Рекомендации по безопасности для рабочих нагрузок IaaS в AzureSecurity best practices for IaaS workloads in Azure

В этой статье описываются рекомендации по обеспечению безопасности для виртуальных машин и операционных систем.This article describes security best practices for VMs and operating systems.

Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Так как со временем мнения и технологии могут меняться, эта статья будет обновляться для отражения таких изменений.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

В большинстве сценариев инфраструктуры как услуги (IaaS) виртуальные машины (ВМ) Azure являются основной рабочей нагрузкой для организаций, использующих облачные вычисления.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Этот заметно в гибридных сценариях, в которых организациям необходимо медленно переносить рабочие нагрузки в облако.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. В таких случаях необходимо следовать общим рекомендациям по обеспечению безопасности для IaaS, а также выполнять рекомендации по обеспечению безопасности на всех виртуальных машинах.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Защита виртуальных машин с помощью проверки подлинности и контроля доступаProtect VMs by using authentication and access control

Для защиты виртуальной машины в первую очередь необходимо предоставить возможность настройки новых виртуальных машин и доступа к ним только авторизованным пользователям.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Примечание

Чтобы повысить безопасность виртуальных машин Linux в Azure, можно выполнить интеграцию с проверкой подлинности Azure AD.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. При использовании проверки подлинности Azure AD для виртуальных машин Linuxвы централизованно контролируете и применяйте политики, разрешающие или запрещающие доступ к виртуальным машинам.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Рекомендация: контролируйте доступ к виртуальной машине.Best practice: Control VM access.
Сведения: используйте политики Azure для создания правил для ресурсов в вашей организации и разработайте настраиваемые политики.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Примените эти политики к ресурсам, таким как группы ресурсов.Apply these policies to resources, such as resource groups. Виртуальные машины, которые относятся к группе ресурсов, наследуют ее политики.VMs that belong to a resource group inherit its policies.

Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Группы управления Azure предоставляют уровень области действия подписок.Azure management groups provide a level of scope above subscriptions. Подписки упорядочиваются в группы управления (контейнеры). К этим группам применяются условия системы управления.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Все подписки в группе управления автоматически наследуют условия, применяемые к группе.All subscriptions within a management group automatically inherit the conditions applied to the group. Группы управления обеспечивают корпоративное управление в больших масштабах независимо от типа подписки.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Рекомендация: сократите количество вариантов установки и развертывания виртуальных машин.Best practice: Reduce variability in your setup and deployment of VMs.
Сведения: используйте шаблоны Azure Resource Manager, чтобы реализовывать фиксированные варианты развертывания, а также упростить процедуры анализа и учета виртуальных машин в вашей среде.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Рекомендация: обеспечьте безопасность привилегированного доступа.Best practice: Secure privileged access.
Сведения: чтобы пользователи могли получать доступ к виртуальным машинам и настраивать их, используйте принцип минимальных прав и встроенные роли Azure.Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Участник виртуальных машин — может управлять виртуальными машинами, но не виртуальными сетями и учетными записями хранения, к которым они подключены.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Участник классических виртуальных машин — может управлять виртуальными машинами, созданными с помощью классической модели развертывания, но не может управлять виртуальными сетями и учетными записями хранения, к которым подключены виртуальные машины.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Администратор системы безопасности (только в центре безопасности) может просматривать политики безопасности и состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также закрывать предупреждения и рекомендацииSecurity Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Пользователь DevTest Labs — может просматривать все, а также подключать, запускать, перезапускать виртуальные машины и завершать их работу.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Администраторы и соадминистраторы подписок могут изменить этот параметр. В результате они станут администраторами всех виртуальных машин в подписке.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Необходимо доверять всем администраторам и соадминистраторам подписки, входящим в системы виртуальных машин.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Примечание

Мы рекомендуем объединять виртуальные машины с одинаковым жизненным циклом в одну группу ресурсов.We recommend that you consolidate VMs with the same lifecycle into the same resource group. С помощью групп ресурсов можно развертывать и отслеживать ресурсы, а также получать сводную информацию о затратах на ресурсы.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Организации, которые управляют доступом к виртуальной машине и ее настройкой, повышают общую безопасность виртуальной машины.Organizations that control VM access and setup improve their overall VM security.

