Najlepsze rozwiązania dotyczące zabezpieczeń dla obciążeń IaaS na platformie Azure
W tym artykule opisano najlepsze rozwiązania dotyczące zabezpieczeń maszyn wirtualnych i systemów operacyjnych.
Najlepsze rozwiązania są oparte na konsensusie opinii i współpracują z bieżącymi możliwościami i zestawami funkcji platformy Azure. Ponieważ opinie i technologie mogą się zmieniać wraz z upływem czasu, ten artykuł zostanie zaktualizowany w celu odzwierciedlenia tych zmian.
W większości scenariuszy infrastruktury jako usługi (IaaS) maszyny wirtualne platformy Azure są głównym obciążeniem dla organizacji korzystających z przetwarzania w chmurze. Ten fakt jest widoczny w scenariuszach hybrydowych , w których organizacje chcą powoli migrować obciążenia do chmury. W takich scenariuszach postępuj zgodnie z ogólnymi zagadnieniami dotyczącymi zabezpieczeń IaaS i zastosuj najlepsze rozwiązania w zakresie zabezpieczeń do wszystkich maszyn wirtualnych.
Ochrona maszyn wirtualnych przy użyciu uwierzytelniania i kontroli dostępu
Pierwszym krokiem ochrony maszyn wirtualnych jest zapewnienie, że tylko autoryzowani użytkownicy mogą skonfigurować nowe maszyny wirtualne i uzyskiwać dostęp do maszyn wirtualnych.
Uwaga
Aby zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Linux na platformie Azure, możesz zintegrować je z uwierzytelnianiem firmy Microsoft Entra. W przypadku korzystania z uwierzytelniania microsoft Entra dla maszyn wirtualnych z systemem Linux centralnie kontrolujesz i wymuszasz zasady zezwalające na dostęp do maszyn wirtualnych lub odmawiające dostępu do nich.
Najlepsze rozwiązanie: Kontrolowanie dostępu do maszyny wirtualnej. Szczegóły: Użyj zasad platformy Azure, aby ustanowić konwencje dotyczące zasobów w organizacji i utworzyć dostosowane zasady. Zastosuj te zasady do zasobów, takich jak grupy zasobów. Maszyny wirtualne należące do grupy zasobów dziedziczą swoje zasady.
Jeśli Twoja organizacja ma wiele subskrypcji, konieczny może być sposób na wydajne zarządzanie dostępem, zasadami i zgodnością dla tych subskrypcji. Grupy zarządzania platformy Azure zapewniają poziom zakresu powyżej subskrypcji. Subskrypcje można organizować w grupach zarządzania (kontenerach) i stosować warunki ładu do tych grup. Wszystkie subskrypcje w grupie zarządzania automatycznie dziedziczą warunki zastosowane do grupy. Grupy zarządzania umożliwiają zarządzanie klasy korporacyjnej na dużą skalę niezależnie od typu subskrypcji.
Najlepsze rozwiązanie: zmniejszenie zmienności konfiguracji i wdrażania maszyn wirtualnych. Szczegóły: Użyj szablonów usługi Azure Resource Manager , aby wzmocnić opcje wdrażania i ułatwić zrozumienie i spis maszyn wirtualnych w środowisku.
Najlepsze rozwiązanie: Bezpieczny dostęp uprzywilejowany. Szczegóły: Użyj podejścia z najmniejszymi uprawnieniami i wbudowanych ról platformy Azure, aby umożliwić użytkownikom dostęp do maszyn wirtualnych i ich konfigurowanie:
- Współautor maszyny wirtualnej: może zarządzać maszynami wirtualnymi, ale nie z siecią wirtualną ani kontem magazynu, z którym są połączone.
- Współautor klasycznej maszyny wirtualnej: może zarządzać maszynami wirtualnymi utworzonymi przy użyciu klasycznego modelu wdrażania, ale nie sieci wirtualnej ani konta magazynu, z którym są połączone maszyny wirtualne.
- Administrator zabezpieczeń: tylko w Defender dla Chmury: może wyświetlać zasady zabezpieczeń, wyświetlać stany zabezpieczeń, edytować zasady zabezpieczeń, wyświetlać alerty i zalecenia, odrzucać alerty i zalecenia.
