Biztonsági alapkonfigurációk megadása saaS-, PaaS- és IaaS-szolgáltatásokhoz
Ez az egység áttekintést nyújt az IaaS- és PaaS-biztonság általános ajánlott eljárásairól.
IaaS-biztonság
Virtuális gépek védelme hitelesítéssel és hozzáférés-vezérléssel
A virtuális gépek védelmének első lépése annak biztosítása, hogy csak a jogosult felhasználók állíthatnak be új virtuális gépeket, és hozzáférhetnek a virtuális gépekhez.
Az Azure-szabályzatokkal konvenciókat hozhat létre a szervezet erőforrásaihoz, és testre szabott szabályzatokat hozhat létre. Alkalmazza ezeket a szabályzatokat az erőforrásokra, például az erőforráscsoportokra. Az erőforráscsoporthoz tartozó virtuális gépek öröklik a szabályzatait.
Több virtuális gép használata a jobb rendelkezésre állás érdekében
Ha a virtuális gép kritikus fontosságú alkalmazásokat futtat, amelyeknek magas rendelkezésre állásra van szükségük, javasoljuk, hogy több virtuális gépet használjon. A jobb rendelkezésre állás érdekében használjon rendelkezésre állási csoportot vagy rendelkezésre állási zónákat.
A rendelkezésre állási csoport egy logikai csoportosítás, amelyet az Azure-ban használhat annak biztosítására, hogy a benne található virtuálisgép-erőforrások el legyenek különítve egymástól, amikor egy Azure-adatközpontban vannak üzembe helyezve. Az Azure biztosítja, hogy a rendelkezésre állási csoportban tárolt virtuális gépek több fizikai kiszolgálón, számítási állványon, tárolóegységen és hálózati kapcsolón futnak. Hardver- vagy Azure-szoftverhiba esetén a rendszer csak a virtuális gépek egy részét érinti, és a teljes alkalmazás továbbra is elérhető marad az ügyfelek számára. A rendelkezésre állási csoportok alapvető fontosságúak, ha megbízható felhőmegoldásokat szeretne létrehozni.
Védekezés a kártevők ellen
Telepítenie kell a kártevőirtó-védelmet a vírusok, kémprogramok és egyéb rosszindulatú szoftverek azonosításához és eltávolításához. Telepítheti a Microsoft Antimalware-t vagy a Microsoft-partner végpontvédelmi megoldását (Trend Micro, Broadcom, McAfee, Windows Defender és System Center Endpoint Protection).
A virtuálisgép-frissítések kezelése
Az Azure-beli virtuális gépek, mint minden helyszíni virtuális gép, felhasználói felügyeletre szolgálnak. Ezekre az Azure nem küldi le a Windows-frissítéseket. A virtuálisgép-frissítéseket kezelnie kell.
Az Azure Automation Update Management megoldásával kezelheti az Azure-ban, a helyszíni környezetekben vagy más felhőszolgáltatókban üzembe helyezett Windows- és Linux-számítógépek operációsrendszer-frissítéseit. Az elérhető frissítések állapota minden ügynökszámítógépen egyszerűen felmérhető, és felügyelhető a kiszolgálók szükséges frissítéseinek telepítése is.
A virtuális gép biztonsági helyzetének kezelése
A kibertámadások fejlődnek. Széf virtuális gépek védelme olyan monitorozási képességet igényel, amely gyorsan észleli a fenyegetéseket, megakadályozza az erőforrásokhoz való jogosulatlan hozzáférést, riasztásokat aktivál, és csökkenti a hamis pozitív értékeket.
A Windows és Linux rendszerű virtuális gépek biztonsági helyzetének figyeléséhez használja a Felhőhöz készült Microsoft Defender.
Virtuális gép teljesítményének monitorozása
Az erőforrás-visszaélés akkor lehet probléma, ha a virtuálisgép-folyamatok a szükségesnél több erőforrást használnak fel. A virtuális gép teljesítményproblémái szolgáltatáskimaradáshoz vezethetnek, ami sérti a rendelkezésre állás biztonsági elvét. Ez különösen fontos az IIS-t vagy más webkiszolgálókat üzemeltető virtuális gépek esetében, mivel a magas processzor- vagy memóriahasználat szolgáltatásmegtagadási (DoS-) támadást jelezhet. Fontos, hogy a virtuális gépek hozzáférése ne csak a probléma bekövetkezésekor legyen aktív, hanem proaktív módon a normál működés során mért alapteljesítményhez képest is.
A virtuális merevlemez-fájlok titkosítása
Javasoljuk, hogy titkosítsa a virtuális merevlemezeket (VHD-ket) a rendszerindítási kötet és a tárolóban inaktív adatkötetek, valamint a titkosítási kulcsok és titkos kódok védelme érdekében.
A Linux rendszerű virtuális gépekHez készült Azure Disk Encryption és a Windows rendszerű virtuális gépekhez készült Azure Disk Encryption segít a Linux és a Windows IaaS rendszerű virtuális gépek lemezeinek titkosításában. Az Azure Disk Encryption a Linux iparági szabványnak megfelelő DM-Crypt funkcióját és a Windows BitLocker funkcióját használja az operációs rendszer és az adatlemezek kötettitkosításához. A megoldás integrálva van az Azure Key Vaulttal, így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat a Key Vault-előfizetésben. A megoldás azt is biztosítja, hogy a virtuálisgép-lemezeken lévő összes adat titkosítva lesz az Azure Storage-ban.
