Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs metodtips för säkerhet för virtuella datorer och operativsystem.
Metodtipsen baseras på konsensus och fungerar med aktuella funktioner och funktionsuppsättningar för Azure-plattformen. Eftersom åsikter och tekniker kan ändras över tid kommer den här artikeln att uppdateras för att återspegla dessa ändringar.
I de flesta IaaS-scenarier (infrastruktur som en tjänst) är virtuella Azure-datorer den viktigaste arbetsbelastningen för organisationer som använder molnbaserad databehandling. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. I sådana scenarier följer du de allmänna säkerhetsövervägandena för IaaS och tillämpar metodtips för säkerhet på alla dina virtuella datorer.
Skydda virtuella datorer med hjälp av autentisering och åtkomstkontroll
Det första steget för att skydda dina virtuella datorer är att se till att endast behöriga användare kan konfigurera nya virtuella datorer och komma åt virtuella datorer.
Note
För att förbättra säkerheten för virtuella Linux-datorer i Azure kan du integrera med Microsoft Entra-autentisering. När du använder Microsoft Entra-autentisering för virtuella Linux-datorer styr och tillämpar du principer som tillåter eller nekar åtkomst till de virtuella datorerna centralt.
Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Virtuella datorer som tillhör en resursgrupp ärver dess principer.
Om din organisation har många prenumerationer kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper erbjuder en nivå av omfattning ovanför prenumerationer. Du organiserar prenumerationer i hanteringsgrupper (containrar) och tillämpar dina styrningsvillkor på dessa grupper. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på gruppen. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.
Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.
Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:
- Bidragsgivare för virtuella datorer: Kan hantera virtuella datorer, men inte det virtuella nätverket eller det lagringskonto som de är anslutna till.
- Klassisk virtuell datordeltagare: Kan hantera virtuella datorer som skapats med hjälp av den klassiska distributionsmodellen, men inte det virtuella nätverk eller lagringskonto som de virtuella datorerna är anslutna till.
- Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
- DevTest Labs-användare: Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.
Dina prenumerationsadministratörer och coadmins kan ändra den här inställningen, vilket gör dem till administratörer för alla virtuella datorer i en prenumeration. Se till att du litar på att alla dina prenumerationsadministratörer och coadmins loggar in på någon av dina datorer.
Note
Vi rekommenderar att du konsoliderar virtuella datorer med samma livscykel till samma resursgrupp. Genom att använda resursgrupper kan du distribuera, övervaka och samla in faktureringskostnader för dina resurser.
Organisationer som styr åtkomst och konfiguration av virtuella datorer förbättrar sin övergripande säkerhet för virtuella datorer.
Använd skalningsuppsättningar för virtuella maskiner för hög tillgänglighet
Om den virtuella datorn kör kritiska program som måste ha hög tillgänglighet rekommenderar vi starkt att du använder VM-skalningsuppsättningar.
Med skalningsuppsättningar för virtuella datorer kan du skapa och hantera en grupp av belastningsutjämnade virtuella datorer. Antalet VM-instanser kan automatiskt öka eller minska som svar på efterfrågan eller ett definierat schema. Skalningsuppsättningar ger hög tillgänglighet till dina program och gör att du kan hantera, konfigurera och uppdatera många virtuella datorer centralt. Det kostar ingenting för själva skalningsuppsättningen, du betalar bara för varje VM-instans som du skapar.
Virtuella datorer i en skalningsuppsättning kan också distribueras till flera tillgänglighetszoner, en enda tillgänglighetszon eller regionalt.
Skydd mot skadlig kod
Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).
Microsoft Antimalware innehåller funktioner som realtidsskydd, schemalagd genomsökning, reparation av skadlig kod, signaturuppdateringar, motoruppdateringar, exempelrapportering och insamling av undantagshändelser. För miljöer som finns separat från produktionsmiljön kan du använda ett tillägg för program mot skadlig kod för att skydda dina virtuella datorer och molntjänster.
Du kan integrera Microsoft Antimalware- och partnerlösningar med Microsoft Defender för molnet för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).
Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware
Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud
Hantera dina VM-uppdateringar
Virtuella Azure-datorer, precis som alla lokala virtuella datorer, är avsedda att hanteras av användaren. Azure skickar inte Windows-uppdateringar till dem. Du måste hantera dina vm-uppdateringar.
Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.
Datorer som hanteras med Uppdateringshantering använder följande konfigurationer för att utföra utvärdering och uppdateringsdistributioner:
- Microsoft Monitoring Agent (MMA) för Windows eller Linux
- Önskad PowerShell-tillståndskonfiguration (DSC) för Linux
- Automatiserad Hybrid Runbook-arbetare
- Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorer
Om du använder Windows Update, låt den automatiska Windows Update-inställningen vara aktiverad.
Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Det här måttet är särskilt viktigt att tillämpa när du distribuerar bilder som kommer från dig eller ditt eget bibliotek. Även om avbildningar från Azure Marketplace uppdateras automatiskt som standard kan det finnas en fördröjningstid (upp till några veckor) efter en offentlig version.
Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Med hjälp av en mall får du en korrigerad och säker virtuell dator när du behöver den.
Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.
Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Om dina virtuella Azure-datorer är värdar för program eller tjänster som måste vara tillgängliga för Internet bör du vara uppmärksam på korrigeringar. Patcha utanför operativsystemet. Opatchade sårbarheter i partnerapplikationer kan också leda till problem som kan undvikas om effektiv korrigeringshantering finns på plats.
Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. Detta gäller för system som ingår i din produktionsmiljö som sträcker sig till molnet.
Test- och utvecklingssystem måste följa säkerhetskopieringsstrategier som ger återställningsfunktioner som liknar vad användarna har vant sig vid, baserat på deras erfarenhet av lokala miljöer. Produktionsarbetsbelastningar som flyttas till Azure bör integreras med befintliga säkerhetskopieringslösningar när det är möjligt. Or, you can use Azure Backup to help address your backup requirements.
Organisationer som inte tillämpar principer för programuppdatering är mer utsatta för hot som utnyttjar kända, tidigare fasta säkerhetsrisker. För att följa branschreglerna måste företag bevisa att de är flitiga och använda korrekta säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar i molnet.
Metodtips för programuppdatering för ett traditionellt datacenter och Azure IaaS har många likheter. Vi rekommenderar att du utvärderar dina aktuella principer för programuppdatering så att de inkluderar virtuella datorer som finns i Azure.
Hantera säkerhetsstatusen för den virtuella datorn
Cyberhoten utvecklas. För att skydda dina virtuella datorer krävs en övervakningsfunktion som snabbt kan identifiera hot, förhindra obehörig åtkomst till dina resurser, utlösa aviseringar och minska falska positiva identifieringar.
To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. I Defender för molnet skyddar du dina virtuella datorer genom att dra nytta av följande funktioner:
- Använd operativsystemets säkerhetsinställningar med rekommenderade konfigurationsregler.
- Identifiera och ladda ned systemsäkerhet och kritiska uppdateringar som kanske saknas.
- Distribuera rekommendationer för skydd mot skadlig kod för slutpunkter.
- Verifiera diskkryptering.
- Utvärdera och åtgärda sårbarheter.
- Detect threats.
Defender för molnet kan aktivt övervaka hot och potentiella hot exponeras i säkerhetsaviseringar. Korrelerade hot aggregeras i en enda vy som kallas en säkerhetsincident.
Defender för molnet lagrar data i Azure Monitor-loggar. Azure Monitor-loggar innehåller en frågespråks- och analysmotor som ger dig insikter om hur dina program och resurser fungerar. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Denna delade funktion hjälper dig att få en komplett bild av din miljö.
Organisationer som inte framtvingar stark säkerhet för sina virtuella datorer förblir omedvetna om potentiella försök av obehöriga användare att kringgå säkerhetskontroller.
Övervaka vm-prestanda
Resursmissbruk kan vara ett problem när virtuella datorprocesser förbrukar mer resurser än de borde. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, vilket strider mot säkerhetsprincipen för tillgänglighet. Detta är särskilt viktigt för virtuella datorer som är värdar för IIS eller andra webbservrar, eftersom hög CPU- eller minnesanvändning kan tyda på en DoS-attack (Denial of Service). Det är absolut nödvändigt att övervaka åtkomsten till virtuella datorer inte bara reaktivt när ett problem uppstår, utan även proaktivt mot baslinjeprestanda som mäts under normal drift.
We recommend that you use Azure Monitor to gain visibility into your resource’s health. Azure Monitor-funktioner:
- Filer för resursdiagnostiklogg: Övervakar dina vm-resurser och identifierar potentiella problem som kan äventyra prestanda och tillgänglighet.
- Azure Diagnostics-tillägget: Tillhandahåller övervaknings- och diagnostikfunktioner på virtuella Windows-datorer. Du kan aktivera dessa funktioner genom att inkludera tillägget som en del av Azure Resource Manager-mallen.
Organisationer som inte övervakar prestanda för virtuella datorer kan inte avgöra om vissa ändringar i prestandamönstren är normala eller onormala. En virtuell dator som förbrukar mer resurser än normalt kan tyda på en attack från en extern resurs eller en komprometterad process som körs på den virtuella datorn.
Kryptera dina virtuella hårddiskfiler
Vi rekommenderar att du krypterar dina virtuella hårddiskar (VHD) för att skydda din startvolym och dina datavolymer i vila i lagringen, tillsammans med dina krypteringsnycklar och hemligheter.
Azure Disk Encryption för virtuella Linux-datorer och Azure Disk Encryption för virtuella Windows-datorer hjälper dig att kryptera dina virtuella Linux- och Windows IaaS-diskar. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. Lösningen är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter i din nyckelvalvsprenumeration. Lösningen säkerställer också att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.
Följande är metodtips för att använda Azure Disk Encryption:
Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. För att hantera krypteringsnycklar i nyckelvalvet krävs Microsoft Entra-autentisering. Skapa ett Microsoft Entra-program för detta ändamål. I autentiseringssyfte kan du använda antingen klienthemlighetsbaserad autentisering eller klientcertifikatbaserad Microsoft Entra-autentisering.
Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Lägg till en KEK i ditt nyckelvalv.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM) för nyckelhantering. Mer information finns i Key Vault-dokumentationen. När en nyckelkrypteringsnyckel har angetts använder Azure Disk Encryption den nyckeln för att omsluta krypteringshemligheterna innan du skriver till Key Vault. Att behålla en depositionskopia av den här nyckeln i en lokal HSM för nyckelhantering ger ytterligare skydd mot oavsiktlig borttagning av nycklar.
Best practice: Take a snapshot and/or backup before disks are encrypted. Säkerhetskopior ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.
Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.
När du använder Azure Disk Encryption kan du uppfylla följande affärsbehov:
- Virtuella IaaS-datorer skyddas i vila med hjälp av krypteringsteknik som är branschstandard i syfte att uppfylla organisationens krav på säkerhet och efterlevnad.
- Virtuella IaaS-datorer börjar under kundkontrollerade nycklar och principer och du kan granska deras användning i ditt nyckelvalv.
Begränsa direkt internetanslutning
Övervaka och begränsa direkt internetanslutning för virtuella datorer. Angripare söker ständigt igenom offentliga moln-IP-intervall efter öppna hanteringsportar och försöker med "enkla" attacker som vanliga lösenord och kända opatcherade sårbarheter. I följande tabell visas metodtips för att skydda mot dessa attacker:
Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.
Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender för molnet rekommenderar att du begränsar åtkomsten via internetuppkopplade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera inkommande regler som tillåter åtkomst från "valfri" käll-IP-adress. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.
Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. När JIT är aktiverat låser Defender för molnet inkommande trafik till dina virtuella Azure-datorer genom att skapa en regel för nätverkssäkerhetsgrupp. Du väljer de portar på den virtuella datorn som inkommande trafik ska låsas till. Dessa portar styrs av JIT-lösningen.
Next steps
Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.
Följande resurser är tillgängliga för att ge mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:
- Azure Security Team-blogg – för uppdaterad information om det senaste i Azure Security
- Microsoft Security Response Center – där Microsofts säkerhetsrisker, inklusive problem med Azure, kan rapporteras eller via e-post till secure@microsoft.com