Azure 虛擬機器安全性概觀

本文提供可與虛擬機搭配使用的核心 Azure 安全性功能概觀。

您可以使用 Azure 虛擬機器，以敏捷的方式部署各種運算解決方案。 此服務支援 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk 服務。 因此，您可以在幾乎任何作業系統上部署任何工作負載和任何語言。

Azure 虛擬機可讓您彈性地進行虛擬化，而不需要購買和維護執行虛擬機的實體硬體。 您可以建置及部署應用程式，以確保您的數據在高度安全的數據中心受到保護及安全。

透過 Azure，您可以建置安全性增強且符合規範的解決方案，以：

• 保護您的虛擬機免於病毒和惡意代碼。
• 加密敏感數據。
• 保護網路流量。
• 識別並偵測威脅。
• 符合合規性需求。

反惡意程式碼

透過 Azure，您可以從 Microsoft、Symantec、Trend Micro 和卡巴斯基等安全性廠商使用反惡意程式碼軟體。 此軟體可協助保護您的虛擬機免於惡意檔案、廣告軟體和其他威脅。

適用於 Azure 雲端服務 和 虛擬機器 的 Microsoft Antimalware 是即時保護功能，可協助識別和移除病毒、間諜軟體和其他惡意軟體。 當已知惡意或垃圾軟體嘗試自行安裝或在您的 Azure 系統上執行時，適用於 Azure 的 Microsoft Antimalware 提供可設定的警示。

適用於 Azure 的 Microsoft Antimalware 是應用程式和租用戶環境的單一代理程序解決方案。 其設計為在背景中執行，而無須任何人為操作。 您可以根據您的應用程式工作負載需求，使用基礎的預設保護或進階的自訂設定 (包括反惡意程式碼軟體監視) 來部署保護。

深入瞭解 適用於 Azure 的 Microsoft Antimalware 和可用的核心功能。

深入瞭解反惡意代碼軟體，以協助保護您的虛擬機：

• 在 Azure 虛擬機器上部署反惡意程式碼解決方案
• 如何在 Windows VM 上安裝及設定 Trend Micro Deep Security 即服務
• Azure Marketplace 中的安全性解決方案

若要獲得更強大的保護，請考慮使用 適用於端點的 Microsoft Defender。 使用適用於端點的 Defender，您可以取得：

• 攻擊面縮減
• 新一代保護
• 端點保護和回應
• 自動化調查和補救
• 安全分數
• 進階搜捕
• 管理和 API
• Microsoft 威脅防護

深入瞭解：開始使用 適用於端點的 Microsoft Defender

硬體安全模型

改善金鑰安全性可以增強加密和驗證保護。 您可以將金鑰儲存在 Azure 金鑰保存庫 中，以簡化重要秘密和金鑰的管理和安全性。

金鑰保存庫 提供選項，將您的金鑰儲存在經認證的硬體安全性模組 （HSM） 中FIPS 140 已驗證的標準。 備份或透明數據加密的 SQL Server 加密金鑰全都可以儲存在 金鑰保存庫，其中包含來自您應用程式的任何密鑰或秘密。 這些受保護項目的許可權和存取權是透過 Microsoft Entra ID 來管理。

深入了解：

• 什麼是 Azure 金鑰保存庫？
• Azure 金鑰保存庫 部落格

虛擬機磁碟加密

Azure 磁碟加密 是加密 Windows 和 Linux 虛擬機磁碟的新功能。 Azure 磁碟加密 使用業界標準Windows 的 BitLocker 功能和 Linux 的 dm-crypt 功能，可為 OS 和數據磁碟提供磁碟區加密。

此解決方案與 Azure Key Vault 整合，協助您控制及管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。 其確保虛擬機器磁碟中的所有資料都會在 Azure 儲存體中進行待用加密。

深入了解：

• 適用於Linux VM和 Windows VM Azure 磁碟加密 的 Azure 磁碟加密
• 快速入門：使用 Azure PowerShell 加密 Linux IaaS VM

虛擬機器備份

Azure 備份 是一個可調整的解決方案，可協助使用零資本投資和最少的營運成本來保護您的應用程式數據。 應用程式錯誤可能導致資料損毀，而人為錯誤可能會將 Bug 導入應用程式中。 使用 Azure 備份，執行 Windows 和 Linux 的虛擬機會受到保護。

深入了解：

• 什麼是 Azure 備份？
• Azure 備份 服務常見問題

Azure Site Recovery

組織BCDR策略的一個重要部分是瞭解如何在計劃性和非計劃性中斷發生時，讓公司工作負載和應用程式保持執行。 Azure Site Recovery 可協助協調工作負載和應用程式的複寫、故障轉移和復原，以便在主要位置關閉時從次要位置取得它們。

Site Recovery：

• 簡化 BCDR 策略：Site Recovery 可讓您輕鬆地從單一位置處理多個商務工作負載和應用程式的復寫、故障轉移和復原。 Site Recovery 會協調複寫和故障轉移，但不會攔截您的應用程式數據，或有任何相關信息。
• 提供彈性復寫：使用 Site Recovery，您可以復寫在 Hyper-V 虛擬機、VMware 虛擬機和 Windows/Linux 實體伺服器上執行的工作負載。
• 支援故障轉移和復原：Site Recovery 提供測試故障轉移，以支援災害復原演練，而不會影響生產環境。 您也可以針對預期的中斷執行計劃性故障轉移，或非計劃性故障轉移，但數據遺失最少（視復寫頻率而定），以進行非預期的災害。 故障轉移之後，您可以容錯回復到主要月臺。 Site Recovery 提供可包含腳本和 Azure 自動化 活頁簿的復原方案，讓您可以自定義多層式應用程式的故障轉移和復原。
• 排除次要數據中心：您可以復寫至次要內部部署網站或 Azure。 使用 Azure 作為災害復原的目的地，可消除維護次要月臺的成本和複雜度。 復寫的數據會儲存在 Azure 儲存體 中。
• 與現有的 BCDR 技術整合：Site Recovery 合作夥伴與其他應用程式的 BCDR 功能。 例如，您可以使用 Site Recovery 來協助保護公司工作負載的 SQL Server 後端。 這包括原生支援 SQL Server Always On 來管理可用性群組的故障轉移。

深入了解：

• 什麼是 Azure Site Recovery？
• Azure Site Recovery 如何運作？
• Azure Site Recovery 會保護哪些工作負載？

虛擬網路

虛擬機需要網路連線能力。 為了支援該需求，Azure 需要虛擬機連線到 Azure 虛擬網路。

Azure 虛擬網路是一種以實體 Azure 網路網狀架構為基礎所建置的邏輯建構。 每個邏輯 Azure 虛擬網路都會與所有其他 Azure 虛擬網路隔離。 此隔離可協助確保其他 Microsoft Azure 客戶無法存取您部署中的網路流量。

深入了解：

• Azure 網路安全性概觀
• 虛擬網絡 概觀
• 企業案例的網路功能和合作關係

安全策略管理和報告

適用於雲端的 Microsoft Defender 可協助您防止、偵測及回應威脅。 適用於雲端的 Defender 可讓您更瞭解及控制 Azure 資源的安全性。 它提供 Azure 訂用帳戶之間的整合式安全性監視和原則管理。 它可協助偵測可能未注意到的威脅，並搭配廣泛的安全性解決方案生態系統使用。

適用於雲端的 Defender 可透過下列方式協助您優化及監視虛擬機的安全性：

• 提供 虛擬機的安全性建議 。 範例建議包括：套用系統更新、設定 ACL 端點、啟用反惡意代碼、啟用網路安全組，以及套用磁碟加密。
• 監視虛擬機的狀態。

深入了解：

• 適用於雲端的 Microsoft Defender 簡介
• 適用於雲端的 Microsoft Defender 常見問題
• 適用於雲端的 Microsoft Defender 規劃和作業

法規遵循

Azure 虛擬機器 已通過 FISMA、FedRAMP、HIPAA、PCI DSS 層級 1 和其他重要合規性計劃的認證。 此認證可讓您的 Azure 應用程式更輕鬆地符合合規性需求，並讓您的企業能夠解決各種國內外法規需求。

深入了解：

• Microsoft 信任中心：合規性
• 信任的雲端：Microsoft Azure 安全性、隱私權和合規性

機密運算

雖然機密運算在技術上不是虛擬機安全性的一部分，但虛擬機安全性的主題屬於較高層級的「計算」安全性主題。 機密運算屬於「計算」安全性類別。

機密運算可確保當數據「清楚」時，這是有效率的處理所需的數據，數據會在信任的執行環境 https://en.wikipedia.org/wiki/Trusted_execution_environment （TEE - 也稱為記憶體保護區）內受到保護，其範例如下圖所示。

TEE 可確保即使有調試程式，也無法從外部檢視數據或作業。 它們甚至確保只允許授權的程式代碼存取數據。 如果修改或竄改程式代碼，作業會遭到拒絕，且環境已停用。 TEE 會在整個程式代碼執行過程中強制執行這些保護。

深入了解：

• Azure 機密運算簡介
• Azure 機密運算 \(英文\)

下一步

瞭解 VM 和作業系統的安全性最佳做法 。