Nastavení standardních hodnot pro virtuální počítače Azure

  • 5 min

Azure Policy je služba Azure, kterou můžete použít k vytváření, přiřazování a správě zásad. Zásady, které vytvoříte, vynucují různá pravidla a účinky na vaše prostředky, aby tyto prostředky zůstaly v souladu s vašimi firemními standardy a smlouvami o úrovni služeb. Služba Azure Policy splňuje tuto potřebu vyhodnocením vašich prostředků z hlediska nedodržování přiřazených zásad. Můžete mít například zásadu, která ve vašem prostředí povolí jenom určitou velikost skladové položky virtuálního počítače. Po implementaci této zásady se vyhodnotí, zda nové a stávajících prostředky vyhovují. Se správným typem zásad můžete stávající prostředky přenést do souladu.

Doporučení k zabezpečení virtuálních počítačů Azure

Následující části popisují doporučení zabezpečení virtuálních počítačů Azure, která jsou ve srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti na úrovni 2 můžou omezovat některé funkce nebo aktivity, takže pečlivě zvažte, které možnosti zabezpečení budete nakonec vynucovat.

Ujistěte se, že jsou disky s operačním systémem šifrované – úroveň 1.

Azure Disk Encryption pomáhá chránit a chránit vaše data, aby splňovala závazky vaší organizace týkající se zabezpečení a dodržování předpisů. Azure Disk Encryption:

  • Používá funkci BitLockeru pro Windows a funkci DM-Crypt linuxu k zajištění šifrování svazků pro virtuální počítače Azure s operačním systémem a datovými disky.
  • Integruje se se službou Azure Key Vault, která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disků.
  • Zajišťuje, že všechna data na discích virtuálních počítačů se šifrují v klidovém stavu, když jsou v úložišti Azure.

Azure Disk Encryption pro virtuální počítače s Windows a Linuxem je obecně dostupné ve všech veřejných oblastech Azure a oblastech Azure Government pro virtuální počítače na úrovni Standard a virtuální počítače s Azure Premium Storage.

Pokud používáte Microsoft Defender for Cloud (doporučeno), zobrazí se upozornění, pokud máte virtuální počítače, které nejsou šifrované. Pro každý virtuální počítač ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Virtuální počítače.

  2. Vyberte virtuální počítač.

  3. V nabídce vlevo v části Nastavení vyberte Disky.

  4. V části Disk s operačním systémem se ujistěte, že je na disku s operačním systémem nastaven typ šifrování.

  5. V části Datové disky se ujistěte, že každý disk má nastavený typ šifrování.

  6. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Snímek obrazovky znázorňující podokno Disky pro virtuální počítače se zvýrazněným typem šifrování

Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření virtuálních počítačů – úroveň 1.

Rozšíření virtuálních počítačů Azure jsou malé aplikace, které poskytují úlohy konfigurace a automatizace po nasazení na virtuálních počítačích Azure. Pokud například virtuální počítač vyžaduje instalaci softwaru nebo antivirovou ochranu nebo pokud virtuální počítač potřebuje spustit skript, můžete použít rozšíření virtuálního počítače. Rozšíření virtuálního počítače Azure můžete spustit pomocí Azure CLI, PowerShellu, šablony Azure Resource Manageru nebo webu Azure Portal. Rozšíření můžete sbalit s novým nasazením virtuálního počítače nebo je spustit v jakémkoli existujícím systému. Pokud chcete pomocí webu Azure Portal zajistit, aby se na virtuálních počítačích nainstalovala jenom schválená rozšíření, proveďte následující kroky pro každý virtuální počítač ve vašem předplatném Azure.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Virtuální počítače.

  2. Vyberte virtuální počítač.

  3. V nabídce vlevo v části Nastavení vyberte Rozšíření a aplikace.

  4. V podokně Rozšíření a aplikace se ujistěte, že jsou uvedená rozšíření schválená pro použití.

Snímek obrazovky znázorňující rozšíření V M v podokně Rozšíření a aplikace

Zajištění použití oprav operačního systému u virtuálních počítačů – úroveň 1

Microsoft Defender for Cloud monitoruje virtuální počítače a počítače s Windows a Linuxem každý den za chybějící aktualizace operačního systému. Defender pro cloud načte seznam dostupných aktualizací zabezpečení a důležitých aktualizací ze služby služba Windows Update nebo služby WSUS (Windows Server Update Services). Aktualizace, které obdržíte, závisí na tom, kterou službu nakonfigurujete na počítači s Windows. Defender for Cloud také kontroluje nejnovější aktualizace v systémech Linux. Pokud ve vašem virtuálním počítači nebo počítači chybí aktualizace systému, Defender for Cloud doporučuje, abyste nainstalovali aktualizace systému.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

  2. V nabídce vlevo v části Obecné vyberte Doporučení.

  3. V doporučeních se ujistěte, že neexistují žádná doporučení pro použití aktualizací systému.

Snímek obrazovky s podoknem Doporučení pro Cloud v programu Microsoft Defender

Ujistěte se, že virtuální počítače mají nainstalované a spuštěné řešení ochrany koncových bodů – úroveň 1.

Microsoft Defender pro cloud monitoruje stav antimalwarové ochrany. Tento stav hlásí v podokně Problémy se službou Endpoint Protection. Defender for Cloud zvýrazňuje problémy, jako jsou zjištěné hrozby a nedostatečná ochrana, což může ohrozit vaše virtuální počítače a počítače vůči antimalwarovým hrozbám. Pomocí informací v problémech se službou Endpoint Protection můžete začít vytvářet plán pro řešení zjištěných problémů.

Použijte stejný postup, jak je popsáno v předchozím doporučení.