Szabályzatok biztonsága és használata virtuális gépeken az Azure-ban

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális ✔️ Windows ✔️ ✔️ virtuális gépek és rugalmas méretezési készletek Egységes méretezési készletek

Fontos, hogy a virtuális gép (VM) biztonságban legyen a futtatott alkalmazások számára. A virtuális gépek biztonságossá tétele egy vagy több Azure-szolgáltatást és -funkciót tartalmazhat, amelyek a virtuális gépek biztonságos hozzáférését és az adatok biztonságos tárolását biztosítják. Ez a cikk olyan információkat tartalmaz, amelyek segítségével biztonságban tarthatja virtuális gépét és alkalmazásait.

Kártevőirtó

A felhőalapú környezetek modern fenyegetési környezete dinamikus, így nő a nyomás a hatékony védelem fenntartására, hogy megfeleljen a megfelelőségi és biztonsági követelményeknek. Microsoft Antimalware azure-hoz való használata egy ingyenes valós idejű védelmi funkció, amely segít a vírusok, kémprogramok és más kártevő szoftverek azonosításában és eltávolításában. A riasztások konfigurálhatóak úgy, hogy értesítést küldsék, ha ismert kártevő vagy nemkívánatos szoftver megpróbálja magát telepíteni vagy futtatni a virtuális gépen. Linux vagy Windows Server 2008 rendszert futtató virtuális gépeken nem támogatott.

Microsoft Defender for Cloud

A Microsoft Defender for Cloud segít megelőzni, észlelni és reagálni a virtuális gépeket fenyegető fenyegetésekre. A Defender for Cloud integrált biztonsági monitorozást és szabályzatkezelést biztosít az Összes Azure-előfizetésben, segít észlelni az egyébként észrevétlenül észlelhető fenyegetéseket, és a biztonsági megoldások széles ökoszisztémáját használja.

A Defender for Cloudhoz való, megfelelő időben elérhető hozzáférés alkalmazható a virtuális gép üzemelő példányán az Azure-beli virtuális gépek bejövő forgalmának zárolása érdekében, ezzel csökkentve a támadásoknak való kitettséget, miközben könnyű hozzáférést biztosít a virtuális gépekhez való csatlakozáshoz, amikor szükség van rá. Ha engedélyezve van az időponthoz való hozzáférés, és a felhasználó hozzáférést kér egy virtuális géphez, a Defender for Cloud ellenőrzi, hogy a felhasználó milyen engedélyekkel rendelkezik a virtuális géphez. Ha a megfelelő engedélyekkel rendelkeznek, a rendszer jóváhagyja a kérést, és a Defender a hálózati biztonsági csoportokat (NSG-ket) automatikusan úgy konfigurálja, hogy korlátozott ideig engedélyezhétsen a bejövő forgalmat a kiválasztott portokra. Az idő lejárta után a Defender for Cloud visszaállítja az NSG-ket a korábbiakra.

Titkosítás

A felügyelt lemezekhez két titkosítási módszer áll rendelkezésre. Titkosítás az operációs rendszer szintjén, amely Azure Disk Encryption titkosítás platformszinten, amely kiszolgálóoldali titkosítás.

Kiszolgálóoldali titkosítás

Az Azure-beli felügyelt lemezek alapértelmezés szerint automatikusan titkosítják az adatokat, amikor a felhőben tőrznek. A kiszolgálóoldali titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségvállalások teljesítésében. Az Azure-beli felügyelt lemezeken lévő adatok transzparensen vannak titkosítva 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokktitkosítás, és FIPS 140-2 szabványnak megfelelő.

A titkosítás nem befolyásolja a felügyelt lemezek teljesítményét. A titkosítás nem jár többletköltséggel.

A felügyelt lemez titkosítása platform által felügyelt kulcsokkal is kezelhető, de saját kulcsokkal is kezelhető. Ha úgy dönt, hogy a titkosítást a saját kulcsokkal kezeli, megadhat egy felhasználó által kezelt kulcsot, amely a felügyelt lemezeken lévő összes adat titkosításához és visszafejtéséhez használható.

A kiszolgálóoldali titkosítással kapcsolatos további információkért tekintse meg a linuxos vagy linuxos Windowscikkeket.

Azure Disk Encryption

A virtuális Windowslinuxos virtuális gépek biztonságának és megfelelőségének javítása érdekében az Azure-beli virtuális lemezek titkosíthatóak. A virtuális gépeken Windows virtuális gépeken lévő virtuális lemezek titkosítása a BitLocker használatával történik. A Linux rendszerű virtuális gépeken lévő virtuális lemezek titkosítása a dm-crypt használatával történik.

