指定 SaaS、PaaS 與 IaaS 服務的安全性基準
本單元將提供 IaaS 和 PaaS 安全性的一般最佳做法概觀。
IaaS 安全性
使用驗證和存取控制來保護 VM
保護您 VM 的第一個步驟是確保只有授權使用者能夠設定新的 VM 及存取 VM。
使用 Azure 原則 來建立組織中資源的慣例,並建立自訂的原則。 將這些原則套用至資源,例如 資源群組。 屬於資源群組的 VM 會繼承其原則。
使用多個 VM 以取得更佳的可用性
如果您的 VM 執行需要高可用性的重要應用程式,強烈建議您使用多個 VM。 若要獲得更好的可用性,請使用 可用性設定組 或可用性 區域。
可用性設定組是一種可在 Azure 中使用的邏輯群組,用以確保其中所放置的 VM 資源在部署在 Azure 資料中心時會彼此隔離。 Azure 可確保您放置在可用性設定組中的 VM 可跨多部實體伺服器、計算機架、儲存單位和網路交換器執行。 如果硬體或 Azure 軟體發生故障時,只有一部分的 VM 子集會受到影響,整體的應用程式則會持續可供客戶使用。 當您想要建置可靠的雲端解決方案時,可用性設定組是一項基本功能。
抵禦惡意程式碼
您應安裝反惡意程式碼軟體,以協助識別及移除病毒、間諜軟體和其他惡意軟體。 您可以安裝 Microsoft Antimalware 或 Microsoft 合作夥伴的端點保護解決方案 (Trend Micro、Broadcom、McAfee、Windows Defender 和 System Center Endpoint Protection)。
管理您的 VM 更新
Azure VM 就跟所有內部部署 VM 一樣,受控於使用者。 Azure 不會向使用者推送 Windows 更新。 您需要管理您的 VM 更新。
使用 Azure 自動化中的 [更新管理] 解決方案,管理部署在 Azure、內部部署環境或其他雲端提供者中的 Windows 和 Linux 電腦的作業系統更新。 您可以快速評估所有代理程式電腦上可用更新的狀態,並管理為伺服器安裝必要更新的程序。
管理您的 VM 安全性狀態
網路威脅正在演變。 保護您的 VM 需要監視功能,以快速偵測威脅、防止未經授權存取您的資源、觸發警示,以及減少誤判。
若要監視 Windows 和 Linux VM 的安全性狀態,請使用 適用于雲端的 Microsoft Defender。
監視 VM 效能
當 VM 程序耗用的資源比應該要耗用的還多時,資源濫用可能會是個問題。 VM 的效能問題可能會導致服務中斷,這違反了可用性的安全性原則。 對於裝載 IIS 或其他網頁伺服器的 VM 來說,這特別重要,因為高 CPU 或記憶體使用量可能表示阻斷服務 (DoS) 攻擊。 在發生問題時,不僅必須主動監視 VM 存取權,而且必須主動監視在正常作業期間測量的基準效能。
加密虛擬硬碟檔案
建議您加密虛擬硬碟 (VHD),以協助保護開機磁碟區和儲存體中的待用資料磁碟區,還有加密金鑰與密碼。
適用于 Linux VM 的 Azure 磁碟加密 和 適用于 Windows VM 的 Azure 磁碟加密 可協助您加密 Linux 和 Windows IaaS 虛擬機器磁碟。 Azure 磁碟加密使用 Linus 的業界標準 DM-Crypt 功能和 Windows 的 BitLocker 功能,為作業系統和資料磁碟提供磁碟區加密。 此解決方案與 Azure Key Vault 整合,協助您控制及管理金鑰保存庫訂用帳戶中的磁碟加密金鑰與祕密。 該解決方案也確保了虛擬機器磁碟上的所有資料都會在 Azure 儲存體中進行待用加密。
限制直接網際網路連線能力
監視和限制 VM 直接網際網路連線能力。 攻擊者會針對開放管理連接埠持續掃描公用雲端 IP 範圍,並嘗試「簡單的」攻擊,例如常見密碼與已知未修補的弱點。
PaaS 安全性
採用身分識別原則為主要安全界限
雲端運算的五個基本特性之一是廣泛的網路存取權,這使得以網路為中心的思維不那麼相關。 許多雲端運算的目標是允許使用者存取資源 (不論位置為何)。 對大多數使用者來說,他們的位置會位於網際網路上的某處。
下圖顯示安全界限如何從網路界限演變為身分識別界限。 安全性的重點變的不再是保護您的網路,而更是保護您的資料,以及管理您的應用程式和使用者的安全性。 主要的差異在於您想要讓安全性更貼近於您公司所看重的內容。
一開始,Azure PaaS 服務 (例如 Web 角色和 Azure SQL) 提供很少或不提供傳統的網路界限防禦。 在認知上,元素的用途是暴險給網際網路 (Web 角色),而驗證則提供新的界限 (例如 BLOB 或 Azure SQL)。
新式安全性做法假設敵人已入侵網路界限。 因此,新式防禦做法已移至身分識別。 組織必須建立具有增強式驗證和授權防衛 (最佳做法) 的身分識別型安全界限。
網路界限的原則和模式已提供數十年了。 相反地,業界使用身分識別作為主要安全界限的體驗時間則相對較短。 也就是說,我們積累了足夠的經驗,以提供一些一般建議,這些建議在該領域得到證實,並適用于幾乎所有的 PaaS 服務。
在 Azure App Service 上開發
Azure App Service 是 PaaS 供應項目,可讓您為任何平臺或裝置建立 Web 和行動應用程式,並連結到雲端或內部部署中任何位置的資料。 App Service 包含先前分別作為 Azure 網站和 Azure 行動服務傳遞的 Web 和行動功能。 它也包含將商務程序自動化及裝載雲端 API 的新功能。 App Service 是單一整合式服務,為 Web、行動裝置和整合案例帶來了一組豐富的功能。
安裝 Web 應用程式防火牆
Web 應用程式已逐漸成為惡意探索常見已知弱點的惡意攻擊的目標。 這些惡意探索中常見的是 SQL 插入式攻擊、跨網站指令碼攻擊等等。 防止應用程式程式碼中的這類攻擊可能相當困難,而且可能需要在應用程式拓撲的許多層級進行嚴格的維護、修補和監視。 集中式 Web 應用程式防火牆可協助讓安全性管理更簡單,並為應用程式系統管理員提供更完善的威脅或入侵防禦保證。 對比於保護個別的 Web 應用程式,WAF 解決方案也可透過在中央位置修補已知弱點,更快地回應安全性威脅。
Web 應用程式防火牆 (WAF) 可以集中保護 Web 應用程式,使其免於遭遇常見的攻擊和弱點。
DDoS 保護
Azure DDoS 保護 (結合應用程式設計最佳做法) 可提供增強的 DDoS 風險降低功能,以針對 DDoS 攻擊提供更多的防禦。 您應該在任何周邊虛擬網路上啟用 Azure DDOS 保護。
監視應用程式的效能
監視係指收集和分析資料來判斷您應用程式的效能、健康情況和可用性的動作。 有效的監視策略可協助您了解您的應用程式元件的詳細作業。 它可藉由通知重大問題,使您可以在這些問題發生之前便予以解決,協助您增加運作時間。 它也可協助您偵測可能與安全性相關的異常狀況。
執行安全性滲透測試
驗證安全性防禦與測試任何其他功能一樣重要。 讓 滲透測試 成為您組建和部署程序的標準部分。 在已部署應用程式上排程定期安全性測試和弱點掃描,並監視開啟的埠、端點和攻擊。