrzése.
  • A biztonsági rések felmérése és elhárítás.
  • Fenyegetések észlelése.

Felhőhöz készült Defender aktívan figyelheti a fenyegetéseket, és a potenciális fenyegetések biztonsági riasztásokban jelennek meg. A korrelált fenyegetések egyetlen, biztonsági incidensnek nevezett nézetben vannak összesítve.

Felhőhöz készült Defender az adatokat a Azure Monitor-naplók. Az Azure Monitor-naplók egy lekérdezési nyelvet és elemzési motort biztosítanak, amely betekintést nyújt az alkalmazások és erőforrások működésébe. Az adatok az Azure Monitorból, a felügyeleti megoldásokból és a felhőben vagy a helyszíni virtuális gépeken telepített ügynökökből is gyűjthetők. A közös funkcióknak köszönhetően átfogó képet alkothat a környezetről.

Azok a szervezetek, amelyek nem kényszerítenek erős biztonságot a virtuális gépeikre, továbbra sem tudják, hogy illetéktelen felhasználók esetleg megpróbálják megkerülni a biztonsági vezérlőket.

Virtuális gép teljesítményének monitorozása

Az erőforrás-visszaélés akkor lehet probléma, ha a virtuálisgép-folyamatok a szükségesnél több erőforrást használnak fel. A virtuális gép teljesítményproblémái szolgáltatáskimaradáshoz vezethetnek, ami sérti a rendelkezésre állás biztonsági elvét. Ez különösen fontos az IIS-t vagy más webkiszolgálókat üzemeltető virtuális gépek esetében, mivel a magas processzor- vagy memóriahasználat szolgáltatásmegtagadási (DoS-) támadást jelezhet. Fontos, hogy a virtuális gépek hozzáférése ne csak a probléma bekövetkezésekor legyen aktív, hanem proaktív módon a normál működés során mért alapteljesítményhez képest is.

Javasoljuk, hogy az Azure Monitor használatával betekintést nyerjen az erőforrás állapotába. Az Azure Monitor funkciói:

Azok a szervezetek, amelyek nem figyelik a virtuális gépek teljesítményét, nem tudják megállapítani, hogy a teljesítményminták bizonyos változásai normálisak vagy rendellenesek-e. Egy olyan virtuális gép, amely a szokásosnál több erőforrást használ fel, külső erőforrás vagy a virtuális gépen futó, sérült folyamat támadását jelezheti.

A virtuális merevlemez-fájlok titkosítása

Javasoljuk, hogy titkosítsa a virtuális merevlemezeket (VHD-ket) a rendszerindítási kötet és a tárolóban inaktív adatkötetek, valamint a titkosítási kulcsok és titkos kódok védelme érdekében.

A Linux rendszerű virtuális gépekHez készült Azure Disk Encryption és a Windows rendszerű virtuális gépekhez készült Azure Disk Encryption segít a Linux és a Windows IaaS rendszerű virtuális gépek lemezeinek titkosításában. Az Azure Disk Encryption a Linux iparági szabványnak megfelelő DM-Crypt funkcióját és a Windows BitLocker funkcióját használja az operációs rendszer és az adatlemezek kötettitkosításához. A megoldás integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat a Key Vault-előfizetésben. A megoldás azt is biztosítja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva lesz az Azure Storage-ban.

Az Azure Disk Encryption használatának ajánlott eljárásai a következők:

Ajánlott eljárás: Titkosítás engedélyezése virtuális gépeken.
Részletek: Az Azure Disk Encryption létrehozza és beírja a titkosítási kulcsokat a kulcstartóba. A kulcstartóban lévő titkosítási kulcsok kezeléséhez Microsoft Entra-hitelesítés szükséges. Ehhez hozzon létre egy Microsoft Entra-alkalmazást. Hitelesítési célokra használhat titkos ügyfélalapú hitelesítést vagy ügyféltanúsítvány-alapú Microsoft Entra-hitelesítést.

Ajánlott eljárás: Kulcstitkosítási kulcs (KEK) használata a titkosítási kulcsok további biztonsági rétegéhez. Adjon hozzá egy KEK-t a kulcstartóhoz.
Részletek: Az Add-AzKeyVaultKey parancsmaggal hozzon létre egy kulcstitkosítási kulcsot a kulcstartóban. A kulcskezeléshez a helyszíni hardveres biztonsági modulból (HSM) is importálhat KEK-t. További információkért tekintse meg a Key Vault dokumentációját. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal csomagolja be a titkosítási titkos kulcsokat, mielőtt a Key Vaultba ír. A kulcs letéti másolatának helyszíni kulcskezelési HSM-ben való megőrzése további védelmet nyújt a kulcsok véletlen törlése ellen.

Ajánlott eljárás: Készítsen pillanatképet és/vagy biztonsági másolatot a lemezek titkosítása előtt. A biztonsági mentések helyreállítási lehetőséget biztosítanak, ha a titkosítás során váratlan hiba történik.
Részlet: A felügyelt lemezekkel rendelkező virtuális gépek biztonsági mentést igényelnek a titkosítás előtt. A biztonsági mentés után a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. A titkosított virtuális gépek biztonsági mentésével és visszaállításával kapcsolatos további információkért tekintse meg az Azure Backup-cikket .

Ajánlott eljárás: Annak érdekében, hogy a titkosítási titkos kulcsok ne léphessenek át regionális határokat, az Azure Disk Encryptionnek a kulcstartót és a virtuális gépeket ugyanabban a régióban kell elhelyeznie.
Részletek: Hozzon létre és használjon egy kulcstartót, amely ugyanabban a régióban található, mint a titkosítandó virtuális gép.

Az Azure Disk Encryption alkalmazásakor a következő üzleti igényeket elégítheti ki:

  • A szolgáltatott infrastruktúra inaktív virtuális gépeit védő, az iparági szabványnak megfelelő titkosítási technológia kielégíti a vállalati biztonsági és megfelelőségi követelményeket.
  • Az IaaS virtuális gépek ügyfél által vezérelt kulcsokkal és szabályzatokkal kezdődnek, és a használatukat a kulcstartóban is naplózhatja.

Közvetlen internetkapcsolat korlátozása

A virtuális gép közvetlen internetkapcsolatának figyelése és korlátozása. A támadók folyamatosan ellenőrzik a nyilvános felhőBELI IP-címtartományokat a nyílt felügyeleti portokon, és "egyszerű" támadásokat kísérelnek meg, például a gyakori jelszavakat és az ismert, nem használt biztonsági réseket. Az alábbi táblázat a támadások elleni védelemhez ajánlott eljárásokat sorolja fel:

Ajánlott eljárás: A hálózati útválasztás és -biztonság véletlen expozíciójának megakadályozása.
Részletek: Az Azure RBAC használatával győződjön meg arról, hogy csak a központi hálózati csoport rendelkezik hálózati erőforrásokra vonatkozó engedéllyel.

Ajánlott eljárás: Azonosítsa és szervizelje azokat a közzétett virtuális gépeket, amelyek "bármely" forrás IP-címről engedélyezik a hozzáférést.
Részletek: Használja a Felhőhöz készült Microsoft Defender. Felhőhöz készült Defender javasoljuk, hogy korlátozza az internetes végpontokon keresztüli hozzáférést, ha valamelyik hálózati biztonsági csoport rendelkezik egy vagy több bejövő szabálysal, amelyek engedélyezik a hozzáférést "bármely" forrás IP-címéről. Felhőhöz készült Defender javasoljuk, hogy szerkessze ezeket a bejövő szabályokat, hogy korlátozza a hozzáférést a ténylegesen hozzáférésre szoruló forrás IP-címekhez.

Ajánlott eljárás: Felügyeleti portok korlátozása (RDP, SSH).
Részlet: Az igény szerinti (JIT) virtuálisgép-hozzáféréssel zárolhatja az Azure-beli virtuális gépek bejövő forgalmát, csökkentve a támadásoknak való kitettséget, miközben szükség esetén könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz. Ha a JIT engedélyezve van, Felhőhöz készült Defender egy hálózati biztonsági csoportszabály létrehozásával zárolja az Azure-beli virtuális gépek bejövő forgalmát. Kiválaszthatja a virtuális gép azon portjainak a kijelölését, amelyekbe a bejövő forgalom le lesz zárva. Ezeket a portokat a JIT-megoldás vezérli.

Következő lépések

Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használandó ajánlott biztonsági eljárásokért.

A következő erőforrások érhetők el az Azure biztonságával és a kapcsolódó Microsoft-szolgáltatások kapcsolatos általános információk biztosításához: