Zabezpieczanie migrowanych maszyn wirtualnych
Migracja obciążeń do chmury została ukończona. Ten pilotaż obejmował niewielki zestaw maszyn wirtualnych składających się ze starszych aplikacji, które nie są uważane za krytyczne dla działania firmy. Wiesz już, jak działa proces migracji, a teraz lepiej przygotować się do przenoszenia większej liczby bardziej złożonych obciążeń na platformę Azure.
Przeniesienie obciążeń do chmury nie zwalnia Cię ze wszystkich odpowiedzialności za bezpieczeństwo systemu operacyjnego, aplikacji i danych. Mimo że platforma Azure zapewnia bezpieczną infrastrukturę, istnieje wspólny model odpowiedzialności za zabezpieczenia. Musisz upewnić się, że środowisko platformy Azure jest bezpieczne w warstwach administracyjnych, aplikacji i sieci.
A podczas zabezpieczania środowiska jest to ciągłe działanie, należy wykonać pewne działania bezpośrednio po migracji, aby upewnić się, że obciążenia są chronione i bezpieczne.
W tej lekcji poznasz techniki, których można użyć do zabezpieczenia nowo zmigrowanych maszyn wirtualnych natychmiast po migracji. Będziesz nadal dostosowywać mechanizmy kontroli zabezpieczeń dla obciążeń i aplikacji w miarę upływu czasu, starając się chronić dane i zasoby klientów.
Zwiększanie odporności maszyny wirtualnej
Klienci oczekują, że aplikacje będą dostępne, gdy będą musiały ich używać, i że ich dane są bezpieczne. Występują rosnące zagrożenia cybernetyczne i nieplanowane przestoje aplikacji, co może pogorszyć środowisko użytkownika.
Użytkownicy mogą doświadczyć przestoju aplikacji w środowisku opartym na chmurze z różnych powodów. Upewnij się, że zmigrowane maszyny wirtualne mają wystarczający poziom odporności, implementując rozwiązanie do tworzenia kopii zapasowych i odzyskiwania.
Pierwszym krokiem jest użycie usługi Azure Backup. Usługa Azure Backup jest wbudowana na platformie Azure i nie wymaga żadnej dodatkowej infrastruktury.
Za pomocą usługi Azure Backup można zaplanować regularne kopie zapasowe całych maszyn wirtualnych z systemem Windows lub Linux, plików i folderów, a nawet bazy danych SQL. W przypadku bardziej złożonych scenariuszy warto rozważyć dodatkowe opcje poprawy odporności, ale usługa Azure Backup umożliwia natychmiastowe nałożenie kontroli zabezpieczeń nad zmigrowanych maszyn wirtualnych.
Aby jeszcze bardziej ulepszyć rozwiązanie, skonfiguruj usługę Multi-Factor Authentication (MFA), aby tylko autoryzowani użytkownicy mogli wykonywać krytyczne operacje tworzenia kopii zapasowych.
Ograniczanie dostępu przychodzącego do maszyn wirtualnych
Dzięki obciążeniom w chmurze maszyny wirtualne platformy Azure mogą stać się podatne na ataki zabezpieczeń za pośrednictwem otwartych portów zarządzania, takich jak port 3389. Adresy IP platformy Azure są dobrze znane, a hakerzy nieustannie sondują je pod kątem ataków na otwarte porty 3389. Jeśli osoba atakująca może uzyskać dostęp do maszyny wirtualnej za pośrednictwem otwartego portu zarządzania, może uzyskać przyczółek do środowiska.
Aby zmniejszyć ryzyko ataków za pośrednictwem otwartych portów, możesz ograniczyć dostęp przychodzący do maszyn wirtualnych. Za pomocą usługi Azure Security Center włącz dostęp just in time (JIT) do maszyny wirtualnej. Funkcja JIT używa sieciowych grup zabezpieczeń i reguł przychodzących w celu ograniczenia czasu otwarcia określonego portu.
Zasady JIT można skonfigurować na poszczególnych maszynach wirtualnych. Można to zrobić bezpośrednio z poziomu usługi Security Center, bezpośrednio na maszynie wirtualnej lub programowo. Zasady określają reguły dotyczące sposobu łączenia użytkowników z maszynami wirtualnymi.
Jeśli użytkownik ma uprawnienia do maszyny wirtualnej, żądanie dostępu zostanie zatwierdzone, a usługa Security Center konfiguruje sieciowe grupy zabezpieczeń tak, aby zezwalały na ruch przychodzący do wybranych portów przez czas określony w zasadach. Po wygaśnięciu czasu usługa Security Center przywraca reguły zapory i sieciowej grupy zabezpieczeń do poprzedniego stanu.
Szyfrowanie dysków
Naruszenia zabezpieczeń, które powodują utratę danych, mogą mieć poważne konsekwencje, zwykle powodując poważne kary prawne i finansowe dla firm, w których występują naruszenia. Oczywiście główne inicjatywy dotyczące zgodności, takie jak HIPAA i PCI, mają silne wymagania dotyczące szyfrowania danych.
Szyfrowanie danych chroni przed utratą lub kradzieżą urządzenia, uniemożliwiając nieautoryzowany dostęp do lub usunięcie dysku twardego. Chroni również pliki wewnętrzne w przypadku, gdy osoba atakująca próbuje uzyskać do nich dostęp za pomocą alternatywnych metod.
Aby chronić maszyny wirtualne platformy Azure, użyj usługi Azure Disk Encryption do szyfrowania dysków maszyn wirtualnych z systemem Windows i Linux. Szyfrowanie dysków korzysta z funkcji BitLocker dla systemu Windows i narzędzia DM-Crypt dla systemu Linux w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych.
Możesz użyć klucza szyfrowania utworzonego przez platformę Azure lub podać własny klucz szyfrowania zabezpieczony w usłudze Azure Key Vault. Dzięki usłudze Azure Disk Encryption dane maszyn wirtualnych infrastruktury jako usługi (IaaS) są zabezpieczone w spoczynku (na dysku) i podczas uruchamiania maszyny wirtualnej.
Usługa Azure Security Center udostępnia zestaw narzędzi do monitorowania zabezpieczeń maszyn wirtualnych i innych zasobów obliczeniowych w chmurze oraz zarządzania nimi za pomocą chmury publicznej platformy Azure. Jeśli używasz usługi Azure Security Center, powiadamia o tym, czy masz maszyny wirtualne, które nie są zaszyfrowane i zaleca ich szyfrowanie.
