Säkerhetsmetodtips för IaaS-arbetsbelastningar i Azure

  • Artikel
  • 11 minuter för att läsa

Den här artikeln beskriver metodtips för säkerhet för virtuella datorer och operativsystem.

Metodtipsen baseras på en konsensus och de arbetar med aktuella funktioner och funktionsuppsättningar för Azure-plattformen. Eftersom åsikter och tekniker kan ändras med tiden kommer den här artikeln att uppdateras för att återspegla dessa ändringar.

I de flesta scenarier med infrastruktur som en tjänst (IaaS) är virtuella Azure-datorer den huvudsakliga arbetsbelastningen för organisationer som använder molnbaserad databehandling. Detta framgår tydligt i hybridscenarier där organisationer långsamt vill migrera arbetsbelastningar till molnet. I sådana scenarier följer du de allmänna säkerhetsövervägandena för IaaSoch tillämpar metodtips för säkerhet på alla dina virtuella datorer.

Skydda virtuella datorer med hjälp av autentisering och åtkomstkontroll

Det första steget för att skydda dina virtuella datorer är att se till att endast behöriga användare kan konfigurera nya virtuella datorer och få åtkomst till virtuella datorer.

Anteckning

För att förbättra säkerheten för virtuella Linux-datorer i Azure kan du integrera med Azure AD-autentisering. När du använder Azure AD-autentiseringför virtuella Linux-datorer styr och framtvingar du principer centralt som tillåter eller nekar åtkomst till de virtuella datorerna.

Bästa praxis: Kontrollera åtkomsten till virtuella datorer.
Information: Använd Azure-principer för att upprätta konventioner för resurser i din organisation och skapa anpassade principer. Tillämpa dessa principer på resurser, till exempel resursgrupper. Virtuella datorer som tillhör en resursgrupp ärver sina principer.

Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper ger en omfångsnivå över prenumerationerna. Du ordnar prenumerationer i hanteringsgrupper (containrar) och tillämpar dina styrningsvillkor på dessa grupper. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på gruppen. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.

Bästa praxis: Minska variationen i konfigurationen och distributionen av virtuella datorer.
Information: Använd Azure Resource Manager för att stärka dina distributionsalternativ och göra det enklare att förstå och inventera de virtuella datorerna i din miljö.

Bästa praxis: Skydda privilegierad åtkomst.
Information: Använd en metod med minsta behörighet och inbyggda Azure-roller för att ge användare åtkomst till och konfigurera virtuella datorer:

  • Virtuell datordeltagare:Kan hantera virtuella datorer, men inte det virtuella nätverket eller lagringskontot som de är anslutna till.
  • Klassisk virtuell datordeltagare:Kan hantera virtuella datorer som skapats med hjälp av den klassiska distributionsmodellen, men inte det virtuella nätverk eller lagringskonto som de virtuella datorerna är anslutna till.
  • Säkerhetsadministratör:Endast i Defender for Cloud: Kan visa säkerhetsprinciper, visa säkerhets tillstånd, redigera säkerhetsprinciper, visa aviseringar och rekommendationer, stänga aviseringar och rekommendationer.
  • DevTest Labs-användare:Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.

Dina prenumerationsadministratörer och medadministratörer kan ändra den här inställningen, vilket gör dem till administratörer för alla virtuella datorer i en prenumeration. Se till att du litar på att alla dina prenumerationsadministratörer och medadministratörer loggar in på någon av dina datorer.

Anteckning

Vi rekommenderar att du konsoliderar virtuella datorer med samma livscykel i samma resursgrupp. Med hjälp av resursgrupper kan du distribuera, övervaka och samla in faktureringskostnader för dina resurser.

Organisationer som kontrollerar åtkomst och installation av virtuella datorer förbättrar den övergripande säkerheten för virtuella datorer.

Använd flera virtuella datorer för bättre tillgänglighet

Om den virtuella datorn kör kritiska program som behöver hög tillgänglighet rekommenderar vi starkt att du använder flera virtuella datorer. Använd en tillgänglighetsuppsättning eller tillgänglighetszoner för bättre tillgänglighet.

En tillgänglighetsuppsättning är en logisk gruppering som du kan använda i Azure för att säkerställa att de VM-resurser som du placerar i den är isolerade från varandra när de distribueras i ett Azure-datacenter. Azure ser till att de virtuella datorer som du placerar i en tillgänglighetsuppsättning körs på flera fysiska servrar, beräkningsrack, lagringsenheter och nätverksväxlar. Om det uppstår ett maskinvaru- eller Azure-programvarufel påverkas bara en delmängd av dina virtuella datorer, och ditt övergripande program fortsätter att vara tillgängligt för dina kunder. Tillgänglighetsuppsättningar är en viktig funktion när du vill skapa tillförlitliga molnlösningar.

Skydd mot skadlig kod

Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Du kan installera Microsoft Antimalware eller en Microsoft-partners endpoint protection-lösning ( TrendMicro, Broadcom, McAfee, Windows Defender och System Center Endpoint Protection).

Microsoft Antimalware funktioner som realtidsskydd, schemalagd genomsökning, reparation av skadlig kod, signaturuppdateringar, motoruppdateringar, exempelrapportering och insamling av undantagshändelse. För miljöer som finns separat från produktionsmiljön kan du använda ett tillägg mot skadlig programvara för att skydda dina virtuella datorer och molntjänster.

Du kan integrera Microsoft Antimalware och partnerlösningar med Microsoft Defender for Cloud för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).

Bästa praxis: Installera en lösning mot skadlig kod för att skydda mot skadlig kod.
Information: Installera en Microsoft-partnerlösning eller Microsoft Antimalware

Bästa praxis: Integrera din lösning mot skadlig programvara med Defender for Cloud för att övervaka skyddets status.
Information: Hantera problem med slutpunktsskydd med Defender för molnet

Hantera dina VM-uppdateringar

Virtuella Azure-datorer, precis som alla lokala virtuella datorer, är avsedda att hanteras av användare. Azure skickar inte Windows-uppdateringar till dem. Du måste hantera dina VM-uppdateringar.

Bästa praxis: Håll dina virtuella datorer aktuella.
Information: Använd Uppdateringshantering-lösningen i Azure Automation för att hantera operativsystemuppdateringar för dina Windows- och Linux-datorer som distribueras i Azure, i lokala miljöer eller hos andra molnleverantörer. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.

Datorer som hanteras med Uppdateringshantering använder följande konfigurationer för att utföra utvärdering och uppdateringsdistributioner:

  • Microsoft Monitoring Agent (MMA) för Windows eller Linux
  • Önskad PowerShell-tillståndskonfiguration (DSC) för Linux
  • Automation Hybrid Runbook Worker
  • Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorer

Om du använder Windows Update låter du inställningen för automatisk Windows Uppdatering vara aktiverad.

Bästa praxis: Se till att avbildningar som du har skapat innehåller den senaste omgång av Windows uppdateringar.
Information: Sök efter och installera alla Windows uppdateringar som ett första steg i varje distribution. Det här måttet är särskilt viktigt att använda när du distribuerar avbildningar som kommer från dig eller ditt eget bibliotek. Även om avbildningar Azure Marketplace uppdateras automatiskt som standard kan det ta en fördröjning (upp till några veckor) efter en offentlig version.

Bästa praxis: Distribuera regelbundet om dina virtuella datorer för att tvinga fram en ny version av operativsystemet.
Information: Definiera den virtuella datorn med en Azure Resource Manager mall så att du enkelt kan distribuera om den. Med hjälp av en mall får du en korrigerad och säker virtuell dator när du behöver den.

Bästa praxis: Tillämpa säkerhetsuppdateringar snabbt på virtuella datorer.
Information: Aktivera Microsoft Defender for Cloud (kostnadsfri nivå eller standardnivå) för att identifiera saknade säkerhetsuppdateringar och tillämpa dem.

Bästa praxis: Installera de senaste säkerhetsuppdateringarna.
Information: Några av de första arbetsbelastningarna som kunder flyttar till Azure är labb och externa system. Om dina virtuella Azure-datorer är värdar för program eller tjänster som måste vara tillgängliga för Internet bör du vara uppmärksam på korrigeringen. Korrigering utöver operativsystemet. Olåsta sårbarheter i partnerprogram kan också leda till problem som kan undvikas om det finns en bra korrigeringshantering.

Bästa praxis: Distribuera och testa en säkerhetskopieringslösning.
Information: En säkerhetskopiering måste hanteras på samma sätt som du hanterar andra uppgifter. Detta gäller system som ingår i din produktionsmiljö och som utökar till molnet.

Test- och utvecklingssystem måste följa säkerhetskopieringsstrategier som ger återställningsfunktioner som liknar det som användarna har vant sig vid, baserat på deras erfarenhet av lokala miljöer. Produktionsarbetsbelastningar som flyttas till Azure bör integreras med befintliga säkerhetskopieringslösningar när det är möjligt. Eller så kan du använda Azure Backup för att åtgärda dina säkerhetskopieringskrav.

Organisationer som inte tillämpar programuppdateringsprinciper är mer exponerade för hot som utnyttjar kända, tidigare åtgärdade säkerhetsrisker. För att följa branschreglerna måste företag bevisa att de är noggranna och använder rätt säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar som finns i molnet.

Metodtips för programuppdatering för ett traditionellt datacenter och Azure IaaS har många likheter. Vi rekommenderar att du utvärderar dina aktuella programuppdateringsprinciper för att inkludera virtuella datorer som finns i Azure.

Hantera din VM-säkerhetsstatus

Cyberhot utvecklas. För att skydda dina virtuella datorer krävs en övervakningskapacitet som snabbt kan identifiera hot, förhindra obehörig åtkomst till dina resurser, utlösa aviseringar och minska falska positiva identifieringar.

Om du vill övervaka säkerhetsstatusen för dina Windows och virtuella Linux-datoreranvänder du Microsoft Defender för molnet. Skydda dina virtuella datorer i Defender för molnet genom att dra nytta av följande funktioner:

  • Tillämpa säkerhetsinställningar för operativsystemet med rekommenderade konfigurationsregler.
  • Identifiera och ladda ned systemsäkerhet och viktiga uppdateringar som kan saknas.
  • Distribuera rekommendationer för endpoint antimalware protection.
  • Verifiera diskkryptering.
  • Utvärdera och åtgärda sårbarheter.
  • Identifiera hot.

Defender for Cloud kan aktivt övervaka hot och potentiella hot exponeras i säkerhetsaviseringar. Korrelerade hot sammanställs i en enda vy som kallas för en säkerhetsincident.

Defender for Cloud lagrar data i Azure Monitor loggar. Azure Monitor innehåller ett frågespråk och en analysmotor som ger dig insikter om hur dina program och resurser fungerar. Data samlas också in från Azure Monitor,hanteringslösningar och agenter som är installerade på virtuella datorer i molnet eller lokalt. Denna delade funktion hjälper dig att få en komplett bild av din miljö.

Organisationer som inte framtvingar stark säkerhet för sina virtuella datorer är ovetande om potentiella försök av obehöriga användare att kringgå säkerhetskontroller.

Övervaka VM-prestanda

Resursutnyttjande kan vara ett problem när VM-processer förbrukar mer resurser än de borde. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, vilket strider mot säkerhetsprincipen om tillgänglighet. Detta är särskilt viktigt för virtuella datorer som är värdar för IIS eller andra webbservrar, eftersom hög PROCESSOR- eller minnesanvändning kan tyda på en DoS-attack (Denial of Service). Det är mycket viktigt att övervaka VM-åtkomsten inte bara reaktivt när ett problem inträffar, utan även proaktivt mot baslinjeprestanda som mäts under normal drift.

Vi rekommenderar att du använder Azure Monitor för att få insyn i resursens hälsa. Azure Monitor funktioner:

Organisationer som inte övervakar VM-prestanda kan inte avgöra om vissa ändringar i prestandamönster är normala eller onormala. En virtuell dator som förbrukar mer resurser än normalt kan tyda på ett angrepp från en extern resurs eller en komprometterad process som körs på den virtuella datorn.

Kryptera dina virtuella hårddiskfiler

Vi rekommenderar att du krypterar dina virtuella hårddiskar (VHD: er) för att skydda startvolymen och datavolymerna i vila i lagringen, tillsammans med dina krypteringsnycklar och hemligheter.

Azure Disk Encryption hjälper dig att kryptera dina virtuella Windows- och Linux IaaS-datordiskar. Azure Disk Encryption använder branschstandardfunktionen BitLocker i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna. Lösningen är integrerad med Azure Key Vault som hjälper dig att kontrollera och hantera diskkrypteringsnycklarna och hemligheterna i din nyckelvalvsprenumeration. Lösningen ser också till att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.

Här följer metodtips för att använda Azure Disk Encryption:

Bästa praxis: Aktivera kryptering på virtuella datorer.
Information: Azure Disk Encryption genererar och skriver krypteringsnycklarna till ditt nyckelvalv. Hantering av krypteringsnycklar i nyckelvalvet kräver Azure AD-autentisering. Skapa ett Azure AD-program för detta ändamål. I autentiseringssyfte kan du använda antingen klienthemlig autentisering eller klientcertifikatbaserad Azure AD-autentisering.

Bästa praxis: Använd en nyckelkrypteringsnyckel (KEK) för ytterligare ett säkerhetslager för krypteringsnycklar. Lägg till en kek i nyckelvalvet.
Information: Använd cmdleten Add-AzKeyVaultKey för att skapa en nyckelkrypteringsnyckel i nyckelvalvet. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM) för nyckelhantering. Mer information finns i dokumentationen Key Vault. När en nyckelkrypteringsnyckel anges använder Azure Disk Encryption nyckeln för att omsluta krypteringshemligheterna innan de skrivs till Key Vault. Att förvara en depositionskopia av den här nyckeln i en lokal nyckelhanterings-HSM ger ytterligare skydd mot oavsiktlig borttagning av nycklar.

Bästa praxis: Ta en ögonblicksbild och/eller säkerhetskopiera innan diskarna krypteras. Säkerhetskopieringar ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.
Information: Virtuella datorer med hanterade diskar kräver en säkerhetskopia innan krypteringen sker. När en säkerhetskopia har gjorts kan du använda cmdleten Set-AzVMDiskEncryptionExtension för att kryptera hanterade diskar genom att ange parametern -skipVmBackup. Mer information om hur du återställer krypterade virtuella datorer finns i artikeln Azure Backup artikeln.

Bästa praxis: För att säkerställa att krypteringshemligheterna inte går över regionala gränser Azure Disk Encryption nyckelvalvet och de virtuella datorerna finnas i samma region.
Information: Skapa och använd ett nyckelvalv som finns i samma region som den virtuella dator som ska krypteras.

När du Azure Disk Encryption kan du uppfylla följande affärsbehov:

  • Virtuella IaaS-datorer skyddas i vila med hjälp av krypteringsteknik som är branschstandard i syfte att uppfylla organisationens krav på säkerhet och efterlevnad.
  • Virtuella IaaS-datorer börjar under kundkontrollerade nycklar och principer och du kan granska deras användning i ditt nyckelvalv.

Begränsa direkt Internetanslutning

Övervaka och begränsa direkt internetanslutning för virtuella datorer. Angripare genomsöker ständigt IP-intervall för offentliga moln efter öppna hanteringsportar och försöker "enkla" attacker som vanliga lösenord och kända oskadliga sårbarheter. I följande tabell visas metodtips för att skydda mot dessa attacker:

Bästa praxis: Förhindra oavsiktlig exponering för nätverksroutning och säkerhet.
Information: Använd Azure RBAC för att se till att endast den centrala nätverksgruppen har behörighet till nätverksresurser.

Bästa praxis: Identifiera och åtgärda exponerade virtuella datorer som tillåter åtkomst från "alla" källans IP-adress.
Information: Använd Microsoft Defender för molnet. Defender for Cloud rekommenderar att du begränsar åtkomsten via Internetuppriktade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera regler för inkommande trafik som tillåter åtkomst från "alla" käll-IP-adresser. Defender for Cloud rekommenderar att du redigerar dessa regler för inkommande trafik för att begränsa åtkomsten till de IP-källadresser som faktiskt behöver åtkomst.

Bästa praxis: Begränsa hanteringsportar (RDP, SSH).
Information: JIT-åtkomst (Just-in-time) för virtuella datorer kan användas för att låsa inkommande trafik till dina virtuella Azure-datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs. När JIT är aktiverat låser Defender for Cloud inkommande trafik till dina virtuella Azure-datorer genom att skapa en regel för nätverkssäkerhetsgrupp. Du väljer vilka portar på den virtuella datorn som inkommande trafik ska låsas till. Dessa portar styrs av JIT-lösningen.

Nästa steg

Se Metodtips och mönster för säkerhet i Azure för fler metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.

Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster: