Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор основных функций безопасности Azure для виртуальных машин.
Виртуальные машины Azure позволяют развертывать широкий спектр вычислительных решений гибко. Служба поддерживает Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP и службы BizTalk Azure. Вы можете развернуть любую рабочую нагрузку и любой язык практически в любой операционной системе.
Виртуальные машины Azure обеспечивают гибкость виртуализации, не покупая и поддерживая физическое оборудование. Вы можете создавать и развертывать приложения с помощью гарантии защиты данных в высокозащищенных центрах обработки данных.
С помощью Azure вы можете создавать решения, совместимые с безопасностью, которые:
- Защита виртуальных машин от вирусов и вредоносных программ
- Шифрование конфиденциальных данных
- Безопасный сетевой трафик
- Определение и обнаружение угроз
- Обеспечение соответствия нормативным требованиям
Доверенный запуск
Доверенный запуск — это значение по умолчанию для только что созданных виртуальных машин Azure поколения 2 и масштабируемых наборов виртуальных машин. Доверенный запуск защищает от продвинутых и настойчивых атак, включая буткиты, руткиты и вредоносные программы на уровне ядра операционной системы.
Доверенный запуск предоставляет:
- Безопасная загрузка: защищает от установки вредоносных программ rootkits и загрузочных комплектов, обеспечивая загрузку только подписанных операционных систем и драйверов.
- vTPM (модуль виртуальной доверенной платформы): выделенное безопасное хранилище для ключей и измерений, которое обеспечивает проверку целостности аттестации и загрузки.
- Мониторинг целостности загрузки: использует аттестацию через Microsoft Defender для облака для проверки целостности цепочки загрузки и оповещений о сбоях
Вы можете включить доверенный запуск на существующих виртуальных машинах и масштабируемых наборах виртуальных машин. Дополнительные сведения см. в разделе "Доверенный запуск" для виртуальных машин Azure.
Конфиденциальные вычисления
Конфиденциальные вычисления Azure защищают данные во время использования с помощью аппаратных доверенных сред выполнения. Конфиденциальные виртуальные машины используют технологию AMD SEV-SNP для создания аппаратной границы между приложением и стеком виртуализации.
Конфиденциальные виртуальные машины предоставляют:
- Изоляция на основе оборудования: между виртуальными машинами, гипервизором и кодом управления узлами.
- Шифрование дисков конфиденциальной ОС: привязывает ключи шифрования дисков к доверенному платформенному модулю (TPM) виртуальной машины, что делает содержимое диска доступным только для виртуальной машины.
- Выпуск безопасного ключа: криптографическая привязка между аттестацией платформы и ключами шифрования виртуальных машин.
- Аттестация: настраиваемые политики для обеспечения соответствия узла перед развертыванием.
Дополнительные сведения см. в статье о конфиденциальных виртуальных машинах Azure.
Шифрование дисков виртуальной машины.
Это важно
Шифрование дисков Azure будет выведено из эксплуатации 15 сентября 2028 г. До этой даты вы можете продолжать использовать шифрование дисков Azure без нарушений. 15 сентября 2028 г. рабочие нагрузки с поддержкой ADE будут выполняться, но зашифрованные диски не смогут разблокироваться после перезагрузки виртуальной машины, что приведет к нарушению работы службы.
Используйте шифрование на узле для новых виртуальных машин или рассмотрите размеры конфиденциальных виртуальных машин с шифрованием дисков ОС для рабочих нагрузок конфиденциальных вычислений. Все виртуальные машины с поддержкой ADE (включая резервные копии) должны перенестися в шифрование на узле до даты выхода на пенсию, чтобы избежать прерывания работы службы. Дополнительные сведения см. в статье "Миграция из шифрования дисков Azure в шифрование на узле ".
Azure предоставляет несколько вариантов шифрования для управляемых дисков:
Шифрование на стороне сервера (SSE): также называется шифрованием неактивных данных или шифрованием службы хранилища Azure, служба SSE всегда включается и автоматически шифрует данные на управляемых дисках Azure (ОС и дисках данных) при сохранении в кластерах хранилища. Данные шифруются прозрачно с помощью 256-разрядного шифрования AES, который соответствует FIPS 140-2. SSE не влияет на производительность диска и не имеет дополнительных затрат. Однако SSE не шифрует временные диски или кэши дисков.
Шифрование на узле: Улучшает SSE, шифруя временные диски и кэши дисков в состоянии покоя, при этом данные передаются в кластеры хранилища в зашифрованном виде. Это шифрование обеспечивает сквозное шифрование данных виртуальной машины. Шифрование на узле не использует ЦП виртуальной машины и не влияет на производительность. Временные диски и эфемерные диски ОС шифруются с использованием ключей, управляемых платформой. Кэши дисков ОС и данных шифруются с помощью ключей, управляемых клиентом или платформой, в зависимости от типа шифрования диска.
Шифрование конфиденциальных дисков: Для конфиденциальных виртуальных машин это шифрование привязывает ключи шифрования дисков к доверенному платформенному модулю (TPM) виртуальной машины, что делает защищенное содержимое диска доступным только для виртуальной машины.
По умолчанию управляемые диски используют управляемые платформой ключи без дополнительной конфигурации. Для клиентских ключей можно использовать Azure Key Vault, Управляемый HSM Azure Key Vault или Azure Cloud HSM для контроля и управления собственными ключами шифрования.
Дополнительные сведения см. в разделе "Общие сведения о параметрах шифрования управляемых дисков " и серверном шифровании хранилища дисков Azure.
Управление ключами
Azure Key Vault предоставляет безопасное хранилище для криптографических ключей, секретов и сертификатов. Azure предлагает несколько решений для управления ключами с различными уровнями безопасности:
- Azure Key Vault Стандарт: FIPS 140-2 уровня 1 сертифицированная, мультитенантная услуга с ключами, защищенными программным обеспечением.
- Azure Key Vault Premium: сертифицирована по стандарту FIPS 140-3 уровня 3, мультитенантный сервис с ключами, защищёнными HSM.
- Управляемый HSM в Azure Key Vault: проверенная на соответствие FIPS 140-3 уровня 3, одноарендная служба, которая обеспечивает полный контроль клиента над HSM и владением ключами.
Для виртуальных машин эти службы могут хранить:
- Ключи шифрования дисков: ключи, управляемые клиентом, для шифрования управляемых дисков с помощью наборов шифрования дисков.
- Ключи шифрования SQL Server: ключи для прозрачного шифрования данных на виртуальных машинах SQL Server.
- Секреты приложений: ключи и секреты, используемые приложениями, работающими на виртуальных машинах.
Вы управляете разрешениями и доступом к защищенным элементам с помощью идентификатора Microsoft Entra. Вы можете проверить использование ключей и сохранить полный контроль над ключами шифрования.
Дополнительные сведения см. в статье "Что такое Azure Key Vault?", что такое Управляемый HSM Azure Key Vault? и управление ключами в Azure.
Резервная копия виртуальной машины
Azure Backup — это масштабируемое решение, которое защищает данные виртуальной машины с нулевым капитальным вложением и минимальными операционными затратами. Ошибки приложения могут повредить данные, а человеческие ошибки могут привести к ошибкам. Служба архивации Azure защитит виртуальные машины Windows и Linux.
Azure Backup предоставляет:
- Независимые и изолированные резервные копии: резервные копии хранятся в хранилище служб восстановления, которое обеспечивает встроенное управление точками восстановления и защита от случайного уничтожения данных
- Точки восстановления, согласованные с приложением: записывает состояние данных приложения во время резервного копирования для запуска виртуальных машин.
- Нет явного исходящего подключения: все обмен данными и передача данных выполняются в магистральной сети Azure.
- Защита мягкого удаления: удаленные данные резервного копирования сохраняются на еще 14 дней, что позволяет восстановить, без потери данных.
- Восстановление между регионами. Восстановление виртуальных машин Azure в дополнительном парном регионе Azure для сценариев аварийного восстановления
Дополнительные сведения см. в статье "Что такое Azure Backup" и " Часто задаваемые вопросы о службе Azure Backup".
Служба восстановления сайта Azure (Azure Site Recovery)
Azure Site Recovery помогает оркестрировать репликацию, отработку отказа и восстановление рабочих нагрузок и приложений, чтобы они были доступны из дополнительного расположения, если основное расположение будет удалено.
Site Recovery выполняет следующие задачи.
- Упрощает стратегию BCDR: облегчает управление процессами репликации, переключения на резерв и восстановления различных бизнес-операций и приложений из единой платформы.
- Гибкая репликация: Репликация рабочих нагрузок, выполняемых на виртуальных машинах Hyper-V, виртуальных машинах VMware и физических серверах Windows/Linux
- Обеспечивает отказоустойчивость и восстановление: предоставляет тестовые переключения для аварийных тренировок восстановления, не затрагивая рабочие среды.
- Устраняет вторичные центры обработки данных: репликация в Azure, устранение затрат и сложности обслуживания вторичного сайта
Дополнительные сведения см. в статье "Что такое Azure Site Recovery?", как работает Azure Site Recovery? и какие рабочие нагрузки защищены Azure Site Recovery?
Виртуальная сеть
Для виртуальных машин требуется сетевое подключение. Azure требует, чтобы виртуальные машины были подключены к виртуальной сети Azure.
Виртуальная сеть Azure — это логическая конструкция, созданная на основе структуры физических сетей Azure. Каждая логическая виртуальная сеть Azure изолирована от всех прочих виртуальных сетей Azure. Это помогает гарантировать, что сетевой трафик из ваших развертываний недоступен другим клиентам Microsoft Azure.
Дополнительные сведения см. в обзоре безопасности сети Azure и обзоре виртуальной сети.
Управление политиками безопасности
Microsoft Defender для Облака помогает предотвращать, обнаруживать и реагировать на угрозы. Благодаря Defender для облака вы будете лучше понимать и контролировать работу системы, обеспечивающей безопасность ресурсов Azure. Он включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок Azure.
Defender для облака помогает оптимизировать и отслеживать безопасность виртуальных машин по следующим причинам:
- Предоставление рекомендаций по безопасности для виртуальных машин
- Мониторинг состояния виртуальных машин
- Предоставление Microsoft Defender для серверов с расширенной защитой от угроз
Microsoft Defender для серверов включает:
- Интеграция Microsoft Defender для обнаружения и реагирования на инциденты в конечных точках
- Оценка уязвимостей для выявления слабых мест безопасности
- Доступ к виртуальной машине по принципу "точно вовремя" для уменьшения поверхности атак
- Мониторинг целостности файлов для обнаружения изменений в критически важных файлах
- Адаптивные элементы управления приложениями для утвержденных приложений
Дополнительную информацию см. в статьях "Общие сведения о Microsoft Defender для облака, Microsoft Defender для серверов и часто задаваемые вопросы о Microsoft Defender для облака.
Соответствие нормативным требованиям
Виртуальные машины Azure сертифицированы в соответствии со стандартами FISMA, FedRAMP, HIPAA, PCI DSS (уровень 1), а также другими ключевыми стандартами. Эта сертификация упрощает выполнение вашими приложениями Azure требований по соответствию, а также помогает вашему бизнесу удовлетворять как внутренним, так и международным нормативным требованиям.
Дополнительные сведения см. в разделе "Центр управления безопасностью Майкрософт: соответствие требованиям и соответствие Azure".
Следующие шаги
Узнайте о рекомендациях по обеспечению безопасности виртуальных машин и операционных систем.