Azure 中 IaaS 工作负荷的安全性最佳实践

小提示：您能找到这篇{Azure 中 IaaS 工作负荷的安全性最佳实践}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure 中 IaaS 工作负荷的安全性最佳实践内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">本文介绍了VM和操作系统的安全最佳做法。

< ">最佳做法以观点的共识以及Azure平台功能和特性集为基础。由于观点和技术会随时改变，本文会进行更新以反映这些变化。

< ">在大多数基础结构即服务(IaaS)方案中，Azure虚拟机(VM)是使用云计算的组织的主要工作负荷。这种事实在混合方案中十分明显，组织希望在混合方案中慢慢将工作负载迁移到云。在这种方案中，应遵循IaaS常规安全注意事项，并向所有VM应用安全最佳做法。

< ">通过身份验证和访问控制保护VM

< ">保护VM安全的第一步是确保只有授权用户才能设置新VM以及访问VM。

< ">备注

< ">若要改进Azure上Linux VM的安全性，可以与Azure AD身份验证集成。使用适用于Linux VM的Azure AD身份验证时，可以通过集中进行控制和强制实施策略来允许或拒绝对VM的访问。

< ">最佳做法：控制VM访问。

< ">详细信息：使用Azure策略建立组织中的资源约定和创建自定义策略。将这些策略应用于资源，人文素养和危机公关考试如资源组。属于该资源组的VM将继承该组的策略。

< ">如果你的组织有多个订阅，则可能需要一种方法来高效地管理这些订阅的访问权限、策略和符合性。Azure管理组提供订阅上的作用域级别。可将订阅组织到管理组（容器）中，并将管理条件应用到该组。管理组中的所有订阅都将自动继承应用于该组的条件。不管使用什么类型的订阅，管理组都能提供大规模的企业级管理。

< ">最佳做法：减少VM的安装和部署的可变性。

< ">详细信息：使用Azure资源管理器模板增强部署选项，使其更易理解并清点环境中的VM。

< ">最佳做法：保护特权访问。

< ">详细信息：使用最低特权方法和内置Azure角色使用户能够访问和设置VM：

< ">虚拟机参与者：可以管理VM，但无法管理虚拟机连接的虚拟网络或存储帐户。

< ">经典虚拟机参与者：可管理使用经典部署模型创建的VM，但无法管理这些VM连接到的虚拟网络或存储帐户。

< ">安全管理员：仅在安全中心内：可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议。

< ">开发测试实验室用户：可以查看所有内容，以及连接、启动、重新启动和关闭VM。

< ">订阅管理员和共同管理员可更改此设置，使其成为订阅中所有VM的管理员。请确保你信任所有订阅管理员和共同管理员，以登录你的任何计算机。

< ">备注

< ">建议将具有相同生命周期的VM合并到同一个资源组中。使用资源组可以部署和监视资源，并统计资源的计费成本。

< ">控制VM访问和设置的组织可改善其整体VM安全性。

< ">使用多个VM提高可用性

< ">如果VM运行需要具有高可用性的关键应用程序，我们强烈建议使用多个VM。为了获得更好的可用性，请使用可用性集或可用性区域。

< ">可用性集是一种逻辑分组功能，在Azure中使用它可以确保将VM资源部署在Azure数据中心后，这些资源相互隔离。Azure确保可用性集中部署的VM能十大公关企业够跨多个物理服务器、计算机架、存储单元和网络交换机运行。如果出现硬件或Azure软件故障，只有一部分VM会受到影响，整体应用程序仍可供客户使用。如果想要构建可靠的云解决方案，可用性集是一项关键功能。

< ">防范恶意软件

< ">应安装反恶意软件保护，以帮助识别和删除病毒、间谍软件和其他恶意软件。可安装Microsoft反恶意软件或Microsoft合作伙伴的终结点保护解决方案（Trend Micro、Broadcom、McAfee、Windows Defender和System Center Endpoint Protection）。

< ">Microsoft反恶意软件包括实时保护、计划扫描、恶意软件修正、签名更新、引擎更新、示例报告和排除事件收集等功能。对于与生产环境分开托管的环境，可以使用反恶意软件扩展来帮助保护VM和云服务。

< ">可将Microsoft反恶意软件和合作伙伴解决方案与Azure安全中心集成，以方便部署和内置检测（警报和事件）。

< ">最佳做法：安装反恶意软件解决方案，以防范恶意软件。

< ">详细信息：安装Microsoft合作伙伴解决方案或Microsoft反恶意软件

< ">最佳做法：将反恶意软件解决方案与安全中心集成，以监视保护状态。

< ">详细信息：使用安全中心管理终结点保护问题

< ">管理VM更新

< ">与所有本地VM一样，Azure VM应由用户管理。Azure不会向他们推送Windows更新。你需要管理VM更新。

< ">最佳做法：使VM保持最新。

< ">详细信息：使用Azure自动化中的更新管理解决方案，为部署在Azure、本地环境或其他云提供程序中的Windows和Linux计算机管理操作系统更新。可以快速评估所有代理计算机上可用更新的状态，并管理为服务器安装所需更新的过程。

< ">由更新管理托管的计算机使用以下配置执行评估和更新部署：

< ">用于Windows或Linux的Microsoft监视代理(MMA)

< ">用于Linux的PowerShell所需状态配置(DSC)

< ">自动化混合Runbook辅助角色

< ">适用于Windows计算机的Microsoft更新或Windows Server更新服务(WSUS)

< ">若使用Windows更新，请启用Windows自动更新设置。

< ">最佳做法：在部署时，确保构建的映像包含最新一轮的Windows更新。

< ">详细信息：每个部署的第一步应是检查和安装所有Windows更新。在部署自己或库中提供的映像时，采用此措施就特别重要。虽然默认情况下会自动更新Azure市场中的映像，但公开发布后可能会有延迟（最多几周）。

< ">最佳做法：定期重新部署VM以强制刷新操作系统版本。

< ">详细信息：使用Azure资源管理器模板定义VM，以便轻松地重新部署。使用模板可在需要时提供已修补且安全的VM。

< ">最佳做法：快速对VM应用安全更新。

< ">详细信息：启用Azure安全中心（免费层或标准层）以识别缺少的安全更新并应用这些安全更新。

< ">最佳做法：安装最新的安全更新。

< ">详细信息：客户移到Azure的部分首批工作负荷为实验室和面向外部的系统。如果Azure VM托管需要访问Internet的应用程序或服务，则需要警惕修补。修补不仅仅包括操作系统。合作伙伴应用程序上未修补的漏洞还可能导致一些问题，而如果实施良好的修补程序管理，就可以避免这些问题。

< ">最佳做法：部署并测试一个备份解决方案。

< ">详细信息：需要按照处理任何其他操作的相同方法处理备份。这适合于属于扩展到云的生产环境的系统。

< ">测试和开发系统必须遵循备份策略，这些策略可以根据用户的本地环境体验，提供与用户习惯的功能类似的存储功能。如果可能，迁移到Azure的生产工作负荷应与现有的备份解决方案集成。或者，可以使用Azure备份来帮助解决备份要求。

< ">未实施软件更新策略的组织面临更多利用已修复的已知漏洞的威胁。为了遵守行业法规，公司还必须证明他们在不断作出相应努力并使用正确的安全控制机制来帮助确保云中工作负载的安全性。

< ">传统数据中心与Azure IaaS之间的软件更新最佳做法存在许多相似之处。建议评估当前的软件更新策略，将位于Azure中的VM包含在内。

< ">管理VM安全状况

< ">网络威胁不断加剧。保护VM需要监视功能，以便快速检测威胁、防止有人未经授权访问资源、触发警报并减少误报。

< ">若要监视Windows和Linux VM的安全状况，可以使用Azure安全中心。可以利用安全中心的以下功能来保护VM：

< ">应用包含建议的配置规则的OS安全设置。

< ">识别并下载可能缺少的系统安全更新和关键更新。

< ">部署终结点反恶意软件防护建议措施。

< ">验证磁盘加密。

< ">评估并修正漏洞。

< ">检测威胁。

< ">安全中心可主动监视威胁，并通过“安全警报”公开潜在的威胁。关联的威胁将合并到名为“安全事件”的单个视图中。

< ">安全中心将数据存储在Azure Monitor日志中。Azure Monitor日志提供查询语言和分析引擎，让你能够深入了解应用程序和资源的操作。数据也是从Azure Monitor、管理解决方案以及安装在虚拟机（云中或本地）上的代理收集的数据。可以通过此共享功能全面了解自己的环境。

< ">没有为VM实施强大安全措施的组织将意识不到未经授权的用户可能试图绕过安全控制机制。

< ">监视VM性能

< ">如果VM进程消耗的资源多过实际所需的量，可能会造成资源滥用的问题。VM性能问题可能会导致服务中断，从而违反可用性安全原则。这对于托管IIS或其他Web服务器的VM尤其重要，因为CPU或内存占用较高可能意味着遭到拒绝服务(DoS)攻击。不仅要在出现问题时被动监视VM的访问，而且还要在正常运行期间针对基准性能进行主动监视。

< ">我们还建议使用Azure Monitor来洞察资源的运行状况。Azure Monitor功能：

< ">资源诊断日志文件：监视VM资源并识别可能会损害性能与可用性的潜在问题。

< ">Azure诊断扩展：在Windows VM上提供监视和诊断功能。在Azure资源管理器模板中包含该扩展即可启用这些功能。

< ">不监视VM性能的组织无法确定性能模式的某些变化是正常还是异常。若VM消耗的资源超过平常，可能意味着存在来自外部资源的攻击，或者此VM中有不安全的进程正在运行。

< ">加密虚拟硬盘文件

< ">建议加密虚拟硬盘(VHD)，以帮助保护存储中的静态启动卷和数据卷以及加密密钥和机密。

< ">Azure磁盘加密用于加密Windows和Linux IaaS虚拟机磁盘。Azure磁盘加密使用Windows行业标准的BitLocker功能和Linux的DM-CRYPT功能为OS和数据磁盘提供卷加密。该解决方案与Azure Key Vault集成，帮助用户管理Key Vault订阅中的磁盘加密密钥和机密。此解决方案还可确保虚拟机磁盘上的所有数据在Azure存储中静态加密。

< ">下面是使用Azure磁盘加密的最佳做法：

< ">最佳做法：在VM上启用加密。

< ">详细信息：Azure磁盘加密将生成加密密钥并将其写入密钥保管库。在Key Vault中管理加密密钥需要Azure AD身份验证。为此，请创建Azure AD应用程序。对于身份验证，可以使用基于客户端机密的身份验证或基于客户端证书的Azure AD身份验证。

< ">最佳做法：使用密钥加密密钥(KEK)来为加密密钥提供附加的安全层。将KEK添加到密钥保管库。

< ">详细信息：使用AzKeyVaultKey cmdlet在key vault中创建密钥加密密钥。还可从本地硬件安全模块(HSM)导入KEK以进行密钥管理。有关详细信息，请参阅Key Vault文档。指定密钥加密密钥后，Azure磁盘加密会使用该密钥包装加密机密，然后将机密写入Key Vault。在本地密钥管理HSM中保留此密钥的托管副本，提供额外的保护，防止意外删除密钥。

< ">最佳做法：在加密磁盘之前创建快公关危机是谁解决的照和/或备份。如果加密期间发生意外故障，备份可提供恢复选项。

< ">详细信息：加密之前，需要备份包含托管磁盘的VM。备份之后，可以通过指定“-skipVmBackup”参数，使用“Set-AzVMDiskEncryptionExtension cmdlet”来加密托管磁盘。有关如何备份和还原已加密VM的详细信息，请参阅Azure备份一文。

< ">最佳做法：为确保加密机密不会跨过区域边界，Azure磁盘加密需要将密钥保管库和VM共置在同一区域。

< ">详细信息：在要加密的VM所在的同一区域中创建并使用密钥保管库。

< ">Azure磁盘加密可解决以下业务需求：

< ">使用行业标准的加密技术轻松保护IaaS VM，满足组织的安全性与合规性要求。

< ">IaaS VM会根据客户控制的密钥和策略启动，客户可以在Key Vault中审核密钥和策略的使用方式。

< ">限制直接Internet连接

< ">监视和限制VM直接Internet连接。攻击者会不断地扫描公共云IP范围，寻找开放管理端口，并尝试"轻松"的攻击，如常见密码和已知的修补漏洞。下表列出了有助于防范这些攻击的最佳做法：

< ">最佳做法：防止无意中暴露网络路由和安全性。

< ">详细信息：使用Azure RBAC确保只有中心网络组具有网络资源的权限。

< ">最佳做法：标识并修正允许从"任何"源IP地址进行访问的公开vm。

< ">详细信息：使用Azure安全中心。如果你的任何网络安全组有一个或多个允许从"任何"源IP地址进行访问的入站规则，安全中心将建议你通过面向internet的终结点限制访问。安全中心将建议编辑这些入站规则，以对实际需要访问的源IP地址限制访问。

< ">最佳做法：限制管理端口（RDP、SSH）。

< ">详细信息：实时(JIT)VM访问可以用来锁定发往Azure VM的入站流量，降低遭受攻击的可能性，同时在需要时还允许轻松连接到VM。当JIT时，安全中心会通过创建网络安全组规则来锁定发往Azure VM的入站流量。你需要选择要锁定VM上的哪些端口的入站流量。这些端口将受JIT解决方案控制。