Beveiligen en beleidsregels gebruiken op virtuele machines in Azure
Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️
Het is belangrijk om uw virtuele machine (VM) veilig te houden voor de toepassingen die u uitvoert. Het beveiligen van uw VM's kan een of meer Azure-services en -functies bevatten die betrekking hebben op beveiligde toegang tot uw VM's en beveiligde opslag van uw gegevens. Dit artikel bevat informatie waarmee u uw VM en toepassingen veilig kunt houden.
Antimalware
Het moderne bedreigingslandschap voor cloudomgevingen is dynamisch, waardoor de druk toeneemt om effectieve beveiliging te handhaven om te voldoen aan nalevings- en beveiligingsvereisten. Microsoft Antimalware voor Azure is een gratis realtime-beveiligingsmogelijkheid waarmee virussen, spyware en andere schadelijke software worden geïdentificeerd en verwijderd. Waarschuwingen kunnen worden geconfigureerd om u op de hoogte te stellen wanneer bekende schadelijke of ongewenste software probeert zichzelf te installeren of op uw VM uit te voeren. Het wordt niet ondersteund op VM's met Linux of Windows Server 2008.
Microsoft Defender for Cloud
Microsoft Defender voor Cloud helpt u bedreigingen voor uw VM's te voorkomen, te detecteren en erop te reageren. Defender voor Cloud biedt geïntegreerd beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een breed ecosysteem van beveiligingsoplossingen.
de Just-In-Time-toegang van Defender voor Cloud kan worden toegepast op uw VM-implementatie om binnenkomend verkeer naar uw Virtuele Azure-machines te vergrendelen, waardoor de blootstelling aan aanvallen wordt verminderd, terwijl u zo nodig eenvoudig toegang hebt om verbinding te maken met VM's. Wanneer Just-In-Time is ingeschakeld en een gebruiker toegang tot een VIRTUELE machine aanvraagt, Defender voor Cloud controleert welke machtigingen de gebruiker heeft voor de virtuele machine. Als ze over de juiste machtigingen beschikken, wordt de aanvraag goedgekeurd en Defender voor Cloud de netwerkbeveiligingsgroepen (NSG's) automatisch zo configureren dat binnenkomend verkeer naar de geselecteerde poorten gedurende een beperkte tijd wordt toegestaan. Nadat de tijd is verlopen, herstelt Defender voor Cloud de NSG's naar hun vorige statussen.
Versleuteling
Er worden twee versleutelingsmethoden aangeboden voor beheerde schijven. Versleuteling op besturingssysteemniveau, Azure Disk Encryption en versleuteling op platformniveau, wat versleuteling aan de serverzijde is.
Versleuteling aan de serverzijde
Met Azure beheerde schijven worden uw gegevens standaard automatisch versleuteld wanneer deze in de cloud worden bewaard. Versleuteling aan de serverzijde beschermt uw gegevens en helpt u te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Gegevens in beheerde Azure-schijven worden transparant versleuteld met behulp van 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en die compatibel zijn met FIPS 140-2.
Versleuteling heeft geen invloed op de prestaties van beheerde schijven. Er zijn geen extra kosten verbonden aan de versleuteling.
U kunt gebruikmaken van door het platform beheerde sleutels voor de versleuteling van uw beheerde schijf of u kunt versleuteling beheren met behulp van uw eigen sleutels. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, kunt u een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van alle gegevens in beheerde schijven.
Raadpleeg de artikelen voor Windows of Linux voor meer informatie over versleuteling aan de serverzijde.
Azure Disk Encryption
Voor verbeterde beveiliging en naleving van Virtuele Windows-machines en Linux-VM's kunnen virtuele schijven in Azure worden versleuteld. Virtuele schijven op Windows-VM's worden in rust versleuteld met BitLocker. Virtuele schijven op Linux-VM's worden in rust versleuteld met behulp van dm-crypt.