Az Azure-beli virtuális lemezek titkosítása díjmentes. A titkosítási kulcsokat a Azure Key Vault szoftveres védelemmel tárolják, vagy importálhatja vagy létrehozhatja a kulcsokat a FIPS 140-2 2. szintű szabványnak megfelelő hardveres biztonsági modulokban (HSM-ekkel). Ezek a titkosítási kulcsok a virtuális géphez csatolt virtuális lemezek titkosítására és visszafejtéséhez használhatók. Ezeket a titkosítási kulcsokat Ön továbbra is ön irányíthatja, és naplózhatja azok használatát. A Azure Active Directory szolgáltatásnév biztonságos mechanizmust biztosít a titkosítási kulcsok kiállításához a virtuális gépek be- és kikapcsolt állapotban.

Key Vault és SSH-kulcsok

A titkos kulcsok és tanúsítványok erőforrásokként modellelve és a Key Vault. A virtuális Azure PowerShell használatával kulcstartókat hozhat létre Windows virtuális gépekhez és az Azure CLI-t Linux rendszerű virtuális gépekhez. A titkosításhoz kulcsokat is létrehozhat.

A kulcstartó-hozzáférési szabályzatok külön-külön biztosítják a kulcsok, titkos kulcsok és tanúsítványok engedélyeit. Egy adott felhasználó számára hozzáférést engedélyezhet például kizárólag a kulcsokhoz, de a titkos kulcsokhoz nem. A kulcsok, titkos kulcsok és tanúsítványok hozzáférése ugyanakkor tárolószinten engedélyezett. Más szóval a kulcstartó-hozzáférési szabályzat nem támogatja az objektumszintű engedélyeket.

Amikor virtuális gépekhez csatlakozik, nyilvános kulcsú titkosítást kell használnia, hogy biztonságosabb bejelentkezést biztosítson. Ez a folyamat magában foglalja egy nyilvános és titkos kulcscserét a Secure Shell (SSH) paranccsal, amely felhasználónév és jelszó helyett saját magát hitelesíti. A jelszavak ki vannak téve a találgatásos támadásoknak, különösen az internetes virtuális gépek, például webkiszolgálók esetén. A Secure Shell- (SSH-) kulcspárokkal létrehozhat egy Linux rendszerű virtuális gépet, amely SSH-kulcsokat használ a hitelesítéshez, így nincs szükség jelszavakra a bejelentkezéshez. SSH-kulcsokkal egy virtuális gépről is Windows Linux rendszerű virtuális géphez.

Azure-erőforrások felügyelt identitásai

A felhőalapú alkalmazások készítése során általános kihívást jelenti a hitelesítő adatok a kódban való kezelése, amelyekkel az alkalmazás magát a felhőalapú szolgáltatásokban hitelesíti. A hitelesítő adatok biztonságának megőrzése fontos feladat. Ideális esetben a hitelesítő adatok soha nem jelennek meg a fejlesztői munkaállomásokon, és a verziókövetési rendszerbe sem kerülnek be. Az Azure Key Vault módot kínál a hitelesítő adatok, titkos kódok és egyéb kulcsok biztonságos tárolására, azonban a kódnak hitelesítenie kell magát a Key Vaultban az adatok lekéréséhez.

Az Azure Active Directory (Azure AD) Azure-erőforrások felügyelt identitásai szolgáltatása megoldást kínál erre a problémára. A szolgáltatás automatikusan felügyelt identitást biztosít az Azure-szolgáltatások számára az Azure AD-ben. Ezzel az identitással bármely, az Azure AD-hitelesítést támogató szolgáltatásban, többek között a Key Vaultban is elvégezheti a hitelesítést anélkül, hogy a hitelesítő adatok a kódban szerepelnének. A virtuális gépen futó kód két végpontról kérhet jogkivonatot, amelyek csak a virtuális gépen belülről érhetők el. A szolgáltatással kapcsolatos részletesebb információkért tekintse meg az Azure-erőforrások felügyelt identitásának áttekintő oldalát.

Szabályzatok

Az Azure-szabályzatokkal meghatározhatja a kívánt viselkedést a szervezet virtuális Windows Linux rendszerű virtuális gépei számára. Szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthet ki a vállalaton belül. A kívánt viselkedés kényszerítése segíthet mérsékelni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.

Azure-beli szerepköralapú hozzáférés-vezérlés

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával elkülönítheti a csapaton belüli feladatokat, és csak olyan mennyiségű hozzáférést adhat a virtuális gép felhasználóinak, amelyekre a feladataik elvégzéséhez szükségük van. Ahelyett, hogy mindenki számára korlátlan engedélyeket ad a virtuális gépen, csak bizonyos műveleteket engedélyezhet. A virtuális gép hozzáférés-vezérlését az Azure CLI Azure Portal vagy a Azure PowerShell.

Következő lépések

  • A virtuális gépek biztonságának linuxos vagy linuxos Microsoft Defender for Cloud használatával való figyelése Windows.