Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐本文介紹了VM和操作系統(tǒng)的安全最佳做法。最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。由于觀點和技術(shù)會隨時改變,本文會進(jìn)行更新以反映這些變化。在大多數(shù)基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS......
本文介紹了VM和操作系統(tǒng)的安全最佳做法。
最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。由于觀點和技術(shù)會隨時改變,本文會進(jìn)行更新以反映這些變化。
在大多數(shù)基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS)方案中,Azure虛擬機(jī)(VM)是使用云計算的組織的主要工作負(fù)荷。這種事實在混合方案中十分明顯,組織希望在混合方案中慢慢將工作負(fù)載遷移到云。在這種方案中,應(yīng)遵循IaaS常規(guī)安全注意事項,并向所有VM應(yīng)用安全最佳做法。
通過身份驗證和訪問控制保護(hù)VM
保護(hù)VM安全的第一步是確保只有授權(quán)用戶才能設(shè)置新VM以及訪問VM。
備注
若要改進(jìn)Azure上Linux VM的安全性,可以與Azure AD身份驗證集成。使用適用于Linux VM的Azure AD身份驗證時,可以通過集中進(jìn)行控制和強(qiáng)制實施策略來允許或拒絕對VM的訪問。
最佳做法:控制VM訪問。
詳細(xì)信息:使用Azure策略建立組織中的資源約定和創(chuàng)建自定義策略。將這些策略應(yīng)用于資源,如資源組。屬于該資源組的VM將繼承該組的策略。
如果你的組織有多個訂閱,則可能需要一種方法來高效地管理這些訂閱的訪問權(quán)限、策略和符合性。Azure管理組提供訂閱上的作用域級別。可將訂閱組織到管理組(容器)中,并將管理條件應(yīng)用到該組。管理組中的所有訂閱都將自動繼承應(yīng)用于該組的條件。不管使用什么類型的訂閱,管理組都能提供大規(guī)模的企業(yè)級管理。
最佳做法:減少VM的安裝和部署的可變性。
詳細(xì)信息:使用Azure資源管理器模板增強(qiáng)部署選項,使其更易理解并清點環(huán)境中的VM。
最佳做法:保護(hù)特權(quán)訪問。
詳細(xì)信息:使用最低特權(quán)方法和內(nèi)置Azure角色使用戶能夠訪問和設(shè)置VM:
虛擬機(jī)參與者:可以管理VM,但無法管理虛擬機(jī)連接的虛擬網(wǎng)絡(luò)或存儲帳戶。
經(jīng)典虛擬機(jī)參與者:可管理使用經(jīng)典部署模型創(chuàng)建的VM,但無法管理這些VM連接到的虛擬網(wǎng)絡(luò)或存儲帳戶。
安全管理員:僅在安全中心內(nèi):可以查看安全策略、查看安全狀態(tài)、編輯安全策略、查看警報和建議、關(guān)閉警報和建議。
開發(fā)測試實驗室用戶:可以查看所有內(nèi)容,以及連接、啟動、重新啟動和關(guān)閉VM。
訂閱管理員和共同管理員可更改此設(shè)置,使其成為訂閱中所有VM的管理員。請確保你信任所有訂閱管理員和共同管理員,以登錄你的任何計算機(jī)。
備注
建議將具有相同生命周期的VM合并到同一個資源組中。使用資源組可以部署和監(jiān)視資源,并統(tǒng)計資源的計費成本。
控制VM訪問和設(shè)置的組織可改善其整體VM安全性。
使用多個VM提高可用性
如果VM運行需要具有高可用性的關(guān)鍵應(yīng)用程序,我們強(qiáng)烈建議使用多個VM。為了獲得更好的可用性,請使用可用性集或可用性區(qū)域。
可用性集是一種邏輯分組功能,在Azure中使用它可以確保將VM資源部署在Azure數(shù)據(jù)中心后,這些資源相互隔離。Azure確保可用性集中部署的VM能夠跨多個物理服務(wù)器、計算機(jī)架、存儲單元和網(wǎng)絡(luò)交換機(jī)運行。如果出現(xiàn)硬件或Azure軟件故障,只有一部分VM會受到影響,整體應(yīng)用程序仍可供客戶使用。如果想要構(gòu)建可靠的云解決方案,可用性集是一項關(guān)鍵功能。
防范惡意軟件
應(yīng)安裝反惡意軟件保護(hù),以幫助識別和刪除病毒、間諜軟件和其他惡意軟件。可安裝Microsoft反惡意軟件或Microsoft合作伙伴的終結(jié)點保護(hù)解決方案(Trend Micro、Broadcom、McAfee、Windows Defender和System Center Endpoint Protection)。
Microsoft反惡意軟件包括實時保護(hù)、計劃掃描、惡意軟件修正、簽名更新、引擎更新、示例報告和排除事件收集等功能。對于與生產(chǎn)環(huán)境分開托管的環(huán)境,可以使用反惡意軟件擴(kuò)展來幫助保護(hù)VM和云服務(wù)。
可將Microsoft反惡意軟件和合作伙伴解決方案與Azure安全中心集成,以方便部署和內(nèi)置檢測(警報和事件)。
最佳做法:安裝反惡意軟件解決方案,以防范惡意軟件。
詳細(xì)信息:安裝Microsoft合作伙伴解決方案或Microsoft反惡意軟件
最佳做法:將反惡意軟件解決方案與安全中心集成,以監(jiān)視保護(hù)狀態(tài)。
詳細(xì)信息:使用安全中心管理終結(jié)點保護(hù)問題
管理VM更新
與所有本地VM一樣,Azure VM應(yīng)由用戶管理。Azure不會向他們推快遞Windows更新。你需要管理VM更新。
最佳做法:使VM保持最新。
詳細(xì)信息:使用Azure自動化中的更新管理解決方案,為部署在Azure、本地環(huán)境或其他云提供程序中的Windows和Linux計算機(jī)管理操作系統(tǒng)更新。可以快速評估所有代理計算機(jī)上可用更新的狀態(tài),并管理為服務(wù)器安裝所需更新的過程。
由更新管理托管的計算機(jī)使用以下配置執(zhí)行評估和更新部署:
用于Windows或Linux的Microsoft監(jiān)視代理(MMA)
用于Linux的PowerShell所需狀態(tài)配置(DSC)
自動化混合Runbook輔助角色
適用于Windows計算機(jī)的Microsoft更新或Windows Server更新服務(wù)(WSUS)
若使用Windows更新,請啟用Windows自動更新設(shè)置。
最佳做法:在部署時,確保構(gòu)建的映像包含最新一輪的Windows更新。
詳細(xì)信息:每個部署的第一步應(yīng)是檢查和安裝所有Windows更新。在部署自己或庫中提供的映像時,采用此措施就特別重要。雖然默認(rèn)情況下會自動更新Azure市場中的映像,但公開發(fā)布后可能會有延遲(最多幾周)。
最佳做法:定期重新部署VM以強(qiáng)制刷新操作系統(tǒng)版本。
詳細(xì)信息:使用Azure資源管理器模板定義VM,以便輕松地重新部署。使用模板可在需要時提供已修補(bǔ)且安全的VM。
最佳做法:快速對VM應(yīng)用安全更新。
詳細(xì)信息:啟用Azure安全中心(免費層或標(biāo)準(zhǔn)層)以識別缺少的安全更新并應(yīng)用這些安全更新。
最佳做法:安裝最新的安全更新。
詳細(xì)信息:客戶移到Azure的部分首批工作負(fù)荷為實驗室和面向外部的系統(tǒng)。如果Azure VM托管需要訪問Internet的應(yīng)用程序或服務(wù),則需要警惕修補(bǔ)。修補(bǔ)不僅僅包括操作系統(tǒng)。合作伙伴應(yīng)用程序上未修補(bǔ)的漏洞還可能導(dǎo)致一些問題,而如果實施良好的修補(bǔ)程序管理,就可以避免這些問題。
最佳做法:部署并測試一個備份解決方案。
詳細(xì)信息:需要按照處理任何其他操作的相同方法處理備份。這適合于屬于擴(kuò)展到云的生產(chǎn)環(huán)境的系統(tǒng)。
測試和開發(fā)系統(tǒng)必須遵循備份策略,這些策略可以根據(jù)用戶的本地環(huán)境體驗,提供與用戶習(xí)慣的功能類似的存儲功能。如果可能,遷移到Azure的生產(chǎn)工作負(fù)荷應(yīng)與現(xiàn)有的備份解決方案集成。或者,可以使用Azure備份來幫助解決備份要求。
未實施軟件更新策略的組織面臨更多利用已修復(fù)的已知漏洞的威脅。為了遵守行業(yè)法規(guī),公司還必須證明他們在不斷作出相應(yīng)努力并使用正確的安全控制機(jī)制來幫助確保云中工作負(fù)載的安全性。
傳統(tǒng)數(shù)據(jù)中心與Azure IaaS之間的軟件更新最佳做法存在許多相似之處。建議評估當(dāng)前的軟件更新策略,將位于Azure中的VM包含在內(nèi)。
管理VM安全狀況
網(wǎng)絡(luò)威脅不斷加劇。保護(hù)VM需要監(jiān)視功能,以便快速檢測威脅、防止有人未經(jīng)授權(quán)訪問資源、觸發(fā)警報并減少誤報。
若要監(jiān)視Windows和Linux VM的安全狀況,可以使用Azure安全中心。可以利用安全中心的以下功能來保護(hù)VM:
應(yīng)用包含建議的配置規(guī)則的OS安全設(shè)置。
識別并下載可能缺少的系統(tǒng)安全更新和關(guān)鍵更新。
部署終結(jié)點反惡意軟件防護(hù)建議措施。
驗證磁盤加密。
評估并修正漏洞。
檢測威脅。
安全中心可主動監(jiān)視威脅,并通過“安全警報”公開潛在的威脅。關(guān)聯(lián)的威脅將合并到名為“安全事件”的單個視圖中。
安全中心將數(shù)據(jù)存儲在Azure Monitor日志中。Azure Monitor日志提供查詢語言和分析引擎,讓你能夠深入了解應(yīng)用程序和資源的操作。數(shù)據(jù)也是從Azure Monitor、管理解決方案以及安裝在虛擬機(jī)(云中或本地)上的代理收集的數(shù)據(jù)。可以通過此共享功能全面了解自己的環(huán)境。
沒有為VM實施強(qiáng)大安全措施的組織將意識不到未經(jīng)授權(quán)的用戶可能試圖繞過安全控制機(jī)制。
監(jiān)視VM性能
如果VM進(jìn)程消耗的資源多過實際所需的量,可能會造成資源濫用的問題。VM性能問題可能會導(dǎo)致服務(wù)中斷,從而違反可用性安全原則。這對于托管IIS或其他Web服務(wù)器的VM尤其重要,因為CPU或內(nèi)存占用較高可能意味著遭到拒絕服務(wù)(DoS)攻擊。不僅要在出現(xiàn)問題時被動監(jiān)視VM的訪問,而且還要在正常運行期間針對基準(zhǔn)性能進(jìn)行主動監(jiān)視。
我們還建議使用Azure Monitor來洞察資源的運行狀況。Azure Monitor功能:
資源診斷日志文件:監(jiān)視VM資源并識別可能會損害性能與可用性的潛在問題。
Azure診斷擴(kuò)展:在Windows VM上提供監(jiān)視和診斷功能。在Azure資源管理器模板中包含該擴(kuò)展即可啟用這些功能。
不監(jiān)視VM性能的組織無法確定性能模式的某些變化是正常還是異常。若VM消耗的資源超過平常,可能意味著存在來自外部資源的攻擊,或者此VM中有不安全的進(jìn)程正在運行。
加密虛擬硬盤文件
建議加密虛擬硬盤(VHD),以幫助保護(hù)存儲中的靜態(tài)啟動卷和數(shù)據(jù)卷以及加密密鑰和機(jī)密。
Azure磁盤加密用于加密Windows和Linux IaaS虛擬機(jī)磁盤。Azure磁盤加密使用Windows行業(yè)標(biāo)準(zhǔn)的BitLocker功能和Linux的DMCRYPT功能為OS和數(shù)據(jù)磁盤提供卷加密。該解決方案與Azure Key Vault集成,幫助用戶管理Key Vault訂閱中的磁盤加密密鑰和機(jī)密。此解決方案還可確保虛擬機(jī)磁盤上的所有數(shù)據(jù)在Azure存儲中靜態(tài)加密。
下面是使用Azure磁盤加密的最佳做法:
最佳做法:在VM上啟用加密。
詳細(xì)信息:Azure磁盤加密將生成加密密鑰并將其寫入密鑰保管庫。在Key Vault中管理加密密鑰需要Azure AD身份驗證。為此,請創(chuàng)建Azure AD應(yīng)用程序。對于身份驗證,可以使用基于客戶端機(jī)密的身份驗證或基于客戶端證書的Azure AD身份驗證。
最佳做法:使用密鑰加密密鑰(KEK)來為加密密鑰提供附加的安全層。將KEK添加到密鑰保管庫。
詳細(xì)信息:使用AzKeyVaultKey cmdlet在key vault中創(chuàng)建密鑰加密密鑰。還可從本地硬件安全模塊(HSM)導(dǎo)入KEK以進(jìn)行密鑰管理。有關(guān)詳細(xì)信息,請參閱Key Vault文檔。指定密鑰加密密鑰后,Azure磁盤加密會使用該密鑰包裝加密機(jī)密,然后將機(jī)密寫入Key Vault。在本地密鑰管理HSM中保留此密鑰的托管副本,提供額外的保護(hù),防止意外刪除密鑰。
最佳做法:在加密磁盤之前創(chuàng)建快照和/或備份。如果加密期間發(fā)生意外故障,備份可提供恢復(fù)選項。
詳細(xì)信息:加密之前,需要備份包含托管磁盤的VM。備份之后,可以通過指定“skipVmBackup”參數(shù),使用“SetAzVMDiskEncryptionExtension cmdlet”來加密托管磁盤。有關(guān)如何備份和還原已加密VM的詳細(xì)信息,請參閱Azure備份一文。
最佳做法:為確保加密機(jī)密不會跨過區(qū)域邊界,Azure磁盤加密需要將密鑰保管庫和VM共置在同一區(qū)域。
詳細(xì)信息:在要加密的VM所在的同一區(qū)域中創(chuàng)建并使用密鑰保管庫。
Azure磁盤加密可解決以下業(yè)務(wù)需求:
使用行業(yè)標(biāo)準(zhǔn)的加密技術(shù)輕松保護(hù)IaaS VM,滿足組織的安全性與合規(guī)性要求。
IaaS VM會根據(jù)客戶控制的密鑰和策略啟動,客戶可以在Key Vault中審核密鑰和策略的使用方式。
限制直接Internet連接
監(jiān)視和限制VM直接Internet連接。攻擊者會不斷地掃描公共云IP范圍,尋找開放管理端口,并嘗試輕松的攻擊,如常見密碼和已知的修補(bǔ)漏洞。下表列出了有助于防范這些攻擊的最佳做法:
最佳做法:防止無意中暴露網(wǎng)絡(luò)路由和安全性。
詳細(xì)信息:使用Azure RBAC確保只有中心網(wǎng)絡(luò)組具有網(wǎng)絡(luò)資源的權(quán)限。
最佳做法:標(biāo)識并修正允許從任何源IP地址進(jìn)行訪問的公開vm。
詳細(xì)信息:使用Azure安全中心。如果你的任何網(wǎng)絡(luò)安全組有一個或多個允許從任何源IP地址進(jìn)行訪問的入站規(guī)則,安全中心將建議你通過面向internet的終結(jié)點限制訪問。安全中心將建議編輯這些入站規(guī)則,以對實際需要訪問的源IP地址限制訪問。
最佳做法:限制管理端口(RDP、SSH)。
詳細(xì)信息:實時(JIT)VM訪問可以用來鎖定發(fā)往Azure VM的入站流量,降低遭受攻擊的可能性,同時在需要時還允許輕松連接到VM。當(dāng)JIT時,安全中心會通過創(chuàng)建網(wǎng)絡(luò)安全組規(guī)則來鎖定發(fā)往Azure VM的入站流量。你需要選擇要鎖定VM上的哪些端口的入站流量。這些端口將受JIT解決方案控制。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機(jī)入駐更便捷
返回頂部