Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор основных функций безопасности Azure для виртуальных машин.
Виртуальные машины Azure позволяют развертывать широкий спектр вычислительных решений гибко. Служба поддерживает Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP и службы BizTalk Azure. Вы можете развернуть любую рабочую нагрузку и любой язык практически в любой операционной системе.
Виртуальные машины Azure обеспечивают гибкость виртуализации, не покупая и поддерживая физическое оборудование. Вы можете создавать и развертывать приложения с помощью гарантии защиты данных в высокозащищенных центрах обработки данных.
Создавайте в среде Azure безопасные и соответствующие требованиям решения, которые:
- Защита виртуальных машин от вирусов и вредоносных программ
- Шифрование конфиденциальных данных
- Безопасный сетевой трафик
- Определение и обнаружение угроз
- Обеспечение соответствия нормативным требованиям
Доверенный запуск
Доверенный запуск — это значение по умолчанию для только что созданных виртуальных машин Azure поколения 2 и масштабируемых наборов виртуальных машин. Доверенный запуск защищает от продвинутых и настойчивых атак, включая буткиты, руткиты и вредоносные программы на уровне ядра операционной системы.
Доверенный запуск предоставляет:
- Безопасная загрузка: защищает от установки вредоносных программ rootkits и загрузочных комплектов, обеспечивая загрузку только подписанных операционных систем и драйверов.
- vTPM (модуль виртуальной доверенной платформы): выделенное безопасное хранилище для ключей и измерений, которое обеспечивает проверку целостности аттестации и загрузки.
- Мониторинг целостности загрузки: использует аттестацию через Microsoft Defender для облака для проверки целостности цепочки загрузки и оповещений о сбоях
Доверенный запуск можно включить на существующих виртуальных машинах и масштабируемых наборах виртуальных машин. Дополнительные сведения см. в разделе "Доверенный запуск" для виртуальных машин Azure.
Конфиденциальные вычисления
Конфиденциальные вычисления Azure защищают данные во время использования с помощью аппаратных доверенных сред выполнения. Конфиденциальные виртуальные машины используют технологию AMD SEV-SNP для создания аппаратной границы между приложением и стеком виртуализации.
Конфиденциальные виртуальные машины предоставляют:
- Изоляция на основе оборудования: между виртуальными машинами, гипервизором и кодом управления узлами
- Шифрование дисков конфиденциальной ОС: привязывает ключи шифрования дисков к доверенному платформенному модулю ВМ, что делает содержимое диска доступным только для ВМ.
- Выпуск безопасного ключа: криптографическая привязка между аттестацией платформы и ключами шифрования виртуальных машин
- Аттестация: настраиваемые политики для обеспечения соответствия узлам перед развертыванием
Дополнительные сведения см. в статье о конфиденциальных виртуальных машинах Azure.
Azure Backup
Azure Backup — это масштабируемое решение, которое защищает данные приложения с нулевыми капитальными инвестициями и минимальными операционными затратами. Ошибки приложений могут повредить данные, а человеческие ошибки — привести к ошибкам в коде приложений. Служба архивации Azure защитит виртуальные машины Windows и Linux.
Azure Backup предоставляет независимые и изолированные резервные копии для защиты от случайного уничтожения данных. Резервные копии хранятся в хранилище услуг восстановления с встроенным управлением точками восстановления.
Дополнительные сведения см. в статье "Что такое Azure Backup" и " Часто задаваемые вопросы о службе Azure Backup".
Служба восстановления сайта Azure (Azure Site Recovery)
Azure Site Recovery помогает оркестрировать репликацию, отработку отказа и восстановление рабочих нагрузок и приложений, чтобы они были доступны из дополнительного расположения, если основное расположение будет удалено.
Site Recovery выполняет следующие задачи.
- Упрощает стратегию BCDR: облегчает управление процессами репликации, переключения на резерв и восстановления различных бизнес-операций и приложений из единой платформы.
- Гибкая репликация: Репликация рабочих нагрузок, выполняемых на виртуальных машинах Hyper-V, виртуальных машинах VMware и физических серверах Windows/Linux
- Обеспечивает отказоустойчивость и восстановление: предоставляет тестовые переключения для аварийных тренировок восстановления, не затрагивая рабочие среды.
- Устраняет вторичные центры обработки данных: репликация в Azure, устранение затрат и сложности обслуживания вторичного сайта
Дополнительные сведения см. в статье "Что такое Azure Site Recovery?", как работает Azure Site Recovery? и какие рабочие нагрузки защищены Azure Site Recovery?.
Виртуальная сеть
Для виртуальных машин требуется сетевое подключение. Azure требует, чтобы виртуальные машины были подключены к виртуальной сети Azure.
Виртуальная сеть Azure — это логическая конструкция, созданная на основе структуры физических сетей Azure. Каждая логическая виртуальная сеть Azure изолирована от всех прочих виртуальных сетей Azure. Это помогает гарантировать, что сетевой трафик из ваших развертываний недоступен другим клиентам Microsoft Azure.
Дополнительные сведения см. в обзоре безопасности сети Azure и обзоре виртуальной сети.
Управление политиками безопасности
Microsoft Defender для Облака помогает предотвращать, обнаруживать и реагировать на угрозы. Благодаря Defender для облака вы будете лучше понимать и контролировать работу системы, обеспечивающей безопасность ресурсов Azure. Он включает в себя встроенные функции мониторинга безопасности и управления политиками для подписок Azure.
Defender для облака помогает оптимизировать и отслеживать безопасность виртуальных машин по следующим причинам:
- Предоставление рекомендаций по безопасности для виртуальных машин
- Мониторинг состояния виртуальных машин
- Предоставление Microsoft Defender для серверов с расширенной защитой от угроз
Microsoft Defender для серверов включает:
- Интеграция Microsoft Defender для обнаружения и реагирования на инциденты в конечных точках
- Оценка уязвимостей для выявления слабых мест безопасности
- Доступ к виртуальной машине по принципу "точно вовремя" для уменьшения поверхности атак
- Мониторинг целостности файлов для обнаружения изменений в критически важных файлах
- Адаптивные элементы управления приложениями для утвержденных приложений
Дополнительную информацию см. в статьях "Общие сведения о Microsoft Defender для облака, Microsoft Defender для серверов и часто задаваемые вопросы о Microsoft Defender для облака.
Соответствие нормативным требованиям
Виртуальные машины Azure сертифицированы в соответствии со стандартами FISMA, FedRAMP, HIPAA, PCI DSS (уровень 1), а также другими ключевыми стандартами. Эта сертификация упрощает выполнение вашими приложениями Azure требований по соответствию, а также помогает вашему бизнесу удовлетворять как внутренним, так и международным нормативным требованиям.
Дополнительные сведения см. в разделе "Центр управления безопасностью Майкрософт: соответствие требованиям и соответствие Azure".
Аппаратный модуль безопасности
Azure Key Vault предоставляет безопасное хранилище для ключей и секретов. Key Vault предлагает возможность хранения ключей в аппаратных модулях безопасности (HSM), сертифицированных по стандартам FIPS 140.
Ключи шифрования SQL Server для резервного копирования или прозрачного шифрования данных могут храниться в Key Vault с любыми ключами или секретами из приложений. Разрешения и доступ к этим защищенным элементам управляются с помощью идентификатора Microsoft Entra.
Дополнительные сведения об управлении ключами Azure см. в статье "Управление ключами" в Azure.
Следующие шаги
Узнайте о рекомендациях по обеспечению безопасности виртуальных машин и операционных систем.