Azure 中 IaaS 工作負(fù)荷的安全性最佳實(shí)踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別-ESG跨境

Azure 中 IaaS 工作負(fù)荷的安全性最佳實(shí)踐,azure 網(wǎng)絡(luò)配置和aws區(qū)別

Azure 中 IaaS 工作負(fù)荷的安全性最佳實(shí)踐

本文介紹了VM和操作系統(tǒng)的安全最佳做法。

最佳做法以觀點(diǎn)的共識(shí)以及Azure平臺(tái)功能和特性集為基礎(chǔ)。由于觀點(diǎn)和技術(shù)會(huì)隨時(shí)改變，本文會(huì)進(jìn)行更新以反映這些變化。

在大多數(shù)基礎(chǔ)結(jié)構(gòu)即服務(wù)(IaaS)方案中，Azure虛擬機(jī)(VM)是使用云計(jì)算的組織的主要工作負(fù)荷。這種事實(shí)在混合方案中十分明顯，組織希望在混合方案中慢慢將工作負(fù)載遷移到云。在這種方案中，應(yīng)遵循IaaS常規(guī)安全注意事項(xiàng)，并向所有VM應(yīng)用安全最佳做法。

通過(guò)身份驗(yàn)證和訪問(wèn)控制保護(hù)VM

保護(hù)VM安全的第一步是確保只有授權(quán)用戶才能設(shè)置新VM以及訪問(wèn)VM。

備注

若要改進(jìn)Azure上Linux VM的安全性，可以與Azure AD身份驗(yàn)證集成。使用適用于Linux VM的Azure AD身份驗(yàn)證時(shí)，可以通過(guò)集中進(jìn)行控制和強(qiáng)制實(shí)施策略來(lái)允許或拒絕對(duì)VM的訪問(wèn)。

最佳做法：控制VM訪問(wèn)。

詳細(xì)信息：使用Azure策略建立組織中的資源約定和創(chuàng)建自定義策略。將這些策略應(yīng)用于資源，如資源組。屬于該資源組的VM將繼承該組的策略。

如果你的組織有多個(gè)訂閱，則可能需要一種方法來(lái)高效地管理這些訂閱的訪問(wèn)權(quán)限、策略和符合性。Azure管理組提供訂閱上的作用域級(jí)別?？蓪⒂嗛喗M織到管理組（容器）中，并將管理?xiàng)l件應(yīng)用到該組。管理組中的所有訂閱都將自動(dòng)繼承應(yīng)用于該組的條件。不管使用什么類(lèi)型的訂閱，管理組都能提供大規(guī)模的企業(yè)級(jí)管理。

最佳做法：減少VM的安裝和部署的可變性。

詳細(xì)信息：使用Azure資源管理器模板增強(qiáng)部署選項(xiàng)，使其更易理解并清點(diǎn)環(huán)境中的VM。

最佳做法：保護(hù)特權(quán)訪問(wèn)。

詳細(xì)信息：使用最低特權(quán)方法和內(nèi)置Azure角色使用戶能夠訪問(wèn)和設(shè)置VM：

虛擬機(jī)參與者：可以管理VM，但無(wú)法管理虛擬機(jī)連接的虛擬網(wǎng)絡(luò)或存儲(chǔ)帳戶。

經(jīng)典虛擬機(jī)參與者：可管理使用經(jīng)典部署模型創(chuàng)建的VM，但無(wú)法管理這些VM連接到的虛擬網(wǎng)絡(luò)或存儲(chǔ)帳戶。

安全管理員：僅在安全中心內(nèi)：可以查看安全策略、查看安全狀態(tài)、編輯安全策略、查看警報(bào)和建議、關(guān)閉警報(bào)和建議。

開(kāi)發(fā)測(cè)試實(shí)驗(yàn)室用戶：可以查看所有內(nèi)容，以及連接、啟動(dòng)、重新啟動(dòng)和關(guān)閉VM。

訂閱管理員和共同管理員可更改此設(shè)置，使其成為訂閱中所有VM的管理員。請(qǐng)確保你信任所有訂閱管理員和共同管理員，以登錄你的任何計(jì)算機(jī)。

備注

建議將具有相同生命周期的VM合并到同一個(gè)資源組中。使用資源組可以部署和監(jiān)視資源，并統(tǒng)計(jì)資源的計(jì)費(fèi)成本。

控制VM訪問(wèn)和設(shè)置的組織可改善其整體VM安全性。

使用多個(gè)VM提高可用性

如果VM運(yùn)行需要具有高可用性的關(guān)鍵應(yīng)用程序，我們強(qiáng)烈建議使用多個(gè)VM。為了獲得更好的可用性，請(qǐng)使用可用性集或可用性區(qū)域。

可用性集是一種邏輯分組功能，在Azure中使用它可以確保將VM資源部署在Azure數(shù)據(jù)中心后，這些資源相互隔離。Azure確?？捎眯约胁渴鸬腣M能夠跨多個(gè)物理服務(wù)器、計(jì)算機(jī)架、存儲(chǔ)單元和網(wǎng)絡(luò)交換機(jī)運(yùn)行。如果出現(xiàn)硬件或Azure軟件故障，只有一部分VM會(huì)受到影響，整體應(yīng)用程序仍可供客戶使用。如果想要構(gòu)建可靠的云解決方案，可用性集是一項(xiàng)關(guān)鍵功能。

防范惡意軟件

應(yīng)安裝反惡意軟件保護(hù)，以幫助識(shí)別和刪除病毒、間諜軟件和其他惡意軟件?？砂惭bMicrosoft反惡意軟件或Microsoft合作伙伴的終結(jié)點(diǎn)保護(hù)解決方案（Trend Micro、Broadcom、McAfee、Windows Defender和System Center Endpoint Protection）。

Microsoft反惡意軟件包括實(shí)時(shí)保護(hù)、計(jì)劃掃描、惡意軟件修正、簽名更新、引擎更新、示例報(bào)告和排除事件收集等功能。對(duì)于與生產(chǎn)環(huán)境分開(kāi)托管的環(huán)境，可以使用反惡意軟件擴(kuò)展來(lái)幫助保護(hù)VM和云服務(wù)。

可將Microsoft反惡意軟件和合作伙伴解決方案與Azure安全中心集成，以方便部署和內(nèi)置檢測(cè)（警報(bào)和事件）。

最佳做法：安裝反惡意軟件解決方案，以防范惡意軟件。

詳細(xì)信息：安裝Microsoft合作伙伴解決方案或Microsoft反惡意軟件

最佳做法：將反惡意軟件解決方案與安全中心集成，以監(jiān)視保護(hù)狀態(tài)。

詳細(xì)信息：使用安全中心管理終結(jié)點(diǎn)保護(hù)問(wèn)題

管理VM更新

與所有本地VM一樣，Azure VM應(yīng)由用戶管理。Azure不會(huì)向他們推快遞Windows更新。你需要管理VM更新。

最佳做法：使VM保持最新。

詳細(xì)信息：使用Azure自動(dòng)化中的更新管理解決方案，為部署在Azure、本地環(huán)境或其他云提供程序中的Windows和Linux計(jì)算機(jī)管理操作系統(tǒng)更新?？梢钥焖僭u(píng)估所有代理計(jì)算機(jī)上可用更新的狀態(tài)，并管理為服務(wù)器安裝所需更新的過(guò)程。

由更新管理托管的計(jì)算機(jī)使用以下配置執(zhí)行評(píng)估和更新部署：

用于Windows或Linux的Microsoft監(jiān)視代理(MMA)

用于Linux的PowerShell所需狀態(tài)配置(DSC)

自動(dòng)化混合Runbook輔助角色

適用于Windows計(jì)算機(jī)的Microsoft更新或Windows Server更新服務(wù)(WSUS)

若使用Windows更新，請(qǐng)啟用Windows自動(dòng)更新設(shè)置。

最佳做法：在部署時(shí)，確保構(gòu)建的映像包含最新一輪的Windows更新。

詳細(xì)信息：每個(gè)部署的第一步應(yīng)是檢查和安裝所有Windows更新。在部署自己或庫(kù)中提供的映像時(shí)，采用此措施就特別重要。雖然默認(rèn)情況下會(huì)自動(dòng)更新Azure市場(chǎng)中的映像，但公開(kāi)發(fā)布后可能會(huì)有延遲（最多幾周）。

最佳做法：定期重新部署VM以強(qiáng)制刷新操作系統(tǒng)版本。

詳細(xì)信息：使用Azure資源管理器模板定義VM，以便輕松地重新部署。使用模板可在需要時(shí)提供已修補(bǔ)且安全的VM。

最佳做法：快速對(duì)VM應(yīng)用安全更新。

詳細(xì)信息：?jiǎn)⒂肁zure安全中心（免費(fèi)層或標(biāo)準(zhǔn)層）以識(shí)別缺少的安全更新并應(yīng)用這些安全更新。

最佳做法：安裝最新的安全更新。

詳細(xì)信息：客戶移到Azure的部分首批工作負(fù)荷為實(shí)驗(yàn)室和面向外部的系統(tǒng)。如果Azure VM托管需要訪問(wèn)Internet的應(yīng)用程序或服務(wù)，則需要警惕修補(bǔ)。修補(bǔ)不僅僅包括操作系統(tǒng)。合作伙伴應(yīng)用程序上未修補(bǔ)的漏洞還可能導(dǎo)致一些問(wèn)題，而如果實(shí)施良好的修補(bǔ)程序管理，就可以避免這些問(wèn)題。

最佳做法：部署并測(cè)試一個(gè)備份解決方案。

詳細(xì)信息：需要按照處理任何其他操作的相同方法處理備份。這適合于屬于擴(kuò)展到云的生產(chǎn)環(huán)境的系統(tǒng)。

測(cè)試和開(kāi)發(fā)系統(tǒng)必須遵循備份策略，這些策略可以根據(jù)用戶的本地環(huán)境體驗(yàn)，提供與用戶習(xí)慣的功能類(lèi)似的存儲(chǔ)功能。如果可能，遷移到Azure的生產(chǎn)工作負(fù)荷應(yīng)與現(xiàn)有的備份解決方案集成。或者，可以使用Azure備份來(lái)幫助解決備份要求。

未實(shí)施軟件更新策略的組織面臨更多利用已修復(fù)的已知漏洞的威脅。為了遵守行業(yè)法規(guī)，公司還必須證明他們?cè)诓粩嘧鞒鱿鄳?yīng)努力并使用正確的安全控制機(jī)制來(lái)幫助確保云中工作負(fù)載的安全性。

傳統(tǒng)數(shù)據(jù)中心與Azure IaaS之間的軟件更新最佳做法存在許多相似之處。建議評(píng)估當(dāng)前的軟件更新策略，將位于Azure中的VM包含在內(nèi)。

管理VM安全狀況

網(wǎng)絡(luò)威脅不斷加劇。保護(hù)VM需要監(jiān)視功能，以便快速檢測(cè)威脅、防止有人未經(jīng)授權(quán)訪問(wèn)資源、觸發(fā)警報(bào)并減少誤報(bào)。

若要監(jiān)視Windows和Linux VM的安全狀況，可以使用Azure安全中心?？梢岳冒踩行牡囊韵鹿δ軄?lái)保護(hù)VM：

應(yīng)用包含建議的配置規(guī)則的OS安全設(shè)置。

識(shí)別并下載可能缺少的系統(tǒng)安全更新和關(guān)鍵更新。

部署終結(jié)點(diǎn)反惡意軟件防護(hù)建議措施。

驗(yàn)證磁盤(pán)加密。

評(píng)估并修正漏洞。

檢測(cè)威脅。

安全中心可主動(dòng)監(jiān)視威脅，并通過(guò)“安全警報(bào)”公開(kāi)潛在的威脅。關(guān)聯(lián)的威脅將合并到名為“安全事件”的單個(gè)視圖中。

安全中心將數(shù)據(jù)存儲(chǔ)在Azure Monitor日志中。Azure Monitor日志提供查詢語(yǔ)言和分析引擎，讓你能夠深入了解應(yīng)用程序和資源的操作。數(shù)據(jù)也是從Azure Monitor、管理解決方案以及安裝在虛擬機(jī)（云中或本地）上的代理收集的數(shù)據(jù)?？梢酝ㄟ^(guò)此共享功能全面了解自己的環(huán)境。

沒(méi)有為VM實(shí)施強(qiáng)大安全措施的組織將意識(shí)不到未經(jīng)授權(quán)的用戶可能試圖繞過(guò)安全控制機(jī)制。

監(jiān)視VM性能

如果VM進(jìn)程消耗的資源多過(guò)實(shí)際所需的量，可能會(huì)造成資源濫用的問(wèn)題。VM性能問(wèn)題可能會(huì)導(dǎo)致服務(wù)中斷，從而違反可用性安全原則。這對(duì)于托管IIS或其他Web服務(wù)器的VM尤其重要，因?yàn)镃PU或內(nèi)存占用較高可能意味著遭到拒絕服務(wù)(DoS)攻擊。不僅要在出現(xiàn)問(wèn)題時(shí)被動(dòng)監(jiān)視VM的訪問(wèn)，而且還要在正常運(yùn)行期間針對(duì)基準(zhǔn)性能進(jìn)行主動(dòng)監(jiān)視。

我們還建議使用Azure Monitor來(lái)洞察資源的運(yùn)行狀況。Azure Monitor功能：

資源診斷日志文件：監(jiān)視VM資源并識(shí)別可能會(huì)損害性能與可用性的潛在問(wèn)題。

Azure診斷擴(kuò)展：在Windows VM上提供監(jiān)視和診斷功能。在Azure資源管理器模板中包含該擴(kuò)展即可啟用這些功能。

不監(jiān)視VM性能的組織無(wú)法確定性能模式的某些變化是正常還是異常。若VM消耗的資源超過(guò)平常，可能意味著存在來(lái)自外部資源的攻擊，或者此VM中有不安全的進(jìn)程正在運(yùn)行。

加密虛擬硬盤(pán)文件

建議加密虛擬硬盤(pán)(VHD)，以幫助保護(hù)存儲(chǔ)中的靜態(tài)啟動(dòng)卷和數(shù)據(jù)卷以及加密密鑰和機(jī)密。

Azure磁盤(pán)加密用于加密Windows和Linux IaaS虛擬機(jī)磁盤(pán)。Azure磁盤(pán)加密使用Windows行業(yè)標(biāo)準(zhǔn)的BitLocker功能和Linux的DMCRYPT功能為OS和數(shù)據(jù)磁盤(pán)提供卷加密。該解決方案與Azure Key Vault集成，幫助用戶管理Key Vault訂閱中的磁盤(pán)加密密鑰和機(jī)密。此解決方案還可確保虛擬機(jī)磁盤(pán)上的所有數(shù)據(jù)在Azure存儲(chǔ)中靜態(tài)加密。

下面是使用Azure磁盤(pán)加密的最佳做法：

最佳做法：在VM上啟用加密。

詳細(xì)信息：Azure磁盤(pán)加密將生成加密密鑰并將其寫(xiě)入密鑰保管庫(kù)。在Key Vault中管理加密密鑰需要Azure AD身份驗(yàn)證。為此，請(qǐng)創(chuàng)建Azure AD應(yīng)用程序。對(duì)于身份驗(yàn)證，可以使用基于客戶端機(jī)密的身份驗(yàn)證或基于客戶端證書(shū)的Azure AD身份驗(yàn)證。

