Rekommenderade säkerhetsmetoder för IaaS-arbetsbelastningar i AzureSecurity best practices for IaaS workloads in Azure

Den här artikeln beskriver rekommenderade säkerhetsmetoder för virtuella datorer och operativsystem.This article describes security best practices for VMs and operating systems.

De bästa metoderna är baserade på en enhälligt av åsikter och de fungerar med den aktuella Azure-plattformsfunktioner och egenskapsuppsättningar.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Eftersom andras åsikter och tekniker kan ändras med tiden, kommer den här artikeln att uppdateras för att återspegla dessa ändringar.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

I de flesta infrastruktur som en tjänst (IaaS)-scenarier, virtuella Azure-datorer (VM) är huvudsakliga arbetsbelastningen för organisationer som använder molnbaserad databehandling.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Detta kan ses i hybridscenarier där organisationer vill långsamt migrera arbetsbelastningar till molnet.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. I sådana scenarier, följer du de allmänna säkerhetsaspekter för IaaS, och tillämpa rekommenderade säkerhetsmetoder för alla dina virtuella datorer.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Delat ansvarShared responsibility

Ditt ansvar för säkerhet baseras på vilken typ av tjänst i molnet.Your responsibility for security is based on the type of cloud service. Följande diagram sammanfattar balans ansvar för både Microsoft och du:The following chart summarizes the balance of responsibility for both Microsoft and you:

Ansvarsområden

Säkerhetskrav varierar beroende på ett antal faktorer, inklusive olika typer av arbetsbelastningar.Security requirements vary depending on a number of factors including different types of workloads. Inte en av dessa metodtips skydda ensamt dina system.Not one of these best practices can by itself secure your systems. Som allt annat i security måste du välja lämpliga alternativ och se hur lösningarna kan kompletterar varandra genom att fylla luckor.Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

Skydda virtuella datorer med hjälp av autentisering och åtkomstkontrollProtect VMs by using authentication and access control

Det första steget i att skydda dina virtuella datorer är att säkerställa att endast behöriga användare kan ställa in nya virtuella datorer och åtkomst till virtuella datorer.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Anteckning

Du kan integrera med Azure AD-autentisering för att förbättra säkerheten för virtuella Linux-datorer på Azure.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. När du använder Azure AD-autentisering för virtuella Linux-datorer, centralt styra och genomdriva principer som tillåter eller nekar åtkomst till de virtuella datorerna.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Bästa praxis: Styra åtkomst till virtuell dator.Best practice: Control VM access.
Information om: Använd Azure principer upprätta konventioner för resurser i din organisation och skapa anpassade principer.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Använda dessa principer på resurser, till exempel resursgrupper.Apply these policies to resources, such as resource groups. Virtuella datorer som tillhör en resursgrupp ärver dess principer.VMs that belong to a resource group inherit its policies.

Om din organisation har många prenumerationer, kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure-hanteringsgrupper ger en nivå av omfång över prenumerationer.Azure management groups provide a level of scope above subscriptions. Du organiserar prenumerationer till hanteringsgrupper (behållare) och tillämpa dina styrning villkor för dessa grupper.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Alla prenumerationer i en hanteringsgrupp ärver automatiskt villkor som används för gruppen.All subscriptions within a management group automatically inherit the conditions applied to the group. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Bästa praxis: Minska variationer i din installation och distribution av virtuella datorer.Best practice: Reduce variability in your setup and deployment of VMs.
Information om: Använd Azure Resource Manager mallar att stärka dina distributionsalternativ och gör det enklare att förstå och inventera de virtuella datorerna i din miljö.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Bästa praxis: Säker privilegierad åtkomst.Best practice: Secure privileged access.
Information om: Använd en minsta privilegium metoden och inbyggda Azure-roller så att användarna kan komma åt och konfiguration av virtuella datorer:Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Virtuell Datordeltagare: Hantera virtuella datorer, men inte virtuella nätverks- eller kontot som de är anslutna.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Klassisk virtuell Datordeltagare: Hantera virtuella datorer som skapas med hjälp av den klassiska distributionsmodellen, men inte virtuella nätverks- eller kontot som de virtuella datorerna är anslutna.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Säkerhetsadministratör: I Säkerhetscenter: Kan visa säkerhetsprinciper, security tillstånd, redigera säkerhetsprinciper, Visa aviseringar och rekommendationer, avvisa aviseringar och rekommendationer.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • DevTest Labs-användare: Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Dina prenumerationsadministratörer och coadmins ska kan ändra den här inställningen, vilket gör dem administratörer av alla virtuella datorer i en prenumeration.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Var noga med att du litar på alla prenumerationsadministratörer och coadmins ska logga in på någon av dina datorer.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Anteckning

Vi rekommenderar att du sammanställa virtuella datorer med samma livscykel i samma resursgrupp.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Med hjälp av resursgrupper kan du distribuera, övervaka och ackumulera faktureringskostnader för dina resurser.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Organisationer som styr åtkomst till virtuell dator och installationen att förbättra sina övergripande VM-säkerhet.Organizations that control VM access and setup improve their overall VM security.

Använda flera virtuella datorer för bättre tillgänglighetUse multiple VMs for better availability

Om den virtuella datorn kör kritiska program som måste ha hög tillgänglighet, rekommenderar vi starkt att du använder flera virtuella datorer.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. För bättre tillgänglighet använda en tillgänglighetsuppsättning.For better availability, use an availability set.

En tillgänglighetsuppsättning är en logisk gruppering som du kan använda i Azure så att du placerar i VM-resurserna är isolerade från varandra när de har distribuerats i ett Azure-datacenter.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure ser till att de virtuella datorerna som du placerar i en tillgänglighetsuppsättning in kör över flera fysiska servrar, beräkning rack, lagringsenheter och nätverksväxlar.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. Om ett maskinvarufel eller Azure programvarufel inträffar endast en delmängd av dina virtuella datorer som påverkas och ditt program fortsätter att vara tillgängliga för dina kunder.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Tillgänglighetsuppsättningar är en viktig funktion när du vill skapa tillförlitliga molnlösningar.Availability sets are an essential capability when you want to build reliable cloud solutions.

Skydda mot skadlig kodProtect against malware

Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Du kan installera Microsoft Antimalware eller en Microsoft-partner endpoint protection-lösning (Trend Micro, Symantec, McAfee, Windows Defender, och System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Symantec, McAfee, Windows Defender, and System Center Endpoint Protection).

Microsoft Antimalware innehåller funktioner som realtidsskydd, schemalagd genomsökning, korrigering av skadlig kod, Signaturuppdateringar, uppdateringar, exempel reporting och insamling av undantag.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Du kan använda ett tillägg för program mot skadlig kod för att skydda dina virtuella datorer och molntjänster för miljöer som finns separat från din produktionsmiljö.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Du kan integrera lösningar från Microsoft Antimalware och partner med Azure Security Center för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Bästa praxis: Installera ett program mot skadlig kod som skydd mot skadlig kod.Best practice: Install an antimalware solution to protect against malware.
Information om: Installera en lösning för Microsoft-partner eller Microsoft AntimalwareDetail: Install a Microsoft partner solution or Microsoft Antimalware

Bästa praxis: Integrera din lösning för program mot skadlig kod med Security Center för att övervaka status för skyddet av.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Information om: Hantera problem med endpoint protection med Security CenterDetail: Manage endpoint protection issues with Security Center

Hantera VM-uppdateringarManage your VM updates

Azure virtuella datorer, som alla lokala virtuella datorer är avsedda att hanteras av användare.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure Skicka inte Windows-uppdateringar till dem.Azure doesn't push Windows updates to them. Du behöver hantera dina VM-uppdateringar.You need to manage your VM updates.

Bästa praxis: Håll dina virtuella datorer uppdaterade.Best practice: Keep your VMs current.
Information om: Använd den uppdateringshantering lösning i Azure Automation för att hantera operativsystem systemuppdateringar för dina Windows- och Linux-datorer som distribueras i Azure, i lokala miljöer eller i andra moln providers.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Datorer som hanteras av uppdateringshantering Använd följande konfigurationer för att utföra utvärdering och uppdatera distribueringar:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) för Windows eller LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • Önskad PowerShell-tillståndskonfiguration (DSC) för LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorerMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Om du använder Windows Update, lämna inställningen för automatisk uppdatering för Windows.If you use Windows Update, leave the automatic Windows Update setting enabled.

Bästa praxis: Kontrollera att du har inbyggda avbildningar inkluderar den senaste runda av Windows-uppdateringar vid distributionen.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Information om: Sök efter och installera alla Windows-uppdateringar som ett första steg för varje distribution.Detail: Check for and install all Windows updates as a first step of every deployment. Det här måttet är särskilt viktigt att tillämpa när du distribuerar avbildningar som kommer från dig eller dina egna bibliotek.This measure is especially important to apply when you deploy images that come from either you or your own library. Även om avbildningar från Azure Marketplace uppdateras automatiskt som standard, kan det finnas en fördröjning (upp till några veckor) när du har en offentlig version.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Bästa praxis: Distribuera med jämna mellanrum om dina virtuella datorer om du vill framtvinga en ny version av Operativsystemet.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Information om: Definiera den virtuella datorn med en Azure Resource Manager-mall så att du enkelt kan distribuera om den.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. En mall ger dig en korrigerad och säker virtuell dator när du behöver den.Using a template gives you a patched and secure VM when you need it.

Bästa praxis: Snabbt använda säkerhetsuppdateringar för virtuella datorer.Best practice: Rapidly apply security updates to VMs.
Information om: Använd Azure Security Center (kostnadsfria nivån eller standardnivån) till identifiera säkerhetsuppdateringar som saknas och tillämpa dem.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Bästa praxis: Installera de senaste säkerhetsuppdateringarna.Best practice: Install the latest security updates.
Information om: Vissa av de första arbetsbelastningarna som kunder flyttar till Azure är labs och externa system.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Om virtuella datorer i Azure vara värd för program eller tjänster som måste vara tillgänglig på Internet, vara vaksam om uppdateringar.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Korrigera sig utöver operativsystemet.Patch beyond the operating system. Okorrigerade säkerhetsproblem på partnerprogram kan också leda till problem som kan undvikas om bra uppdateringshantering är på plats.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Bästa praxis: Distribuera och testa en lösning för säkerhetskopiering.Best practice: Deploy and test a backup solution.
Information om: En säkerhetskopia måste hanteras på samma sätt som du hanterar andra åtgärder.Detail: A backup needs to be handled the same way that you handle any other operation. Det här gäller för system som ingår i din produktionsmiljö utöka till molnet.This is true of systems that are part of your production environment extending to the cloud.

Testning och utveckling system måste följa säkerhetskopieringsstrategier som gör det möjligt för återställning som liknar vad användare har blivit vana vid, baserat på deras upplevelse med lokala miljöer.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Produktionsarbetsbelastningar flyttade till Azure ska integrera med befintliga säkerhetskopieringslösningar när det är möjligt.Production workloads moved to Azure should integrate with existing backup solutions when possible. Du kan också använda Azure Backup att hjälpa med dina behov för säkerhetskopiering.Or, you can use Azure Backup to help address your backup requirements.

Organisationer som inte tillämpa principer för programuppdatering exponeras mer för hot som utnyttjar kända, fasta tidigare sårbarheter.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. För att uppfylla branschbestämmelser måste företag bevisa att de är flitig och använda rätt säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar finns i molnet.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Programuppdateringen Metodtips för ett traditionella datacenter och Azure IaaS har många likheter.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Vi rekommenderar att du utvärderar din aktuella uppdateringsprinciper för programvara för att inkludera virtuella dator i Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Hantera din säkerhetsposition för virtuell datorManage your VM security posture

Cyberhot är under utveckling.Cyberthreats are evolving. Skydda dina virtuella datorer kräver en övervakningsfunktionen som kan snabbt identifiera hot, förhindra obehörig åtkomst till dina resurser, utlöser aviseringar och minska falska positiva identifieringar.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Övervaka säkerhetstillståndet för dina Windows och virtuella Linux-datorer, använda Azure Security Center.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. Skydda dina virtuella datorer genom att utnyttja följande funktioner i Security Center:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Tillämpa säkerhetsinställningar för OS med rekommenderade konfigurationsregler.Apply OS security settings with recommended configuration rules.
  • Identifiera och ladda ned systemsäkerhet och viktiga uppdateringar som saknas.Identify and download system security and critical updates that might be missing.
  • Distribuera rekommendationer för slutpunktsskydd för program mot skadlig kod.Deploy recommendations for endpoint antimalware protection.
  • Verifiera diskkryptering.Validate disk encryption.
  • Utvärdera och åtgärda sårbarheter.Assess and remediate vulnerabilities.
  • Identifiera hot.Detect threats.