Közvetlen internetkapcsolat korlátozása
A virtuális gép közvetlen internetkapcsolatának figyelése és korlátozása. A támadók folyamatosan ellenőrzik a nyilvános felhőBELI IP-címtartományokat a nyílt felügyeleti portokon, és "egyszerű" támadásokat kísérelnek meg, például a gyakori jelszavakat és az ismert, nem használt biztonsági réseket.
PaaS-biztonság
Identitáskezelési szabályzat elfogadása elsődleges biztonsági szegélyként
A felhőalapú számítástechnika öt alapvető jellemzője közül az egyik a széles körű hálózati hozzáférés, ami kevésbé relevánssá teszi a hálózatközpontú gondolkodást. A felhőalapú számítástechnika nagy részének célja, hogy a felhasználók helytől függetlenül hozzáférhessenek az erőforrásokhoz. A felhasználók többsége számára a tartózkodási helyük valahol az interneten lesz.
Az alábbi ábra bemutatja, hogyan változott a biztonsági szegély a hálózati szegélyről az identitás szegélyére. A biztonság egyre kevésbé szól a hálózat védelméről és az adatok védelméről, valamint az alkalmazások és a felhasználók biztonságának kezeléséről. A legfontosabb különbség az, hogy a biztonságot közelebb szeretné helyezni a vállalat számára fontoshoz.
Kezdetben az Azure PaaS-szolgáltatások (például webes szerepkörök és Azure SQL) kevés vagy semmilyen hagyományos hálózati szegélyvédelmet biztosítottak. Úgy értelmezték, hogy az elem célja az internet (webes szerepkör) elérése, és hogy a hitelesítés biztosítja az új szegélyt (például BLOB vagy Azure SQL).
A modern biztonsági eljárások feltételezik, hogy a támadó áttörte a hálózat peremhálózatát. Ezért a modern védelmi eljárások átálltak az identitásra. A szervezeteknek erős hitelesítéssel és hitelesítési higiéniával kell kialakítaniuk egy identitásalapú biztonsági szegélyt (ajánlott eljárások).
A hálózat peremhálózatának alapelvei és mintái évtizedek óta elérhetők. Ezzel szemben az iparág viszonylag kevesebb tapasztalattal rendelkezik az identitás elsődleges biztonsági szegélyként való használatával kapcsolatban. Ezzel azt mondta, hogy felhalmozottunk elég tapasztalatot ahhoz, hogy általános javaslatokat nyújtsunk, amelyek bizonyítottak a területen, és szinte minden PaaS-szolgáltatásra érvényesek.
Fejlesztés Azure-alkalmazás szolgáltatáson
Azure-alkalmazás Szolgáltatás egy PaaS-ajánlat, amellyel webes és mobilalkalmazásokat hozhat létre bármilyen platformhoz vagy eszközhöz, és bárhol, a felhőben vagy a helyszínen csatlakozhat az adatokhoz. Az App Service tartalmazza azokat a webes és mobil képességeket, amelyeket korábban külön szállítottak azure-webhelyekként és Azure Mobile Servicesként. Ezenkívül új lehetőségek is elérhetők az üzleti folyamatok automatizálásához és felhőalapú API-k üzemeltetéséhez. Egyetlen integrált szolgáltatásként az App Service számos funkciót kínál a webes, mobil és integrációs forgatókönyvekhez.
Webalkalmazási tűzfal telepítése
A webalkalmazások egyre inkább ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Az ilyen jellegű támadások között például gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megakadályozása az alkalmazáskódban kihívást jelenthet, és szigorú karbantartást, javítást és monitorozást igényelhet az alkalmazástopológia számos rétegében. A központosított webalkalmazási tűzfal egyszerűbbé teszi a biztonságfelügyeletet, és segít az alkalmazás-rendszergazdáknak a fenyegetések vagy a behatolások elleni védekezésben. Emellett a WAF-megoldás gyorsabban képes kezelni a biztonsági fenyegetéseket azáltal, hogy kijavítja az ismert biztonsági réseket egy központi helyen, ahelyett hogy az egyes webalkalmazások védelmét biztosítaná.
A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen.
DDoS elleni védelem
Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden peremhálózaton engedélyeznie kell.
Az alkalmazások teljesítményének monitorozása
A monitorozás az alkalmazások teljesítményének, állapotának és rendelkezésre állásának meghatározásához szükséges adatok gyűjtésének és elemzésének feladata. A hatékony monitorozási stratégia pontos információkat nyújt az alkalmazás összetevőinek működéséről. Ez segít növelni az üzemidőt azáltal, hogy értesíti Önt a kritikus problémákról, hogy megoldhassa őket, mielőtt problémákba ütköznének. Emellett segít észlelni azokat az anomáliákat is, amelyek biztonsági jellegűek lehetnek.
Biztonsági behatolástesztelés végrehajtása
A biztonsági védelem érvényesítése ugyanolyan fontos, mint bármely más funkció tesztelése. A behatolástesztelést a buildelési és üzembehelyezési folyamat standard részévé teheti. Rendszeres biztonsági tesztek és biztonságirés-vizsgálat ütemezése az üzembe helyezett alkalmazásokon, valamint a nyitott portok, végpontok és támadások figyelése.