Najlepsze rozwiązania dotyczące zabezpieczeń dla obciążeń IaaS na platformie AzureSecurity best practices for IaaS workloads in Azure

W tym artykule opisano najlepsze rozwiązania w zakresie zabezpieczeń dotyczące maszyn wirtualnych i systemów operacyjnych.This article describes security best practices for VMs and operating systems.

Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi funkcjami platformy Azure i zestawami funkcji.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Ponieważ Opinie i technologie mogą ulec zmianie z upływem czasu, ten artykuł zostanie zaktualizowany w celu odzwierciedlenia tych zmian.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

W większości scenariuszy infrastruktury jako usługi (IaaS) maszyny wirtualne platformy Azure są głównym obciążeniem dla organizacji korzystających z chmury obliczeniowej.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Ten fakt jest oczywisty w scenariuszach hybrydowych , w których organizacje chcą wolno migrować obciążenia do chmury.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. W takich scenariuszach postępuj zgodnie z ogólnymi zagadnieniami dotyczącymi zabezpieczeń IaaSi stosuj najlepsze rozwiązania w zakresie zabezpieczeń do wszystkich maszyn wirtualnych.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Ochrona maszyn wirtualnych przy użyciu uwierzytelniania i kontroli dostępuProtect VMs by using authentication and access control

Pierwszym krokiem w ochronie maszyn wirtualnych jest upewnienie się, że tylko autoryzowani użytkownicy mogą konfigurować nowe maszyny wirtualne i uzyskiwać dostęp do maszyn wirtualnych.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Uwaga

Aby zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Linux na platformie Azure, możesz zintegrować się z uwierzytelnianiem za pomocą usługi Azure AD.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Korzystając z uwierzytelniania usługi Azure AD dla maszyn wirtualnych z systemem Linux, można centralnie kontrolować i wymuszać zasady zezwalające na dostęp do maszyn wirtualnych lub odmawiające tego dostępu.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Najlepsze rozwiązanie: kontrolowanie dostępu do maszyny wirtualnej.Best practice: Control VM access.
Szczegóły: Użyj zasad platformy Azure , aby określić konwencje dla zasobów w organizacji i utworzyć dostosowane zasady.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Zastosuj te zasady do zasobów, takich jak grupy zasobów.Apply these policies to resources, such as resource groups. Maszyny wirtualne należące do grupy zasobów dziedziczą swoje zasady.VMs that belong to a resource group inherit its policies.

Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji.Azure management groups provide a level of scope above subscriptions. Można organizować subskrypcje w grupy zarządzania (kontenery) i stosować warunki ładu do tych grup.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do grupy.All subscriptions within a management group automatically inherit the conditions applied to the group. Grupy zarządzania umożliwiają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Najlepsze rozwiązanie: redukcja zmienności instalacji i wdrożenia maszyn wirtualnych.Best practice: Reduce variability in your setup and deployment of VMs.
Szczegóły: użyj szablonów Azure Resource Manager , aby wzmocnić wybór wdrożenia i ułatwić jego zrozumienie i Spis maszyn wirtualnych w środowisku.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Najlepsze rozwiązanie: bezpieczny dostęp uprzywilejowany.Best practice: Secure privileged access.
Szczegóły: aby umożliwić użytkownikom dostęp do maszyn wirtualnych i konfigurować je, użyj podejścia najniższych uprawnień oraz wbudowanych ról platformy Azure:Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Współautor maszyny wirtualnej: może zarządzać maszynami wirtualnymi, ale nie z siecią wirtualną ani kontem magazynu, z którym są połączone.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Współautor klasycznej maszyny wirtualnej: może zarządzać maszynami wirtualnymi utworzonymi przy użyciu klasycznego modelu wdrażania, ale nie z siecią wirtualną ani kontem magazynu, z którym są połączone maszyny wirtualne.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Administrator zabezpieczeń: tylko w Security Center: mogą wyświetlać zasady zabezpieczeń, wyświetlać Stany zabezpieczeń, edytować zasady zabezpieczeń, wyświetlać alerty i zalecenia, odrzucać alerty i zalecenia.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Użytkownik DevTest Labs: może wyświetlać wszystko i łączyć, uruchamiać, ponownie uruchamiać i zamykać maszyny wirtualne.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Administratorzy subskrypcji i współadministratorzy mogą zmienić to ustawienie, tworząc administratorów wszystkich maszyn wirtualnych w ramach subskrypcji.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Upewnij się, że ufasz wszystkim administratorom subskrypcji i współadministratorom logowanie się na dowolnych komputerach.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Uwaga