- Użytkownik usługi DevTest Labs: może wyświetlać wszystkie elementy i łączyć się, uruchamiać, ponownie uruchamiać i zamykać maszyny wirtualne.
Administratorzy subskrypcji i współadministratorzy mogą zmienić to ustawienie, dzięki czemu administratorzy wszystkich maszyn wirtualnych w subskrypcji. Upewnij się, że ufasz wszystkim administratorom subskrypcji i współadministratorom, aby zalogować się do dowolnego komputera.
Uwaga
Zalecamy skonsolidowanie maszyn wirtualnych z tym samym cyklem życia w tej samej grupie zasobów. Za pomocą grup zasobów można wdrażać, monitorować i wdrażać koszty rozliczeń dla zasobów.
Organizacje kontrolujące dostęp do maszyn wirtualnych i konfigurujące zwiększają ich ogólne zabezpieczenia maszyn wirtualnych.
Używanie wielu maszyn wirtualnych w celu uzyskania lepszej dostępności
Jeśli maszyna wirtualna uruchamia krytyczne aplikacje, które muszą mieć wysoką dostępność, zdecydowanie zalecamy używanie wielu maszyn wirtualnych. Aby uzyskać lepszą dostępność, użyj zestawu dostępności lub stref dostępności.
Zestaw dostępności to logiczne grupowanie, którego można użyć na platformie Azure, aby upewnić się, że znajdujące się w nim zasoby maszyn wirtualnych są odizolowane od siebie po wdrożeniu w centrum danych platformy Azure. Platforma Azure zapewnia, że maszyny wirtualne, które znajdują się w zestawie dostępności, działają na wielu serwerach fizycznych, stojakach obliczeniowych, jednostkach magazynujących i przełącznikach sieciowych. Jeśli wystąpi awaria sprzętu lub oprogramowania platformy Azure, dotyczy to tylko podzbioru maszyn wirtualnych, a ogólna aplikacja będzie nadal dostępna dla klientów. Zestawy dostępności to podstawowa możliwość tworzenia niezawodnych rozwiązań w chmurze.
Ochrona przed złośliwym oprogramowaniem
Należy zainstalować ochronę przed złośliwym kodem, aby ułatwić identyfikowanie i usuwanie wirusów, programów szpiegujących i innego złośliwego oprogramowania. Możesz zainstalować rozwiązanie Microsoft Antimalware lub rozwiązanie ochrony punktu końcowego partnera firmy Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender i System Center Endpoint Protection).
Program Microsoft Antimalware zawiera funkcje, takie jak ochrona w czasie rzeczywistym, zaplanowane skanowanie, korygowanie złośliwego oprogramowania, aktualizacje sygnatur, aktualizacje aparatu, raportowanie przykładów i zbieranie zdarzeń wykluczeń. W przypadku środowisk hostowanych niezależnie od środowiska produkcyjnego można użyć rozszerzenia ochrony przed złośliwym kodem, aby chronić maszyny wirtualne i usługi w chmurze.
Rozwiązania firmy Microsoft antimalware i rozwiązania partnerskie można zintegrować z Microsoft Defender dla Chmury w celu ułatwienia wdrażania i wbudowanych wykryć (alertów i zdarzeń).
Najlepsze rozwiązanie: zainstaluj rozwiązanie chroniące przed złośliwym oprogramowaniem, aby chronić przed złośliwym oprogramowaniem.
Szczegóły: Instalowanie rozwiązania partnerskiego firmy Microsoft lub oprogramowania chroniącego przed złośliwym kodem firmy Microsoft
Najlepsze rozwiązanie: zintegruj rozwiązanie chroniące przed złośliwym kodem z Defender dla Chmury, aby monitorować stan ochrony.
Szczegóły: Zarządzanie problemami z ochroną punktu końcowego w Defender dla Chmury
Zarządzanie aktualizacjami maszyny wirtualnej
Maszyny wirtualne platformy Azure, podobnie jak wszystkie lokalne maszyny wirtualne, mają być zarządzane przez użytkownika. Platforma Azure nie wypycha do nich aktualizacji systemu Windows. Musisz zarządzać aktualizacjami maszyny wirtualnej.
Najlepsze rozwiązanie: zachowaj aktualność maszyn wirtualnych.
Szczegóły: Rozwiązanie Update Management w usłudze Azure Automation umożliwia zarządzanie aktualizacjami systemu operacyjnego dla komputerów z systemem Windows i Linux wdrożonych na platformie Azure, w środowiskach lokalnych lub u innych dostawców chmury. Umożliwia ono szybką ocenę stanu dostępnych aktualizacji na wszystkich komputerach agentów oraz zarządzanie procesem instalacji wymaganych aktualizacji serwerów.
W celu przeprowadzania ocen i wdrożeń aktualizacji na komputerach zarządzanych przez rozwiązanie Update Management są używane następujące konfiguracje:
- Program Microsoft Monitoring Agent (MMA) dla systemu Windows lub Linux
- Platforma PowerShell Desired State Configuration (DSC) dla systemu Linux
- Hybrydowy proces roboczy elementu runbook usługi Automation
- Usługa Microsoft Update lub Windows Server Update Services (WSUS) dla komputerów z systemem Windows
Jeśli używasz usługi Windows Update, pozostaw włączone ustawienie automatycznej usługi Windows Update.
Najlepsze rozwiązanie: Upewnij się, że podczas wdrażania obrazy utworzone przez Ciebie zawierają najnowszą rundę aktualizacji systemu Windows.
Szczegóły: Sprawdź i zainstaluj wszystkie aktualizacje systemu Windows jako pierwszy krok każdego wdrożenia. Ta miara jest szczególnie ważna w przypadku wdrażania obrazów pochodzących z Ciebie lub własnej biblioteki. Chociaż obrazy z witryny Azure Marketplace są domyślnie aktualizowane automatycznie, po publicznej wersji może wystąpić opóźnienie (do kilku tygodni).
Najlepsze rozwiązanie: okresowo ponownie wdrażaj maszyny wirtualne, aby wymusić nową wersję systemu operacyjnego.
Szczegóły: Zdefiniuj maszynę wirtualną przy użyciu szablonu usługi Azure Resource Manager, aby można było łatwo go ponownie wdrożyć. Użycie szablonu zapewnia poprawną i bezpieczną maszynę wirtualną w razie potrzeby.
Najlepsze rozwiązanie: szybkie stosowanie aktualizacji zabezpieczeń do maszyn wirtualnych.
Szczegóły: Włącz Microsoft Defender dla Chmury (warstwa Bezpłatna lub Warstwa Standardowa), aby zidentyfikować brakujące aktualizacje zabezpieczeń i zastosować je.
Najlepsze rozwiązanie: instalowanie najnowszych aktualizacji zabezpieczeń.
Szczegóły: Niektóre z pierwszych obciążeń, które klienci przechodzą na platformę Azure, to laboratoria i systemy zewnętrzne. Jeśli maszyny wirtualne platformy Azure hostować aplikacje lub usługi, które muszą być dostępne dla Internetu, bądź czujny w zakresie stosowania poprawek. Stosowanie poprawek poza systemem operacyjnym. Niezaznaczone luki w zabezpieczeniach aplikacji partnerskich mogą również prowadzić do problemów, których można uniknąć, jeśli istnieje dobre zarządzanie poprawkami.
Najlepsze rozwiązanie: wdrażanie i testowanie rozwiązania do tworzenia kopii zapasowych.
Szczegóły: Kopia zapasowa musi być obsługiwana w taki sam sposób, jak w przypadku każdej innej operacji. Dotyczy to systemów, które są częścią środowiska produkcyjnego rozszerzającego się na chmurę.
Systemy testowe i deweloperskie muszą postępować zgodnie ze strategiami tworzenia kopii zapasowych, które zapewniają możliwości przywracania podobne do tego, do których użytkownicy przyzwyczaili się, w oparciu o swoje doświadczenie w środowiskach lokalnych. Obciążenia produkcyjne przeniesione na platformę Azure powinny zostać zintegrowane z istniejącymi rozwiązaniami do tworzenia kopii zapasowych, jeśli to możliwe. Możesz też użyć usługi Azure Backup , aby spełnić wymagania dotyczące tworzenia kopii zapasowych.
Organizacje, które nie wymuszają zasad aktualizacji oprogramowania, są bardziej narażone na zagrożenia wykorzystujące znane, wcześniej naprawione luki w zabezpieczeniach. Aby zapewnić zgodność z przepisami branżowymi, firmy muszą udowodnić, że są sumienni i używają odpowiednich mechanizmów kontroli zabezpieczeń, aby zapewnić bezpieczeństwo obciążeń znajdujących się w chmurze.
Najlepsze rozwiązania dotyczące aktualizacji oprogramowania dla tradycyjnego centrum danych i usługi Azure IaaS mają wiele podobieństw. Zalecamy ocenę bieżących zasad aktualizacji oprogramowania w celu uwzględnienia maszyn wirtualnych znajdujących się na platformie Azure.
Zarządzanie stanem zabezpieczeń maszyny wirtualnej
Cyberataki ewoluują. Ochrona maszyn wirtualnych wymaga możliwości monitorowania, która umożliwia szybkie wykrywanie zagrożeń, zapobieganie nieautoryzowanemu dostępowi do zasobów, wyzwalanie alertów i zmniejszanie liczby wyników fałszywie dodatnich.
Aby monitorować stan zabezpieczeń maszyn wirtualnych z systemem Windows i Linux, użyj Microsoft Defender dla Chmury. W Defender dla Chmury zabezpiecz maszyny wirtualne, korzystając z następujących funkcji:
- Zastosuj ustawienia zabezpieczeń systemu operacyjnego z zalecanymi regułami konfiguracji.
- Zidentyfikuj i pobierz zabezpieczenia systemu oraz aktualizacje krytyczne, których może brakować.
- Wdrażanie zaleceń dotyczących ochrony przed złośliwym kodem punktu końcowego.
- Zweryfikuj szyfrowanie dysków.
- Ocenianie i korygowanie luk w zabezpieczeniach.
- Wykrywanie zagrożeń.
Defender dla Chmury mogą aktywnie monitorować zagrożenia, a potencjalne zagrożenia są widoczne w alertach zabezpieczeń. Skorelowane zagrożenia są agregowane w jednym widoku nazywanym zdarzeniem zabezpieczeń.
Defender dla Chmury przechowuje dane w Dzienniki usługi Azure Monitor. Dzienniki usługi Azure Monitor udostępniają język zapytań i aparat analityczny, który zapewnia wgląd w działanie aplikacji i zasobów. Dane są również zbierane z usługi Azure Monitor, rozwiązań do zarządzania i agentów zainstalowanych na maszynach wirtualnych w chmurze lub lokalnie. Ta wspólna funkcjonalność pomaga utworzyć pełny obraz środowiska.
Organizacje, które nie wymuszają silnych zabezpieczeń maszyn wirtualnych, pozostają nieświadome potencjalnych prób przez nieautoryzowanych użytkowników w celu obejścia mechanizmów kontroli zabezpieczeń.
Monitorowanie wydajności maszyny wirtualnej
Nadużycie zasobów może być problemem, gdy procesy maszyn wirtualnych zużywają więcej zasobów niż powinny. Problemy z wydajnością maszyny wirtualnej mogą prowadzić do zakłóceń w działaniu usługi, co narusza zasadę zabezpieczeń dostępności. Jest to szczególnie ważne w przypadku maszyn wirtualnych hostujących usługi IIS lub innych serwerów sieci Web, ponieważ wysokie użycie procesora CPU lub pamięci może wskazywać na atak typu "odmowa usługi" (DoS). Konieczne jest monitorowanie dostępu do maszyny wirtualnej nie tylko reaktywnie, gdy występuje problem, ale także proaktywnie w stosunku do wydajności punktu odniesienia mierzonego podczas normalnego działania.
Zalecamy korzystanie z usługi Azure Monitor w celu uzyskania wglądu w kondycję zasobu. Funkcje usługi Azure Monitor:
- Pliki dziennika diagnostycznego zasobów: monitoruje zasoby maszyny wirtualnej i identyfikuje potencjalne problemy, które mogą naruszyć wydajność i dostępność.
- rozszerzenie Diagnostyka Azure: zapewnia możliwości monitorowania i diagnostyki na maszynach wirtualnych z systemem Windows. Te możliwości można włączyć, dołączając rozszerzenie w ramach szablonu usługi Azure Resource Manager.
Organizacje, które nie monitorują wydajności maszyn wirtualnych, nie mogą określić, czy pewne zmiany w wzorcach wydajności są normalne, czy nietypowe. Maszyna wirtualna, która zużywa więcej zasobów niż zwykle, może wskazywać na atak z zasobu zewnętrznego lub naruszony proces uruchomiony na maszynie wirtualnej.
Szyfrowanie plików wirtualnego dysku twardego
Zalecamy szyfrowanie wirtualnych dysków twardych (VHD), aby chronić wolumin rozruchowy i woluminy danych magazynowanych w magazynie wraz z kluczami szyfrowania i wpisami tajnymi.
Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Linux i usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows ułatwia szyfrowanie dysków maszyn wirtualnych IaaS z systemem Linux i Windows. Usługa Azure Disk Encryption używa standardowej w branży funkcji DM-Crypt systemu Linux i funkcji BitLocker systemu Windows w celu zapewnienia szyfrowania woluminów dla systemu operacyjnego i dysków danych. Rozwiązanie jest zintegrowane z usługą Azure Key Vault , aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi w ramach subskrypcji magazynu kluczy. Rozwiązanie zapewnia również, że wszystkie dane na dyskach maszyny wirtualnej są szyfrowane w spoczynku w usłudze Azure Storage.
Poniżej przedstawiono najlepsze rozwiązania dotyczące korzystania z usługi Azure Disk Encryption:
Najlepsze rozwiązanie: włączanie szyfrowania na maszynach wirtualnych.
Szczegóły: usługa Azure Disk Encryption generuje i zapisuje klucze szyfrowania w magazynie kluczy. Zarządzanie kluczami szyfrowania w magazynie kluczy wymaga uwierzytelniania firmy Microsoft Entra. W tym celu utwórz aplikację Firmy Microsoft Entra. W celach uwierzytelniania można użyć uwierzytelniania opartego na wpisach tajnych klienta lub uwierzytelniania opartego na certyfikatach klienta firmy Microsoft.
Najlepsze rozwiązanie: użyj klucza szyfrowania klucza w celu uzyskania dodatkowej warstwy zabezpieczeń kluczy szyfrowania. Dodaj klucz KEK do magazynu kluczy.
Szczegóły: użyj polecenia cmdlet Add-AzKeyVaultKey , aby utworzyć klucz szyfrowania klucza w magazynie kluczy. Klucz KEK można również zaimportować z lokalnego sprzętowego modułu zabezpieczeń (HSM) na potrzeby zarządzania kluczami. Aby uzyskać więcej informacji, zobacz dokumentację usługi Key Vault. Po określeniu klucza szyfrowania klucza usługa Azure Disk Encryption używa tego klucza do opakowania wpisów tajnych szyfrowania przed zapisaniem w usłudze Key Vault. Przechowywanie kopii depozytu tego klucza w lokalnym module HSM zarządzania kluczami zapewnia dodatkową ochronę przed przypadkowym usunięciem kluczy.
Najlepsze rozwiązanie: utwórz migawkę i/lub kopię zapasową, zanim dyski zostaną zaszyfrowane. Kopie zapasowe zapewniają opcję odzyskiwania, jeśli podczas szyfrowania wystąpi nieoczekiwany błąd.
Szczegóły: maszyny wirtualne z dyskami zarządzanymi wymagają utworzenia kopii zapasowej przed rozpoczęciem szyfrowania. Po utworzeniu kopii zapasowej można użyć polecenia cmdlet Set-AzVMDiskEncryptionExtension do szyfrowania dysków zarządzanych, określając parametr -skipVmBackup . Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych, zobacz artykuł Kopia zapasowa platformy Azure.
Najlepsze rozwiązanie: aby upewnić się, że wpisy tajne szyfrowania nie przekraczają granic regionalnych, usługa Azure Disk Encryption wymaga magazynu kluczy i maszyn wirtualnych, które mają znajdować się w tym samym regionie.
Szczegóły: Utwórz i użyj magazynu kluczy, który znajduje się w tym samym regionie co maszyna wirtualna do szyfrowania.
W przypadku stosowania usługi Azure Disk Encryption można spełnić następujące potrzeby biznesowe:
- Maszyny wirtualne IaaS są zabezpieczone przy użyciu technologii szyfrowania zgodnej ze standardami branżowymi, aby sprostać wymaganiom organizacji w zakresie bezpieczeństwa i zgodności.
- Maszyny wirtualne IaaS zaczynają się w ramach kluczy i zasad kontrolowanych przez klienta i można przeprowadzić inspekcję ich użycia w magazynie kluczy.
Ograniczanie bezpośredniej łączności z Internetem
Monitorowanie i ograniczanie bezpośredniej łączności z Internetem maszyny wirtualnej. Osoby atakujące stale skanują zakresy adresów IP chmury publicznej pod kątem otwartych portów zarządzania i próbują "łatwych" ataków, takich jak typowe hasła i znane luki w zabezpieczeniach. W poniższej tabeli wymieniono najlepsze rozwiązania ułatwiające ochronę przed tymi atakami:
Najlepsze rozwiązanie: Zapobieganie przypadkowemu narażeniu na routing sieci i zabezpieczenia.
Szczegóły: Użyj kontroli dostępu opartej na rolach platformy Azure, aby upewnić się, że tylko centralna grupa sieciowa ma uprawnienia do zasobów sieciowych.
Najlepsze rozwiązanie: identyfikowanie i korygowanie uwidocznionych maszyn wirtualnych, które zezwalają na dostęp z "dowolnego" źródłowego adresu IP.
Szczegóły: użyj Microsoft Defender dla Chmury. Defender dla Chmury zaleca ograniczenie dostępu za pośrednictwem internetowych punktów końcowych, jeśli którakolwiek z sieciowych grup zabezpieczeń ma co najmniej jedną regułę ruchu przychodzącego zezwalającą na dostęp z "dowolnego" źródłowego adresu IP. Defender dla Chmury zaleca edytowanie tych reguł ruchu przychodzącego w celu ograniczenia dostępu do źródłowych adresów IP, które rzeczywiście potrzebują dostępu.
Najlepsze rozwiązanie: Ograniczanie portów zarządzania (RDP, SSH).
Szczegóły: Dostęp just in time (JIT) do maszyn wirtualnych może służyć do blokowania ruchu przychodzącego do maszyn wirtualnych platformy Azure, co zmniejsza narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby. Po włączeniu trybu JIT Defender dla Chmury blokuje ruch przychodzący do maszyn wirtualnych platformy Azure przez utworzenie reguły sieciowej grupy zabezpieczeń. Należy wybrać porty na maszynie wirtualnej, do których ruch przychodzący zostanie zablokowany. Te porty są kontrolowane przez rozwiązanie JIT.
Następne kroki
Zobacz Najlepsze rozwiązania i wzorce zabezpieczeń platformy Azure, aby uzyskać więcej najlepszych rozwiązań dotyczących zabezpieczeń, które należy stosować podczas projektowania, wdrażania i zarządzania rozwiązaniami w chmurze przy użyciu platformy Azure.
Dostępne są następujące zasoby, aby uzyskać bardziej ogólne informacje na temat zabezpieczeń platformy Azure i powiązanych usługi firmy Microsoft:
- Blog zespołu ds. zabezpieczeń platformy Azure — aby uzyskać aktualne informacje na temat najnowszych informacji w usłudze Azure Security
- Centrum zabezpieczeń firmy Microsoft — gdzie luki w zabezpieczeniach firmy Microsoft, w tym problemy z platformą Azure, mogą być zgłaszane lub za pośrednictwem poczty e-mail secure@microsoft.com