Přehled zabezpečení virtuálních počítačů Azure
Tento článek obsahuje přehled základních funkcí zabezpečení Azure, které je možné použít s virtuálními počítači.
Azure Virtual Machines můžete použít k nasazení široké škály výpočetních řešení agilním způsobem. Tato služba podporuje Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP a Azure BizTalk Services. V téměř jakémkoli operačním systému tak můžete nasadit jakoukoli úlohu a libovolný jazyk.
Virtuální počítač Azure vám nabídne flexibilitu virtualizace bez nutnosti zakoupení a údržby fyzického hardwaru, na kterém virtuální počítač běží. Aplikace můžete sestavovat a nasazovat s jistotou, že jsou vaše data chráněná a bezpečná v vysoce zabezpečených datacentrech.
S Azure můžete vytvářet řešení kompatibilní se zabezpečením, která:
- Chraňte své virtuální počítače před viry a malwarem.
- Zašifrujte citlivá data.
- Zabezpečte síťový provoz.
- Identifikujte a detekujte hrozby.
- Splnění požadavků na dodržování předpisů
antimalware
S Azure můžete používat antimalwarový software od dodavatelů zabezpečení, jako jsou Microsoft, Symantec, Trend Micro a Kaspersky. Tento software pomáhá chránit vaše virtuální počítače před škodlivými soubory, adwarem a dalšími hrozbami.
Microsoft Antimalware pro Azure Cloud Services a Virtual Machines je funkce ochrany v reálném čase, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Microsoft Antimalware pro Azure poskytuje konfigurovatelná upozornění, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit v systémech Azure.
Microsoft Antimalware pro Azure je řešení s jedním agentem pro aplikace a prostředí tenanta. Je navržená tak, aby běžela na pozadí bez zásahu člověka. Ochranu můžete nasadit na základě potřeb úloh aplikací, a to buď se základním zabezpečením, nebo pokročilou vlastní konfigurací, včetně antimalwarového monitorování.
Přečtěte si další informace o Microsoft Antimalware pro Azure a o dostupných základních funkcích.
Přečtěte si další informace o antimalwarového softwaru, který pomáhá chránit vaše virtuální počítače:
- Nasazování antimalwarových řešení na virtuálních počítačích Azure
- Jak nainstalovat a nakonfigurovat Trend Micro Deep Security jako službu na virtuálním počítači s Windows
- Řešení zabezpečení na Azure Marketplace
Pokud chcete ještě výkonnější ochranu, zvažte použití programu Microsoft Defender for Endpoint. S programem Defender for Endpoint získáte:
- Snížení prostoru pro útoky
- Ochrana nové generace
- Ochrana koncových bodů a odpověď
- Automatizované šetření a náprava
- Bezpečnostní skóre
- Pokročilý proaktivní vyhledávání
- Správa a rozhraní API
- Microsoft Threat Protection
Další informace: Začínáme s Microsoft Defenderem for Endpoint
Modul hardwarového zabezpečení
Vylepšení zabezpečení klíčů může zvýšit šifrování a ochranu ověřování. Správu a zabezpečení důležitých tajných kódů a klíčů můžete zjednodušit jejich uložením ve službě Azure Key Vault.
Key Vault nabízí možnost ukládat klíče do modulů hardwarového zabezpečení (HSM) certifikovaných pro standard FIPS 140. Šifrovací klíče SQL Serveru pro zálohování nebo transparentní šifrování dat můžou být uložené ve službě Key Vault s libovolnými klíči nebo tajnými klíči z vašich aplikací. Oprávnění a přístup k těmto chráněným položkám se spravují prostřednictvím ID Microsoft Entra.
Další informace:
Šifrování disků virtuálního počítače
Azure Disk Encryption je nová funkce pro šifrování disků virtuálních počítačů s Windows a Linuxem. Azure Disk Encryption používá standardní funkci BitLockeru pro Windows a funkci dm-crypt Linuxu k zajištění šifrování svazků pro operační systém a datové disky.
Řešení je integrované se službou Azure Key Vault, které vám pomůže řídit a spravovat šifrovací klíče disku a tajné kódy ve vašem předplatném trezoru klíčů. Zajišťuje šifrování všech dat na discích virtuálního počítače v klidovém stavu ve službě Azure Storage.
Další informace:
- Azure Disk Encryption pro virtuální počítače s Linuxem a Azure Disk Encryption pro virtuální počítače s Windows
- Rychlý start: Šifrování virtuálního počítače IaaS s Linuxem pomocí Azure PowerShellu
Záloha virtuálního počítače
Azure Backup je škálovatelné řešení, které pomáhá chránit data aplikací s nulovou investicí do kapitálu a minimálními provozními náklady. Chyby aplikací můžou poškodit vaše data a lidské omyly zase můžou způsobit chyby v aplikacích. Díky službě Azure Backup jsou vaše virtuální počítače s Windows a Linuxem chráněné.
Další informace:
Azure Site Recovery
Důležitou součástí strategie BCDR vaší organizace je zjištění, jak udržovat podnikové úlohy a aplikace spuštěné, když dojde k plánovaným a neplánovaným výpadkům. Azure Site Recovery pomáhá orchestrovat replikaci, převzetí služeb při selhání a obnovení úloh a aplikací, aby byly dostupné ze sekundárního umístění, pokud dojde k výpadku primárního umístění.
Site Recovery:
- Zjednodušuje strategii BCDR: Site Recovery usnadňuje zpracování replikace, převzetí služeb při selhání a obnovení několika obchodních úloh a aplikací z jednoho umístění. Site Recovery orchestruje replikaci a převzetí služeb při selhání, ale nezachycuje data vaší aplikace ani o ní nemá žádné informace.
- Poskytuje flexibilní replikaci: Pomocí Site Recovery můžete replikovat úlohy spuštěné na virtuálních počítačích Hyper-V, virtuálních počítačích VMware a fyzických serverech s Windows/Linuxem.
- Podporuje převzetí služeb při selhání a obnovení: Site Recovery poskytuje testovací převzetí služeb při selhání, které podporují postupy zotavení po havárii, aniž by to mělo vliv na produkční prostředí. Pro očekávané výpadky je možné spouštět plánovaná převzetí služeb při selhání bez ztráty dat. V případě neočekávaných havárií pak mohou proběhnout neplánovaná převzetí služeb s minimálními ztrátami dat (podle četnosti replikací). Po převzetí služeb při selhání můžete navrátit služby po obnovení do primárních lokalit. Site Recovery poskytuje plány obnovení, které můžou zahrnovat skripty a sešity Azure Automation, abyste mohli přizpůsobit převzetí služeb při selhání a obnovení vícevrstvých aplikací.
- Eliminuje sekundární datacentra: Můžete replikovat do sekundární místní lokality nebo do Azure. Použití Azure jako cíle pro zotavení po havárii eliminuje náklady a složitost údržby sekundární lokality. Replikovaná data se ukládají ve službě Azure Storage.
- Integruje se se stávajícími technologiemi BCDR: Partneři Site Recovery s funkcemi BCDR jiných aplikací. Site Recovery můžete například použít k ochraně back-endu SQL Serveru podnikových úloh. To zahrnuje nativní podporu sql Serveru AlwaysOn pro správu převzetí služeb při selhání skupin dostupnosti.
Další informace:
- Co je Azure Site Recovery?
- Jak Azure Site Recovery funguje?
- Jaké úlohy jsou chráněné službou Azure Site Recovery?
Virtuální síť
Virtuální počítače potřebují síťové připojení. Aby bylo možné tento požadavek podporovat, Azure vyžaduje, aby byly virtuální počítače připojené k virtuální síti Azure.
Virtuální síť Azure je logická konstrukce založená na fyzických prostředcích infrastruktury sítě Azure. Každá logická virtuální síť Azure je izolovaná od všech ostatních virtuálních sítí Azure. Tato izolace pomáhá zajistit, aby síťový provoz ve vašich nasazeních nebyl přístupný jiným zákazníkům Microsoft Azure.
Další informace:
- Přehled zabezpečení sítě Azure
- Přehled služby Virtual Network
- Síťové funkce a partnerství pro podnikové scénáře
Správa a vytváření sestav zásad zabezpečení
Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Defender for Cloud poskytuje lepší přehled o zabezpečení prostředků Azure a kontrolu nad nimi a jejich kontrolu. Poskytuje integrované monitorování zabezpečení a správu zásad napříč předplatnými Azure. Pomáhá zjišťovat hrozby, které by jinak nemusely být nepozorované, a funguje s rozsáhlým ekosystémem řešení zabezpečení.
Defender for Cloud vám pomůže optimalizovat a monitorovat zabezpečení virtuálních počítačů:
- Poskytuje doporučení zabezpečení pro virtuální počítače. Mezi příklady doporučení patří: použití aktualizací systému, konfigurace koncových bodů seznamů ACL, povolení antimalwaru, povolení skupin zabezpečení sítě a použití šifrování disku.
- Monitorování stavu virtuálních počítačů
Další informace:
- Úvod do Microsoft Defenderu pro cloud
- Nejčastější dotazy k Microsoft Defenderu pro cloud
- Plánování a provoz v programu Microsoft Defender pro cloud
Kompatibilita
Azure Virtual Machines je certifikovaný pro FISMA, FedRAMP, HIPAA, PCI DSS Level 1 a další klíčové programy dodržování předpisů. Tato certifikace usnadňuje vašim vlastním aplikacím Azure splnění požadavků na dodržování předpisů a pro vaši firmu, aby řešila širokou škálu domácích a mezinárodních zákonných požadavků.
Další informace:
- Centrum zabezpečení Microsoftu: Dodržování předpisů
- Důvěryhodný cloud: Zabezpečení, ochrana osobních údajů a dodržování předpisů v Microsoft Azure
Důvěrné výpočetní operace
I když důvěrné výpočty nejsou technicky součástí zabezpečení virtuálních počítačů, téma zabezpečení virtuálních počítačů patří k tématu zabezpečení "výpočetních prostředků" na vyšší úrovni. Důvěrné výpočetní operace patří do kategorie zabezpečení "compute".
Důvěrné výpočty zajišťují, že když jsou data "v jasném stavu", která jsou nutná k efektivnímu zpracování, jsou data chráněná uvnitř důvěryhodného spouštěcího prostředí https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE – označované také jako enkláva), což je příklad, který je znázorněn na následujícím obrázku.
TEE zajišťují, že neexistuje způsob, jak zobrazit data nebo operace uvnitř zvnějšku, i s ladicím programem. Dokonce zajišťují, aby přístup k datům umožňoval pouze autorizovaný kód. Pokud se kód změní nebo zfalšuje, operace se zamítnou a prostředí se zakáže. TEE tyto ochrany vynucuje během provádění kódu v něm.
Další informace:
Další kroky
Seznamte se s osvědčenými postupy zabezpečení pro virtuální počítače a operační systémy.