尤物精品_gay小说高h_成人免费va视频_涩涩18网站

Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別-ESG跨境

Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-05-31
點贊icon 0
查看icon 934

Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐本文介紹了VM和操作系統(tǒng)的安全最佳做法。最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。由于觀點和技術(shù)會隨時改變,本文會進(jìn)行更新以反映這些變化。在大多數(shù)基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS......

Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別




Azure 中 IaaS 工作負(fù)荷的安全性最佳實踐

本文介紹了VM和操作系統(tǒng)的安全最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎(chǔ)。由于觀點和技術(shù)會隨時改變,本文會進(jìn)行更新以反映這些變化。

在大多數(shù)基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS)方案中,Azure虛擬機(jī)(VM)是使用云計算的組織的主要工作負(fù)荷。這種事實在混合方案中十分明顯,組織希望在混合方案中慢慢將工作負(fù)載遷移到云。在這種方案中,應(yīng)遵循IaaS常規(guī)安全注意事項,并向所有VM應(yīng)用安全最佳做法。

通過身份驗證和訪問控制保護(hù)VM

保護(hù)VM安全的第一步是確保只有授權(quán)用戶才能設(shè)置新VM以及訪問VM。

備注

若要改進(jìn)Azure上Linux VM的安全性,可以與Azure AD身份驗證集成。使用適用于Linux VM的Azure AD身份驗證時,可以通過集中進(jìn)行控制和強(qiáng)制實施策略來允許或拒絕對VM的訪問。

最佳做法:控制VM訪問。

詳細(xì)信息:使用Azure策略建立組織中的資源約定和創(chuàng)建自定義策略。將這些策略應(yīng)用于資源,如資源組。屬于該資源組的VM將繼承該組的策略。

如果你的組織有多個訂閱,則可能需要一種方法來高效地管理這些訂閱的訪問權(quán)限、策略和符合性。Azure管理組提供訂閱上的作用域級別。可將訂閱組織到管理組(容器)中,并將管理條件應(yīng)用到該組。管理組中的所有訂閱都將自動繼承應(yīng)用于該組的條件。不管使用什么類型的訂閱,管理組都能提供大規(guī)模的企業(yè)級管理。

最佳做法:減少VM的安裝和部署的可變性。

詳細(xì)信息:使用Azure資源管理器模板增強(qiáng)部署選項,使其更易理解并清點環(huán)境中的VM。

最佳做法:保護(hù)特權(quán)訪問。

詳細(xì)信息:使用最低特權(quán)方法和內(nèi)置Azure角色使用戶能夠訪問和設(shè)置VM:

虛擬機(jī)參與者:可以管理VM,但無法管理虛擬機(jī)連接的虛擬網(wǎng)絡(luò)或存儲帳戶。

經(jīng)典虛擬機(jī)參與者:可管理使用經(jīng)典部署模型創(chuàng)建的VM,但無法管理這些VM連接到的虛擬網(wǎng)絡(luò)或存儲帳戶。

安全管理員:僅在安全中心內(nèi):可以查看安全策略、查看安全狀態(tài)、編輯安全策略、查看警報和建議、關(guān)閉警報和建議。

開發(fā)測試實驗室用戶:可以查看所有內(nèi)容,以及連接、啟動、重新啟動和關(guān)閉VM。

訂閱管理員和共同管理員可更改此設(shè)置,使其成為訂閱中所有VM的管理員。請確保你信任所有訂閱管理員和共同管理員,以登錄你的任何計算機(jī)。

備注

建議將具有相同生命周期的VM合并到同一個資源組中。使用資源組可以部署和監(jiān)視資源,并統(tǒng)計資源的計費成本。

控制VM訪問和設(shè)置的組織可改善其整體VM安全性。

使用多個VM提高可用性

如果VM運行需要具有高可用性的關(guān)鍵應(yīng)用程序,我們強(qiáng)烈建議使用多個VM。為了獲得更好的可用性,請使用可用性集或可用性區(qū)域。

可用性集是一種邏輯分組功能,在Azure中使用它可以確保將VM資源部署在Azure數(shù)據(jù)中心后,這些資源相互隔離。Azure確保可用性集中部署的VM能夠跨多個物理服務(wù)器、計算機(jī)架、存儲單元和網(wǎng)絡(luò)交換機(jī)運行。如果出現(xiàn)硬件或Azure軟件故障,只有一部分VM會受到影響,整體應(yīng)用程序仍可供客戶使用。如果想要構(gòu)建可靠的云解決方案,可用性集是一項關(guān)鍵功能。

防范惡意軟件

應(yīng)安裝反惡意軟件保護(hù),以幫助識別和刪除病毒、間諜軟件和其他惡意軟件。可安裝Microsoft反惡意軟件或Microsoft合作伙伴的終結(jié)點保護(hù)解決方案(Trend Micro、Broadcom、McAfee、Windows Defender和System Center Endpoint Protection)。

Microsoft反惡意軟件包括實時保護(hù)、計劃掃描、惡意軟件修正、簽名更新、引擎更新、示例報告和排除事件收集等功能。對于與生產(chǎn)環(huán)境分開托管的環(huán)境,可以使用反惡意軟件擴(kuò)展來幫助保護(hù)VM和云服務(wù)。

可將Microsoft反惡意軟件和合作伙伴解決方案與Azure安全中心集成,以方便部署和內(nèi)置檢測(警報和事件)。

最佳做法:安裝反惡意軟件解決方案,以防范惡意軟件。

詳細(xì)信息:安裝Microsoft合作伙伴解決方案或Microsoft反惡意軟件

最佳做法:將反惡意軟件解決方案與安全中心集成,以監(jiān)視保護(hù)狀態(tài)。

詳細(xì)信息:使用安全中心管理終結(jié)點保護(hù)問題

管理VM更新

與所有本地VM一樣,Azure VM應(yīng)由用戶管理。Azure不會向他們推快遞Windows更新。你需要管理VM更新。

最佳做法:使VM保持最新。

詳細(xì)信息:使用Azure自動化中的更新管理解決方案,為部署在Azure、本地環(huán)境或其他云提供程序中的Windows和Linux計算機(jī)管理操作系統(tǒng)更新。可以快速評估所有代理計算機(jī)上可用更新的狀態(tài),并管理為服務(wù)器安裝所需更新的過程。

由更新管理托管的計算機(jī)使用以下配置執(zhí)行評估和更新部署:

用于Windows或Linux的Microsoft監(jiān)視代理(MMA)

用于Linux的PowerShell所需狀態(tài)配置(DSC)

自動化混合Runbook輔助角色

適用于Windows計算機(jī)的Microsoft更新或Windows Server更新服務(wù)(WSUS)

若使用Windows更新,請啟用Windows自動更新設(shè)置。

最佳做法:在部署時,確保構(gòu)建的映像包含最新一輪的Windows更新。

詳細(xì)信息:每個部署的第一步應(yīng)是檢查和安裝所有Windows更新。在部署自己或庫中提供的映像時,采用此措施就特別重要。雖然默認(rèn)情況下會自動更新Azure市場中的映像,但公開發(fā)布后可能會有延遲(最多幾周)。

最佳做法:定期重新部署VM以強(qiáng)制刷新操作系統(tǒng)版本。

詳細(xì)信息:使用Azure資源管理器模板定義VM,以便輕松地重新部署。使用模板可在需要時提供已修補(bǔ)且安全的VM。

最佳做法:快速對VM應(yīng)用安全更新。

詳細(xì)信息:啟用Azure安全中心(免費層或標(biāo)準(zhǔn)層)以識別缺少的安全更新并應(yīng)用這些安全更新。

最佳做法:安裝最新的安全更新。

詳細(xì)信息:客戶移到Azure的部分首批工作負(fù)荷為實驗室和面向外部的系統(tǒng)。如果Azure VM托管需要訪問Internet的應(yīng)用程序或服務(wù),則需要警惕修補(bǔ)。修補(bǔ)不僅僅包括操作系統(tǒng)。合作伙伴應(yīng)用程序上未修補(bǔ)的漏洞還可能導(dǎo)致一些問題,而如果實施良好的修補(bǔ)程序管理,就可以避免這些問題。

最佳做法:部署并測試一個備份解決方案。

詳細(xì)信息:需要按照處理任何其他操作的相同方法處理備份。這適合于屬于擴(kuò)展到云的生產(chǎn)環(huán)境的系統(tǒng)。

測試和開發(fā)系統(tǒng)必須遵循備份策略,這些策略可以根據(jù)用戶的本地環(huán)境體驗,提供與用戶習(xí)慣的功能類似的存儲功能。如果可能,遷移到Azure的生產(chǎn)工作負(fù)荷應(yīng)與現(xiàn)有的備份解決方案集成。或者,可以使用Azure備份來幫助解決備份要求。

未實施軟件更新策略的組織面臨更多利用已修復(fù)的已知漏洞的威脅。為了遵守行業(yè)法規(guī),公司還必須證明他們在不斷作出相應(yīng)努力并使用正確的安全控制機(jī)制來幫助確保云中工作負(fù)載的安全性。

傳統(tǒng)數(shù)據(jù)中心與Azure IaaS之間的軟件更新最佳做法存在許多相似之處。建議評估當(dāng)前的軟件更新策略,將位于Azure中的VM包含在內(nèi)。

管理VM安全狀況

網(wǎng)絡(luò)威脅不斷加劇。保護(hù)VM需要監(jiān)視功能,以便快速檢測威脅、防止有人未經(jīng)授權(quán)訪問資源、觸發(fā)警報并減少誤報。

若要監(jiān)視Windows和Linux VM的安全狀況,可以使用Azure安全中心。可以利用安全中心的以下功能來保護(hù)VM:

應(yīng)用包含建議的配置規(guī)則的OS安全設(shè)置。

識別并下載可能缺少的系統(tǒng)安全更新和關(guān)鍵更新。

部署終結(jié)點反惡意軟件防護(hù)建議措施。

驗證磁盤加密。

評估并修正漏洞。

檢測威脅。

安全中心可主動監(jiān)視威脅,并通過“安全警報”公開潛在的威脅。關(guān)聯(lián)的威脅將合并到名為“安全事件”的單個視圖中。

安全中心將數(shù)據(jù)存儲在Azure Monitor日志中。Azure Monitor日志提供查詢語言和分析引擎,讓你能夠深入了解應(yīng)用程序和資源的操作。數(shù)據(jù)也是從Azure Monitor、管理解決方案以及安裝在虛擬機(jī)(云中或本地)上的代理收集的數(shù)據(jù)。可以通過此共享功能全面了解自己的環(huán)境。

沒有為VM實施強(qiáng)大安全措施的組織將意識不到未經(jīng)授權(quán)的用戶可能試圖繞過安全控制機(jī)制。

監(jiān)視VM性能

如果VM進(jìn)程消耗的資源多過實際所需的量,可能會造成資源濫用的問題。VM性能問題可能會導(dǎo)致服務(wù)中斷,從而違反可用性安全原則。這對于托管IIS或其他Web服務(wù)器的VM尤其重要,因為CPU或內(nèi)存占用較高可能意味著遭到拒絕服務(wù)(DoS)攻擊。不僅要在出現(xiàn)問題時被動監(jiān)視VM的訪問,而且還要在正常運行期間針對基準(zhǔn)性能進(jìn)行主動監(jiān)視。

我們還建議使用Azure Monitor來洞察資源的運行狀況。Azure Monitor功能:

資源診斷日志文件:監(jiān)視VM資源并識別可能會損害性能與可用性的潛在問題。

Azure診斷擴(kuò)展:在Windows VM上提供監(jiān)視和診斷功能。在Azure資源管理器模板中包含該擴(kuò)展即可啟用這些功能。

不監(jiān)視VM性能的組織無法確定性能模式的某些變化是正常還是異常。若VM消耗的資源超過平常,可能意味著存在來自外部資源的攻擊,或者此VM中有不安全的進(jìn)程正在運行。

加密虛擬硬盤文件

建議加密虛擬硬盤(VHD),以幫助保護(hù)存儲中的靜態(tài)啟動卷和數(shù)據(jù)卷以及加密密鑰和機(jī)密。

Azure磁盤加密用于加密Windows和Linux IaaS虛擬機(jī)磁盤。Azure磁盤加密使用Windows行業(yè)標(biāo)準(zhǔn)的BitLocker功能和Linux的DMCRYPT功能為OS和數(shù)據(jù)磁盤提供卷加密。該解決方案與Azure Key Vault集成,幫助用戶管理Key Vault訂閱中的磁盤加密密鑰和機(jī)密。此解決方案還可確保虛擬機(jī)磁盤上的所有數(shù)據(jù)在Azure存儲中靜態(tài)加密。

下面是使用Azure磁盤加密的最佳做法:

最佳做法:在VM上啟用加密。

詳細(xì)信息:Azure磁盤加密將生成加密密鑰并將其寫入密鑰保管庫。在Key Vault中管理加密密鑰需要Azure AD身份驗證。為此,請創(chuàng)建Azure AD應(yīng)用程序。對于身份驗證,可以使用基于客戶端機(jī)密的身份驗證或基于客戶端證書的Azure AD身份驗證。

最佳做法:使用密鑰加密密鑰(KEK)來為加密密鑰提供附加的安全層。將KEK添加到密鑰保管庫。

詳細(xì)信息:使用AzKeyVaultKey cmdlet在key vault中創(chuàng)建密鑰加密密鑰。還可從本地硬件安全模塊(HSM)導(dǎo)入KEK以進(jìn)行密鑰管理。有關(guān)詳細(xì)信息,請參閱Key Vault文檔。指定密鑰加密密鑰后,Azure磁盤加密會使用該密鑰包裝加密機(jī)密,然后將機(jī)密寫入Key Vault。在本地密鑰管理HSM中保留此密鑰的托管副本,提供額外的保護(hù),防止意外刪除密鑰。

最佳做法:在加密磁盤之前創(chuàng)建快照和/或備份。如果加密期間發(fā)生意外故障,備份可提供恢復(fù)選項。

詳細(xì)信息:加密之前,需要備份包含托管磁盤的VM。備份之后,可以通過指定“skipVmBackup”參數(shù),使用“SetAzVMDiskEncryptionExtension cmdlet”來加密托管磁盤。有關(guān)如何備份和還原已加密VM的詳細(xì)信息,請參閱Azure備份一文。

最佳做法:為確保加密機(jī)密不會跨過區(qū)域邊界,Azure磁盤加密需要將密鑰保管庫和VM共置在同一區(qū)域。

詳細(xì)信息:在要加密的VM所在的同一區(qū)域中創(chuàng)建并使用密鑰保管庫。

Azure磁盤加密可解決以下業(yè)務(wù)需求:

使用行業(yè)標(biāo)準(zhǔn)的加密技術(shù)輕松保護(hù)IaaS VM,滿足組織的安全性與合規(guī)性要求。

IaaS VM會根據(jù)客戶控制的密鑰和策略啟動,客戶可以在Key Vault中審核密鑰和策略的使用方式。

限制直接Internet連接

監(jiān)視和限制VM直接Internet連接。攻擊者會不斷地掃描公共云IP范圍,尋找開放管理端口,并嘗試輕松的攻擊,如常見密碼和已知的修補(bǔ)漏洞。下表列出了有助于防范這些攻擊的最佳做法:

最佳做法:防止無意中暴露網(wǎng)絡(luò)路由和安全性。

詳細(xì)信息:使用Azure RBAC確保只有中心網(wǎng)絡(luò)組具有網(wǎng)絡(luò)資源的權(quán)限。

最佳做法:標(biāo)識并修正允許從任何源IP地址進(jìn)行訪問的公開vm。

詳細(xì)信息:使用Azure安全中心。如果你的任何網(wǎng)絡(luò)安全組有一個或多個允許從任何源IP地址進(jìn)行訪問的入站規(guī)則,安全中心將建議你通過面向internet的終結(jié)點限制訪問。安全中心將建議編輯這些入站規(guī)則,以對實際需要訪問的源IP地址限制訪問。

最佳做法:限制管理端口(RDP、SSH)。

詳細(xì)信息:實時(JIT)VM訪問可以用來鎖定發(fā)往Azure VM的入站流量,降低遭受攻擊的可能性,同時在需要時還允許輕松連接到VM。當(dāng)JIT時,安全中心會通過創(chuàng)建網(wǎng)絡(luò)安全組規(guī)則來鎖定發(fā)往Azure VM的入站流量。你需要選擇要鎖定VM上的哪些端口的入站流量。這些端口將受JIT解決方案控制。


文章推薦
GameRefiner分析人士談手游應(yīng)該如何利用季節(jié)性活動,手游技能自由組合
Azure Stack Hub 概述,azure iot解決方案
AppGallery Connect應(yīng)用內(nèi)分發(fā)查詢圖章,appgalleryconnect使用教程
AzureCAF拍了拍你


特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進(jìn)群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進(jìn)群
美國賣家交流群
加入
美國賣家交流群
掃碼進(jìn)群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨家招商-PHH GROUP賣家交流群
加入
ESG獨家招商-PHH GROUP賣家交流群
掃碼進(jìn)群
2025跨境電商營銷日歷
《2024年全球消費趨勢白皮書——美國篇》
《2024TikTok出海達(dá)人營銷白皮書》
《Coupang自注冊指南》
《eMAG知識百科》
《TikTok官方運營干貨合集》
《韓國節(jié)日營銷指南》
《開店大全-全球合集》
《TikTok綜合運營手冊》
《TikTok短視頻運營手冊》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運營實操指導(dǎo)
運營提效資源福利
平臺官方專屬優(yōu)惠

立即登記,定期獲得更多資訊

訂閱
聯(lián)系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機(jī)入駐更便捷

icon icon

返回頂部