Рекомендации по безопасности для рабочих нагрузок IaaS в Azure

В этой статье описываются рекомендации по обеспечению безопасности для виртуальных машин и операционных систем.

Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Так как со временем мнения и технологии могут меняться, эта статья будет обновляться для отражения таких изменений.

В большинстве сценариев инфраструктуры как услуги (IaaS) виртуальные машины (ВМ) Azure являются основной рабочей нагрузкой для организаций, использующих облачные вычисления. Этот заметно в гибридных сценариях, в которых организациям необходимо медленно переносить рабочие нагрузки в облако. В таких случаях необходимо следовать общим рекомендациям по обеспечению безопасности для IaaS, а также выполнять рекомендации по обеспечению безопасности на всех виртуальных машинах.

Защита виртуальных машин с помощью проверки подлинности и контроля доступа

Для защиты виртуальной машины в первую очередь необходимо предоставить возможность настройки новых виртуальных машин и доступа к ним только авторизованным пользователям.

Примечание.

Чтобы повысить безопасность виртуальных машин Linux в Azure, можно интегрировать с проверкой подлинности Microsoft Entra. При использовании проверки подлинности Microsoft Entra для виртуальных машин Linux вы централизованно контролируете и применяете политики, которые разрешают или запрещают доступ к виртуальным машинам.

Рекомендация: контролируйте доступ к виртуальной машине. Сведения: используйте политики Azure для создания правил для ресурсов в вашей организации и разработайте настраиваемые политики. Примените эти политики к ресурсам, таким как группы ресурсов. Виртуальные машины, которые относятся к группе ресурсов, наследуют ее политики.

Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure обеспечивают высокий уровень охвата подписок. Подписки упорядочиваются в группы управления (контейнеры). К этим группам применяются условия системы управления. Все подписки в группе управления автоматически наследуют условия, применяемые к группе. Группы управления обеспечивают корпоративное управление в больших масштабах независимо от типа подписки.

Рекомендация: сократите количество вариантов установки и развертывания виртуальных машин. Сведения: используйте шаблоны Azure Resource Manager, чтобы реализовывать фиксированные варианты развертывания, а также упростить процедуры анализа и учета виртуальных машин в вашей среде.

Рекомендация: обеспечьте безопасность привилегированного доступа. Сведения: чтобы пользователи могли получать доступ к виртуальным машинам и настраивать их, используйте принцип минимальных прав и встроенные роли Azure.

• Участник виртуальных машин — может управлять виртуальными машинами, но не виртуальными сетями и учетными записями хранения, к которым они подключены.
• Участник классических виртуальных машин — может управлять виртуальными машинами, созданными с помощью классической модели развертывания, но не может управлять виртуальными сетями и учетными записями хранения, к которым подключены виртуальные машины.
• Администратор системы безопасности (только в Defender для облака) может просматривать политики безопасности и состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также закрывать оповещения и рекомендации.
• Пользователь DevTest Labs — может просматривать все, а также подключать, запускать, перезапускать виртуальные машины и завершать их работу.

Администраторы и соадминистраторы подписок могут изменить этот параметр. В результате они станут администраторами всех виртуальных машин в подписке. Необходимо доверять всем администраторам и соадминистраторам подписки, входящим в системы виртуальных машин.

Примечание.

Мы рекомендуем объединять виртуальные машины с одинаковым жизненным циклом в одну группу ресурсов. С помощью групп ресурсов можно развертывать и отслеживать ресурсы, а также получать сводную информацию о затратах на ресурсы.

Организации, которые управляют доступом к виртуальной машине и ее настройкой, повышают общую безопасность виртуальной машины.

Использование нескольких виртуальных машин для повышения уровня доступности

Если на виртуальной машине выполняются критически важные приложения, которым требуется высокий уровень доступности, настоятельно рекомендуем использовать несколько виртуальных машин. Для повышения уровня доступности используйте группу доступности или зоны доступности.

Группа доступности — это логическая группировка, которую можно использовать в Azure, чтобы обеспечить изоляцию ресурсов виртуальной машины, размещенных в ней, при развертывании в центре обработки данных Azure. Azure гарантирует, что виртуальные машины, размещенные в группе доступности, выполняются на нескольких физических серверах, в вычислительных стойках, в пределах единиц хранения и сетевых коммутаторов. В случае сбоя оборудования или программного обеспечения в Azure затрагивается только подмножество виртуальных машин, а приложение остается доступным для клиентов. Группы доступности — это важный элемент при создании надежных облачных решений.

Защита от вредоносных программ

В целях обнаружения и удаления вирусов, шпионских и других вредоносных программ необходимо установить средства защиты от вредоносных программ. Вы можете установить решение защиты от вредоносных программ Майкрософт или конечную точку партнера Майкрософт (Trend Micro, Broadcom, McAfee, Защитник Windows и System Center Endpoint Protection).

Microsoft Antimalware обладает такими возможностями, как обеспечение защиты в реальном времени, плановое сканирование, исправление вредоносных действий, обновление подписей, обновление модуля защиты, отправка образцов и сбор событий исключения. Для сред, размещенных отдельно от рабочей среды, вы можете использовать расширение антивредоносных программ, чтобы защитить виртуальные машины и облачные службы.

Для упрощения развертывания и использования встроенных обнаружений (оповещений и инцидентов) Microsoft Antimalware и партнерские решения можно интегрировать с Microsoft Defender для облака.

Рекомендация: установите решение для защиты от вредоносных программ.
Сведения: установите решение от партнера Майкрософт или антивредоносное ПО Майкрософт.

Рекомендация: для отслеживания состояния установленной защиты интегрируйте свое решение для защиты от вредоносных программ с Defender для облака.
Сведения: управляйте проблемами защиты конечных точек с помощью Defender для облака.

Управление обновлением виртуальной машины

Виртуальными машинами Azure, например всеми виртуальными машинами в локальной среде, должны управлять пользователи. Azure не передает на них обновления Windows. Управлять обновлениями виртуальной машины необходимо самостоятельно.

Рекомендация: поддерживайте виртуальные машины в актуальном состоянии.
Сведения: используйте решение по управлению обновлениями в службе автоматизации Azure, чтобы управлять обновлениями операционной системы для компьютеров Windows и Linux, развернутых в Azure, локальных средах или других поставщиках облачных услуг. Благодаря ему вы сможете быстро оценить состояние доступных обновлений на всех компьютерах агентов и управлять установкой необходимых обновлений на серверах.

Ниже перечислены конфигурации, которые используются компьютерами, управляемыми с помощью решения "Управление обновлениями", для выполнения развертываний оценок и обновлений:

• Microsoft Monitoring Agent (MMA) для Windows или Linux;
• служба настройки требуемого состояния PowerShell;
• гибридные рабочие роли Runbook службы автоматизации;
• службы Центра обновления Майкрософт или Windows Server Update Services (WSUS) для компьютеров с Windows.

Если вы используете Центр обновления Windows, оставьте включенной функцию автоматического обновления Windows.

Рекомендация: убедитесь, что во время развертывания созданные образы содержат последние обновления Windows.
Сведения: проверьте наличие и установите все обновления Windows — это должен быть первый шаг при каждом развертывании. Она особенно важна при развертывании ваших собственных образов или образов из вашей библиотеки. Несмотря на то, что образы из Azure Marketplace автоматически обновляются по умолчанию, после выхода общедоступной версии может существовать интервал задержки (до нескольких недель).

Рекомендация: периодически повторно развертывайте виртуальные машины в новой версии операционной системы.
Сведения: определите виртуальную машину с помощью шаблона Azure Resource Manager, чтобы повторно развертывать ее в дальнейшем. Благодаря шаблону в вашем распоряжении в нужный момент будет исправленная и защищенная виртуальная машина.

Рекомендации: быстро применяйте все обновления системы безопасности к виртуальным машинам.
Сведения: включите Microsoft Defender для облака (уровня "Бесплатный" или "Стандартный"), чтобы обнаруживать и применять недостающие обновления системы безопасности.

Рекомендация: устанавливайте последние обновления безопасности.
Сведения: одними из первых рабочих нагрузок, которые клиенты перемещают в Azure, являются лаборатории и внешние системы. Если на виртуальных машинах Azure размещены приложения или службы, к которым требуется доступ через Интернет, при установке исправлений необходимо соблюдать осторожность. Не ограничивайтесь только исправлениями операционной системы. Неисправленные уязвимости в партнерских приложениях также могут привести к проблемам, которых можно было бы избежать при эффективном управлении исправлениями.

Рекомендация: разверните и протестируйте решение для архивации.
Сведения: архивацию следует выполнять подобно любым другим операциям. Это касается систем, входящих в рабочую среду, распространяющуюся в облако.

В системах тестирования и разработки следует применять стратегии архивации, которые могут предоставить возможности восстановления, аналогичные привычным для пользователей возможностям с учетом опыта работы в локальных средах. По возможности рабочие нагрузки, перемещенные в Azure, должны интегрироваться с существующими решениями для архивации. Кроме того, для обеспечения соответствия требованиям к архивации можно использовать службу архивации Azure.

Организации, которые не применяют политики обновления программного обеспечения, больше подвержены угрозам, связанным с использованием известных уязвимостей, которые были устранены ранее. Чтобы соответствовать отраслевым нормам, компании должны показать, что они проявляют осмотрительность и используют правильные средства управления безопасностью, обеспечивая безопасность рабочей нагрузки, находящейся в облаке.

Рекомендации по обновлению программного обеспечения для традиционных центров обработки данных и Azure IaaS имеют много общего. Мы рекомендуем проанализировать текущие политики обновления программного обеспечения, чтобы добавить в них виртуальные машины, расположенные в Azure.

Управление системой безопасности виртуальной машины

Киберугрозы эволюционируют. Для защиты виртуальных машин требуются возможности мониторинга, способные быстро выявить угрозы, предотвратить несанкционированный доступ к ресурсам, активировать оповещения и сократить число ложных срабатываний.

Для мониторинга состояния безопасности виртуальных машин под управлением Windows и Linux можно использовать Microsoft Defender для облака. В Defender для облака можно защитить виртуальные машины, используя следующие возможности:

• применение параметров безопасности операционной системы в соответствии с рекомендуемыми правилами конфигурации;
• идентификация и загрузка отсутствующих обновлений системы безопасности и критических обновлений;
• развертывание рекомендаций по защите конечных точек от вредоносных программ;
• проверка шифрования диска;
• оценка и исправление уязвимостей;
• обнаружение угроз.

Defender для облака может активно отслеживать угрозы, а потенциальные угрозы будут отображаться в разделе оповещений системы безопасности. Коррелированные угрозы будут собраны в одном представлении, которое называется "инцидент безопасности".

Defender для облака хранит данные в журналах Azure Monitor. Журналы Azure Monitor предоставляют язык запросов и модуль аналитики для анализа работы приложений и ресурсов. Данные также собираются из Azure Monitor, решений по управлению и агентов, установленных на виртуальных машинах в локальной среде или в облаке. Такие общие функции позволяют составить полную картину всей среды.

Организации, которые не обеспечивают надежную защиту для виртуальных машин, не знают о потенциальных попытках неавторизованных пользователей обойти средства управления безопасностью.

Мониторинг производительности виртуальной машины

Применение ресурсов не по назначению (например, когда процессы на виртуальной машине потребляют больше ресурсов, чем положено) может стать проблемой. Снижение производительности виртуальной машины может привести к прерыванию работы служб, что в свою очередь нарушает доступность, являющуюся одним из основных принципов безопасности. Это особенно важно для виртуальных машин, на которых размещаются службы IIS или другие веб-серверы, так как высокий уровень использования ЦП или памяти может указывать на атаку типа "отказ в обслуживании" (DoS). Крайне важно не только контролировать доступ к виртуальным машинам в случае возникновения проблем, но и заранее отслеживать базовые показатели производительности в периоды штатного функционирования.

Для получения сведений о работоспособности ресурсов рекомендуется использовать Azure Monitor. Возможности Azure Monitor:

• Диагностические файлы журналов ресурсов: отслеживание ресурсов виртуальной машины и выявление потенциальных проблем, которые могут снизить производительность и доступность.
• Расширение системы диагностики Azure: использование возможностей мониторинга и диагностики на виртуальных машинах под управлением Windows. Чтобы использовать эти возможности, необходимо включить расширение в шаблон Azure Resource Manager.

Организации, которые не отслеживают производительность виртуальных машин, не способны определить, являются ли определенные изменения в показателях производительности нормальными или аномальными. Если виртуальная машина потребляет больше ресурсов, чем обычно, это может свидетельствовать об атаке, совершаемой с внешнего ресурса, или о скомпрометированном процессе, выполняемом на виртуальной машине.

Шифрование файлов виртуального жесткого диска

Рекомендуется шифровать виртуальные жесткие диски (VHD) для защиты загрузочного тома и томов данных в хранилище, также нужно шифровать ключи шифрования и секреты.

Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows помогает шифровать диски виртуальных машин IaaS Windows и Linux. Шифрование дисков Azure использует стандартные для отрасли функции (DM-Crypt в Linux и BitLocker в Windows), которые обеспечивают шифрование томов ОС и дисков данных. Шифрование дисков Azure интегрировано в Azure Key Vault, что позволяет управлять секретами и ключами шифрования дисков в подписке Key Vault и контролировать их. Данное решение обеспечивает шифрование всех неактивных данных на дисках виртуальной машины в службе хранилища Azure.

Ниже приведены рекомендации по использованию службы шифрования дисков Azure.

Рекомендация: включайте шифрование на виртуальных машинах.
Сведения: служба шифрования дисков Azure создает и записывает ключи шифрования в хранилище ключей. Для управления ключами шифрования в хранилище ключей требуется проверка подлинности Microsoft Entra. Создайте приложение Microsoft Entra для этой цели. Для проверки подлинности можно использовать проверку подлинности на основе секрета клиента или проверку подлинности Microsoft Entra на основе сертификата клиента.

Рекомендация: используйте ключ шифрования ключей (KEK), чтобы добавить уровень безопасности для ключей шифрования. Поместите KEK в хранилище ключей.
Сведения: используйте командлет Add-AzKeyVaultKey, чтобы создать ключ шифрования ключей в хранилище ключей. Кроме того, KEK можно импортировать из своего локального аппаратного модуля безопасности (HSM) для управления ключами. Дополнительные сведения см. в документации по Key Vault. Когда ключ шифрования ключей указан, шифрование дисков Azure использует его для упаковки секретов шифрования перед записью в Key Vault. Наличие депонированной копии этого ключа в локальном модуле HSM управления ключами обеспечивает дополнительную защиту от случайного удаления ключей.

Рекомендация: создайте моментальный снимок и (или) резервную копию перед шифрованием дисков. Резервные копии позволяют выполнять восстановление, если во время шифрования происходит непредвиденная ошибка.
Сведения: для виртуальных машин с управляемыми дисками необходимо создать резервную копию до начала шифрования. После создания резервной копии вы можете зашифровать управляемые диски с помощью командлета Set-AzVMDiskEncryptionExtension с параметром -skipVmBackup. Дополнительные сведения см. в статье Резервное копирование и восстановление зашифрованных виртуальных машин с помощью службы Azure Backup.

Рекомендация: чтобы убедиться, что секреты шифрования не пересекают региональные границы, шифрованию дисков Azure требуется, чтобы хранилище ключей и виртуальные машины были расположены в одном регионе.
Сведения: создайте и используйте хранилище ключей, которое находится в том же регионе, что и виртуальная машина, которую нужно зашифровать.

Применяя решение по шифрованию дисков Azure, можно удовлетворять приведенные ниже потребности организации.

• При хранении виртуальные машины IaaS защищаются с помощью стандартных отраслевых технологий шифрования, которые отвечают корпоративным требованиям безопасности и соответствия.
• Запуск виртуальных машин IaaS выполняется в соответствии с ключами и политиками, которыми управляет клиент. Можно также проводить аудит их использования в хранилище ключей.

Ограничение прямого подключения к Интернету

Отслеживайте и ограничивайте прямые подключения виртуальных машин к Интернету. Злоумышленники постоянно сканируют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и пытаются применить "простые" атаки, например самые распространенные пароли и известные уязвимости. В следующей таблице приведены рекомендации по защите от таких атак:

Рекомендация: избегайте случайного предоставления доступа к системам маршрутизации и безопасности сети.
Сведения: настройте контроль доступа на основе ролей Azure (Azure RBAC), чтобы разрешения на доступ к сетевым ресурсам был только у центральной группы управления сетью.

Рекомендация: обнаруживайте и устраняйте все уязвимости виртуальных машин, предоставляющие доступ без ограничения диапазона исходных IP-адресов.
Сведения: используйте Microsoft Defender для облака. Defender для облака предоставит рекомендации по ограничению доступа через подключенную к Интернету конечную точку, если в какой-либо группе безопасности сети есть одно или несколько правил входящего трафика, разрешающих доступ с любого исходного IP-адреса. Defender для облака предоставит рекомендации по изменению правил входящего трафика, чтобы они ограничивали доступ определенным набором исходных IP-адресов, которым он действительно необходим.

Рекомендация: ограничьте доступ к портам управления (RDP, SSH).
Сведения: JIT-доступ к виртуальной машине позволяет заблокировать входящий трафик к виртуальным машинам Azure, снизить уязвимость к атакам и предоставлять удобный доступ к виртуальным машинам только тогда, когда это необходимо. Если JIT-доступ к сети включен, Defender для облака блокирует входящий трафик к виртуальной машине Azure посредством правила группы безопасности сети. Вы выбираете порты на виртуальной машине, для которых будет заблокирован входящий трафик. Доступ к этим портам контролируется решением для JIT-доступа.

Следующие шаги

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.

Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.

• Блог команды безопасности Azure. Благодаря этому блогу вы будете в курсе последних новостей о безопасности Azure.
• Microsoft Security Response Center. Это место, куда можно сообщать об уязвимостях, в том числе о проблемах Azure. Это также можно сделать по почте, отправив сообщение по адресу secure@microsoft.com.