Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к: ✔️ виртуальные машины Linux ✔️ виртуальные машины Windows ✔️ гибкие наборы масштабирования ✔️ унифицированные наборы масштабирования
Важно обеспечить безопасность виртуальной машины для выполняемых приложений. Защита виртуальных машин может включать одну или несколько служб Azure и функций, которые охватывают безопасный доступ к виртуальным машинам и безопасному хранилищу данных. В этой статье содержатся сведения, позволяющие обеспечить безопасность виртуальной машины и приложений.
Защита от вредоносных программ;
Современный ландшафт угроз для облачных сред является динамическим, увеличивая давление на поддержание эффективной защиты для удовлетворения требований соответствия требованиям и безопасности. Антивредоносная программа Майкрософт для Azure — это бесплатная возможность защиты в режиме реального времени, которая помогает выявлять и удалять вирусы, шпионские программы и другое вредоносное программное обеспечение. Оповещения можно настроить для уведомления о том, когда известное вредоносное или нежелательное программное обеспечение пытается установить себя или запустить на виртуальной машине. Он не поддерживается на виртуальных машинах под управлением Linux или Windows Server 2008.
Microsoft Defender для облака
Microsoft Defender для Облака помогает предотвратить, обнаруживать и реагировать на угрозы для виртуальных машин. Defender для облака обеспечивает интегрированное управление безопасностью и политиками в подписках Azure, помогает обнаруживать угрозы, которые в противном случае могут быть незамечены и работать с широкой экосистемой решений безопасности.
Доступ по запросу в системе Defender для Облака может быть применен ко всем развертываниям ваших виртуальных машин для блокировки входящего трафика к виртуальным машинам Azure, снижая вероятность атак и обеспечивая простой доступ для подключения к виртуальным машинам по мере необходимости. Если включен режим just-in-time и пользователь запрашивает доступ к виртуальной машине, Defender для облачных сервисов проверяет, какие разрешения у пользователя есть для этой виртуальной машины. Если у них есть правильные разрешения, запрос утвержден и Defender для облака автоматически настраивает группы безопасности сети (NSG), чтобы разрешить входящий трафик на выбранные порты в течение ограниченного времени. После истечения срока действия Defender для облака восстанавливает группы безопасности сети до предыдущих состояний.
Шифрование
Для управляемых дисков предлагаются два метода шифрования. Шифрование на уровне ОС, которое является шифрованием дисков Azure и шифрованием на уровне платформы, который является серверным шифрованием.
Шифрование на стороне сервера
Управляемые диски Azure автоматически шифруют данные по умолчанию при сохранении в облаке. Шифрование на стороне сервера защищает данные и помогает выполнять обязательства по обеспечению безопасности и соответствия организации. Данные в управляемых дисках Azure шифруются прозрачно с использованием 256-разрядного шифрования AES, одного из наиболее сильных блочных шифров, который совместим со стандартом FIPS 140-2.
Шифрование не влияет на производительность управляемых дисков. Для шифрования нет дополнительных затрат.
Вы можете использовать ключи, управляемые платформой, для шифрования управляемого диска или управлять шифрованием с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, вы можете указать управляемый клиентом ключ, который будет использоваться для шифрования и расшифровки всех данных на управляемых дисках.
Дополнительные сведения о шифровании на стороне сервера см. в статьях windows илиLinux.
Шифрование дисков Azure
Для расширенной безопасности и соответствия виртуальныммашинам Windows и Linux виртуальные диски в Azure можно зашифровать. Виртуальные жесткие диски на ВМ Windows шифруются на покое с помощью BitLocker. Виртуальные диски на виртуальных машинах Linux шифруются в состоянии покоя с помощью dm-crypt.
Плата за шифрование виртуальных дисков в Azure не взимается. Криптографические ключи хранятся в Azure Key Vault с помощью программной защиты, или вы можете импортировать или создать ключи в аппаратных модулях безопасности (HSM), сертифицированных в стандартах FIPS 140 . Эти криптографические ключи используются для шифрования и расшифровки виртуальных дисков, подключенных к виртуальной машине. Вы сохраняете контроль над этими криптографическими ключами и можете проверять их использование. Субъект-служба Microsoft Entra предоставляет безопасный механизм выдачи этих криптографических ключей при включении и отключении виртуальных машин.
Ключи Key Vault и SSH
Секреты и сертификаты можно моделировать как ресурсы и предоставлять Key Vault. Azure PowerShell можно использовать для создания хранилищ ключей для виртуальных машин Windows и Azure CLI для виртуальных машин Linux. Вы также можете создавать ключи для шифрования.
Политики доступа к хранилищу ключей предоставляют разрешения ключам, секретам и сертификатам отдельно. Например, вы можете предоставить пользователю доступ только к ключам, но нет разрешений для секретов. Однако разрешения на доступ к ключам, секретам и сертификатам предоставляются на уровне хранилища. Другими словами, политика доступа к хранилищу ключей не поддерживает разрешения на уровне объектов.
При подключении к виртуальным машинам следует использовать криптографию с открытым ключом, чтобы обеспечить более безопасный способ входа в них. Этот процесс включает обмен открытым и закрытым ключом с помощью команды безопасной оболочки (SSH) для проверки подлинности, а не имени пользователя и пароля. Пароли уязвимы для атак подбора пароля, особенно на виртуальных машинах с доступом в Интернет, например, веб-серверах. С помощью пары ключей безопасной оболочки (SSH) можно создать виртуальную машину Linux , использующую ключи SSH для проверки подлинности, что устраняет необходимость входа паролей. Вы также можете использовать ключи SSH для подключения с виртуальной машины Windows к виртуальной машине Linux.
Управляемые идентификации для ресурсов Azure
Распространенная проблема при создании облачных приложений заключается в том, как управлять учетными данными в коде для проверки подлинности в облачных службах. Обеспечение безопасности учетных данных является важной задачей. В идеале учетные данные никогда не отображаются на рабочих станциях разработчиков и не проверяются в системе управления версиями. Azure Key Vault предоставляет способ безопасного хранения учетных данных, секретов и других ключей, но код должен пройти проверку подлинности в Key Vault, чтобы получить их.
Функция управляемых удостоверений для ресурсов Azure в Microsoft Entra решает эту проблему. Эта функция предоставляет службы Azure с автоматически управляемым удостоверением в идентификаторе Microsoft Entra. Удостоверение можно использовать для проверки подлинности в любой службе, поддерживающей проверку подлинности Microsoft Entra, включая Key Vault, без каких-либо учетных данных в коде. Код, работающий на виртуальной машине, может запрашивать маркер из двух конечных точек, доступных только из виртуальной машины. Чтобы получить более подробную информацию об этой службе, просмотрите страницу обзора управляемых удостоверений для ресурсов Azure.
Политики
Политики Azure можно использовать для определения требуемого поведения для виртуальных машин вашей организации. Используя политики, организация может применять различные соглашения и правила на всей организации. Принудительное применение требуемого поведения может помочь снизить риск при повышении успеха организации.
Управление доступом на основе ролей Azure
С помощью управления доступом на основе ролей Azure (Azure RBAC) вы можете разделить обязанности в команде и предоставлять пользователям на вашей виртуальной машине доступ только в том объеме, который им необходим для выполнения их работы. Вместо предоставления всем неограниченным разрешениям на виртуальной машине можно разрешить только определенные действия. Вы можете настроить управление доступом для виртуальной машины на портале Azure с помощью Azure CLI илиAzure PowerShell.