Zalecamy konsolidowanie maszyn wirtualnych z tym samym cyklem życia w tej samej grupie zasobów.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Korzystając z grup zasobów, można wdrażać, monitorować i zestawiać koszty rozliczeń dla zasobów.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Organizacje kontrolujące dostęp do maszyn wirtualnych i Instalatora ulepszają ogólne zabezpieczenia maszyn wirtualnych.Organizations that control VM access and setup improve their overall VM security.

Korzystanie z wielu maszyn wirtualnych w celu zapewnienia lepszej dostępnościUse multiple VMs for better availability

Jeśli maszyna wirtualna uruchamia krytyczne aplikacje, które muszą mieć wysoką dostępność, zdecydowanie zalecamy użycie wielu maszyn wirtualnych.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Aby zapewnić lepszą dostępność, użyj zestawu dostępności lub strefdostępności.For better availability, use an availability set or availability zones.

Zestaw dostępności jest grupą logiczną, której można użyć na platformie Azure, aby upewnić się, że zasoby maszyny wirtualnej, które znajdują się w niej, są od siebie odizolowane, gdy zostaną wdrożone w centrum danych platformy Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. System Azure zapewnia, że maszyny wirtualne, które są umieszczane w zestawie dostępności, są uruchamiane na wielu serwerach fizycznych, w stojakach obliczeniowych, jednostkach magazynowych i przełącznikach sieciowych.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. Jeśli wystąpi awaria sprzętu lub oprogramowania platformy Azure, ma to zastosowanie tylko do podzbioru maszyn wirtualnych, a ogólna aplikacja będzie nadal dostępna dla klientów.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Zestawy dostępności są istotną funkcją do tworzenia niezawodnych rozwiązań w chmurze.Availability sets are an essential capability when you want to build reliable cloud solutions.

Ochrona przed złośliwym oprogramowaniemProtect against malware

Należy zainstalować ochronę przed złośliwym oprogramowaniem, aby ułatwić identyfikowanie i usuwanie wirusów, programów szpiegujących i innego złośliwego oprogramowania.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Można zainstalować oprogramowanie Microsoft chroniące przed złośliwym kodem lub rozwiązanie Endpoint Protection partnera firmy Microsoft (Trend Micro, Broadcom, McAfee, Windows Defenderi System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

Oprogramowanie chroniące przed złośliwym oprogramowaniem firmy Microsoft oferuje takie funkcje jak ochrona w czasie rzeczywistym, zaplanowane skanowanie, korygowanie złośliwego oprogramowania, aktualizacje sygnatur, aktualizacje aparatu, raportowanie przykładów i zbieranie zdarzeń wykluczania.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. W przypadku środowisk, które są hostowane niezależnie od środowiska produkcyjnego, można użyć rozszerzenia chroniącego przed złośliwym kodem, aby chronić maszyny wirtualne i usługi w chmurze.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Możesz zintegrować rozwiązania firmy Microsoft chroniące przed złośliwym oprogramowaniem i partnerzy Azure Security Center , aby ułatwić wdrażanie i wbudowane wykrywanie (alerty i zdarzenia).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Najlepszerozwiązania: Zainstaluj rozwiązanie chroniące przed złośliwym kodem, aby chronić przed złośliwym oprogramowaniem.Best practice: Install an antimalware solution to protect against malware.
Szczegóły: Zainstaluj rozwiązanie partnerskie firmy Microsoft lub oprogramowanie chroniące przed złośliwym kodemDetail: Install a Microsoft partner solution or Microsoft Antimalware

Najlepszerozwiązania: Zintegruj rozwiązanie chroniące przed złośliwym kodem za pomocą Security Center, aby monitorować stan ochrony.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Szczegóły: Zarządzanie problemami z programem Endpoint protection przy użyciu Security CenterDetail: Manage endpoint protection issues with Security Center

Zarządzanie aktualizacjami maszyny wirtualnejManage your VM updates

Maszyny wirtualne platformy Azure, takie jak wszystkie lokalne maszyny wirtualne, są przeznaczone do zarządzania przez użytkownika.Azure VMs, like all on-premises VMs, are meant to be user managed. Platforma Azure nie wypycha do nich aktualizacji systemu Windows.Azure doesn't push Windows updates to them. Musisz zarządzać aktualizacjami maszyny wirtualnej.You need to manage your VM updates.