Использование нескольких виртуальных машин для повышения уровня доступностиUse multiple VMs for better availability

Если на виртуальной машине выполняются критически важные приложения, которым требуется высокий уровень доступности, настоятельно рекомендуем использовать несколько виртуальных машин.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Для повышения уровня доступности используйте группу доступности или зоныдоступности.For better availability, use an availability set or availability zones.

Группа доступности — это логическая группа, которую можно использовать в Azure, чтобы гарантировать изоляцию ресурсов виртуальной машины во время развертывания в центре обработки данных Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure гарантирует, что виртуальные машины, размещенные в группе доступности, выполняются на нескольких физических серверах, в вычислительных стойках, в пределах единиц хранения и сетевых коммутаторов.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. В случае сбоя оборудования или программного обеспечения в Azure затрагивается только подмножество виртуальных машин, а приложение остается доступным для клиентов.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Группы доступности — это важный элемент при создании надежных облачных решений.Availability sets are an essential capability when you want to build reliable cloud solutions.

Защита от вредоносных программProtect against malware

В целях обнаружения и удаления вирусов, шпионских и других вредоносных программ необходимо установить средства защиты от вредоносных программ.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Вы можете установить антивредоносное по Майкрософт или решение для защиты конечных точек партнера Майкрософт (Trend Micro, Broadcom, McAfee, Защитник Windowsи System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

Антивредоносное ПО Майкрософт обладает такими возможностями, как обеспечение защиты в реальном времени, плановое сканирование, исправление вредоносных действий, обновление подписей, обновление модуля защиты, отправка образцов и сбор событий исключения.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Для сред, размещенных отдельно от рабочей среды, вы можете использовать расширение антивредоносных программ, чтобы защитить виртуальные машины и облачные службы.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Для упрощения развертывания и использования встроенных обнаружений (оповещений и инцидентов) антивредоносное ПО Майкрософт и партнерские решения можно интегрировать с центром безопасности Azure.You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Рекомендация: установите решение для защиты от вредоносных программ.Best practice: Install an antimalware solution to protect against malware.
Сведения: установите решение от партнера Майкрософт или антивредоносное ПО Майкрософт.Detail: Install a Microsoft partner solution or Microsoft Antimalware

Рекомендация: для отслеживания состояния установленной защиты интегрируйте свое решение для защиты от вредоносных программ с центром безопасности.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Сведения: управляйте проблемами защиты конечных точек с помощью центра безопасности.Detail: Manage endpoint protection issues with Security Center

Управление обновлением виртуальной машиныManage your VM updates

Виртуальными машинами Azure, например всеми виртуальными машинами в локальной среде, должны управлять пользователи.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure не передает на них обновления Windows.Azure doesn't push Windows updates to them. Управлять обновлениями виртуальной машины необходимо самостоятельно.You need to manage your VM updates.

Рекомендация: поддерживайте виртуальные машины в актуальном состоянии.Best practice: Keep your VMs current.
Сведения: используйте решение по управлению обновлениями в службе автоматизации Azure, чтобы управлять обновлениями операционной системы для компьютеров Windows и Linux, развернутых в Azure, локальных средах или других поставщиках облачных услуг.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Благодаря ему вы сможете быстро оценить состояние доступных обновлений на всех компьютерах агентов и управлять установкой необходимых обновлений на серверах.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Ниже перечислены конфигурации, которые используются компьютерами, управляемыми с помощью решения "Управление обновлениями", для выполнения развертываний оценок и обновлений:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) для Windows или Linux;Microsoft Monitoring Agent (MMA) for Windows or Linux
  • служба настройки требуемого состояния PowerShell;PowerShell Desired State Configuration (DSC) for Linux
  • гибридные рабочие роли Runbook службы автоматизации;Automation Hybrid Runbook Worker
  • службы Центра обновления Майкрософт или Windows Server Update Services (WSUS) для компьютеров с Windows.Microsoft Update or Windows Server Update Services (WSUS) for Windows computers

Если вы используете Центр обновления Windows, оставьте включенной функцию автоматического обновления Windows.If you use Windows Update, leave the automatic Windows Update setting enabled.

Рекомендация: убедитесь, что во время развертывания созданные образы содержат последние обновления Windows.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Сведения: проверьте наличие и установите все обновления Windows — это должен быть первый шаг при каждом развертывании.Detail: Check for and install all Windows updates as a first step of every deployment. Она особенно важна при развертывании ваших собственных образов или образов из вашей библиотеки.This measure is especially important to apply when you deploy images that come from either you or your own library. Несмотря на то, что образы из Azure Marketplace автоматически обновляются по умолчанию, после выхода общедоступной версии может существовать интервал задержки (до нескольких недель).Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Рекомендация: периодически повторно развертывайте виртуальные машины в новой версии операционной системы.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Сведения: определите виртуальную машину с помощью шаблона Azure Resource Manager, чтобы повторно развертывать ее в дальнейшем.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Благодаря шаблону в вашем распоряжении в нужный момент будет исправленная и защищенная виртуальная машина.Using a template gives you a patched and secure VM when you need it.

Рекомендации. Быстрое применение обновлений для системы безопасности к виртуальным машинам.Best practice: Rapidly apply security updates to VMs.
Сведения: Включите центр безопасности Azure (уровень "бесплатный" или "Стандартный"), чтобы найти недостающие обновления для системы безопасности и применить их.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Рекомендация: устанавливайте последние обновления безопасности.Best practice: Install the latest security updates.
Сведения: одними из первых рабочих нагрузок, которые клиенты перемещают в Azure, являются лаборатории и внешние системы.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Если на виртуальных машинах Azure размещены приложения или службы, к которым требуется доступ через Интернет, при установке исправлений необходимо соблюдать осторожность.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Не ограничивайтесь только исправлениями операционной системы.Patch beyond the operating system. Неисправленные уязвимости в партнерских приложениях также могут привести к проблемам, которых можно было бы избежать при эффективном управлении исправлениями.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Рекомендация: разверните и протестируйте решение для архивации.Best practice: Deploy and test a backup solution.
Сведения: архивацию следует выполнять подобно любым другим операциям.Detail: A backup needs to be handled the same way that you handle any other operation. Это касается систем, входящих в рабочую среду, распространяющуюся в облако.This is true of systems that are part of your production environment extending to the cloud.

В системах тестирования и разработки следует применять стратегии архивации, которые могут предоставить возможности восстановления, аналогичные привычным для пользователей возможностям с учетом опыта работы в локальных средах.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. По возможности рабочие нагрузки, перемещенные в Azure, должны интегрироваться с существующими решениями для архивации.Production workloads moved to Azure should integrate with existing backup solutions when possible. Кроме того, для обеспечения соответствия требованиям к архивации можно использовать службу архивации Azure.Or, you can use Azure Backup to help address your backup requirements.

Организации, которые не применяют политики обновления программного обеспечения, больше подвержены угрозам, связанным с использованием известных уязвимостей, которые были устранены ранее.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Чтобы соответствовать отраслевым нормам, компании должны показать, что они проявляют осмотрительность и используют правильные средства управления безопасностью, обеспечивая безопасность рабочей нагрузки, находящейся в облаке.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Рекомендации по обновлению программного обеспечения для традиционных центров обработки данных и Azure IaaS имеют много общего.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Мы рекомендуем проанализировать текущие политики обновления программного обеспечения, чтобы добавить в них виртуальные машины, расположенные в Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Управление системой безопасности виртуальной машиныManage your VM security posture

Киберугрозы эволюционируют.Cyberthreats are evolving. Для защиты виртуальных машин требуются возможности мониторинга, способные быстро выявить угрозы, предотвратить несанкционированный доступ к ресурсам, активировать оповещения и сократить число ложных срабатываний.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Для мониторинга состояния безопасности виртуальных машин под управлением Windows и Linux можно использовать центр безопасности Azure.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. В центре безопасности можно защитить виртуальные машины, используя следующие возможности:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • применение параметров безопасности операционной системы в соответствии с рекомендуемыми правилами конфигурации;Apply OS security settings with recommended configuration rules.
  • идентификация и загрузка отсутствующих обновлений системы безопасности и критических обновлений;Identify and download system security and critical updates that might be missing.
  • развертывание рекомендаций по защите конечных точек от вредоносных программ;Deploy recommendations for endpoint antimalware protection.
  • проверка шифрования диска;Validate disk encryption.
  • оценка и исправление уязвимостей;Assess and remediate vulnerabilities.
  • обнаружение угроз.Detect threats.

Центр безопасности может активно отслеживать угрозы, а потенциальные угрозы будут отображаться в разделе оповещений системы безопасности.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Коррелированные угрозы будут собраны в одном представлении, которое называется "инцидент безопасности".Correlated threats are aggregated in a single view called a security incident.

Центр безопасности хранит данные в журналах Azure Monitor.Security Center stores data in Azure Monitor logs. Журналы Azure Monitor предоставляют язык запросов и модуль аналитики, который позволяет получить представление о работе приложений и ресурсов.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Данные также собираются из Azure Monitor, решений по управлению и агентов, установленных на виртуальных машинах в локальной среде или в облаке.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Такие общие функции позволяют составить полную картину всей среды.This shared functionality helps you form a complete picture of your environment.

Организации, которые не обеспечивают надежную защиту для виртуальных машин, не знают о потенциальных попытках неавторизованных пользователей обойти средства управления безопасностью.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Мониторинг производительности виртуальной машиныMonitor VM performance

Применение ресурсов не по назначению (например, когда процессы на виртуальной машине потребляют больше ресурсов, чем положено) может стать проблемой.Resource abuse can be a problem when VM processes consume more resources than they should. Снижение производительности виртуальной машины может привести к прерыванию работы служб, что в свою очередь нарушает доступность, являющуюся одним из основных принципов безопасности.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Это особенно важно для виртуальных машин, на которых размещаются службы IIS или другие веб-серверы, так как высокий уровень использования ЦП или памяти может указывать на атаку типа "отказ в обслуживании" (DoS).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Крайне важно не только контролировать доступ к виртуальным машинам в случае возникновения проблем, но и заранее отслеживать базовые показатели производительности в периоды штатного функционирования.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Для получения сведений о работоспособности ресурсов рекомендуется использовать Azure Monitor.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Возможности Azure Monitor:Azure Monitor features:

Организации, которые не отслеживают производительность виртуальных машин, не способны определить, являются ли определенные изменения в показателях производительности нормальными или аномальными.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Если виртуальная машина потребляет больше ресурсов, чем обычно, это может свидетельствовать об атаке, совершаемой с внешнего ресурса, или о скомпрометированном процессе, выполняемом на виртуальной машине.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Шифрование файлов виртуального жесткого дискаEncrypt your virtual hard disk files

Рекомендуется шифровать виртуальные жесткие диски (VHD) для защиты загрузочного тома и томов данных в хранилище, также нужно шифровать ключи шифрования и секреты.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Шифрование дисков Azure позволяет шифровать диски виртуальных машин IaaS под управлением Windows и Linux.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Для шифрования дисков Azure используются стандартные для отрасли функции (BitLocker в Windows и DM-Crypt в Linux), которые обеспечивают шифрование томов дисков ОС и дисков данных.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. Решение интегрировано с Azure Key Vault , помогающее управлять ключами и секретами шифрования дисков в подписке хранилища ключей.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Данное решение обеспечивает шифрование всех неактивных данных на дисках виртуальной машины в службе хранилища Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Ниже приведены рекомендации по использованию службы шифрования дисков Azure.Following are best practices for using Azure Disk Encryption:

Рекомендация: включайте шифрование на виртуальных машинах.Best practice: Enable encryption on VMs.
Сведения: служба шифрования дисков Azure создает и записывает ключи шифрования в хранилище ключей.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Для управления ключами шифрования в хранилище ключей требуется аутентификация Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Для этой цели создайте приложение Azure AD.Create an Azure AD application for this purpose. Можно использовать аутентификацию на основе секрета клиента или на основе сертификата клиента в Azure AD.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Рекомендация: используйте ключ шифрования ключей (KEK), чтобы добавить уровень безопасности для ключей шифрования.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Поместите KEK в хранилище ключей.Add a KEK to your key vault.
Сведения: используйте командлет Add-азкэйваулткэй , чтобы создать ключ шифрования ключа в хранилище ключей.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Кроме того, KEK можно импортировать из своего локального аппаратного модуля безопасности (HSM) для управления ключами.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Дополнительные сведения см. в документации по Key Vault.For more information, see the Key Vault documentation. Когда ключ шифрования ключей указан, шифрование дисков Azure использует его для упаковки секретов шифрования перед записью в Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Наличие депонированной копии этого ключа в локальном модуле HSM управления ключами обеспечивает дополнительную защиту от случайного удаления ключей.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Рекомендация: создайте моментальный снимок и (или) резервную копию перед шифрованием дисков.Best practice: Take a snapshot and/or backup before disks are encrypted. Резервные копии позволяют выполнять восстановление, если во время шифрования происходит непредвиденная ошибка.Backups provide a recovery option if an unexpected failure happens during encryption.
Сведения: для виртуальных машин с управляемыми дисками необходимо создать резервную копию до начала шифрования.Detail: VMs with managed disks require a backup before encryption occurs. После создания резервной копии можно использовать командлет Set-азвмдискенкриптионекстенсион для шифрования управляемых дисков, указав параметр -skipVmBackup .After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Дополнительные сведения см. в статье Резервное копирование и восстановление зашифрованных виртуальных машин с помощью службы Azure Backup.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Рекомендация: чтобы убедиться, что секреты шифрования не пересекают региональные границы, шифрованию дисков Azure требуется, чтобы хранилище ключей и виртуальные машины были расположены в одном регионе.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Сведения: создайте и используйте хранилище ключей, которое находится в том же регионе, что и виртуальная машина, которую нужно зашифровать.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Применяя решение по шифрованию дисков Azure, можно удовлетворять приведенные ниже потребности организации.When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • При хранении виртуальные машины IaaS защищаются с помощью стандартных отраслевых технологий шифрования, которые отвечают корпоративным требованиям безопасности и соответствия.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Запуск виртуальных машин IaaS выполняется в соответствии с ключами и политиками, которыми управляет клиент. Можно также проводить аудит их использования в хранилище ключей.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Ограничение прямого подключения к ИнтернетуRestrict direct internet connectivity

Мониторинг и ограничение прямого подключения к Интернету для виртуальной машины.Monitor and restrict VM direct internet connectivity. Злоумышленники постоянно проверяют диапазоны IP-адресов общедоступного облака для открытых портов управления и пытаются выполнить простые атаки, такие как общие пароли и известные неисправленные уязвимости.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. В следующей таблице приведены рекомендации, помогающие защититься от таких атак.The following table lists best practices to help protect against these attacks:

Рекомендации. предотвращение непреднамеренной раскрытия сетевой маршрутизации и безопасности.Best practice: Prevent inadvertent exposure to network routing and security.
Сведения: используйте Azure RBAC, чтобы убедиться, что только Центральная сеть имеет разрешение на доступ к сетевым ресурсам.Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.

Рекомендации. выявление и исправление общедоступных виртуальных машин, которые разрешают доступ с "любого" исходного IP-адреса.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Сведения: используйте центр безопасности Azure.Detail: Use Azure Security Center. Центр безопасности порекомендует ограничить доступ через конечные точки с выходом в Интернет, если в любой из групп безопасности сети есть одно или несколько правил для входящих подключений, которые разрешают доступ с любого исходного IP-адреса.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Центр безопасности порекомендует изменить эти правила для входящих подключений, чтобы ограничить доступ к исходным IP-адресам, которые действительно необходимы для доступа.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Рекомендации: ограничение портов управления (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Сведения: JIT -доступ к виртуальной машине можно использовать для блокировки входящего трафика к виртуальным машинам Azure, что снижает вероятность атак и обеспечивает простой доступ к виртуальным машинам при необходимости.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Если JIT включен, центр безопасности блокирует входящий трафик на виртуальные машины Azure, создавая правило группы безопасности сети.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Вы выбираете порты на виртуальной машине, для которых будет заблокирован входящий трафик.You select the ports on the VM to which inbound traffic will be locked down. Эти порты управляются JIT-решением.These ports are controlled by the JIT solution.

Дальнейшие действияNext steps

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.The following resources are available to provide more general information about Azure security and related Microsoft services: