Azure 中高度敏感的 IaaS 應用的安全注意事項

Azure 中高度敏感的 IaaS 應用的安全注意事項

將基礎結構即服務 (IaaS)應用部署到 Azure 時，有許多安全注意事項。 本文基于基于虛擬機的工作負荷和混合網絡基礎結構的參考體系結構，重點介紹 azure 中基于azure 安全基礎的高度敏感 IaaS 工作負荷的安全性。

另請參閱 azure虛擬機安全概述和azure 中 IaaS 工作負荷的安全最佳方案。

Azure VM

Azure 計算平臺基于計算機虛擬化。虛擬機監控程序在每個 Azure 節點或網絡終結點的物理硬件上運行，并在節點中 (vm) 創建可變數量的來賓hyperv 虛擬機。 所有用戶代碼都在 Vm 上執行。 有關基本 azure VM 部署說明，請參閱在 azure 上運行 Linux VM或在 azure 上運行 Windows VM。 對于兩個操作系統 (OSs) ，大多數部署過程都是相同的，但特定于操作系統的工具（如磁盤加密）可能不同。

可以使用Azure 安全中心進行 VM 修補管理并部署和監視反惡意軟件工具。 或者，你可以管理自己的或第三方修補和反惡意軟件工具，這在將現有基礎結構擴展或遷移到 Azure 時很常見。

Microsoft 在 Azure 平臺中提供基本的分布式拒絕服務 (DDoS)保護。 具有公共終結點的應用可以使用標準的Azure DDoS 保護來提供額外的保護。 但是，高度敏感的工作負荷通常不具有公共終結點，只能通過虛擬專用網絡 (VPN)或租用線路來訪問特定位置。

N 層體系結構

許多 IaaS 應用程序由多個層組成，如跨多個 Vm 托管的 web 層、業務層和數據層。 在 Azure Vm 上部署n 層應用程序體系結構的關鍵方面包括：

高可用性(HA) 。 HA 應用在超過99.9% 的時間內必須可用。 在不同的 Azure可用性 (區域中放置 AZs) 可確保 HA，因為 AZs 跨一個或多個數據中心，通過抵抗數據中心故障提供復原能力。 不支持 AZs 的區域可以使用 (類) 的可用性集，該將 vm 分布到多個獨立的硬件節點。

負載均衡。負載均衡器在 vm 之間分配流量，平衡負載并在 VM 發生故障時進行復原。 如果應用程序管理負載均衡，并為調用方識別單個 Vm，則不需要負載均衡器。

虛擬網絡。虛擬網絡和子網將網絡分段，從而實現更輕松的安全管理和高級路由。

域名系統 (DNS)。Azure DNS提供高度可用且安全的 DNS 服務。 使用 Azure DNS 中的專用區域可以在虛擬網絡中使用自定義域。

備份和還原

若要防止人為錯誤、惡意數據刪除和勒索軟件，你應該至少備份數據層 Vm。Azure 備份可以備份和還原加密的 vm（如果它可以訪問 Azure Key Vault 中的加密密鑰）。

對于 web 和企業層，你可以使用虛擬機規模集自動縮放規則來自動銷毀已泄露的 vm，并從基本映像部署新的 VM 實例。

計算隔離

在每個 Azure 節點或網絡終結點上，虛擬機監控程序和特殊的根 OS 確保來賓 Vm 無法訪問物理主機服務器，用戶代碼僅在來賓 Vm 上執行。 這種隔離可防止用戶獲取對系統的原始讀取、寫入或執行訪問權限，并減輕共享資源的風險。 Azure 通過虛擬機監控程序和高級 VM 布局算法防止所有已知的兩側通道攻擊和干擾鄰居。 有關詳細信息，請參閱計算隔離。

對于高度敏感的工作負載，你可以針對隔離的 vm或專用主機，添加對側通道攻擊的額外保護。

獨立 Vm

獨立 Vm 是與特定硬件類型隔離并專用于單個客戶的大型 VM 大小。 使用隔離的 VM 大小可保證你的 VM 是在特定服務器實例上運行的唯一 VM。 可以使用Azure 支持嵌套虛擬機進一步細分隔離 vm 的資源。

獨立 VM 的最小大小為64虛擬 CPU 核心和 256 GiB 的內存。 這些 Vm 遠遠大于大多數 n 層應用程序所需的數量，并可能產生較大的成本開銷。 為了降低開銷，可以在具有嵌套虛擬化的單個 VM 上運行多個應用層，或者在不同的進程或容器中運行。 你仍需要在 AZs 中部署不同的 Vm 以進行復原，并在不同的 Vm 上(DMZ) 設備上運行隔離區。 出于經濟原因將多個應用組合到一個基礎結構上可能還會與組織應用隔離策略發生沖突。

隨著 Azure 區域功能的擴展，Azure 還可以從特定的 VM 大小中刪除隔離保障，只需要一年的通知即可。

Azure 專用主機

Azure 專用主機是適用于高敏感度工作負載的首選計算隔離解決方案。 專用主機是專用于一個客戶的物理服務器，用于托管多個虛擬機。 除隔離 Vm 外，專用主機還允許控制維護和 VM 位置，以避免鄰居干擾。

專用主機的最小大小和多個大小因素與隔離的 Vm 相同。 不過，專用主機可以托管位于不同虛擬網絡中的 Vm，以滿足應用程序隔離策略的需要。 你仍應在另一臺主機上運行DMZvm，以防止任何側通道攻擊發生在 DMZ 中的受入侵 VM。

Encryption

數據加密是保護工作負荷的重要組成部分。 加密對信息進行編碼，因此只有授權的接收方可以使用密鑰或證書對其進行解碼。 加密包括磁盤加密，適用于靜態靜態數據和傳輸級安全 (TLS)，用于通過網絡進行的加密傳輸。

Azure Key Vault

你可以通過將加密密鑰和證書存儲在Azure Key Vault中，將其存儲在 (HSM) 解決方案驗證為聯邦信息處理標準 (FIPS) 1402 級別2的云硬件安全模塊中。 有關僅允許已授權的應用程序和用戶訪問 Key Vault 的最佳實踐，請參閱保護對密鑰保管庫的訪問。

若要保護 Key Vault 中的密鑰，可以啟用軟刪除，這可確保刪除的密鑰是可恢復的。 為了進一步保護，你可以將單個密鑰備份到可用于還原密鑰的加密文件，這可能是同一地理位置的另一 Azure 區域。

當在 VM 上托管 SQL Server 時，可以使用用于 Microsoft Azure Key Vault 的 SQL Server 連接器獲取透明數據加密的密鑰 (TDE)、列級加密 (CLE)和備份加密。 有關詳細信息，請參閱為Azure 虛擬機上的 SQL Server 配置 Azure Key Vault 集成。

Azure 磁盤加密

Azure 磁盤加密使用 BitLocker 外部密鑰保護程序為 Azure Vm 的 OS 和數據磁盤提供卷加密，并可與 Azure Key Vault 集成，以幫助你控制和管理磁盤加密密鑰和機密。 每個 VM 都會生成自己的加密密鑰，并將其存儲在 Azure Key Vault 中。 若要配置 Azure Key Vault 以啟用 Azure 磁盤加密，請參閱創建和配置 Azure 磁盤加密的密鑰保管庫。

對于高度敏感的工作負載，還應使用(KEK) 的密鑰加密密鑰，以實現額外的安全性。 指定 KEK 時，Azure 磁盤加密將使用該密鑰在寫入到 Key Vault 之前包裝加密機密。 可以 Azure Key Vault 生成 KEK，但更安全的方法是在本地 HSM 中生成密鑰并將其導入到 Azure Key Vault 中。 這種情況通常被稱為自帶密鑰，簡稱 BYOK。 由于導入的密鑰不能離開 HSM 邊界，因此在 HSM 中生成密鑰可確保你完全控制加密密鑰。

有關受 HSM 保護的密鑰的詳細信息，請參閱如何為 Azure Key Vault 生成和傳輸受 hsm 保護的密鑰。

網絡流量加密

類似于 HTTPS 的網絡協議會加密傳輸中的數據和證書。 客戶端到應用程序通信通常使用受信任的證書頒發機構頒發的證書 (CA)。 內部應用可以使用內部 CA 或公共 CA （如 DigiCert 或 GlobalSign）中的證書。 層到層通信通常使用由內部 CA 頒發的證書或自簽名證書。 Azure Key Vault 可以容納其中的任何證書類型。 有關創建不同證書類型的詳細信息，請參閱證書創建方法。

Azure Key Vault 可以用作層到層流量的自簽名證書 CA。KEY VAULT vm 擴展可在 vm 上使用或不使用私鑰來監視和自動刷新指定的證書，具體取決于用例。 若要使用 Key Vault VM 擴展，請參閱適用于Linux 的 Key Vault 虛擬機擴展或適用于 Windows 的 Key Vault 虛擬機擴展。

Key Vault 還可以存儲不使用證書的網絡協議密鑰。 自定義工作負荷可能需要編寫自定義腳本擴展的腳本，從 Key Vault 檢索密鑰，并將其存儲起來供應用程序使用。 應用還可以使用 VM 的托管標識直接從 Key Vault 檢索機密。

網絡安全性

(Nsg 的網絡安全組) 在 Azure 虛擬網絡中的資源之間篩選流量。 NSG 安全規則根據 IP 地址和端口允許或拒絕進出 Azure 資源的網絡流量。 默認情況下，Nsg 阻止來自 internet 的入站流量，但允許來自 Vm 的出站連接到 internet。 若要防止意外的出站流量，請添加最低優先級為4096的自定義規則以阻止所有入站和出站流量。 然后，你可以添加優先級更高的規則來允許特定的流量。

Nsg 為現有連接創建流記錄，并根據流記錄的連接狀態允許或拒絕通信。 流記錄允許 NSG 是有狀態的。 例如，如果為端口443上的任何地址指定出站安全規則，則無需同時為響應指定入站安全規則。 僅當在外部啟動通信時，才需要指定入站安全規則。

大多數 Azure 服務都允許使用虛擬網絡服務標記，而不是 NSG。 服務標記代表 Azure 服務中的一組 IP 地址前綴，有助于最大程度地減少網絡安全規則更新的復雜性。 Azure Key Vault 服務標記可以允許 VM 從 Azure Key Vault 檢索證書、密鑰和機密。

控制網絡安全的另一種方法是通過虛擬網絡流量路由和強制隧道。 Azure 自動創建系統路由，并將路由分配到虛擬網絡中的每個子網。 無法創建或刪除系統路由，但可以使用自定義路由替代某些系統路由。 使用自定義路由，你可以通過網絡虛擬設備路由流量 (NVA)如防火墻或代理，或刪除不需要的流量，這與使用 NSG 阻止流量類似。

可以使用 Nva 等Azure 防火墻來允許、阻止和檢查網絡流量。 Azure 防火墻是一種托管的、高度可用的平臺防火墻服務。 你還可以從Azure Marketplace部署第三方 nva。 若要使這些 Nva 高度可用，請參閱部署高度可用的網絡虛擬設備。

應用程序安全組

若要在虛擬網絡內篩選應用程序層之間的流量，請使用 (Asg) 的應用程序安全組。 Asg 使你可以將網絡安全配置為應用程序結構的擴展，使你能夠對 Vm 進行分組，并根據組定義網絡安全策略。 你可以大規模重復使用安全策略，而無需手動維護顯式 IP 地址。

因為 Asg 應用于網絡接口而不是子網，所以它們會啟用微細分。 你可以嚴格控制哪些 Vm 可以相互通信，甚至會阻止同一層中 Vm 之間的流量，并通過從該 VM 刪除 Asg 來輕松隔離 VM。

混合網絡

混合體系結構將本地網絡與 Azure 等公有云連接起來。 可以通過多種方式將本地網絡連接到在 Azure 中運行的應用程序：

Internet 上的公共終結點。 可以依賴標識、傳輸級別安全 (HTTPS) 和應用程序網關來保護應用程序（可能與防火墻結合）。 但對于高度敏感的工作負載，不建議通過 internet 公開公共終結點。

Azure 或第三方 VPN 網關。 可以使用AZURE VPN 網關將本地網絡連接到 Azure。 流量仍通過 internet 傳播，但通過使用 TLS 的加密隧道。 如果 Azure VPN 網關不支持特定要求，還可以在 VM 中運行第三方網關。

ExpressRoute。ExpressRoute連接通過第三方連接提供商使用專用連接。 專用連接將本地網絡擴展到 Azure，并 (SLA) 提供可伸縮性和可靠服務級別協議。

具有 VPN 故障轉移的 ExpressRoute。 此選項在正常情況下使用 ExpressRoute，但如果在 ExpressRoute 線路中出現連接中斷，則會故障轉移到 VPN 連接，從而提供更高的可用性。

基于 ExpressRoute 的 VPN。 此選項最適合高敏感度工作負荷。 ExpressRoute 提供具有可伸縮性和可靠性的專用線路，VPN 提供額外的保護層，可在特定的 Azure 虛擬網絡中終止加密的連接。

有關在不同類型的混合連接之間進行選擇的更多指導，請參閱選擇用于將本地網絡連接到 Azure 的解決方案。

部署外圍網絡

連接本地和 Azure 環境可讓本地用戶訪問 Azure 應用程序。 外圍網絡或外圍網絡區域 (DMZ)為高度敏感的工作負荷提供額外的保護。

Azure 與本地數據中心之間網絡外圍網絡之間的體系結構在同一虛擬網絡中部署所有的 DMZ 和應用程序服務，并使用 NSG 規則和用戶定義的路由來隔離 DMZ 和應用程序子網。 此體系結構可以通過公共 internet 提供管理子網，以便在本地網關不可用的情況下管理應用。 但對于高度敏感的工作負載，只應允許繞過中斷玻璃方案中的網關。 更好的解決方案是使用Azure 堡壘，這使得直接可以從 Azure 門戶進行訪問，同時限制公共 IP 地址的公開。

你還可以使用實時(JIT) VM 訪問進行遠程管理，同時限制公共 IP 地址的公開。 使用 JIT VM 訪問時，默認情況下，NSG 會阻止遠程管理端口，如遠程桌面協議 (RDP)和安全 SHELL () SSH。 發出請求后，JIT VM 訪問僅在指定的時間范圍內啟用該端口，可能會為特定的 IP 地址或范圍啟用此端口。 JIT 訪問還適用于僅具有專用 IP 地址的 Vm。 在啟用 JIT VM 訪問之前，可以使用 Azure 堡壘阻止到 VM 的流量。

若要部署更多應用程序，可以在 Azure 中使用中心輻射型網絡拓撲，并在中心虛擬網絡中使用外圍網絡，并在輻射虛擬網絡中使用應用程序。 中心虛擬網絡可以包含 VPN 和/或 ExpressRoute 網關、防火墻 NVA、管理主機、標識基礎結構和其他共享服務。 輻射虛擬網絡通過虛擬網絡對等互連連接到中心。 Azure 虛擬網絡不允許跨中心從一個分支傳遞到另一個分支的傳遞路由。 僅可通過集線器中的防火墻設備進行輻射到輻射的通信。 這種體系結構有效地將應用程序隔離開來。

多區域部署

業務連續性和災難恢復可能需要跨多個 Azure 區域部署應用程序，這可能會影響數據駐留和安全性。 有關多區域部署的參考體系結構，請參閱在多個 Azure 區域中運行 N 層應用程序以實現高可用性。

區域對

Azure 地理位置是世界上定義的一種區域，其中包含至少一個 Azure 區域，每個區域有一個或多個數據中心。 每個 Azure 區域與同一地理位置中的另一個區域配對。 區域對不會同時更新，并且如果發生災難，這兩個區域的優先級均為第一項。 對于業務連續性，如果在多個區域部署，則應將高度敏感的應用至少部署到區域對。

有關更多詳細信息，請參閱業務連續性和災難恢復 (BCDR) ： Azure 配對區域。 白皮書實現符合性的數據派駐和安全性Azure 討論了數據駐留，還討論了如何滿足數據駐留要求。

區域之間的復制

在 IaaS 體系結構中，在區域之間復制數據是應用程序的責任。 最常見的復制方案使用數據庫服務器產品中內置的數據庫復制技術，如SQL Server Always On 可用性組、Oracle 數據防護或MySQL 復制。

在 IaaS 數據庫服務器之間設置復制并不簡單，您需要考慮業務連續性要求。 Azure 數據庫服務（例如Azure SQL 數據庫、Azure Database for MySQL 和Cosmos DB在區域之間進行復制更簡單，但可能不滿足高度敏感的工作負載的安全要求。

有關多區域 SQL Server 和 Oracle 部署的詳細信息和指南，請參閱：

在位于不同區域的 Azure SQL Server 虛擬機上配置可用性組

在 Azure 環境下的 Oracle Database 12c 數據庫災難恢復

跨區域對等互連

可以通過使用全局虛擬網絡對等互連在不同區域的虛擬網絡之間啟用安全通信。 全局對等互連與在區域內對等互連的工作方式相同。 區域之間的流量通過 Microsoft 主干運行，不遍歷 internet，并與其他流量隔離。 為了獲得更高的安全性，可以在這兩個區域中部署 VPN Nva，并使用用戶定義的路由來強制 nva 上各區域之間的流量，類似于部署外圍網絡。

故障轉移流量路由

使用公用終結點，可以使用流量管理員或Azure 前門將流量定向到主動主動故障轉移配置中的活動區域或最近的區域。 但是，流量管理員和 Azure 前端都需要公共終結點來監視可用性，并且它們對應的 DNS 條目是公共的。 對于高度敏感的工作負載，替代解決方案是在本地部署 DNS，并將條目更改為活動區域以進行故障轉移。

管理和治理

保護高度敏感的 IaaS 應用不僅僅需要部署正確的體系結構和實現網絡安全規則。 由于云環境很容易改變，因此，確保只能在某些權限和安全策略的邊界內進行更改，這一點特別重要。 例如，你必須防止惡意執行組件無法更改網絡安全規則以允許來自 internet 的流量。

若要在 Azure 中部署工作負荷，需要一個或多個管理帳戶。 保護管理帳戶對于保護工作負荷至關重要。 有關詳細信息，請參閱在 Azure AD 中保護混合和云部署的特權訪問。

使用管理子網中的資源僅向需要管理該層的用戶授予應用層訪問權限。 例如，可以將Microsoft Identity Manager與 Azure Active Directory (Azure AD) 一起使用。 但對于云本機方案，Azure ADPrivileged Identity Management(PIM) 是首選的。

還可以通過多種方法控制 Azure 角色和策略：

Azure 資源的 azureRBAC) (azure 基于角色的訪問控制可將內置或自定義角色分配給用戶，因此他們只擁有所需的特權。 可以結合使用 Azure RBAC 與 PIM 來實現在有限時間段內提升權限的審核的審批工作流。

策略強制實施公司規則、標準和 Sla。Azure 策略是一種 azure 服務，可用于創建、分配和管理策略，并評估資源的策略符合性。

Azure 藍圖結合角色分配、策略分配和部署模板來定義一組可復制的 Azure 資源，這些資源可實現并遵循組織的標準、模式和要求。 藍圖是一種聲明性方式，用于協調資源模板和其他項目的部署。 你可以自己創建藍圖，也可以利用現有藍圖。 例如，ISO 27001 共享服務藍圖會部署一個共享服務中心，你可以修改并擴展該中心，并滿足組織的要求。

監視

Azure 安全中心提供監視和警報，幫助你維護環境的安全性。 免費服務會自動檢查漏洞，例如缺少 OS 修補程序、安全配置錯誤和基本網絡安全。 標準付費版本提供了其他功能，例如行為分析、自適應網絡強化和JIT VM 訪問。 有關功能的完整列表，請參閱計算機的功能覆蓋范圍。 安全中心還為其他資源（如安全中心）Azure Key Vault。

可以使用Azure Monitor進一步監視和分析。 若要監視標識和訪問，可以將Azure AD日志路由到 Azure Monitor。還可以監視VM、網絡和Azure 防火墻，并分析具有強大日志查詢功能導入的日志。 你可以將Azure Monitor安全信息和事件管理器 (SIEM) （可以是第三方SIEM或Azure Sentinel）。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。