Najlepsze rozwiązanie: Zachowaj aktualność maszyn wirtualnych.Best practice: Keep your VMs current.
Szczegóły: użyj rozwiązania Update Management w Azure Automation do zarządzania aktualizacjami systemu operacyjnego na komputerach z systemami Windows i Linux, które są wdrożone na platformie Azure, w środowiskach lokalnych lub w innych dostawcach chmury.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Umożliwia ono szybką ocenę stanu dostępnych aktualizacji na wszystkich komputerach agentów oraz zarządzanie procesem instalacji wymaganych aktualizacji serwerów.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

W celu przeprowadzania ocen i wdrożeń aktualizacji na komputerach zarządzanych przez rozwiązanie Update Management są używane następujące konfiguracje:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Program Microsoft Monitoring Agent (MMA) dla systemu Windows lub LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • Platforma PowerShell Desired State Configuration (DSC) dla systemu LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrydowy proces roboczy elementu runbook usługi AutomationAutomation Hybrid Runbook Worker
  • Usługa Microsoft Update lub Windows Server Update Services (WSUS) dla komputerów z systemem WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Jeśli używasz Windows Update, pozostaw ustawienie automatyczne Windows Update włączone.If you use Windows Update, leave the automatic Windows Update setting enabled.

Najlepsze rozwiązanie: Upewnij się, że wdrożone obrazy zawierają najnowsze aktualizacje systemu Windows.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Szczegóły: należy sprawdzić i zainstalować wszystkie aktualizacje systemu Windows jako pierwszy krok każdego wdrożenia.Detail: Check for and install all Windows updates as a first step of every deployment. Ta miara jest szczególnie ważna w przypadku wdrażania obrazów pochodzących z własnej lub własnej biblioteki.This measure is especially important to apply when you deploy images that come from either you or your own library. Mimo że obrazy z portalu Azure Marketplace są automatycznie aktualizowane domyślnie, może istnieć czas opóźnienia (do kilku tygodni) po wersji publicznej.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Najlepsze rozwiązanie: okresowo ponownie Wdrażaj maszyny wirtualne w celu wymuszenia nowej wersji systemu operacyjnego.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Szczegóły: Zdefiniuj maszynę wirtualną za pomocą szablonu Azure Resource Manager , aby można było ją łatwo wdrożyć ponownie.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Korzystanie z szablonu zapewnia bezpieczną i zabezpieczoną maszynę wirtualną, gdy jej potrzebujesz.Using a template gives you a patched and secure VM when you need it.

Najlepsze rozwiązanie: Szybkie stosowanie aktualizacji zabezpieczeń do maszyn wirtualnych.Best practice: Rapidly apply security updates to VMs.
Szczegóły: Włącz Azure Security Center (warstwa Bezpłatna lub standardowa), aby zidentyfikować brakujące aktualizacje zabezpieczeń i zastosować je.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Najlepsze rozwiązanie: Zainstaluj najnowsze aktualizacje zabezpieczeń.Best practice: Install the latest security updates.
Szczegóły: niektóre z pierwszych obciążeń, które klienci przechodzą na platformę Azure, to laboratoria i systemy zewnętrzne.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Jeśli aplikacje lub usługi dla maszyn wirtualnych platformy Azure, które wymagają dostępu do Internetu, są czujność na temat stosowania poprawek.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Poprawka poza system operacyjny.Patch beyond the operating system. Niepoprawione luki w zabezpieczeniach aplikacji partnerskich mogą również prowadzić do problemów, które można uniknąć w przypadku dobrego zarządzania poprawkami.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Najlepszerozwiązanie: Wdróż i przetestuj rozwiązanie do tworzenia kopii zapasowych.Best practice: Deploy and test a backup solution.
Szczegóły: kopia zapasowa musi być obsługiwana w taki sam sposób, jak w przypadku każdej innej operacji.Detail: A backup needs to be handled the same way that you handle any other operation. Jest to prawdziwe w przypadku systemów, które są częścią środowiska produkcyjnego, rozszerzając do chmury.This is true of systems that are part of your production environment extending to the cloud.

Systemy testowe i deweloperskie muszą stosować się do strategii tworzenia kopii zapasowych, które udostępniają możliwości przywracania, które są podobne do tego, do jakich użytkowników korzystali, w zależności od ich środowiska lokalnego.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Obciążenia produkcyjne przeniesione na platformę Azure powinny być zintegrowane z istniejącymi rozwiązaniami do tworzenia kopii zapasowych, jeśli to możliweProduction workloads moved to Azure should integrate with existing backup solutions when possible. Można też użyć Azure Backup , aby pomóc w rozwiązywaniu wymagań dotyczących kopii zapasowych.Or, you can use Azure Backup to help address your backup requirements.

Organizacje, które nie wymuszają zasad aktualizacji oprogramowania, są bardziej ujawniane zagrożeniom wykorzystującym znane, wcześniej wyprawione luki w zabezpieczeniach.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Aby zapewnić zgodność z przepisami branżowymi, firmy muszą udowodnić, że są sumienni i używają odpowiednich kontroli zabezpieczeń, aby pomóc w zapewnieniu bezpieczeństwa obciążeń znajdujących się w chmurze.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Oprogramowanie — najlepsze rozwiązania z zakresu aktualizacji dla tradycyjnych centrów danych i platformy Azure IaaS mają wiele podobieństw.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Zalecamy oszacowanie bieżących zasad aktualizacji oprogramowania w celu uwzględnienia maszyn wirtualnych znajdujących się na platformie Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Zarządzanie stanem zabezpieczeń maszyny wirtualnejManage your VM security posture

Dotyczące środowiskach.Cyberthreats are evolving. Ochrona maszyn wirtualnych wymaga możliwości monitorowania, która może szybko wykrywać zagrożenia, zapobiegać nieautoryzowanemu dostępowi do zasobów, wyzwalać alerty i zmniejszać liczbę fałszywie dodatnich.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Aby monitorować stan zabezpieczeń maszyn wirtualnychz systemami Windows i Linux, użyj Azure Security Center.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. W Security Center Zabezpiecz swoje maszyny wirtualne, wykorzystując następujące możliwości:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Zastosuj ustawienia zabezpieczeń systemu operacyjnego przy użyciu zalecanych reguł konfiguracji.Apply OS security settings with recommended configuration rules.
  • Zidentyfikuj i Pobierz zabezpieczenia systemu oraz krytyczne aktualizacje, które mogą być niedostępne.Identify and download system security and critical updates that might be missing.
  • Wdróż zalecenia dotyczące ochrony przed złośliwym oprogramowaniem punktu końcowego.Deploy recommendations for endpoint antimalware protection.
  • Sprawdź poprawność szyfrowania dysku.Validate disk encryption.
  • Oceń i Koryguj luki w zabezpieczeniach.Assess and remediate vulnerabilities.
  • Wykrywaj zagrożenia.Detect threats.

Security Center może aktywnie monitorować zagrożenia, a potencjalne zagrożenia są ujawniane w alertach zabezpieczeń.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Skorelowane zagrożenia są agregowane w jednym widoku zwanym zdarzeniem zabezpieczeń.Correlated threats are aggregated in a single view called a security incident.

Security Center przechowuje dane w dziennikach Azure monitor.Security Center stores data in Azure Monitor logs. Dzienniki Azure Monitor udostępniają język zapytań i aparat analityczny, który zapewnia wgląd w działanie aplikacji i zasobów.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Dane są również zbierane z Azure monitor, rozwiązań do zarządzania i agentów zainstalowanych na maszynach wirtualnych w chmurze lub lokalnych.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Ta wspólna funkcjonalność pomaga utworzyć pełny obraz środowiska.This shared functionality helps you form a complete picture of your environment.

Organizacje, które nie wymuszają mocnych zabezpieczeń dla swoich maszyn wirtualnych, pozostają nieświadome potencjalnych prób spowodowanych przez nieautoryzowanych użytkowników do obejścia kontroli zabezpieczeń.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Monitorowanie wydajności maszyny wirtualnejMonitor VM performance

Użycie zasobów może być problemem, gdy procesy maszyny wirtualnej zużywają więcej zasobów niż powinny.Resource abuse can be a problem when VM processes consume more resources than they should. Problemy z wydajnością maszyny wirtualnej mogą prowadzić do przerw w działaniu usługi, co narusza zasadę zabezpieczeń.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Jest to szczególnie ważne w przypadku maszyn wirtualnych, które obsługują usługi IIS lub inne serwery sieci Web, ponieważ duże użycie procesora lub pamięci może wskazywać na atak typu "odmowa usługi" (DoS).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Jest to konieczne, aby monitorować dostęp do maszyny wirtualnej nie tylko w sposób nieaktywny w trakcie wystąpienia problemu, ale również aktywnie z wydajnością bazową mierzoną podczas normalnego działania.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Zalecamy używanie Azure monitor , aby uzyskać wgląd w kondycję zasobu.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Funkcje Azure Monitor:Azure Monitor features:

Organizacje, które nie monitorują wydajności maszyn wirtualnych, nie mogą określić, czy pewne zmiany wzorców wydajności są normalne, czy nietypowe.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Maszyna wirtualna, która zużywa więcej zasobów niż normalna, może wskazywać na atak z zasobów zewnętrznych lub zagrożony proces uruchomiony na maszynie wirtualnej.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Szyfruj pliki wirtualnego dysku twardegoEncrypt your virtual hard disk files

Zalecamy zaszyfrowanie wirtualnych dysków twardych (VHD), aby chronić wolumin rozruchowy i woluminy danych przechowywane w magazynie oraz klucze szyfrowania i wpisy tajne.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption ułatwia szyfrowanie dysków maszyn wirtualnych z systemami Windows i Linux IaaS.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption używa standardowej funkcji funkcji BitLocker systemu Windows i funkcji dm-crypt w systemie Linux, aby zapewnić szyfrowanie woluminów dla systemu operacyjnego i dysków danych.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. Rozwiązanie jest zintegrowane z Azure Key Vault , które ułatwiają kontrolowanie kluczy szyfrowania dysków i wpisów tajnych w ramach subskrypcji magazynu kluczy oraz zarządzanie nimi.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Rozwiązanie gwarantuje również, że wszystkie dane na dyskach maszyn wirtualnych są szyfrowane w usłudze Azure Storage.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Poniżej przedstawiono najlepsze rozwiązania dotyczące korzystania z Azure Disk Encryption:Following are best practices for using Azure Disk Encryption:

Najlepsze rozwiązanie: Włącz szyfrowanie na maszynach wirtualnych.Best practice: Enable encryption on VMs.
Szczegóły: Azure Disk Encryption generuje i zapisuje klucze szyfrowania do magazynu kluczy.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Zarządzanie kluczami szyfrowania w magazynie kluczy wymaga uwierzytelniania usługi Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Utwórz w tym celu aplikację usługi Azure AD.Create an Azure AD application for this purpose. Do celów uwierzytelniania można użyć uwierzytelniania opartego na kluczu tajnym klienta lub uwierzytelniania usługi Azure AD opartego na certyfikatach klienta.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Najlepsze rozwiązanie: Użyj klucza szyfrowania klucza (KEK) w celu uzyskania dodatkowej warstwy zabezpieczeń dla kluczy szyfrowania.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Dodaj KEK do magazynu kluczy.Add a KEK to your key vault.
Szczegóły: Użyj polecenia cmdlet Add-AzKeyVaultKey , aby utworzyć klucz szyfrowania klucza w magazynie kluczy.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Możesz również zaimportować KEK z lokalnego sprzętowego modułu zabezpieczeń (HSM) do zarządzania kluczami.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Aby uzyskać więcej informacji, zobacz dokumentację Key Vault.For more information, see the Key Vault documentation. W przypadku określenia klucza szyfrowania klucza Azure Disk Encryption używa tego klucza do zawijania wpisów tajnych szyfrowania przed zapisem w Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Przechowywanie kopii tego klucza w ramach lokalnego modułu HSM zarządzania kluczami zapewnia dodatkową ochronę przed przypadkowym usunięciem kluczy.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Najlepsze rozwiązanie: wykonaj migawkę i/lub kopię zapasową przed zaszyfrowaniem dysków.Best practice: Take a snapshot and/or backup before disks are encrypted. Kopie zapasowe zapewniają opcję odzyskiwania, jeśli wystąpi nieoczekiwany błąd podczas szyfrowania.Backups provide a recovery option if an unexpected failure happens during encryption.
Szczegóły: maszyny wirtualne z dyskami zarządzanymi wymagają utworzenia kopii zapasowej przed wystąpieniem szyfrowania.Detail: VMs with managed disks require a backup before encryption occurs. Po wykonaniu kopii zapasowej można użyć polecenia cmdlet Set-AzVMDiskEncryptionExtension w celu zaszyfrowania dysków zarządzanych przez określenie parametru -skipVmBackup .After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych i przywracania szyfrowanych maszyn wirtualnych, zobacz artykuł Azure Backup .For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Najlepsze rozwiązanie: aby upewnić się, że wpisy tajne szyfrowania nie przekraczają granic regionalnych, Azure Disk Encryption potrzebuje magazynu kluczy i maszyn wirtualnych znajdujących się w tym samym regionie.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Szczegóły: Utwórz i Użyj magazynu kluczy znajdującego się w tym samym regionie co maszyna wirtualna, która ma być szyfrowana.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Po zastosowaniu Azure Disk Encryption można spełnić następujące wymagania biznesowe:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Maszyny wirtualne IaaS są zabezpieczone przez standardową branżową technologię szyfrowania, aby sprostać wymaganiom bezpieczeństwa i zgodności w organizacji.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Maszyny wirtualne IaaS są uruchamiane w obszarze klucze i zasady kontrolowane przez klienta. Możesz także przeprowadzić inspekcję ich użycia w magazynie kluczy.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Ograniczanie bezpośredniej łączności z InternetemRestrict direct internet connectivity

Monitorowanie i ograniczanie łączności z Internetem bezpośrednio z maszyn wirtualnych.Monitor and restrict VM direct internet connectivity. Osoby atakujące stale skanują zakresy adresów IP w chmurze publicznej dla otwartych portów zarządzania i podejmują próby ataków typu "łatwe", takie jak typowe hasła i znane luki w zabezpieczeniach.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. W poniższej tabeli przedstawiono najlepsze rozwiązania ułatwiające ochronę przed atakami:The following table lists best practices to help protect against these attacks:

Najlepsze rozwiązanie: zapobiegaj nieumyślnemu narażeniu na Routing i zabezpieczenia sieci.Best practice: Prevent inadvertent exposure to network routing and security.
Szczegóły: Użyj RBAC, aby upewnić się, że tylko Centralna Grupa sieciowa ma uprawnienia do zasobów sieciowych.Detail: Use RBAC to ensure that only the central networking group has permission to networking resources.

Najlepsze rozwiązanie: Identyfikowanie i korygowanie narażonych maszyn wirtualnych, które zezwalają na dostęp z "dowolnego" źródłowego adresu IP.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Szczegóły: Użyj Azure Security Center.Detail: Use Azure Security Center. Security Center zaleca się ograniczyć dostęp za pośrednictwem punktów końcowych dostępnych z Internetu, jeśli dowolna z grup zabezpieczeń sieci ma co najmniej jedną regułę ruchu przychodzącego, która zezwala na dostęp z "dowolnego" źródłowego adresu IP.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Security Center będzie zalecać edytowanie tych reguł ruchu przychodzącego w celu ograniczenia dostępu do źródłowych adresów IP, które w rzeczywistości potrzebują dostępu.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Najlepsze rozwiązanie: ograniczanie portów zarządzania (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Szczegóły: dostęp do maszyny wirtualnej just-in-Time (JIT) może służyć do blokowania ruchu przychodzącego do maszyn wirtualnych platformy Azure, co pozwala ograniczyć narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Po włączeniu JIT Security Center blokuje ruch przychodzący do maszyn wirtualnych platformy Azure przez utworzenie reguły sieciowej grupy zabezpieczeń.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Wybierasz porty na maszynie wirtualnej, do której zostanie zablokowany ruch przychodzący.You select the ports on the VM to which inbound traffic will be locked down. Te porty są kontrolowane przez rozwiązanie JIT.These ports are controlled by the JIT solution.

Następne krokiNext steps

Zobacz najlepsze rozwiązania i wzorce dotyczące zabezpieczeń platformy Azure , aby uzyskać więcej najlepszych rozwiązań w zakresie zabezpieczeń, które są używane podczas projektowania i wdrażania rozwiązań w chmurze oraz zarządzania nimi przy użyciu platformy Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Dostępne są następujące zasoby umożliwiające dostarczenie bardziej ogólnych informacji na temat zabezpieczeń platformy Azure i powiązanych usług firmy Microsoft:The following resources are available to provide more general information about Azure security and related Microsoft services: