Создание базового плана виртуальной машины Azure

  • 5 мин

Политика Azure — это служба Azure, которую можно использовать для создания, назначения и администрирования политик. Политики, которые вы создаете, позволяют применять различные правила и действия к вашим ресурсам, чтобы обеспечить их соответствие вашим корпоративным стандартам и соглашениям об уровне обслуживания. Политика Azure соответствует этому требованию, оценивая ресурсы на предмет несоответствия назначенным политикам. Например, вы можете настроить политику, которая разрешает только определенные размеры SKU виртуальных машин в среде. После реализации этой политики новые и имеющиеся ресурсы будут оцениваться на предмет соответствия. При правильном типе политики имеющиеся ресурсы могут быть приведены в соответствие.

Рекомендации по безопасности виртуальных машин Azure

В следующих разделах представлены рекомендации для виртуальных машин Azure, содержащиеся в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Включение и установка агента виртуальной машины для сбора данных Microsoft Defender для облака — уровень 1

Microsoft Defender для облака позволяет узнать, когда для виртуальной машины требуется агент виртуальной машины. Агент устанавливается по умолчанию для виртуальных машин, развернутых из Azure Marketplace. Данные необходимы для оценки состояния безопасности виртуальной машины, предоставления рекомендаций по безопасности и предупреждения об угрозах на основе узлов.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Управление выберите Параметры среды.

  3. В области Параметры среды выберите свою подписку.

  4. В меню слева в разделе Параметры выберите Автоматическая подготовка.

  5. Для агента виртуальной машины, который вы хотите использовать, щелкните Вкл. Выберите рабочую область.

  6. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

Убедитесь, что "Диск ОС" зашифрован — уровень 1

Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Шифрование дисков Azure:

  • Использует функцию BitLocker в Windows и функцию DM-Crypt в Linux, чтобы обеспечить шифрование дисков ОС и данных на виртуальных машинах Azure.
  • Интегрируется с Azure Key Vault, чтобы упростить управление секретами и ключами шифрования дисков.
  • Гарантирует, что все данные на дисках виртуальной машины будут зашифрованы при хранении в службе хранилища Azure.

Общедоступная версия шифрования дисков Azure представлена во всех общедоступных регионах Azure и регионах Azure для государственных организаций для виртуальных машин с ОС Windows и Linux (цен. категория "Стандартный") или c хранилищем класса Premium.

Если вы используете Microsoft Defender для облака (рекомендуется), то будете получать оповещения, если будут незашифрованные виртуальные машины. Выполните следующие действия для каждой виртуальной машины в подписке Azure.

  1. Войдите на портал Azure. Найдите и щелкните Виртуальные машины.

  2. В меню слева в разделе Параметры выберите Диски.

  3. В разделе Диск ОС убедитесь, что для диска ОС задан тип шифрования.

  4. В разделе Диски данныхубедитесь, что для каждого диска задан тип шифрования.

  5. Если вы изменили параметры, в строке меню выберите Сохранить.

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

Проверка того, что установлены только утвержденные расширения виртуальных машин — уровень 1

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют задачи настройки и автоматизации после развертывания для виртуальных машин Azure. Например, если на виртуальную машину нужно установить программное обеспечение или антивирусную защиту или если на виртуальной машине нужно запустить скрипт, вы можете использовать расширение виртуальной машины. Вы можете запустить расширение виртуальной машины Azure с помощью Azure CLI, PowerShell, шаблона Azure Resource Manager или портала Azure. Их можно включить в пакет для развертывания виртуальной машины или запускать в уже существующей системе. Чтобы с помощью портала Azure убедиться, что на ваших виртуальных машинах установлены только утвержденные расширения, выполните следующие действия для каждой виртуальной машины в вашей подписке Azure.

  1. Войдите на портал Azure. Найдите и щелкните Виртуальные машины.

  2. В меню слева в разделе Параметры выберите Расширения + приложения.

  3. В области Расширения + приложения убедитесь, что перечисленные расширения утверждены для использования.

Screenshot that shows V M extensions in the Extensions + applications pane.

Обязательное применение исправлений ОС для виртуальных машин — уровень 1

Microsoft Defender для облака ежедневно отслеживает наличие обновлений операционной системы для виртуальных машин и физических компьютеров Windows и Linux. Microsoft Defender для облака получает список доступных обновлений системы безопасности и критических обновлений из Центра обновления Windows или из Windows Server Update Services (WSUS). Получаемые обновления зависят от службы, настроенной на компьютере Windows. Defender для облака также проверяет наличие самых актуальных обновлений для систем Linux. Если на виртуальной машине или физическом компьютере отсутствует обновление системы, Defender для облака порекомендует его применить.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Общие выберите Рекомендации.

  3. В области Рекомендации убедитесь, что рекомендаций Применить системные обновления нет.

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

Проверка того, что на виртуальных машинах установлено и работает решение для защиты конечных точек — уровень 1

Microsoft Defender для облака отслеживает состояние защиты от вредоносных программ. Он сообщает об этом состоянии в области Проблемы с защитой конечной точки. Defender для облака указывает на проблемы, такие как обнаруженные угрозы и недостаточная защита, которые могут сделать виртуальные машины и физические компьютеры уязвимыми для вредоносным программ. Используя информацию из области Проблемы с защитой конечной точки, вы можете создать план устранения выявленных проблем.

Используйте тот же процесс, который описан в предыдущей рекомендации.