Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются рекомендации по обеспечению безопасности для виртуальных машин и операционных систем.
Рекомендации приходят из консенсуса мнения, и они работают с текущими возможностями платформы Azure и наборами функций. Поскольку мнения и технологии могут меняться со временем, эта статья обновляется, чтобы отразить эти изменения.
В большинстве сценариев инфраструктуры как услуги (IaaS) виртуальные машины (ВМ) Azure являются основной рабочей нагрузкой для организаций, использующих облачные вычисления. Этот факт очевиден в гибридных сценариях, когда организации хотят медленно перенести рабочие нагрузки в облако. В таких случаях необходимо следовать общим рекомендациям по обеспечению безопасности для IaaS, а также выполнять рекомендации по обеспечению безопасности на всех виртуальных машинах.
Защита виртуальных машин с помощью проверки подлинности и контроля доступа
Чтобы защитить виртуальные машины, убедитесь, что только авторизованные пользователи могут настроить новые виртуальные машины и получить доступ к существующим виртуальным машинам.
Note
Чтобы повысить безопасность виртуальных машин Linux в Azure, можно интегрировать с проверкой подлинности Microsoft Entra. При использовании проверки подлинности Microsoft Entra для виртуальных машин Linux вы централизованно контролируете и применяете политики, которые разрешают или запрещают доступ к виртуальным машинам.
Рекомендация. Управление доступом к виртуальной машине. Сведения. Используйте политики Azure для установления соглашений о ресурсах в организации и создания настраиваемых политик. Примените эти политики к ресурсам, таким как группы ресурсов. Виртуальные машины, которые относятся к группе ресурсов, наследуют ее политики.
Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure обеспечивают уровень иерархии выше, чем подписки. Вы организуете подписки в группы управления (контейнеры) и применяете свои условия управления к этим группам. Все подписки в группе управления автоматически наследуют условия, применяемые к группе. Группы управления обеспечивают корпоративное управление в больших масштабах независимо от типа подписки.
Рекомендация. Уменьшение изменчивости в настройке и развертывании виртуальных машин. Подробные сведения. Использование шаблонов Azure Resource Manager для укрепления выбора развертывания и упрощения понимания и инвентаризации виртуальных машин в вашей среде.
Рекомендация. Безопасный привилегированный доступ. Подробные сведения. Используйте минимальный подход и встроенные роли Azure, чтобы пользователи могли получать доступ к виртуальным машинам и настраивать их.
- Участник виртуальных машин — может управлять виртуальными машинами, но не виртуальными сетями и учетными записями хранения, к которым они подключены.
- Участник классических виртуальных машин — может управлять виртуальными машинами, созданными с помощью классической модели развертывания, но не может управлять виртуальными сетями и учетными записями хранения, к которым подключены виртуальные машины.
- Администратор безопасности: только в Defender для облака: может просматривать политики безопасности, просматривать состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, закрывать оповещения и рекомендации.
- Пользователь DevTest Labs — может просматривать все, а также подключать, запускать, перезапускать виртуальные машины и завершать их работу.
Администраторы подписки и соадминистраторы могут изменить этот параметр, сделав себя администраторами всех виртуальных машин в подписке. Доверяйте всем администраторам подписки и коадминсам вход на любой из ваших компьютеров.
Note
Консолидируйте виртуальные машины с одинаковым жизненным циклом в одну группу ресурсов. С помощью групп ресурсов можно развертывать и отслеживать ресурсы, а также получать сводную информацию о затратах на ресурсы.
Организации, которые управляют доступом к виртуальной машине и ее настройкой, повышают общую безопасность виртуальной машины.
Использование масштабируемых наборов виртуальных машин для обеспечения высокой доступности
Если виртуальная машина запускает критически важные приложения, требующие высокой доступности, используйте масштабируемые наборы виртуальных машин.
Масштабируемые наборы виртуальных машин позволяют создавать группу виртуальных машин с балансировкой нагрузки и управлять ими. Число экземпляров виртуальных машин может автоматически увеличиваться или уменьшаться в зависимости от спроса или по определенному расписанию. Масштабируемые наборы обеспечивают высокий уровень доступности для приложений, и вы можете централизованно управлять, настраивать и обновлять множество виртуальных машин. Для самого набора масштабирования плата не взимается, вы платите только за каждый создаваемый экземпляр виртуальной машины.
Виртуальные машины можно развернуть в масштабируемом наборе в нескольких зонах доступности, одной зоне доступности или в регионе.
Защита от вредоносных программ
Установите защиту от вредоносных программ, чтобы выявить и удалить вирусы, шпионские программы и другое вредоносное программное обеспечение. Вы можете установить антивирусное решение Microsoft или решение для защиты конечных точек от партнера Microsoft (Trend Micro, Broadcom, McAfee, Защитник Windows и System Center Endpoint Protection).
Microsoft Antimalware обладает такими возможностями, как обеспечение защиты в реальном времени, плановое сканирование, исправление вредоносных действий, обновление подписей, обновление модуля защиты, отправка образцов и сбор событий исключения. Для сред, размещенных отдельно от рабочей среды, используйте расширение защиты от вредоносных программ, чтобы защитить виртуальные машины и облачные службы.
Для упрощения развертывания и использования встроенных обнаружений (оповещений и инцидентов) Microsoft Antimalware и партнерские решения можно интегрировать с Microsoft Defender для облака.
Рекомендуется установить антивредоносное решение для защиты от вредоносных программ.
Сведения: Установка партнерского решения Microsoft или антивируса Microsoft
Рекомендация. Интеграция решения защиты от вредоносных программ с Defender для облака для мониторинга состояния защиты.
Подробные сведения. Управление проблемами защиты конечных точек с помощью Defender для облака
Управление обновлением виртуальной машины
Виртуальными машинами Azure, например всеми виртуальными машинами в локальной среде, должны управлять пользователи. Azure не отправляет на них обновления Windows. Вам необходимо управлять обновлениями вашей виртуальной машины.
Рекомендация. Сохранение текущей виртуальной машины.
Сведения. Используйте решение "Управление обновлениями " в службе автоматизации Azure для управления обновлениями операционной системы для компьютеров Windows и Linux, развернутых в Azure, в локальных средах или в других облачных поставщиках. Благодаря ему вы сможете быстро оценить состояние доступных обновлений на всех компьютерах агентов и управлять установкой необходимых обновлений на серверах.
Ниже перечислены конфигурации, которые используются компьютерами, управляемыми с помощью решения "Управление обновлениями", для выполнения развертываний оценок и обновлений:
- Microsoft Monitoring Agent (MMA) для Windows или Linux;
- Конфигурация требуемого состояния PowerShell для Linux
- Исполнитель гибридного Runbook автоматизации.
- службы Центра обновления Майкрософт или Windows Server Update Services (WSUS) для компьютеров с Windows.
Если вы используете Центр обновления Windows, оставьте включенной функцию автоматического обновления Windows.
Рекомендация. Убедитесь, что при развертывании созданные образы включают последний раунд обновлений Windows.
Подробные сведения. Проверьте и установите все обновления Windows в качестве первого шага каждого развертывания. Эта мера особенно важна при развертывании образов, полученных от вас или из вашей библиотеки. Несмотря на то, что образы из Azure Marketplace автоматически обновляются по умолчанию, после выхода общедоступной версии может существовать интервал задержки (до нескольких недель).
Рекомендуется периодически развертывать виртуальные машины, чтобы принудительно использовать новую версию ОС.
Подробные сведения. Определите виртуальную машину с помощью шаблона Azure Resource Manager , чтобы можно было легко развернуть ее. Благодаря шаблону в вашем распоряжении в нужный момент будет исправленная и защищенная виртуальная машина.
Рекомендация. Быстрое применение обновлений системы безопасности к виртуальным машинам.
Подробные сведения. Включите Microsoft Defender для облака (уровень "Бесплатный" или "Стандартный") для выявления отсутствующих обновлений системы безопасности и их применения.
Рекомендуется установить последние обновления системы безопасности.
Подробности: Некоторые из первых рабочих нагрузок, которые клиенты переносят в Azure, это лаборатории и внешние системы. Если на виртуальных машинах Azure размещены приложения или службы, к которым требуется доступ через Интернет, при установке исправлений необходимо соблюдать осторожность. Исправляйте не только операционную систему. Неисправленные уязвимости в партнерских приложениях также могут привести к проблемам, которых можно было бы избежать при эффективном управлении исправлениями.
Рекомендация. Развертывание и проверка решения резервного копирования.
Сведения. Резервная копия должна обрабатываться так же, как и любая другая операция. Эта обработка относится к системам, которые являются частью рабочей среды, включая облачную среду.
В системах тестирования и разработки следует применять стратегии архивации, которые могут предоставить возможности восстановления, аналогичные привычным для пользователей возможностям с учетом опыта работы в локальных средах. По возможности рабочие нагрузки, перемещенные в Azure, должны интегрироваться с существующими решениями для архивации. Кроме того, вы можете использовать Azure Backup для решения ваших требований к резервному копированию.
Организации, которые не применяют политики обновления программного обеспечения, больше подвержены угрозам, связанным с использованием известных уязвимостей, которые были устранены ранее. Чтобы соответствовать отраслевым нормам, компании должны показать, что они проявляют осмотрительность и используют правильные средства управления безопасностью, обеспечивая безопасность рабочей нагрузки, находящейся в облаке.
Рекомендации по обновлению программного обеспечения для традиционных центров обработки данных и Azure IaaS имеют много общего. Оцените текущие политики обновления программного обеспечения, чтобы включить виртуальные машины, расположенные в Azure.
Управление системой безопасности виртуальной машины
Киберугрозы всегда развиваются. Для защиты виртуальных машин требуются возможности мониторинга, способные быстро выявить угрозы, предотвратить несанкционированный доступ к ресурсам, активировать оповещения и сократить число ложных срабатываний.
Для мониторинга состояния безопасности виртуальных машин под управлением Windows и Linux можно использовать Microsoft Defender для облака. В Defender для облака можно защитить виртуальные машины, используя следующие возможности:
- применение параметров безопасности операционной системы в соответствии с рекомендуемыми правилами конфигурации;
- идентификация и загрузка отсутствующих обновлений системы безопасности и критических обновлений;
- развертывание рекомендаций по защите конечных точек от вредоносных программ;
- проверка шифрования диска;
- оценка и исправление уязвимостей;
- Обнаружение угроз.
Defender для Cloud может активно мониторить угрозы, а оповещения системы безопасности выявляют потенциальные угрозы. Коррелированные угрозы будут собраны в одном представлении, которое называется "инцидент безопасности".
Defender для облака хранит данные в журналах Azure Monitor. Журналы Azure Monitor предоставляют язык запросов и модуль аналитики для анализа работы приложений и ресурсов. Данные также собираются из Azure Monitor, решений управления и агентов, установленных на виртуальных машинах в облаке или локальной среде. Такие общие функции позволяют составить полную картину всей среды.
Если вы не применяете надежную безопасность для виртуальных машин, вы не знаете о потенциальных попытках несанкционированных пользователей обойти элементы управления безопасностью.
Мониторинг производительности виртуальной машины
Применение ресурсов не по назначению (например, когда процессы на виртуальной машине потребляют больше ресурсов, чем положено) может стать проблемой. Снижение производительности виртуальной машины может привести к прерыванию работы служб, что в свою очередь нарушает доступность, являющуюся одним из основных принципов безопасности. Эта проблема особенно важна для виртуальных машин, на которых размещаются службы IIS или другие веб-серверы, так как высокая загрузка ЦП или памяти может указывать на атаку типа "отказ в обслуживании" (DoS). Необходимо отслеживать доступ к виртуальным машинам не только реактивно во время возникновения проблемы, но и упреждающе в отношении базовой производительности, измеряемой во время нормальной работы.
Используйте Azure Monitor , чтобы получить представление о работоспособности ресурса. Возможности Azure Monitor:
- Файлы журнала диагностики ресурсов: отслеживает ресурсы виртуальной машины и определяет потенциальные проблемы, которые могут угрожать производительности и доступности.
- Расширение системы диагностики Azure: использование возможностей мониторинга и диагностики на виртуальных машинах под управлением Windows. Чтобы использовать эти возможности, необходимо включить расширение в шаблон Azure Resource Manager.
Если вы не отслеживаете производительность виртуальной машины, вы не можете определить, являются ли некоторые изменения в шаблонах производительности нормальными или ненормальными. Виртуальная машина, которая потребляет больше ресурсов, чем обычно, может указывать на атаку со стороны внешнего ресурса или скомпрометированного процесса, выполняемого на виртуальной машине.
Шифрование файлов виртуального жесткого диска
Зашифруйте ваши виртуальные жесткие диски (VHD), чтобы защитить загрузочный том и тома данных, находящиеся в состоянии покоя в хранилище, а также ключи шифрования и секреты.
Это важно
Шифрование дисков Azure будет выведено из эксплуатации 15 сентября 2028 г. До этой даты вы можете продолжать использовать шифрование дисков Azure без нарушений. 15 сентября 2028 г. рабочие нагрузки с поддержкой ADE будут выполняться, но зашифрованные диски не смогут разблокироваться после перезагрузки виртуальной машины, что приведет к нарушению работы службы.
Используйте шифрование на узле для новых виртуальных машин. Все виртуальные машины с поддержкой ADE (включая резервные копии) должны перенестися в шифрование на узле до даты выхода на пенсию, чтобы избежать прерывания работы службы. Дополнительные сведения см. в статье "Миграция из шифрования дисков Azure в шифрование на узле ".
Шифрование на узле обеспечивает сквозное шифрование данных виртуальной машины по умолчанию, шифрование временных дисков, кэшей ос и дисков данных и потоков данных в службу хранилища Azure. По умолчанию шифрование на узле использует ключи, управляемые платформой, без дополнительной настройки. При необходимости можно настроить решение для использования ключей, управляемых клиентом, хранящихся в Azure Key Vault или Управляемом HSM Azure Key Vault , когда необходимо управлять собственными ключами шифрования дисков и управлять ими. Это решение гарантирует, что все данные на дисках виртуальной машины зашифрованы в состоянии покоя в Azure Storage.
Следующие рекомендации помогут вам использовать шифрование на узле:
Рекомендуется включить шифрование на узле на виртуальных машинах по умолчанию.
Сведения. Шифрование на узле по умолчанию включено для новых виртуальных машин и обеспечивает прозрачное шифрование с помощью ключей, управляемых платформой, без дополнительной настройки. Если вы решили использовать управляемые клиентом ключи, храните их в Azure Key Vault или в управляемом HSM Azure Key Vault. Для доступа требуется проверка подлинности Microsoft Entra. Для проверки подлинности можно использовать проверку подлинности на основе секрета клиента или проверку подлинности Microsoft Entra на основе сертификата клиента.
Рекомендация. При использовании ключей, управляемых клиентом, используйте ключ шифрования ключей (KEK) для дополнительного уровня безопасности для ключей шифрования.
Сведения: При использовании ключей, управляемых клиентом, используйте командлет Add-AzKeyVaultKey, чтобы создать ключ шифрования ключей в Azure Key Vault или управляемом HSM. Вы также можете импортировать KEK из локального модуля безопасности оборудования (HSM). Дополнительные сведения см. в документации по Key Vault. При указании ключа шифрования ключа шифрование на узле использует этот ключ для упаковки секретов шифрования. Сохранение копии этого ключа в локальном хранилище управления ключами обеспечивает дополнительную защиту от случайного удаления ключей.
Рекомендуется выполнить моментальный снимок и (или) резервное копирование перед внесением изменений в конфигурацию шифрования. Резервные копии предоставляют возможность восстановления, если происходит непредвиденный сбой.
Сведения. Регулярное резервное копирование виртуальных машин с управляемыми дисками. Дополнительные сведения см. в статье Резервное копирование и восстановление зашифрованных виртуальных машин с помощью службы Azure Backup.
Рекомендация. При использовании ключей, управляемых клиентом, убедитесь, что секреты шифрования не пересекают региональные границы, найдя службу управления ключами и виртуальные машины в том же регионе.
Сведения. При использовании ключей, управляемых клиентом, создайте и используйте хранилище ключей или управляемый HSM, который находится в том же регионе, что и виртуальная машина для шифрования.
При применении шифрования на узле можно удовлетворить следующие бизнес-потребности:
- При хранении виртуальные машины IaaS защищаются с помощью стандартных отраслевых технологий шифрования, которые отвечают корпоративным требованиям безопасности и соответствия.
- Виртуальные машины IaaS начинаются с управляемых клиентом ключей и политик, и вы можете проверить их использование в службе управления ключами.
Ограничение прямого подключения к Интернету
Отслеживайте и ограничивайте прямые подключения виртуальных машин к Интернету. Злоумышленники постоянно сканируют диапазоны общедоступных облачных IP-адресов для открытых портов управления и пытаются "простые" атаки, такие как общие пароли и известные непатшированные уязвимости. В следующей таблице приведены рекомендации по защите от таких атак:
Лучшие практики: Предотвращайте непреднамеренное раскрытие информации, связанной с маршрутизацией сети и безопасностью.
Подробные сведения. Используйте Azure RBAC, чтобы убедиться, что только центральная сетевая группа имеет разрешение на сетевые ресурсы.
Лучшая практика: Определение и исправление открытых виртуальных машин, которые разрешают доступ с любого исходного IP-адреса.
Сведения. Использование Microsoft Defender для облака. Defender for Cloud рекомендует ограничить доступ через конечные точки, подключенные к Интернету, если у любой из групп безопасности сети есть одно или несколько правил для входящих подключений, которые разрешают доступ из исходного IP-адреса любого источника. Defender для облака рекомендует изменить эти правила для входящего трафика, чтобы ограничить доступ к исходным IP-адресам, которым фактически нужен доступ.
Рекомендуется ограничить порты управления (RDP, SSH).
Подробности: Используйте JIT-доступ к виртуальной машине, чтобы заблокировать входящий трафик на виртуальные машины Azure. При необходимости снижается уязвимость к атакам, обеспечивая простой доступ к виртуальным машинам. При включении JIT Defender для облака блокирует входящий трафик на виртуальные машины Azure, создавая правило группы безопасности сети. Вы выбираете порты на виртуальной машине, на которую заблокирован входящий трафик. Решение JIT управляет этими портами.
Дальнейшие шаги
Дополнительные рекомендации по обеспечению безопасности при разработке, развертывании и управлении облачными решениями с помощью Azure см. в рекомендациях и шаблонах безопасности Azure.
Следующие ресурсы предоставляют более общие сведения о безопасности Azure и связанных службах Майкрософт:
- Блог команды безопасности Azure — актуальная информация о последних новинках в области безопасности Azure
- Центр реагирования на безопасность Майкрософт — где можно сообщить об уязвимостях безопасности Майкрософт, включая проблемы с Azure, или отправить сообщение электронной почты в [email protected]