Security Center kan övervaka aktivt för hot och potentiella hot som exponeras i säkerhetsaviseringar.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Korrelerade hot räknas samman i en enda vy som kallas en säkerhetsincident.Correlated threats are aggregated in a single view called a security incident.

Security Center lagrar data i Azure Monitor loggar.Security Center stores data in Azure Monitor logs. Azure Monitor-loggar innehåller en fråga frågespråk och en analytisk motor som ger dig insikter om hur dina program och resurser.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Data samlas även från Azure Monitor, hanteringslösningar och agenter som installerats på virtuella datorer i molnet eller lokalt.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Denna delade funktion hjälper dig att få en komplett bild av din miljö.This shared functionality helps you form a complete picture of your environment.

Organisationer som inte framtvingar stark säkerhet för sina virtuella datorer vara ovetande om eventuella försök från obehöriga användare kringgå de säkerhetskontroller.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Övervaka prestanda för virtuell datorMonitor VM performance

Resursen missbruk kan vara ett problem när VM-processer använder fler resurser än vad de ska.Resource abuse can be a problem when VM processes consume more resources than they should. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, som bryter mot reglerna security tillgänglighet.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Detta är särskilt viktigt för virtuella datorer som är värd för IIS eller andra webbservrar, eftersom hög CPU eller minne användning kan tyda på en attack denial of service (DoS).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Det är viktigt att övervaka åtkomst till virtuell dator inte bara reaktivt när ett problem uppstår, utan även proaktivt mot baslinjeprestanda mätt under normal drift.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Vi rekommenderar att du använder Azure Monitor att få insyn i resursens hälsotillstånd.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Azure Monitor-funktioner:Azure Monitor features:

Organisationer som inte övervakar prestanda för virtuella datorer kan inte avgöra om vissa ändringar i prestandamönster är normal eller onormalt.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. En attack från en extern resurs eller en komprometterad process som körs på den virtuella datorn kan tyda på en virtuell dator som använder fler resurser än normalt.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Kryptera din virtuella hårddisk-filerEncrypt your virtual hard disk files

Vi rekommenderar att du krypterar dina virtuella hårddiskar (VHD) för att skydda din startvolymen och datavolymer i vila i lagring, tillsammans med dina krypteringsnycklar och hemligheter.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption hjälper dig att kryptera din Windows- och Linux IaaS VM-diskar.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption används vanliga BitLocker funktion i Windows och DM-Crypt funktion i Linux för att kryptera volymer för Operativsystemet och datadiskarna.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. Lösningen är integrerad med Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter i key vault-prenumeration.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Lösningen innebär också att alla data på diskar i virtuella datorer krypteras i vila i Azure Storage.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Nedan följer bästa praxis för att använda Azure Disk Encryption:Following are best practices for using Azure Disk Encryption:

Bästa praxis: Aktivera kryptering på virtuella datorer.Best practice: Enable encryption on VMs.
Information om: Azure Disk Encryption genererar och skriver dem till ditt nyckelvalv.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Hantera krypteringsnycklar i ditt nyckelvalv kräver Azure AD-autentisering.Managing encryption keys in your key vault requires Azure AD authentication. Skapa ett Azure AD-program för detta ändamål.Create an Azure AD application for this purpose. Du kan använda antingen autentisering med klient-hemlighet för autentisering, eller klientautentisering certifikatbaserad Azure AD.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Bästa praxis: Använda en krypteringsnyckel nyckel (KEK) för ett extra lager av säkerhet för krypteringsnycklar.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Lägg till en KEK till ditt nyckelvalv.Add a KEK to your key vault.
Information om: Använd den Lägg till AzKeyVaultKey cmdlet för att skapa en nyckelkrypteringsnyckel i nyckelvalvet.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM) för hantering av nycklar.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Mer information finns i den dokumentationen för Key Vault.For more information, see the Key Vault documentation. När du anger en nyckelkrypteringsnyckel använder Azure Disk Encryption nyckeln för att omsluta kryptering hemligheter innan du skriver till Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Att behålla en escrow kopia av den här nyckeln i en lokal ger nyckelhantering HSM ytterligare skydd mot oavsiktlig borttagning av nycklar.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Bästa praxis: Ta en ögonblicksbild och/eller säkerhetskopiera innan diskar krypteras.Best practice: Take a snapshot and/or backup before disks are encrypted. Säkerhetskopieringar ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.Backups provide a recovery option if an unexpected failure happens during encryption.
Information om: Virtuella datorer med hanterade diskar kräver en säkerhetskopia innan kryptering sker.Detail: VMs with managed disks require a backup before encryption occurs. När en säkerhetskopia görs, kan du använda den Set-AzVMDiskEncryptionExtension cmdlet för att kryptera hanterade diskar genom att ange den - skipVmBackup parametern.After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Mer information om hur du säkerhetskopiera och återställa krypterade virtuella datorer finns i den Azure Backup artikeln.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Bästa praxis: Om du vill se till att kryptering hemligheterna inte går över regionala gränser, måste Azure Disk Encryption nyckelvalvet och de virtuella datorerna ska finnas i samma region.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Information om: Skapa och använda ett nyckelvalv som är i samma region som den virtuella datorn måste vara krypterade.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

När du använder Azure Disk Encryption kan du uppfylla följande affärsbehov:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Virtuella IaaS-datorer är skyddade i vila med branschstandard krypteringsteknik att uppfylla organisationens krav för säkerhet och efterlevnad.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Virtuella IaaS-datorer startar under kund-kontrollerade nycklar och principer och du kan granska deras användning i ditt nyckelvalv.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Begränsa direkt InternetanslutningRestrict direct internet connectivity

Övervaka och begränsa VM direkt Internetanslutning.Monitor and restrict VM direct internet connectivity. Angripare ständigt Sök offentligt moln IP-intervall för öppna hanteringsportar och försök att ”enkla” attacker som vanliga lösenord och kända okorrigerade säkerhetsproblem.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. I följande tabell visas bästa praxis för att skydda mot dessa attacker:The following table lists best practices to help protect against these attacks:

Bästa praxis: Förhindra oavsiktlig exponering nätverket Routning och säkerhet.Best practice: Prevent inadvertent exposure to network routing and security.
Information om: Använd RBAC för att se till att endast centrala nätverk gruppen har behörighet att nätverksresurser.Detail: Use RBAC to ensure that only the central networking group has permission to networking resources.

Bästa praxis: Identifiera och åtgärda exponerade virtuella datorer som tillåter åtkomst från ”alla” källans IP-adress.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Information om: Använd Azure Security Center.Detail: Use Azure Security Center. Security Center rekommenderar att du begränsar åtkomst via internet-riktade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera inkommande regler som tillåter åtkomst från ”alla” källans IP-adress.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Security Center rekommenderar att du redigerar dessa regler för inkommande trafik till begränsa åtkomsten till källans IP-adresser som faktiskt behöver åtkomst.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Bästa praxis: Begränsa hanteringsportar (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Information om: Åtkomst till Virtuella just-in-time (JIT) kan användas för att låsa inkommande trafik till dina virtuella Azure-datorer minskar exponeringen för attacker samtidigt som det ger enkel åtkomst till att ansluta till virtuella datorer när det behövs.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. När JIT är aktiverad låser Security Center inkommande trafik till virtuella datorer i Azure genom att skapa en regel för nätverkssäkerhetsgrupp.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Du väljer vilka portar på den virtuella datorn som inkommande trafik låses.You select the ports on the VM to which inbound traffic will be locked down. De här portarna styrs av JIT-lösning.These ports are controlled by the JIT solution.

Nästa stegNext steps

Se säkerhet i Azure-metodtips och mönster för flera beprövade metoder för att använda när du utforma, distribuera och hantera dina molnlösningar med hjälp av Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Följande resurser är tillgängliga för att tillhandahålla mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:The following resources are available to provide more general information about Azure security and related Microsoft services: