將 零信任 原則套用至 Azure 中的虛擬機
摘要:若要將 零信任 原則套用至 Azure 虛擬機,您必須使用專用資源群組設定邏輯隔離、利用角色型 存取控制(RBAC)、安全虛擬機開機組件、啟用客戶管理的密鑰和雙重加密、控制已安裝的應用程式、設定虛擬機的安全存取和維護,以及啟用進階威脅偵測和保護。
本文提供將 零信任 原則套用至 Azure 中虛擬機的步驟:
| 零信任 原則 | 定義 | 符合者 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 | 使用安全存取。 |
| 使用最低權限存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 | 利用角色型 存取控制 (RBAC)並控制在虛擬機上執行的應用程式。 |
| 假設缺口 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 | 使用資源群組隔離虛擬機、保護其元件、使用雙重加密,以及啟用進階威脅偵測和保護。 |
本文是一系列文章的一部分,示範如何將 零信任 原則套用至 Azure 中裝載虛擬機型工作負載的輪輻虛擬網路 (VNet) 環境。 如需概觀,請參閱將 零信任 原則套用至 Azure 基礎結構。
虛擬機的邏輯架構
虛擬機 零信任 原則會套用到邏輯架構,從租用戶和目錄層級向下套用到每個虛擬機內的數據和應用層。
下圖顯示邏輯架構元件。
在此圖表中:
- 是一組隔離在 Azure 訂用帳戶內專用資源群組內的虛擬機。
- B 是單一虛擬機的邏輯架構,其已呼叫下列元件:應用程式、操作系統、磁碟、開機載入器、OS 核心、驅動程式,以及受信任的平臺模組 (TPM) 元件。
本文會逐步解說使用這些步驟,在整個邏輯架構中套用 零信任 原則的步驟。
| 步驟 | Task | 已套用 零信任 原則 |
|---|---|---|
| 1 | 將虛擬機部署至專用資源群組,以設定邏輯隔離。 | 假設缺口 |
| 2 | 利用角色型 存取控制 (RBAC)。 | 明確驗證 使用最低權限存取 |
| 3 | 保護虛擬機開機組件,包括開機載入器、OS 核心和驅動程式。 安全地保護信任平台模組 (TPM) 中的金鑰、憑證和秘密。 | 假設缺口 |
| 4 | 啟用客戶管理的金鑰和雙重加密。 | 假設缺口 |
| 5 | 控制安裝在虛擬機上的應用程式。 | 使用最低權限存取 |
| 6 | 設定安全存取 (未顯示在邏輯架構圖上)。 | 明確驗證 使用最低許可權存取 假設缺口 |
| 7 | 設定虛擬機的安全維護(未顯示在邏輯架構圖上)。 | 假設缺口 |
| 8 | 啟用進階威脅偵測和保護(未顯示在邏輯架構圖上)。 | 假設缺口 |
步驟 1:設定虛擬機的邏輯隔離
首先,隔離專用資源群組內的虛擬機。 您可以根據用途、數據分類和治理需求,將虛擬機隔離到不同的資源群組,例如控制許可權和監視的需求。
使用專用資源群組可讓您設定套用至資源群組內所有虛擬機的原則和許可權。 接著,您可以使用角色型訪問控制 (RBAC) 來建立資源群組中所含 Azure 資源的最低特殊許可權存取權。
如需建立和管理資源群組的詳細資訊,請參閱使用 Azure 入口網站 管理 Azure 資源群組。
當您第一次建立虛擬機時,您會將虛擬機指派給資源群組,如下所示。
步驟 2:運用角色型 存取控制 (RBAC)
零信任 需要設定最低許可權的存取權。 若要這樣做,您必須根據使用者的角色、工作負載和數據分類,使用 Just-In-Time 和 Just-enough access 來限制使用者存取權(JIT/JEA)。
下列內建角色通常用於虛擬機存取:
- 虛擬機使用者登入: 在入口網站中檢視虛擬機,並以一般使用者身分登入。
- 虛擬機系統管理登入: 在入口網站中檢視虛擬機,並以系統管理員身分登入虛擬機。
- 虛擬機參與者: 建立和管理虛擬機,包括重設根用戶的密碼和受控磁碟。 不會授與管理虛擬網路 (VNet) 的存取權,或將許可權指派給資源的能力。
若要將虛擬機加入 VNet,您可以使用自定義許可權 Microsoft.Network/virtualNetworks/subnets/join/action 來建立自定義角色。
當此自定義角色與受控識別和條件式存取原則搭配使用時,您可以使用裝置狀態、數據分類、異常、位置和身分識別來強制多重要素驗證,並根據已驗證的信任細微地允許存取。
若要將控制領域延伸至系統之外,並允許具有 Microsoft Intelligent Security Graph 的 Microsoft Entra ID 租用戶支援安全存取,請移至 虛擬機的 [管理 ] 刀鋒視窗,然後開啟 [系統指派的受控識別],如下所示。
注意
此功能僅適用於使用憑證型存取的 Azure 虛擬桌面、Windows Server 2019、Windows 10 和 Linux 散發版本。
步驟 3:保護虛擬機開機組件
執行下列步驟:
- 當您建立虛擬機時,請務必設定開機組件的安全性。 虛擬機的增強部署可讓您選取安全性類型,並使用 安全開機 和 vTPM。
- 使用已驗證的開機載入器、OS 核心和驅動程式安全地部署虛擬機,這些驅動程式是由受信任的發行者簽署,以建立「根目錄」。如果映像不是由受信任的發行者簽署,虛擬機將不會開機。
- 安全地保護受信任平臺模組中虛擬機中的密鑰、憑證和秘密。
- 取得整個開機鏈完整性的見解和信賴度。
- 確定工作負載可信和可驗證。 vTPM 藉由測量虛擬機的整個開機鏈結來啟用 證明 (UEFI、OS、系統和驅動程式)。
增強的虛擬機部署可讓您選取安全性類型,並在建立虛擬機時使用安全開機和 vTPM,如下所示。
步驟 4:啟用客戶管理的金鑰和雙重加密
使用客戶管理的金鑰和雙重加密可確保如果導出磁碟,就無法讀取或能夠運作。 藉由確保密鑰被私下保存,且磁碟會雙重加密,您可以防範嘗試擷取磁碟資訊的缺口。
如需如何使用 Azure 金鑰保存庫 來設定客戶管理的加密金鑰的資訊,請參閱使用 Azure 入口網站 搭配受控磁碟的客戶自控密鑰啟用伺服器端加密。 使用 Azure 金鑰保存庫 需要額外的成本。
啟用 Azure 磁碟記憶體 的伺服器端加密,以進行:
在主機啟用伺服器端加密 ,以便對虛擬機數據進行端對端加密。
完成這些程序之後,您可以使用客戶管理的加密金鑰來加密虛擬機內的磁碟。
您可以在虛擬機組態的 [磁碟 ] 刀鋒視窗上選取加密類型。 針對 [加密類型],選取 [使用平臺管理的和客戶管理的密鑰進行雙重加密],如下所示。
步驟 5:控制安裝在虛擬機上的應用程式
請務必控制安裝在虛擬機上的應用程式:
- 瀏覽器延伸模組 (API) 難以保護,這可能會導致惡意 URL 傳遞。
- 未經批准的應用程式可以取消修補,因為它們是影子IT物件(IT小組尚未準備好或不知道這些已安裝)。
您可以使用虛擬機器應用程式功能來控制安裝在虛擬機上的應用程式。 使用這項功能,您可以選取要安裝的虛擬機應用程式。 這項功能會使用 Azure 計算資源庫來簡化虛擬機應用程式的管理。 與 RBAC 搭配使用時,您可以確保只有受信任的應用程式可供使用者使用。
您可以在虛擬機組態的 [進階 ] 刀鋒視窗上選取虛擬機應用程式,如下所示。
步驟 6:設定安全存取
若要設定安全存取:
- 在直接存取虛擬機的元件之間設定 Azure 環境中的安全通訊
- 使用條件式存取設定多重要素驗證
- 使用特殊權限存取工作站 (PAW)
在此圖表中:
- 使用條件式存取的多重要素驗證是在 Microsoft Entra ID 和相關入口網站內設定。
- 系統管理員會使用特殊許可權存取工作站 (PAWs) 直接存取虛擬機。
在 Azure 環境中為虛擬機設定安全通訊
首先,請確定 Azure 環境中的元件之間的通訊是安全的。
在參考架構中, Azure Bastion 提供虛擬機的安全連線。 Azure Bastion 會作為 RDP/SSH 訊息代理程式,且不會與實體系統的 RDP 通訊協議互動。 這也可讓您減少面向公用IP位址的數目。
下圖顯示虛擬機安全通訊的元件。
使用條件式存取設定多重要素驗證
在步驟 2 中。利用角色型 存取控制,您已設定 Microsoft Entra 整合和受控識別。 這可讓您針對 Azure 虛擬桌面或執行 Windows Server 2019 或更新版本的伺服器設定 Azure 多重要素驗證。 您也可以 使用 Microsoft Entra 認證登入 Linux VM。 這項新增的優點是聯機到虛擬機的計算機也必須註冊到您的 Microsoft Entra ID 租使用者,才能進行連線。
使用條件式存取和相關原則設定多重要素驗證時,請使用針對 零信任 設定的建議原則做為指南。 這包括 不需要管理裝置的起始點 原則。 在理想情況下,存取虛擬機的裝置會受到管理,而且您可以實作企業原則,這是建議用於 零信任。 如需詳細資訊,請參閱常見的 零信任 身分識別和裝置存取原則。
下圖顯示 零信任 的建議原則。
請記住,使用者名稱和密碼可能會遭到100%的入侵。 使用多重要素驗證,您可以降低 99.9% 的入侵風險。 這需要 Microsoft Entra ID P1 授權。
注意
您也可以使用用來連線到 Azure 中虛擬機的 VPN。 不過,您應該務必使用方法來明確驗證。 建立「信任」的通道,不論其使用方式是否比具有高度驗證的特定連線更危險。
如果您不是來自受信任、已驗證且安全的來源,網路、傳輸或應用層的安全性就不重要。
使用PAW
使用 特殊許可權存取工作站 (PAW) 以確保存取虛擬機的裝置狀況良好。 PAW 會特別設定為特殊許可權存取,讓系統管理員使用具有下列專案的裝置:
- 限制本機系統管理存取的安全性控制和原則。
- 將受攻擊面降到執行敏感性系統管理工作所需的生產力工具。
如需部署選項的詳細資訊,請參閱 特殊許可權存取部署。
步驟 7:設定虛擬機的安全維護
虛擬機器的安全維護包括:
- 使用反惡意代碼
- 自動化虛擬機更新
在虛擬機上使用反惡意代碼
反惡意代碼可協助保護您的虛擬機免於遭受威脅,例如惡意檔案和廣告軟體等。您可以從 Microsoft、Symantec、Trend Micro 和卡巴斯基等廠商的選項使用反惡意代碼軟體。
Microsoft Antimalware 是一項無成本資源,可提供即時保護功能,以協助偵測、隔離和清除惡意軟體、間諜軟體和病毒:
- 在背景中執行,需要用戶互動
- 在下載、安裝或執行垃圾或惡意軟體時提供警示
- 提供安全預設組態和反惡意代碼監視
- 排程掃描
- 簽章更新
- 反惡意代碼引擎和平臺更新
- 主動保護
- 範例報告
- 排除項目
- Antimalware 事件集合
自動化虛擬機更新
自動化系統更新可確保它們受到保護,免於最新的惡意代碼和設定錯誤惡意探索。 在受信任的平台驗證程式中,有自動更新協助。
專注於 Azure 虛擬機器維護和更新,以確保系統會針對設定不安全性強化您的系統:
- Azure 自動化 更新管理可協助您管理更新程式。 使用此公用程式,您可以檢查系統的更新狀態、管理、排程和重新啟動伺服器。
- Azure 虛擬機器代理程式 可用來管理虛擬機,並讓您能夠使用擴充功能來管理。
更新管理 支援的作業系統包括下列各項:
- 每個 Windows 虛擬機 - 更新管理會每天掃描每部機器兩次。
- 每個 Linux 虛擬機 - 更新管理每小時都會執行掃描。
請參閱下列其他指引:
- 規劃在 Azure 中更新 Windows VM 的部署
- 使用 Azure Private Link 安全地將網路連線到 Azure 自動化 確保虛擬機以隔離控制的方式連線,而不是透過因特網進行更新。
步驟 8:啟用進階威脅偵測和保護
Azure 基礎結構的威脅防護是由 適用於雲端的 Microsoft Defender 提供。 當您布 建適用於伺服器的 Microsoft Defender 時,此保護會延伸至虛擬機,如下圖所示。
在此圖表中:
- 如將 零信任 原則套用至 Azure IaaS 概觀一文所述,適用於雲端的 Defender 是在 Azure 訂用帳戶層級或包含多個 Azure 訂用帳戶的 Azure 管理群組層級啟用。
- 除了啟用 適用於雲端的 Defender 之外,也會布建適用於伺服器的 Defender。
進階威脅防護會根據 Microsoft 的威脅情報來驗證虛擬機上發生的活動。 它會尋找建議有缺口的特定組態和活動。 它會明確啟用驗證,並假設違反 零信任 原則。
適用於伺服器的 Microsoft Defender 包含下列各項:
- 存取與您端點 端點偵測及回應 (EDR) 端點的弱點、已安裝的軟體和警示相關的 適用於端點的 Microsoft Defender 數據。
- 適用於雲端的 Defender 伺服器的整合式弱點評估掃描器。
- 使用 適用於端點的 Microsoft Defender 即時探索弱點和設定錯誤,而不需要其他代理程式或定期掃描。
- 適用於雲端的 Defender 適用於 Azure 和混合式機器的整合式 Qualys 掃描儀可讓您在不需要 Qualys 授權的情況下,在即時弱點識別中使用領先工具。
- 在 適用於雲端的 Defender 中實作 Just-In-Time 虛擬機存取。 這會建立 RDP/SSH 的明確拒絕規則,並在需要時在伺服器層級提供 JIT 存取權,並可讓您限制存取期限。
- 適用於雲端的 Defender 中的檔案完整性監視可讓您變更作業系統、應用程式軟體和其他變更的檔案和登錄監視,讓您驗證文件系統的完整性。
- 適用於雲端的 Defender 中的調適型應用程控提供自動化解決方案,可用來建立和定義已知安全應用程式的允許清單,並在您定義為安全使用的應用程式執行時產生安全性警示。
- 適用於雲端的 Defender 中的自適性網路強化會使用機器學習演算法來計算您目前的流量、威脅情報、入侵指標,以及已知的受信任設定,以提供強化網路安全組的建議。
建議的訓練
保護您的 Azure 虛擬機器磁碟
| 訓練 | 保護您的 Azure 虛擬機器磁碟 |
|---|---|
|
瞭解如何使用 Azure 磁碟加密 (ADE) 來加密現有和新虛擬機上的 OS 和數據磁碟。 在本課程模組中,您將瞭解如何: |
如需 Azure 上的更多訓練,請參閱整個 Microsoft 目錄:
全部流覽 - 訓練 |Microsoft Learn
在 Azure 中實作虛擬機器主機安全性
| 訓練 | 在 Azure 中實作虛擬機主機安全性 |
|---|---|
|
在此學習路徑中,瞭解如何在 Azure 中保護和強化虛擬機。 |
如需 Azure 中虛擬機的更多訓練,請參閱 Microsoft 目錄中的這些資源:
Azure 中的虛擬機 |Microsoft Learn
後續步驟
請參閱下列其他文章,以將 零信任 原則套用至 Azure:
- Azure IaaS 概觀
- Azure 虛擬桌面
- Azure 虛擬 WAN
- Amazon Web Services 中的 IaaS 應用程式
- Microsoft Sentinel 和 Microsoft Defender 全面偵測回應
技術圖例
此海報提供單頁、快速檢視 Azure IaaS 元件作為參考和邏輯架構,以及確保這些元件具有所套用 零信任 模型之「永不信任、永遠驗證」原則的步驟。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
搭配本文使用此圖例:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
此海報提供 Azure IaaS 零信任 個別元件的參考和邏輯架構和詳細設定。 針對個別的 IT 部門或專業,請使用此海報的頁面,或使用 Microsoft Visio 版本的檔案來自定義基礎結構的圖表。
| 項目 | 說明 |
|---|---|
 PDF | Visio 更新日期:2024年3月 |
請與本文一起使用這些圖表:將 零信任 原則套用至 Azure IaaS 概觀 相關解決方案指南 |
如需其他技術圖例,請按兩下 這裡。
參考資料
- 使用 Azure 入口網站 管理 Azure 資源群組
- 安全開機
- vTPM 概觀
- 證明
- 啟用 Azure 磁碟記憶體的伺服器端加密
- AES 256 加密
- Azure Bastion
- Azure 虛擬桌面的 Azure 多重要素驗證
- Windows Server 2019 或更新版本
- 使用 Microsoft Entra 認證登入 Linux VM
- 常見的 零信任 身分識別和裝置存取原則
- 特殊權限存取工作站 (PAW)
- 特殊許可權存取部署
- Microsoft 反惡意代碼
- 虛擬機器代理程式
- 規劃在 Azure 中更新 Windows VM 的部署 - Azure 範例案例
- 使用 Azure Private Link 將網路安全地連線至 Azure 自動化
- 適用於伺服器的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於雲端的 Defender的整合式弱點評估
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應