Общие сведения о безопасности при использовании виртуальных машин Azure

В этой статье содержатся общие сведения о базовых компонентах безопасности Azure, которые можно использовать при работе с виртуальными машинами.

Виртуальные машины Azure позволяют выполнять гибкое развертывание разных вычислительных решений. Служба поддерживает Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP и службы BizTalk Azure. Поэтому можно развернуть любую рабочую нагрузку и любой язык практически в любой операционной системе.

Виртуальная машина Azure предоставляет гибкие возможности виртуализации без необходимости приобретать и обслуживать физическое оборудование, на котором выполняется виртуальная машина. Создавайте и развертывайте приложения в наших центрах обработки данных с повышенным уровнем безопасности и будьте уверены в защищенности своих данных.

Создавайте в среде Azure безопасные и соответствующие требованиям решения, которые:

• защищают виртуальные машины от вирусов и вредоносных программ;
• шифруют конфиденциальные данные;
• защищают сетевой трафик;
• распознают и обнаруживают угрозы;
• соответствуют нормативным требованиям.

Защита от вредоносных программ;

Azure предлагает антивредоносное ПО таких поставщиков систем безопасности, как корпорация Майкрософт, Symantec, Trend Micro и Kaspersky. Это ПО помогает защитить ваши виртуальные машины от вредоносных файлов, программ для показа рекламы и других угроз.

Антивредоносное ПО Майкрософт для облачных служб и виртуальных машин предоставляет защиту в реальном времени, которая помогает обнаруживать и устранять вирусы, шпионское ПО и другие вредоносные программы. Антивредоносное ПО Майкрософт для Azure позволяет использовать настраиваемые предупреждения о попытках установки или запуска известных вредоносных или нежелательных программ в системах Azure.

Антивредоносное ПО для Azure — это единый агент для приложений и клиентских сред. Он работает в фоновом режиме и не требует вмешательства пользователя. Вы можете развернуть систему защиты, соответствующую рабочим нагрузкам своих приложений, и использовать базовую конфигурацию защиты (по умолчанию) или расширенную настраиваемую конфигурацию, включающую отслеживание вредоносных программ.

Узнайте больше о Microsoft Antimalware для Azure и доступных основных функциях.

Дополнительные сведения об антивредоносном ПО для защиты виртуальных машин:

• Развертывание решений по защите от вредоносных программ на виртуальных машинах Azure
• Установка и настройка Trend Micro Deep Security как услуги на ВМ Windows
• Решения для защиты, представленные в Azure Marketplace

Для еще более мощной защиты рекомендуется использовать Microsoft Defender для конечной точки. С помощью Defender для конечной точки вы получите:

• Сокращение направлений атак
• защита следующего поколения;
• защита конечных точек и реагирование;
• автоматическое исследование и исправление;
• оценка безопасности;
• расширенный поиск;
• управление и API-интерфейсы;
• защита от угроз (Microsoft);

Дополнительные сведения: начало работы с Microsoft Defender для конечной точки

Аппаратный модуль безопасности

Защиту путем шифрования и аутентификации можно усилить, улучшив основные инструменты защиты. Вы можете упростить защиту важных секретных кодов и ключей и управление ими, поместив их в Azure Key Vault.

Key Vault предоставляет возможность хранения ключей в аппаратных модулях безопасности (HSM), сертифицированных по стандартам FIPS 140. Ваши ключи шифрования SQL Server для резервного копирования или прозрачного шифрования данных могут храниться в хранилище ключей вместе с любыми ключами или секретными кодами приложений. Разрешения и доступ к этим защищенным элементам управляются с помощью идентификатора Microsoft Entra.

Подробнее:

• Об Azure Key Vault
• Блог о хранилище ключей Azure

Шифрование дисков виртуальной машины.

Шифрование дисков Azure — это новая функция, позволяющая шифровать диски виртуальных машин Windows и Linux. Для шифрования дисков Azure используются стандартные для отрасли функции (BitLocker в Windows и dm-crypt в Linux), которые обеспечивают шифрование томов дисков ОС и дисков данных.

Шифрование дисков Azure интегрировано в Azure Key Vault, что позволяет управлять секретами и ключами шифрования дисков в подписке Key Vault и контролировать их. Эта служба также обеспечивает шифрование всех неактивных данных на дисках виртуальных машин в службе хранилища Azure.

Подробнее:

• Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows
• Краткое руководство. Шифрование виртуальной машины IaaS Linux с помощью Azure PowerShell

Резервная копия виртуальной машины

Azure Backup — это масштабируемое решение, которое защищает данные приложения при нулевых капитальных вложениях и минимальных эксплуатационных затратах. Ошибки приложений могут повредить данные, а человеческие ошибки — привести к ошибкам в коде приложений. Служба архивации Azure защитит виртуальные машины Windows и Linux.

Подробнее:

• Что такое служба архивации Azure?
• Служба Azure Backup: часто задаваемые вопросы

Azure Site Recovery

Важной частью корпоративной стратегии BCDR является решение о том, как будет обеспечиваться выполнение корпоративных рабочих нагрузок и приложений при возникновении запланированных и незапланированных простоев. Служба Azure Site Recovery помогает координировать процессы репликации, отработки отказа и восстановления рабочих нагрузок и приложений. Кроме того, она обеспечивает доступность этих ресурсов в дополнительном расположении, когда основное выходит из строя.

Site Recovery выполняет следующие задачи.

• Упрощение стратегии BCDR. Служба Site Recovery позволяет легко выполнять репликацию, отработку отказа и восстановление нескольких бизнес-приложений и рабочих нагрузок из одного расположения. Хотя служба Site Recovery координирует процессы репликации и отработки отказа, она не перехватывает данные приложения и не получает какие-либо сведения о нем.
• Гибкая репликация. С помощью Site Recovery можно реплицировать рабочие нагрузки, выполняющиеся на виртуальных машинах Hyper-V, виртуальных машинах VMware и физических серверах Windows или Linux.
• Поддержка отработки отказа и восстановления. Служба Site Recovery позволяет выполнять тестовую отработку отказа для проверки аварийного восстановления, не влияя на рабочие среды. Кроме того, вы можете запускать запланированные процедуры отработки отказа без потери данных при ожидаемых простоях, а также незапланированные процедуры отработки отказа с минимальной потерей данных (в зависимости от частоты репликации) на случай непредвиденных сбоев. После отработки отказа можно выполнить восстановление размещения на основные сайты. Служба Site Recovery предоставляет планы восстановления, которые могут включать скрипты и рабочие книги службы автоматизации Azure. С их помощью вы можете настраивать отработку отказа и восстановление многоуровневых приложений.
• Устранение необходимости в дополнительном центре обработки данных. Вы можете выполнять репликацию на дополнительный локальный сайт или в Azure. Используя Azure в качестве целевого расположения при аварийном восстановлении, можно избежать затрат и сложностей, которыми сопровождается поддержка дополнительного сайта. Реплицированные данные хранятся в службе хранилища Azure.
• Интеграция с имеющимися технологиями BCDR. Служба Site Recovery взаимодействует с другими компонентами приложений в рамках стратегии BCDR. Например, можно использовать службу Site Recovery для защиты серверной части SQL Server для корпоративных рабочих нагрузок. Это подразумевает встроенную поддержку SQL Server Always On для управления отработкой отказа групп доступности.

Подробнее:

• Что собой представляет служба Azure Site Recovery?
• Как работает служба Azure Site Recovery?
• Какие рабочие нагрузки можно защитить с помощью службы Azure Site Recovery?

Виртуальная сеть

Виртуальным машинам требуется осуществлять взаимодействие по сети. Для удовлетворения этого требования Azure требует подключения виртуальных машин к виртуальной сети Azure.

Виртуальная сеть Azure — это логическая конструкция, созданная на основе структуры физических сетей Azure. Каждая логическая виртуальная сеть Azure изолирована от всех прочих виртуальных сетей Azure. Это помогает гарантировать, что сетевой трафик из ваших развертываний недоступен другим клиентам Microsoft Azure.

Подробнее:

• Обзор сетевой безопасности Azure
• Обзор виртуальной сети
• Networking features and partnerships for Enterprise scenarios (Сетевые функции и партнерские решения для корпоративных сценариев)

Управление политикой безопасности и отчеты.

Microsoft Defender для облака позволяет предотвращать и обнаруживать угрозы, а также реагировать на них. Благодаря Defender для облака вы будете лучше понимать и контролировать работу системы, обеспечивающей безопасность ресурсов Azure. Он включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок Azure. Он помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными, и работает с широким спектром решений по обеспечению безопасности.

Defender для облака помогает оптимизировать безопасность виртуальных машин и следить за ней благодаря следующим возможностям.

• Предоставление рекомендаций по обеспечению безопасности для виртуальных машин. Эти рекомендации включают в себя применение обновлений для системы, настройку конечных точек списков управления доступом, защиту от вредоносных программ, использование групп безопасности сети и применение шифрования дисков.
• Наблюдение за состоянием виртуальных машин.

Подробнее:

• Общие сведения о Microsoft Defender для облака
• Вопросы и ответы о Microsoft Defender для облака
• Планирование перехода на Microsoft Defender для облака и работа с ним

Соответствие нормативным требованиям

Виртуальные машины Azure сертифицированы в соответствии со стандартами FISMA, FedRAMP, HIPAA, PCI DSS (уровень 1), а также другими ключевыми стандартами. Сертификация упрощает обеспечение соответствия для приложений, а также позволяет соблюдать многочисленные местные и международные нормативные требования.

Подробнее:

• Microsoft Trust Center: Compliance (Центр управления безопасностью корпорации Майкрософт: соответствие нормативным требованиям)
• Доверенное облако: безопасность, конфиденциальность и соответствие требованиям в Microsoft Azure

Конфиденциальные вычисления

Хотя конфиденциальные вычисления технически не относятся к безопасности виртуальных машин, эта защита входит в более обширную сферу безопасности вычислений. Конфиденциальные вычисления относятся к категории безопасности вычислений.

Конфиденциальные вычисления гарантируют, что данные, пребывающие в незашифрованном виде (что необходимо для их эффективной обработки), защищаются в доверенной среде выполнения https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE, другое название — анклав). Пример такой архитектуры представлен на рисунке ниже.

TEE гарантирует, что вы не сможете из внешней среды просмотреть данные или внутренние операции с ними даже с помощью отладчика. Кроме того, TEE гарантирует, что только авторизованный код имеет доступ к данным. Если код был каким-либо образом изменен, все операции отклоняются и среда отключается. Доверенная среда выполнения применяет эти меры защиты ко всем этапам выполнения кода в ней.

Подробнее:

• Знакомство с конфиденциальными вычислениями Azure
• Конфиденциальные вычисления Azure

Следующие шаги

Узнайте рекомендации по обеспечению безопасности для виртуальных машин и операционных систем.