Создание базового плана виртуальной машины Azure

  • 5 мин

Политика Azure — это служба Azure, которую можно использовать для создания, назначения и администрирования политик. Политики, которые вы создаете, применяют различные правила и эффекты над ресурсами, чтобы эти ресурсы соответствовали корпоративным стандартам и соглашениям об уровне обслуживания. Политика Azure соответствует этому требованию, оценивая ресурсы на предмет несоответствия назначенным политикам. Например, вы можете настроить политику, которая разрешает только определенные размеры SKU виртуальных машин в среде. После реализации этой политики новые и имеющиеся ресурсы будут оцениваться на предмет соответствия. С правильным типом политики можно привести существующие ресурсы в соответствие.

Рекомендации по безопасности виртуальных машин Azure

В следующих разделах описаны рекомендации по безопасности виртуальных машин Azure, которые находятся в cis Microsoft Azure Foundations Security Benchmark версии 3.0.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Убедитесь, что диски ОС шифруются — уровень 1

Шифрование дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Шифрование дисков Azure:

  • Использует функцию BitLocker в Windows и функцию DM-Crypt в Linux, чтобы обеспечить шифрование дисков ОС и данных на виртуальных машинах Azure.
  • Интегрируется с Azure Key Vault, чтобы упростить управление секретами и ключами шифрования дисков.
  • Гарантирует, что все данные на дисках виртуальной машины будут зашифрованы при хранении в службе хранилища Azure.

Общедоступная версия шифрования дисков Azure представлена во всех общедоступных регионах Azure и регионах Azure для государственных организаций для виртуальных машин с ОС Windows и Linux (цен. категория "Стандартный") или c хранилищем класса Premium.

Если вы используете Microsoft Defender для облака (рекомендуется), то будете получать оповещения, если будут незашифрованные виртуальные машины. Выполните следующие действия для каждой виртуальной машины в подписке Azure.

  1. Войдите на портал Azure. Найдите и щелкните Виртуальные машины.

  2. Выберите виртуальную машину.

  3. В меню слева в разделе Параметры выберите Диски.

  4. В разделе Диск ОС убедитесь, что для диска ОС задан тип шифрования.

  5. В разделе Диски данныхубедитесь, что для каждого диска задан тип шифрования.

  6. Если изменить параметры, нажмите кнопку "Сохранить " в строке меню.

Снимок экрана, на котором показана панель

Проверка того, что установлены только утвержденные расширения виртуальных машин — уровень 1

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют задачи настройки и автоматизации после развертывания для виртуальных машин Azure. Например, если на виртуальную машину нужно установить программное обеспечение или антивирусную защиту или если на виртуальной машине нужно запустить скрипт, вы можете использовать расширение виртуальной машины. Вы можете запустить расширение виртуальной машины Azure с помощью Azure CLI, PowerShell, шаблона Azure Resource Manager или портала Azure. Их можно включить в пакет для развертывания виртуальной машины или запускать в уже существующей системе. Чтобы с помощью портала Azure убедиться, что на ваших виртуальных машинах установлены только утвержденные расширения, выполните следующие действия для каждой виртуальной машины в вашей подписке Azure.

  1. Войдите на портал Azure. Найдите и щелкните Виртуальные машины.

  2. Выберите виртуальную машину.

  3. В меню слева в разделе Параметры выберите Расширения + приложения.

  4. В области Расширения + приложения убедитесь, что перечисленные расширения утверждены для использования.

Снимок экрана: расширения виртуальных машин на панели

Обязательное применение исправлений ОС для виртуальных машин — уровень 1

Microsoft Defender для облака отслеживает виртуальные машины Windows и Linux и компьютеры ежедневно для отсутствия обновлений операционной системы. Microsoft Defender для облака получает список доступных обновлений системы безопасности и критических обновлений из Центра обновления Windows или из Windows Server Update Services (WSUS). Получаемые обновления зависят от службы, настроенной на компьютере Windows. Defender для облака также проверяет наличие самых актуальных обновлений для систем Linux. Если на виртуальной машине или физическом компьютере отсутствует обновление системы, Defender для облака порекомендует его применить.

  1. Войдите на портал Azure. Найдите и выберите Microsoft Defender для облака.

  2. В меню слева в разделе Общие выберите Рекомендации.

  3. В области Рекомендации убедитесь, что рекомендаций Применить системные обновления нет.

Снимок экрана: область рекомендаций в Microsoft Defender для облака.

Проверка того, что на виртуальных машинах установлено и работает решение для защиты конечных точек — уровень 1

Microsoft Defender для облака отслеживает состояние защиты от вредоносных программ. Он сообщает об этом состоянии в области Проблемы с защитой конечной точки. Defender для облака указывает на проблемы, такие как обнаруженные угрозы и недостаточная защита, которые могут сделать виртуальные машины и физические компьютеры уязвимыми для вредоносным программ. Используя информацию из области Проблемы с защитой конечной точки, вы можете создать план устранения выявленных проблем.

Используйте тот же процесс, который описан в предыдущей рекомендации.