Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются рекомендации по обеспечению безопасности для виртуальных машин и операционных систем.
Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Так как со временем мнения и технологии могут меняться, эта статья будет обновляться для отражения таких изменений.
В большинстве сценариев инфраструктуры как услуги (IaaS) виртуальные машины (ВМ) Azure являются основной рабочей нагрузкой для организаций, использующих облачные вычисления. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. В таких случаях необходимо следовать общим рекомендациям по обеспечению безопасности для IaaS, а также выполнять рекомендации по обеспечению безопасности на всех виртуальных машинах.
Защита виртуальных машин с помощью проверки подлинности и контроля доступа
Для защиты виртуальной машины в первую очередь необходимо предоставить возможность настройки новых виртуальных машин и доступа к ним только авторизованным пользователям.
Note
Чтобы повысить безопасность виртуальных машин Linux в Azure, можно интегрировать с проверкой подлинности Microsoft Entra. При использовании проверки подлинности Microsoft Entra для виртуальных машин Linux вы централизованно контролируете и применяете политики, которые разрешают или запрещают доступ к виртуальным машинам.
Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Виртуальные машины, которые относятся к группе ресурсов, наследуют ее политики.
Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure обеспечивают уровень иерархии выше, чем подписки. Вы организуете подписки в группы управления (контейнеры) и применяете свои условия управления к этим группам. Все подписки в группе управления автоматически наследуют условия, применяемые к группе. Группы управления обеспечивают корпоративное управление в больших масштабах независимо от типа подписки.
Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.
Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:
- Участник виртуальных машин — может управлять виртуальными машинами, но не виртуальными сетями и учетными записями хранения, к которым они подключены.
- Участник классических виртуальных машин — может управлять виртуальными машинами, созданными с помощью классической модели развертывания, но не может управлять виртуальными сетями и учетными записями хранения, к которым подключены виртуальные машины.
- Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
- Пользователь DevTest Labs — может просматривать все, а также подключать, запускать, перезапускать виртуальные машины и завершать их работу.
Администраторы и соадминистраторы подписок могут изменить этот параметр. В результате они станут администраторами всех виртуальных машин в подписке. Убедитесь, что вы доверяете всем администраторам и соадминистраторам вашей подписки, чтобы они могли входить в любую из ваших систем.
Note
Мы рекомендуем объединять виртуальные машины с одинаковым жизненным циклом в одну группу ресурсов. С помощью групп ресурсов можно развертывать и отслеживать ресурсы, а также получать сводную информацию о затратах на ресурсы.
Организации, которые управляют доступом к виртуальной машине и ее настройкой, повышают общую безопасность виртуальной машины.
Использование масштабируемых наборов виртуальных машин для обеспечения высокой доступности
Если виртуальная машина выполняет критически важные приложения, которым требуется высокий уровень доступности, настоятельно рекомендуется использовать масштабируемые наборы виртуальных машин.
Масштабируемые наборы виртуальных машин позволяют создавать группу виртуальных машин с балансировкой нагрузки и управлять ими. Число экземпляров виртуальных машин может автоматически увеличиваться или уменьшаться в зависимости от спроса или по определенному расписанию. Масштабируемые наборы обеспечивают высокий уровень доступности приложений и позволяют централизовать управление, настройку и обновление большого числа виртуальных машин. Масштабируемый набор предоставляется бесплатно, оплачивается только каждый созданный экземпляр виртуальной машины.
Виртуальные машины в масштабируемом наборе можно также развернуть в нескольких зонах доступности, в одной зоне доступности или в регионе.
Защита от вредоносных программ
В целях обнаружения и удаления вирусов, шпионских и других вредоносных программ необходимо установить средства защиты от вредоносных программ. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).
Microsoft Antimalware обладает такими возможностями, как обеспечение защиты в реальном времени, плановое сканирование, исправление вредоносных действий, обновление подписей, обновление модуля защиты, отправка образцов и сбор событий исключения. Для сред, размещенных отдельно от рабочей среды, вы можете использовать расширение антивредоносных программ, чтобы защитить виртуальные машины и облачные службы.
Для упрощения развертывания и использования встроенных обнаружений (оповещений и инцидентов) Microsoft Antimalware и партнерские решения можно интегрировать с Microsoft Defender для облака.
Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware
Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud
Управление обновлением виртуальной машины
Виртуальными машинами Azure, например всеми виртуальными машинами в локальной среде, должны управлять пользователи. Azure не отправляет на них обновления Windows. Вам необходимо управлять обновлениями вашей виртуальной машины.
Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Благодаря ему вы сможете быстро оценить состояние доступных обновлений на всех компьютерах агентов и управлять установкой необходимых обновлений на серверах.
Ниже перечислены конфигурации, которые используются компьютерами, управляемыми с помощью решения "Управление обновлениями", для выполнения развертываний оценок и обновлений:
- Microsoft Monitoring Agent (MMA) для Windows или Linux;
- Конфигурация требуемого состояния PowerShell для Linux
- Исполнитель гибридного Runbook автоматизации.
- службы Центра обновления Майкрософт или Windows Server Update Services (WSUS) для компьютеров с Windows.
Если вы используете Центр обновления Windows, оставьте включенной функцию автоматического обновления Windows.
Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Эта мера особенно важна при развертывании образов, полученных от вас или из вашей библиотеки. Несмотря на то, что образы из Azure Marketplace автоматически обновляются по умолчанию, после выхода общедоступной версии может существовать интервал задержки (до нескольких недель).
Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Благодаря шаблону в вашем распоряжении в нужный момент будет исправленная и защищенная виртуальная машина.
Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.
Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Если на виртуальных машинах Azure размещены приложения или службы, к которым требуется доступ через Интернет, при установке исправлений необходимо соблюдать осторожность. Исправляйте не только операционную систему. Неисправленные уязвимости в партнерских приложениях также могут привести к проблемам, которых можно было бы избежать при эффективном управлении исправлениями.
Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. Это касается систем, входящих в рабочую среду, распространяющуюся в облако.
В системах тестирования и разработки следует применять стратегии архивации, которые могут предоставить возможности восстановления, аналогичные привычным для пользователей возможностям с учетом опыта работы в локальных средах. По возможности рабочие нагрузки, перемещенные в Azure, должны интегрироваться с существующими решениями для архивации. Or, you can use Azure Backup to help address your backup requirements.
Организации, которые не применяют политики обновления программного обеспечения, больше подвержены угрозам, связанным с использованием известных уязвимостей, которые были устранены ранее. Чтобы соответствовать отраслевым нормам, компании должны показать, что они проявляют осмотрительность и используют правильные средства управления безопасностью, обеспечивая безопасность рабочей нагрузки, находящейся в облаке.
Рекомендации по обновлению программного обеспечения для традиционных центров обработки данных и Azure IaaS имеют много общего. Мы рекомендуем проанализировать текущие политики обновления программного обеспечения, чтобы добавить в них виртуальные машины, расположенные в Azure.
Управление системой безопасности виртуальной машины
Киберугрозы эволюционируют. Для защиты виртуальных машин требуются возможности мониторинга, способные быстро выявить угрозы, предотвратить несанкционированный доступ к ресурсам, активировать оповещения и сократить число ложных срабатываний.
To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. В Defender для облака можно защитить виртуальные машины, используя следующие возможности:
- применение параметров безопасности операционной системы в соответствии с рекомендуемыми правилами конфигурации;
- идентификация и загрузка отсутствующих обновлений системы безопасности и критических обновлений;
- развертывание рекомендаций по защите конечных точек от вредоносных программ;
- проверка шифрования диска;
- оценка и исправление уязвимостей;
- Detect threats.
Defender для облака может активно отслеживать угрозы, а потенциальные угрозы будут отображаться в разделе оповещений системы безопасности. Коррелированные угрозы будут собраны в одном представлении, которое называется "инцидент безопасности".
Defender для облака хранит данные в журналах Azure Monitor. Журналы Azure Monitor предоставляют язык запросов и модуль аналитики для анализа работы приложений и ресурсов. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Такие общие функции позволяют составить полную картину всей среды.
Организации, которые не обеспечивают надежную защиту для виртуальных машин, не знают о потенциальных попытках неавторизованных пользователей обойти средства управления безопасностью.
Мониторинг производительности виртуальной машины
Применение ресурсов не по назначению (например, когда процессы на виртуальной машине потребляют больше ресурсов, чем положено) может стать проблемой. Снижение производительности виртуальной машины может привести к прерыванию работы служб, что в свою очередь нарушает доступность, являющуюся одним из основных принципов безопасности. Это особенно важно для виртуальных машин, на которых размещаются службы IIS или другие веб-серверы, так как высокий уровень использования ЦП или памяти может указывать на атаку типа "отказ в обслуживании" (DoS). Крайне важно не только контролировать доступ к виртуальным машинам в случае возникновения проблем, но и заранее отслеживать базовые показатели производительности в периоды штатного функционирования.
We recommend that you use Azure Monitor to gain visibility into your resource’s health. Возможности Azure Monitor:
- Диагностические файлы журналов ресурсов: отслеживание ресурсов виртуальной машины и выявление потенциальных проблем, которые могут снизить производительность и доступность.
- Расширение системы диагностики Azure: использование возможностей мониторинга и диагностики на виртуальных машинах под управлением Windows. Чтобы использовать эти возможности, необходимо включить расширение в шаблон Azure Resource Manager.
Организации, которые не отслеживают производительность виртуальных машин, не способны определить, являются ли определенные изменения в показателях производительности нормальными или аномальными. Если виртуальная машина потребляет больше ресурсов, чем обычно, это может свидетельствовать об атаке, совершаемой с внешнего ресурса, или о скомпрометированном процессе, выполняемом на виртуальной машине.
Шифрование файлов виртуального жесткого диска
Рекомендуется шифровать виртуальные жесткие диски (VHD) для защиты загрузочного тома и томов данных в хранилище, также нужно шифровать ключи шифрования и секреты.
Шифрование дисков Azure для виртуальных машин Linux и Шифрование дисков Azure для виртуальных машин Windows помогает шифровать диски виртуальных машин IaaS Windows и Linux. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. Решение интегрировано с Azure Key Vault, чтобы помочь вам контролировать и управлять ключами шифрования дисков и секретами в подписке на Key Vault. Данное решение обеспечивает шифрование всех неактивных данных на дисках виртуальной машины в службе хранилища Azure.
Ниже приведены рекомендации по использованию службы шифрования дисков Azure.
Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. Для управления ключами шифрования в хранилище ключей требуется проверка подлинности Microsoft Entra. Создайте приложение Microsoft Entra для этой цели. Для проверки подлинности можно использовать проверку подлинности на основе секрета клиента или проверку подлинности Microsoft Entra на основе сертификата клиента.
Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Добавьте KEK в хранилище ключей.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Кроме того, KEK можно импортировать из своего локального аппаратного модуля безопасности (HSM) для управления ключами. Дополнительные сведения см. в документации по Key Vault. Когда задан ключ шифрования, шифрование дисков Azure использует его для обертывания ключей шифрования перед записью в Key Vault. Наличие депонированной копии этого ключа в локальном модуле HSM управления ключами обеспечивает дополнительную защиту от случайного удаления ключей.
Best practice: Take a snapshot and/or backup before disks are encrypted. Резервные копии позволяют выполнять восстановление, если во время шифрования происходит непредвиденная ошибка.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.
Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.
Применяя решение по шифрованию дисков Azure, можно удовлетворять приведенные ниже потребности организации.
- При хранении виртуальные машины IaaS защищаются с помощью стандартных отраслевых технологий шифрования, которые отвечают корпоративным требованиям безопасности и соответствия.
- Запуск виртуальных машин IaaS выполняется в соответствии с ключами и политиками, которыми управляет клиент. Можно также проводить аудит их использования в хранилище ключей.
Ограничение прямого подключения к Интернету
Отслеживайте и ограничивайте прямые подключения виртуальных машин к Интернету. Злоумышленники постоянно сканируют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и пытаются применить "простые" атаки, например самые распространенные пароли и известные уязвимости. В следующей таблице приведены рекомендации по защите от таких атак:
Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.
Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender для облака предоставит рекомендации по ограничению доступа через подключенную к Интернету конечную точку, если в какой-либо группе безопасности сети есть одно или несколько правил входящего трафика, разрешающих доступ с любого исходного IP-адреса. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.
Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Если JIT-доступ к сети включен, Defender для облака блокирует входящий трафик к виртуальной машине Azure посредством правила группы безопасности сети. Вы выбираете порты на виртуальной машине, для которых будет заблокирован входящий трафик. Доступ к этим портам контролируется решением JIT.
Next steps
Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.
Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.
- Блог команды безопасности Azure. Благодаря этому блогу вы будете в курсе последних новостей о безопасности Azure.
- Microsoft Security Response Center. Это место, куда можно сообщать об уязвимостях, в том числе о проблемах Azure. Это также можно сделать по почте, отправив сообщение по адресу [email protected].