Применение принципов нулевого доверия к виртуальным машинам в Azure
Сводка. Чтобы применить принципы нулевого доверия к виртуальным машинам Azure, необходимо настроить логическую изоляцию с выделенными группами ресурсов, использовать контроль доступа на основе ролей (RBAC), безопасные компоненты загрузки виртуальной машины, включить управляемые клиентом ключи и двойное шифрование, управлять установленными приложениями, настраивать безопасный доступ и обслуживание виртуальных машин, а также включать расширенное обнаружение угроз и защиту.
В этой статье приведены инструкции по применению принципов нулевого доверия к виртуальным машинам в Azure:
| Принцип нулевого доверия | Определение | Встречалась |
|---|---|---|
| Прямая проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Используйте безопасный доступ. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. | Используйте контроль доступа на основе ролей (RBAC) и управляйте приложениями, работающими на виртуальных машинах. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. | Изоляция виртуальных машин с помощью групп ресурсов, защита своих компонентов, использование двойного шифрования и включение расширенного обнаружения угроз и защиты. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия в среде в Azure, которая включает в себя периферийную виртуальную сеть ( виртуальную сеть), в которой размещена рабочая нагрузка на основе виртуальных машин. Общие сведения см. в разделе "Применение принципов нулевого доверия к инфраструктуре Azure".
Логическая архитектура для виртуальных машин
Принципы нулевого доверия для виртуальных машин применяются к логической архитектуре от уровня клиента и каталога до уровня данных и приложения в каждой виртуальной машине.
На следующей схеме показаны компоненты логической архитектуры.
На этой схеме:
- Это набор виртуальных машин, изолированных в выделенной группе ресурсов, которая находится в подписке Azure.
- B — это логическая архитектура для одной виртуальной машины со следующими компонентами: приложения, операционная система, диски, загрузчики, ядро ОС, драйверы и компонент доверенного платформенного модуля (TPM).
В этой статье описаны шаги по применению принципов нулевого доверия в этой логической архитектуре, выполнив следующие действия.
| Шаг | Задача | Применены принципы нулевого доверия |
|---|---|---|
| 1 | Настройте логическую изоляцию, развернув виртуальные машины в выделенной группе ресурсов. | Предполагайте наличие бреши в системе безопасности |
| 2 | Использование контроль доступа на основе ролей (RBAC). | Проверка явным образом Использование доступа с минимальными привилегиями |
| 3 | Безопасные компоненты загрузки виртуальной машины, включая загрузчики, ядра ОС и драйверы. Безопасная защита ключей, сертификатов и секретов в модуле доверенной платформы (TPM). | Предполагайте наличие бреши в системе безопасности |
| 4 | Включите управляемые клиентом ключи и двойное шифрование. | Предполагайте наличие бреши в системе безопасности |
| 5 | Управление приложениями, установленными на виртуальных машинах. | Использование доступа с минимальными привилегиями |
| 6 | Настройка безопасного доступа (не показана на рисунке логической архитектуры). | Проверка явным образом Использование минимально привилегированного доступа Предполагайте наличие бреши в системе безопасности |
| 7 | Настройка безопасного обслуживания виртуальных машин (не показана на рисунке логической архитектуры). | Предполагайте наличие бреши в системе безопасности |
| 8 | Включите расширенное обнаружение угроз и защиту (не показанную на рисунке логической архитектуры). | Предполагайте наличие бреши в системе безопасности |
Шаг 1. Настройка логической изоляции для виртуальных машин
Начните с изоляции виртуальных машин в выделенной группе ресурсов. Виртуальные машины можно изолировать в разных группах ресурсов на основе целей, классификации данных и требований к управлению, таких как необходимость управления разрешениями и мониторингом.
Использование выделенных групп ресурсов позволяет задавать политики и разрешения, которые применяются ко всем виртуальным машинам в группе ресурсов. Затем можно использовать управление доступом на основе ролей (RBAC), чтобы создать наименее привилегированный доступ к ресурсам Azure, содержащимся в группе ресурсов.
Дополнительные сведения о создании групп ресурсов и управлении ими см. в статье "Управление группами ресурсов Azure" с помощью портал Azure.
При первом создании виртуальной машины вы назначаете виртуальную машину группе ресурсов, как показано здесь.
Шаг 2. Использование контроль доступа на основе ролей (RBAC)
Для нулевого доверия требуется настройка наименее привилегированного доступа. Для этого необходимо ограничить доступ пользователей jIT/JEA на основе их роли, рабочей нагрузки и классификации данных.
Для доступа к виртуальным машинам часто используются следующие встроенные роли:
- Имя входа пользователя виртуальной машины: просмотр виртуальных машин на портале и вход в систему в качестве обычного пользователя.
- Имя входа администрирования виртуальных машин. Просмотр виртуальных машин на портале и вход на виртуальные машины в качестве администратора.
- Участник виртуальной машины: создание виртуальных машин и управление ими, включая сброс пароля корневого пользователя и управляемых дисков. Не предоставляет доступ к виртуальной сети управления или возможности назначать разрешения ресурсам.
Чтобы присоединить виртуальную машину к виртуальной сети, можно использовать настраиваемое разрешение Microsoft.Network/virtualNetworks/subnets/join/action для создания настраиваемой роли.
Если эта настраиваемая роль используется с управляемой идентификацией и политикой условного доступа, можно использовать состояние устройства, классификацию данных, аномалии, расположение и удостоверение для принудительной многофакторной проверки подлинности и детального разрешения доступа на основе проверенного доверия.
Чтобы расширить область контроля за пределами системы и разрешить клиенту Идентификатора Майкрософт с помощью Microsoft Intelligent Security Graph поддерживать безопасный доступ, перейдите в колонку "Управление " виртуальной машины и включите управляемое удостоверение, назначенное системой, как показано здесь.
Примечание.
Эта функция доступна только для виртуальных рабочих столов Azure, Windows Server 2019, Windows 10 и Linux, использующих доступ на основе сертификатов.
Шаг 3. Защита компонентов загрузки виртуальной машины
Выполните следующие действия:
- При создании виртуальной машины убедитесь, что вы настроите безопасность для загрузочных компонентов. Расширенное развертывание виртуальных машин позволяет выбрать тип безопасности и использовать безопасный загрузочный модуль и vTPM.
- Безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами ОС и драйверами, подписанными доверенными издателями, чтобы установить корневой каталог. Если образ не подписан доверенным издателем, виртуальная машина не загрузится.
- Безопасная защита ключей, сертификатов и секретов на виртуальных машинах в модуле доверенной платформы.
- Получите аналитические сведения и уверенность в целостности всей цепочки загрузки.
- Гарантирование того, что рабочие нагрузки являются доверенными и проверяемыми. VTPM обеспечивает аттестацию путем измерения всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).
Расширенное развертывание виртуальных машин позволяет выбрать тип безопасности и использовать безопасный загрузочный модуль и vTPM при их создании, как показано здесь.
Шаг 4. Включение ключей, управляемых клиентом, и двойное шифрование
Использование ключей, управляемых клиентом, и двойное шифрование гарантирует, что если диск экспортируется, он недоступен для чтения или не может работать. Гарантируя, что ключи хранятся в частном порядке и диски шифруются дважды, вы защищаете от нарушений, которые пытаются извлечь сведения о диске.
Сведения о настройке ключа шифрования, управляемого клиентом, с помощью Azure Key Vault см. в статье "Использование портал Azure для включения шифрования на стороне сервера с ключами, управляемыми клиентом, для управляемых дисков. Существует дополнительная стоимость использования Azure Key Vault.
Включение шифрования на стороне сервера хранилища дисков Azure для:
- Прозрачное шифрование FIPS 140-2 с прозрачным шифрованием AES 256.
- Большую гибкость для управления элементами управления.
- Аппаратное (HSM) или программное шифрование.
Включите шифрование на стороне сервера на узле для сквозного шифрования данных виртуальной машины.
После выполнения этих процедур вы используете ключ шифрования, управляемый клиентом, для шифрования дисков в виртуальной машине.
Выберите тип шифрования в колонке "Диски" для конфигурации виртуальной машины. Для типа шифрования выберите двойное шифрование с ключами, управляемыми платформой и управляемыми клиентом, как показано здесь.
Шаг 5. Управление приложениями, установленными на виртуальных машинах
Важно управлять приложениями, установленными на виртуальных машинах:
- Расширения браузера (API) трудно защитить, что может привести к доставке вредоносных URL-адресов.
- Неуправляемые приложения могут быть неотреченными, так как они являются теневыми ИТ-объектами (ИТ-команды не подготовлены или не имеют знаний о том, что они установлены).
Функцию "Приложения виртуальных машин" можно использовать для управления приложениями, установленными на виртуальных машинах. С помощью этой функции вы выбираете, какие приложения виртуальных машин необходимо установить. Эта функция использует коллекцию вычислений Azure для упрощения управления приложениями для виртуальных машин. При использовании вместе с RBAC можно убедиться, что для пользователей доступны только доверенные приложения.
Вы выбираете приложения виртуальных машин в колонке "Дополнительно " для конфигурации виртуальной машины, как показано здесь.
Шаг 6. Настройка безопасного доступа
Чтобы настроить безопасный доступ, выполните приведенные действия.
- Настройка безопасного взаимодействия в среде Azure между компонентами, обращаюющимися непосредственно к виртуальным машинам
- Настройка многофакторной проверки подлинности с условным доступом
- Использование рабочих станций привилегированного доступа (PAW)
На схеме:
- Многофакторная проверка подлинности с условным доступом настраивается в идентификаторе Microsoft Entra и связанных порталах.
- Администраторы используют рабочие станции с привилегированным доступом (PAW) для прямого доступа к виртуальным машинам.
Настройка безопасного взаимодействия в среде Azure для виртуальных машин
Во-первых, убедитесь, что обмен данными между компонентами в среде Azure является безопасным.
В эталонной архитектуре Бастион Azure предоставляет безопасные подключения к виртуальным машинам. Бастион Azure выступает в качестве брокера RDP/SSH и не взаимодействует с протоколом RDP физической системы. Это также позволяет сократить количество общедоступных IP-адресов.
На следующей схеме показаны компоненты безопасного взаимодействия для виртуальных машин.
Настройка многофакторной проверки подлинности с условным доступом
На шаге 2. Используйте контроль доступа на основе ролей, вы настроили интеграцию Microsoft Entra и управляемое удостоверение. Это позволяет настроить многофакторную проверку подлинности Azure для виртуального рабочего стола Azure или для серверов под управлением Windows Server 2019 или более поздней версии. Вы также можете войти на виртуальную машину Linux с помощью учетных данных Microsoft Entra. Преимуществом этого является машина, которая подключается к виртуальной машине, также должна быть зарегистрирована в клиенте идентификатора Microsoft Entra ID, чтобы разрешить подключение.
При настройке многофакторной проверки подлинности с условным доступом и связанными политиками используйте рекомендуемый набор политик для нулевого доверия в качестве руководства. К ним относятся политики начальной точки , которые не требуют управления устройствами. В идеале устройства, обращающиеся к виртуальным машинам, управляются и вы можете реализовать политики Enterprise, которые рекомендуется использовать для нулевого доверия. Дополнительные сведения см. в разделе "Общие политики удостоверений нулевого доверия" и политик доступа к устройствам.
На следующей схеме показаны рекомендуемые политики для нулевого доверия.
Помните, что имена пользователей и пароли могут быть скомпрометированы на 100 %. Использование многофакторной проверки подлинности снижает риск компрометации на 99,9%. Для этого требуются лицензии Microsoft Entra ID P1.
Примечание.
Вы также можете использовать виртуальные сети, используемые для подключения к виртуальным машинам в Azure. Однако необходимо использовать методы для явной проверки. Создание туннеля, который является доверенным, независимо от того, как они используются, может быть более рискованным, чем наличие определенных подключений, которые строго проверены.
Уровень безопасности на уровнях сети, транспорта или приложений не имеет значения, если вы не поступаете из доверенного, проверенного и безопасного источника.
Использование PAW
Используйте рабочие станции привилегированного доступа (PAW), чтобы обеспечить работоспособность устройств, обращаюющихся к виртуальным машинам. PaWs настраиваются специально для привилегированного доступа, чтобы администраторы использовали устройство, которое имеет:
- Элементы управления безопасностью и политики, ограничивающие локальный административный доступ.
- Средства повышения производительности, чтобы свести к минимуму область атаки, до того, что абсолютно необходимо для выполнения конфиденциальных административных задач.
Дополнительные сведения о вариантах развертывания см. в разделе "Развертывание привилегированного доступа".
Шаг 7. Настройка безопасного обслуживания виртуальных машин
Безопасное обслуживание виртуальных машин включает:
- Использование антивредоносных программ
- Автоматизация обновлений виртуальной машины
Использование защиты от вредоносных программ на виртуальных машинах
Защита от вредоносных программ помогает защитить виртуальную машину от угроз, таких как вредоносные файлы и рекламные программы и т. д. Вы можете использовать программное обеспечение для защиты от вредоносных программ от таких поставщиков, как Microsoft, Symantec, Trend Micro и Kaspersky.
Антивредоносная программа Майкрософт — это не дорогостоящий ресурс, который обеспечивает возможность защиты в режиме реального времени для обнаружения, карантина и искоренения вредоносных программ, шпионских программ и вирусов:
- Выполняется в фоновом режиме с необходимостью взаимодействия с пользователем
- Предоставляет оповещения при загрузке, установке или запуске нежелательного или вредоносного программного обеспечения
- Предоставляет безопасную по умолчанию конфигурацию и мониторинг вредоносных программ
- Запланированное сканирование
- Обновления подписи
- обновления модуль защиты от вредоносных программ и платформы
- Активная защита
- Примеры отчетов
- Исключения
- Коллекция событий защиты от вредоносных программ
Автоматизация обновлений виртуальных машин
Автоматизация обновлений в системах гарантирует, что они защищены от последних вредоносных программ и неправильно настроенных эксплойтов. Автоматическое обновление с помощью процесса проверки доверенной платформы.
Сосредоточьтесь на обслуживании и обновлении виртуальных машин Azure, чтобы гарантировать, что ваши системы защищены от небезопасности конфигурации:
- служба автоматизации Azure управление обновлениями может помочь в управлении процессом обновления. С помощью этой служебной программы можно проверить состояние обновления систем, управлять, планировать и перезагружать серверы.
- Агент виртуальной машины Azure используется для управления виртуальными машинами и предоставляет возможность использовать расширения для управления.
К операционным системам, поддерживаемым управлением обновлениями, относятся следующие:
- Каждая виртуальная машина Windows — управление обновлениями выполняет проверку дважды в день для каждого компьютера.
- Каждая виртуальная машина Linux — управление обновлениями выполняет проверку каждый час.
Дополнительные рекомендации см. в следующем руководстве:
- Планирование развертывания для обновления виртуальных машин Windows в Azure
- Используйте Приватный канал Azure для безопасного подключения сетей к служба автоматизации Azure обеспечивает подключение виртуальных машин в изолированном управляемом режиме, а не через Интернет для обновлений.
Шаг 8. Включение расширенного обнаружения угроз и защиты
Защита от угроз для инфраструктуры Azure предоставляется Microsoft Defender для облака. Эта защита распространяется на виртуальные машины при подготовке Microsoft Defender для серверов, как показано на следующей схеме.
На схеме:
- Как описано в статье "Применение нулевого доверия к Azure IaaS", Defender для облака включена на уровне подписки Azure или на уровне группы управления Azure, включающей несколько подписок Azure.
- Помимо включения Defender для облака, подготавливается Defender для серверов.
Расширенная защита от угроз проверяет действия, выполняемые на виртуальных машинах на основе аналитики угроз Майкрософт. Он ищет определенные конфигурации и действия, которые показывают, что может возникнуть нарушение. Он включает явное подтверждение и предполагает нарушение принципов нулевого доверия.
Microsoft Defender для серверов включает в себя следующее:
- Доступ к данным Microsoft Defender для конечной точки, связанным с уязвимостями, установленным программным обеспечением и оповещениями для конечных точек для обнаружение и нейтрализация атак на конечные точки (EDR).
- интегрированный сканер оценки уязвимостей Defender для облака для серверов.
- Обнаружение уязвимостей и неправильной настройки в режиме реального времени с помощью Microsoft Defender для конечной точки и без необходимости других агентов или периодических проверок.
- Defender для облака интегрированный сканер Qualys для Azure и гибридных компьютеров позволяет использовать ведущий инструмент в идентификации уязвимостей в режиме реального времени без необходимости лицензии Qualys.
- Реализуйте JIT-доступ к виртуальной машине в Defender для облака. Это создает явное правило запрета для RDP/SSH и предоставляет JIT-доступ на уровне сервера, если он нужен, и позволяет ограничить период доступа.
- Мониторинг целостности файлов в Defender для облака обеспечивает изменение мониторинга файлов и реестров операционной системы, программного обеспечения приложений и других изменений, позволяющих проверить целостность файловых систем.
- Адаптивные элементы управления приложениями в Defender для облака предоставляют автоматизированное решение для создания и определения списка разрешений для известных безопасных приложений и создает оповещения системы безопасности, если новое приложение запускается, отличное от тех, которые вы определяете как безопасный для использования.
- Адаптивная защита сети в Defender для облака использует алгоритмы машинного обучения, которые вычисляют текущий трафик, аналитику угроз, индикаторы компрометации и известные доверенные конфигурации для обеспечения защиты групп безопасности сети.
Рекомендуемое обучение
Защита дисков виртуальных машин Azure
| Обучение | Защита дисков виртуальных машин Azure |
|---|---|
|
Узнайте, как использовать Шифрование дисков Azure (ADE) для шифрования дисков ОС и данных на существующих и новых виртуальных машинах. В этом модуле вы узнаете, как: |
Дополнительные сведения об обучении в Azure см. во всем каталоге Майкрософт:
Обзор всех — Обучение | Microsoft Learn
Меры по обеспечению безопасности компьютера виртуальной машины в Azure
| Обучение | Реализация безопасности узла виртуальной машины в Azure |
|---|---|
|
В этой схеме обучения вы узнаете, как защитить и защитить виртуальные машины в Azure. |
Дополнительные учебные материалы по виртуальным машинам в Azure см. в каталоге Майкрософт:
Виртуальные машины в Azure | Microsoft Learn
Next Steps
Дополнительные статьи о применении принципов нулевого доверия к Azure см. в следующих статьях:
- Обзор Azure IaaS
- Виртуальный рабочий стол Azure
- Виртуальная глобальная сеть Azure
- Приложения IaaS в Amazon Web Services
- Microsoft Sentinel и XDR в Microsoft Defender
Технические иллюстрации
На этом плакате представлено одностраничное представление компонентов Azure IaaS в качестве эталонных и логических архитектур, а также шаги по обеспечению того, чтобы эти компоненты имели принципы "никогда не доверять, всегда проверяйте" применяемые принципы модели нулевого доверия.
| Позиция | Description |
|---|---|
 PDF | Visio Обновлено за март 2024 г. |
Используйте эту иллюстрацию вместе с этой статьей: общие сведения о применении принципов нулевого доверия к Azure IaaS Связанные руководства по решению |
На этом плакате представлены эталонные и логические архитектуры и подробные конфигурации отдельных компонентов Нулевого доверия для Azure IaaS. Используйте страницы этого плаката для отдельных ИТ-отделов или специальностей или с версией файла Microsoft Visio, настройте схемы для вашей инфраструктуры.
| Позиция | Description |
|---|---|
 PDF | Visio Обновлено за март 2024 г. |
Используйте эти схемы вместе со статьями, начинающиеся здесь: применение принципов нулевого доверия к azure IaaS Связанные руководства по решению |
Дополнительные технические иллюстрации см . здесь.
Ссылки
- Управление группами ресурсов Azure с помощью портал Azure
- Безопасная загрузка
- Общие сведения о VTPM
- Аттестации
- Включение шифрования на стороне сервера хранилища дисков Azure
- Шифрование AES 256
- Бастион Azure
- Многофакторная проверка подлинности Azure для виртуального рабочего стола Azure
- Windows Server 2019 или более поздней версии
- Вход на виртуальную машину Linux с помощью учетных данных Microsoft Entra
- Общие политики доступа к удостоверению нулевого доверия и устройствам
- Рабочие станции привилегированного доступа (PAW)
- Развертывание привилегированного доступа
- Защита от вредоносных программ Майкрософт
- Агент виртуальной машины
- Планирование развертывания для обновления виртуальных машин Windows в Azure — примеры сценариев Azure
- Безопасное подключение сетей к службе автоматизации Azure с помощью Приватного канала Azure
- Microsoft Defender для серверов
- Microsoft Defender для конечной точки
- интегрированная оценка уязвимостей Defender для облака