Er worden geen kosten in rekening gebracht voor het versleutelen van virtuele schijven in Azure. Cryptografische sleutels worden opgeslagen in Azure Key Vault met softwarebeveiliging, of u kunt uw sleutels importeren of genereren in HSM's (Hardware Security Modules) die zijn gecertificeerd volgens door FIPS 140 gevalideerde standaarden. Deze cryptografische sleutels worden gebruikt voor het versleutelen en ontsleutelen van virtuele schijven die zijn gekoppeld aan uw VM. U behoudt de controle over deze cryptografische sleutels en kunt het gebruik controleren. Een Microsoft Entra-service-principal biedt een veilig mechanisme voor het uitgeven van deze cryptografische sleutels, omdat VM's worden ingeschakeld en uitgeschakeld.
Key Vault- en SSH-sleutels
Geheimen en certificaten kunnen worden gemodelleerd als resources en worden geleverd door Key Vault. U kunt Azure PowerShell gebruiken om sleutelkluizen te maken voor Windows-VM's en de Azure CLI voor Linux-VM's. U kunt ook sleutels voor versleuteling maken.
Key Vault-toegangsbeleid verleent machtigingen voor sleutels, geheimen en certificaten afzonderlijk. U kunt bijvoorbeeld een gebruiker toegang geven tot sleutels, maar geen machtigingen voor geheimen geven. Machtigingen voor toegang tot sleutels, geheimen of certificaten bevinden zich echter op het niveau van de Key Vault. Met andere woorden, key vault-toegangsbeleid biedt geen ondersteuning voor machtigingen op objectniveau.
Wanneer u verbinding maakt met virtuele machines, moet u openbare-sleutelcryptografie gebruiken om u op een veiligere manier aan te melden. Dit proces omvat een uitwisseling van openbare en persoonlijke sleutels met behulp van de SSH-opdracht (Secure Shell) om uzelf te verifiëren in plaats van een gebruikersnaam en wachtwoord. Wachtwoorden zijn kwetsbaar voor beveiligingsaanvallen, met name op internetgerichte VM's zoals webservers. Met een SSH-sleutelpaar (Secure Shell) kunt u een Virtuele Linux-machine maken die gebruikmaakt van SSH-sleutels voor verificatie, waardoor u zich niet hoeft aan te melden. U kunt ook SSH-sleutels gebruiken om verbinding te maken vanaf een Windows-VM met een Linux-VM.
Beheerde identiteiten voor Azure-resources
Een veelvoorkomende uitdaging bij het bouwen van cloud-apps is het beheren van de referenties in uw code voor verificatie bij cloudservices. Het is belangrijk dat de referenties veilig worden bewaard. In het ideale geval worden de referenties nooit weergegeven op werkstations van ontwikkelaars en niet ingecheckt in broncodebeheer. Azure Key Vault biedt een manier voor het veilig opslaan van referenties, geheimen en andere sleutels, maar uw code moet worden geverifieerd bij Key Vault om ze op te halen.
Dit probleem wordt opgelost met de functie beheerde identiteiten voor Azure-resources in Microsoft Entra. De functie biedt Azure-services met een automatisch beheerde identiteit in Microsoft Entra-id. U kunt de identiteit gebruiken om te verifiëren bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief Key Vault, zonder referenties in uw code. Uw code die wordt uitgevoerd op een virtuele machine, kan een token aanvragen vanaf twee eindpunten die alleen toegankelijk zijn vanuit de VIRTUELE machine. Raadpleeg de overzichtspagina met beheerde identiteiten voor Azure-resources voor meer gedetailleerde informatie over deze service.
Beleidsregels
Azure-beleid kan worden gebruikt om het gewenste gedrag voor de VM's van uw organisatie te definiëren. Door beleidsregels te gebruiken, kan een organisatie verschillende conventies en regels afdwingen in de hele onderneming. Het afdwingen van het gewenste gedrag kan helpen bij het beperken van risico's terwijl dit bijdraagt aan het succes van de organisatie.
Op rollen gebaseerd toegangsbeheer van Azure
Met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u taken in uw team scheiden en alleen de hoeveelheid toegang verlenen aan gebruikers op uw VIRTUELE machine die ze nodig hebben om hun taken uit te voeren. In plaats van iedereen onbeperkte machtigingen op de virtuele machine te geven, kunt u alleen bepaalde acties toestaan. U kunt toegangsbeheer configureren voor de virtuele machine in Azure Portal, met behulp van de Azure CLI ofAzure PowerShell.