Säkerhetsöversikt för virtuella Azure-datorer

Den här artikeln innehåller en översikt över de grundläggande Säkerhetsfunktionerna i Azure som kan användas med virtuella datorer.

Du kan använda Azure Virtual Machines för att distribuera ett brett utbud av databehandlingslösningar på ett agilt sätt. Tjänsten stöder Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP och Azure BizTalk Services. Så du kan distribuera valfri arbetsbelastning och vilket språk som helst på nästan vilket operativsystem som helst.

En virtuell dator i Azure ger dig virtualiseringsflexibilitet utan att du behöver köpa och underhålla den fysiska maskinvara som den virtuella datorn körs på. Du kan skapa och distribuera dina program med försäkran om att dina data är skyddade och säkra i mycket säkra datacenter.

Med Azure kan du skapa säkerhetsförbättrade, kompatibla lösningar som:

• Skydda dina virtuella datorer mot virus och skadlig kod.
• Kryptera känsliga data.
• Säker nätverkstrafik.
• Identifiera och identifiera hot.
• Uppfylla efterlevnadskraven.

Programvara mot skadlig kod

Med Azure kan du använda program mot skadlig kod från säkerhetsleverantörer som Microsoft, Symantec, Trend Micro och Kaspersky. Den här programvaran skyddar dina virtuella datorer från skadliga filer, adware och andra hot.

Microsoft Antimalware för Azure Cloud Services och Virtual Machines är en realtidsskyddsfunktion som hjälper dig att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Microsoft Antimalware för Azure tillhandahåller konfigurerbara aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på dina Azure-system.

Microsoft Antimalware för Azure är en lösning med en enda agent för program och klientmiljöer. Den är utformad för att köras i bakgrunden utan mänsklig inblandning. Du kan distribuera skydd baserat på behoven hos dina programarbetsbelastningar, med antingen grundläggande säker som standard eller avancerad anpassad konfiguration, inklusive övervakning av program mot skadlig kod.

Läs mer om Microsoft Antimalware för Azure och de viktigaste funktionerna som är tillgängliga.

Läs mer om program mot skadlig kod för att skydda dina virtuella datorer:

• Distribuera lösningar för skydd mot skadlig kod i Azure Virtual Machines
• Så här installerar och konfigurerar du Trend Micro Deep Security som en tjänst på en virtuell Windows-dator
• Säkerhetslösningar på Azure Marketplace

Överväg att använda Microsoft Defender för Endpoint för ännu kraftfullare skydd. Med Defender för Endpoint får du:

• Minskning av attackytan
• Nästa generations skydd
• Slutpunktsskydd och svar
• Automatiserad undersökning och reparation
• Säkerhetspoäng
• Avancerad jakt
• Hantering och API:er
• Microsoft Threat Protection

Läs mer: Kom igång med Microsoft Defender för Endpoint

Modul för maskinvarusäkerhet

Förbättrad nyckelsäkerhet kan förbättra krypterings- och autentiseringsskyddet. Du kan förenkla hanteringen och säkerheten för dina kritiska hemligheter och nycklar genom att lagra dem i Azure Key Vault.

Key Vault ger möjlighet att lagra dina nycklar i maskinvarusäkerhetsmoduler (HSM:er) som är certifierade enligt FIPS 140-verifierade standarder. Dina SQL Server-krypteringsnycklar för säkerhetskopiering eller transparent datakryptering kan lagras i Key Vault med nycklar eller hemligheter från dina program. Behörigheter och åtkomst till dessa skyddade objekt hanteras via Microsoft Entra-ID.

Läs mer:

• Vad är Azure Key Vault?
• Azure Key Vault-blogg

Diskkryptering för virtuell dator

Azure Disk Encryption är en ny funktion för att kryptera dina virtuella Windows- och Linux-datordiskar. Azure Disk Encryption använder bitLocker-funktionen av branschstandard i Windows och dm-crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna.

Lösningen är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter i din nyckelvalvsprenumeration. Det säkerställer att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.

Läs mer:

• Azure Disk Encryption för virtuella Linux-datorer och Azure Disk Encryption för virtuella Windows-datorer
• Snabbstart: Kryptera en virtuell Linux IaaS-dator med Azure PowerShell

Säkerhetskopiering av virtuell dator

Azure Backup är en skalbar lösning som hjälper dig att skydda dina programdata utan kapitalinvesteringar och minimala driftskostnader. Programfel kan skada dina data och den mänskliga faktorn kan införa buggar i dina program. Med Azure Backup skyddas dina virtuella datorer som kör Windows och Linux.

Läs mer:

• Vad är Azure Backup?
• Vanliga frågor och svar om Azure Backup-tjänsten

Azure Site Recovery

En viktig del av din organisations BCDR-strategi är att ta reda på hur du kan hålla företagets arbetsbelastningar och appar igång när planerade och oplanerade avbrott inträffar. Azure Site Recovery hjälper till att samordna replikering, redundans och återställning av arbetsbelastningar och appar så att de är tillgängliga från en sekundär plats om den primära platsen slutar fungera.

Site Recovery:

• Förenklar din BCDR-strategi: Site Recovery gör det enkelt att hantera replikering, redundans och återställning av flera företagsarbetsbelastningar och appar från en enda plats. Site Recovery orkestrerar replikering och redundans men fångar inte upp dina programdata eller har någon information om dem.
• Ger flexibel replikering: Genom att använda Site Recovery kan du replikera arbetsbelastningar som körs på virtuella Hyper-V-datorer, virtuella VMware-datorer och fysiska Windows-/Linux-servrar.
• Stöder redundans och återställning: Site Recovery tillhandahåller redundanstest för att stödja haveriberedskapstest utan att påverka produktionsmiljöer. Du kan också köra planerade redundansväxlingar utan någon dataförlust för förväntade driftsavbrott, eller oplanerade redundansväxlingar med minimal dataförlust (beroende på replikeringsfrekvens) för oväntade haverier. Efter redundansväxlingen kan du återställa till dina primära platser. Site Recovery tillhandahåller återställningsplaner som kan innehålla skript och Azure Automation-arbetsböcker så att du kan anpassa redundans och återställning av program på flera nivåer.
• Eliminerar sekundära datacenter: Du kan replikera till en sekundär lokal plats eller till Azure. Att använda Azure som mål för haveriberedskap eliminerar kostnaden och komplexiteten med att underhålla en sekundär plats. Replikerade data lagras i Azure Storage.
• Integrerar med befintliga BCDR-tekniker: Site Recovery samarbetar med andra programs BCDR-funktioner. Du kan till exempel använda Site Recovery för att skydda SQL Server-serverdelen av företagets arbetsbelastningar. Detta inkluderar inbyggt stöd för SQL Server Always On för att hantera redundans för tillgänglighetsgrupper.

Läs mer:

• Vad är Azure Site Recovery?
• Hur fungerar Azure Site Recovery?
• Vilka arbetsbelastningar skyddas av Azure Site Recovery?

Virtuellt nätverk

Virtuella datorer behöver nätverksanslutning. För att stödja det kravet kräver Azure att virtuella datorer är anslutna till ett virtuellt Azure-nätverk.

Ett virtuellt Azure-nätverk är en logisk konstruktion som bygger på den fysiska Azure-nätverksinfrastrukturen. Varje logiskt virtuellt Azure-nätverk är isolerat från alla andra virtuella Azure-nätverk. Den här isoleringen säkerställer att nätverkstrafiken i dina distributioner inte är tillgänglig för andra Microsoft Azure-kunder.

Läs mer:

• Översikt över Azure-nätverkssäkerhet
• Översikt över virtuella nätverk
• Nätverksfunktioner och partnerskap för företagsscenarier

Hantering och rapportering av säkerhetsprinciper

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och reagera på hot. Defender för molnet ger dig bättre insyn i och kontroll över säkerheten för dina Azure-resurser. Det ger integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer. Den hjälper till att identifiera hot som annars kan gå obemärkt förbi och fungerar med ett brett ekosystem med säkerhetslösningar.

Defender för molnet hjälper dig att optimera och övervaka säkerheten för dina virtuella datorer genom att:

• Tillhandahålla säkerhetsrekommendationer för de virtuella datorerna. Exempelrekommendationer är: tillämpa systemuppdateringar, konfigurera ACL-slutpunkter, aktivera program mot skadlig kod, aktivera nätverkssäkerhetsgrupper och tillämpa diskkryptering.
• Övervaka tillståndet för dina virtuella datorer.

Läs mer:

• Introduktion till Microsoft Defender för molnet
• Microsoft Defender för molnet vanliga frågor och svar
• Microsoft Defender för molnet planering och drift

Efterlevnad

Azure Virtual Machines är certifierat för FISMA, FedRAMP, HIPAA, PCI DSS Level 1 och andra viktiga efterlevnadsprogram. Den här certifieringen gör det enklare för dina egna Azure-program att uppfylla efterlevnadskrav och för ditt företag att uppfylla en mängd olika nationella och internationella regelkrav.

Läs mer:

• Microsoft Trust Center: Efterlevnad
• Betrott moln: Säkerhet, sekretess och efterlevnad i Microsoft Azure

Konfidentiell databehandling

Även om konfidentiell databehandling inte är en teknisk del av säkerheten för virtuella datorer tillhör ämnet säkerhet för virtuella datorer det högre ämnet för "beräkningssäkerhet". Konfidentiell databehandling hör till kategorin "beräkningssäkerhet".

Konfidentiell databehandling säkerställer att när data är "i klartext", vilket krävs för effektiv bearbetning, skyddas data i en betrodd körningsmiljö https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE - även känd som en enklav), ett exempel som visas i bilden nedan.

TEE:er ser till att det inte finns något sätt att visa data eller åtgärder inifrån och ut, inte ens med ett felsökningsprogram. De ser till och med till att endast auktoriserad kod tillåts komma åt data. Om koden ändras eller manipuleras nekas åtgärderna och miljön inaktiveras. TEE tillämpar dessa skydd under körningen av kod i den.

Läs mer:

• Introduktion till konfidentiell databehandling i Azure
• Konfidentiell databehandling i Azure

Nästa steg

Lär dig mer om metodtips för säkerhet för virtuella datorer och operativsystem.