最佳做法：使用密鑰加密密鑰(KEK)來(lái)為加密密鑰提供附加的安全層。將KEK添加到密鑰保管庫(kù)。

詳細(xì)信息：使用AzKeyVaultKey cmdlet在key vault中創(chuàng)建密鑰加密密鑰。還可從本地硬件安全模塊(HSM)導(dǎo)入KEK以進(jìn)行密鑰管理。有關(guān)詳細(xì)信息，請(qǐng)參閱Key Vault文檔。指定密鑰加密密鑰后，Azure磁盤(pán)加密會(huì)使用該密鑰包裝加密機(jī)密，然后將機(jī)密寫(xiě)入Key Vault。在本地密鑰管理HSM中保留此密鑰的托管副本，提供額外的保護(hù)，防止意外刪除密鑰。

最佳做法：在加密磁盤(pán)之前創(chuàng)建快照和/或備份。如果加密期間發(fā)生意外故障，備份可提供恢復(fù)選項(xiàng)。

詳細(xì)信息：加密之前，需要備份包含托管磁盤(pán)的VM。備份之后，可以通過(guò)指定“skipVmBackup”參數(shù)，使用“SetAzVMDiskEncryptionExtension cmdlet”來(lái)加密托管磁盤(pán)。有關(guān)如何備份和還原已加密VM的詳細(xì)信息，請(qǐng)參閱Azure備份一文。

最佳做法：為確保加密機(jī)密不會(huì)跨過(guò)區(qū)域邊界，Azure磁盤(pán)加密需要將密鑰保管庫(kù)和VM共置在同一區(qū)域。

詳細(xì)信息：在要加密的VM所在的同一區(qū)域中創(chuàng)建并使用密鑰保管庫(kù)。

Azure磁盤(pán)加密可解決以下業(yè)務(wù)需求：

使用行業(yè)標(biāo)準(zhǔn)的加密技術(shù)輕松保護(hù)IaaS VM，滿足組織的安全性與合規(guī)性要求。

IaaS VM會(huì)根據(jù)客戶控制的密鑰和策略啟動(dòng)，客戶可以在Key Vault中審核密鑰和策略的使用方式。

限制直接Internet連接

監(jiān)視和限制VM直接Internet連接。攻擊者會(huì)不斷地掃描公共云IP范圍，尋找開(kāi)放管理端口，并嘗試輕松的攻擊，如常見(jiàn)密碼和已知的修補(bǔ)漏洞。下表列出了有助于防范這些攻擊的最佳做法：

最佳做法：防止無(wú)意中暴露網(wǎng)絡(luò)路由和安全性。

詳細(xì)信息：使用Azure RBAC確保只有中心網(wǎng)絡(luò)組具有網(wǎng)絡(luò)資源的權(quán)限。

最佳做法：標(biāo)識(shí)并修正允許從任何源IP地址進(jìn)行訪問(wèn)的公開(kāi)vm。

詳細(xì)信息：使用Azure安全中心。如果你的任何網(wǎng)絡(luò)安全組有一個(gè)或多個(gè)允許從任何源IP地址進(jìn)行訪問(wèn)的入站規(guī)則，安全中心將建議你通過(guò)面向internet的終結(jié)點(diǎn)限制訪問(wèn)。安全中心將建議編輯這些入站規(guī)則，以對(duì)實(shí)際需要訪問(wèn)的源IP地址限制訪問(wèn)。

最佳做法：限制管理端口（RDP、SSH）。

詳細(xì)信息：實(shí)時(shí)(JIT)VM訪問(wèn)可以用來(lái)鎖定發(fā)往Azure VM的入站流量，降低遭受攻擊的可能性，同時(shí)在需要時(shí)還允許輕松連接到VM。當(dāng)JIT時(shí)，安全中心會(huì)通過(guò)創(chuàng)建網(wǎng)絡(luò)安全組規(guī)則來(lái)鎖定發(fā)往Azure VM的入站流量。你需要選擇要鎖定VM上的哪些端口的入站流量。這些端口將受JIT解決方案控制。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。