Azure 中高度敏感的 IaaS 應用的安全注意事項Azure 中高度敏感的 IaaS 應用的安全注意事項將基礎(chǔ)結(jié)構(gòu)即服務 (IaaS)應用部署到 Azure 時,有許多安全注意事項。 本文基于基于虛擬機的工作負荷和混合網(wǎng)絡基礎(chǔ)結(jié)構(gòu)的參考體系結(jié)構(gòu),重點介紹 azure 中基于azure 安全基礎(chǔ)的高度敏感 IaaS ......
將基礎(chǔ)結(jié)構(gòu)即服務 (IaaS)應用部署到 Azure 時,有許多安全注意事項。 本文基于基于虛擬機的工作負荷和混合網(wǎng)絡基礎(chǔ)結(jié)構(gòu)的參考體系結(jié)構(gòu),重點介紹 azure 中基于azure 安全基礎(chǔ)的高度敏感 IaaS 工作負荷的安全性。
另請參閱 azure虛擬機安全概述和azure 中 IaaS 工作負荷的安全最佳方案。
Azure 計算平臺基于計算機虛擬化。虛擬機監(jiān)控程序在每個 Azure 節(jié)點或網(wǎng)絡終結(jié)點的物理硬件上運行,并在節(jié)點中 (vm) 創(chuàng)建可變數(shù)量的來賓hyperv 虛擬機。 所有用戶代碼都在 Vm 上執(zhí)行。 有關(guān)基本 azure VM 部署說明,請參閱在 azure 上運行 Linux VM或在 azure 上運行 Windows VM。 對于兩個操作系統(tǒng) (OSs) ,大多數(shù)部署過程都是相同的,但特定于操作系統(tǒng)的工具(如磁盤加密)可能不同。
可以使用Azure 安全中心進行 VM 修補管理并部署和監(jiān)視反惡意軟件工具。 或者,你可以管理自己的或第三方修補和反惡意軟件工具,這在將現(xiàn)有基礎(chǔ)結(jié)構(gòu)擴展或遷移到 Azure 時很常見。
Microsoft 在 Azure 平臺中提供基本的分布式拒絕服務 (DDoS)保護。 具有公共終結(jié)點的應用可以使用標準的Azure DDoS 保護來提供額外的保護。 但是,高度敏感的工作負荷通常不具有公共終結(jié)點,只能通過虛擬專用網(wǎng)絡 (VPN)或租用線路來訪問特定位置。
許多 IaaS 應用程序由多個層組成,如跨多個 Vm 托管的 web 層、業(yè)務層和數(shù)據(jù)層。 在 Azure Vm 上部署n 層應用程序體系結(jié)構(gòu)的關(guān)鍵方面包括:
高可用性(HA) 。 HA 應用在超過99.9% 的時間內(nèi)必須可用。 在不同的 Azure可用性 (區(qū)域中放置 AZs) 可確保 HA,因為 AZs 跨一個或多個數(shù)據(jù)中心,通過抵抗數(shù)據(jù)中心故障提供復原能力。 不支持 AZs 的區(qū)域可以使用 (類) 的可用性集,該將 vm 分布到多個獨立的硬件節(jié)點。
負載均衡。負載均衡器在 vm 之間分配流量,平衡負載并在 VM 發(fā)生故障時進行復原。 如果應用程序管理負載均衡,并為調(diào)用方識別單個 Vm,則不需要負載均衡器。
虛擬網(wǎng)絡。虛擬網(wǎng)絡和子網(wǎng)將網(wǎng)絡分段,從而實現(xiàn)更輕松的安全管理和高級路由。
域名系統(tǒng) (DNS)。Azure DNS提供高度可用且安全的 DNS 服務。 使用 Azure DNS 中的專用區(qū)域可以在虛擬網(wǎng)絡中使用自定義域。
若要防止人為錯誤、惡意數(shù)據(jù)刪除和勒索軟件,你應該至少備份數(shù)據(jù)層 Vm。Azure 備份可以備份和還原加密的 vm(如果它可以訪問 Azure Key Vault 中的加密密鑰)。
對于 web 和企業(yè)層,你可以使用虛擬機規(guī)模集自動縮放規(guī)則來自動銷毀已泄露的 vm,并從基本映像部署新的 VM 實例。
在每個 Azure 節(jié)點或網(wǎng)絡終結(jié)點上,虛擬機監(jiān)控程序和特殊的根 OS 確保來賓 Vm 無法訪問物理主機服務器,用戶代碼僅在來賓 Vm 上執(zhí)行。 這種隔離可防止用戶獲取對系統(tǒng)的原始讀取、寫入或執(zhí)行訪問權(quán)限,并減輕共享資源的風險。 Azure 通過虛擬機監(jiān)控程序和高級 VM 布局算法防止所有已知的兩側(cè)通道攻擊和干擾鄰居。 有關(guān)詳細信息,請參閱計算隔離。
對于高度敏感的工作負載,你可以針對隔離的 vm或?qū)S弥鳈C,添加對側(cè)通道攻擊的額外保護。
獨立 Vm 是與特定硬件類型隔離并專用于單個客戶的大型 VM 大小。 使用隔離的 VM 大小可保證你的 VM 是在特定服務器實例上運行的唯一 VM。 可以使用Azure 支持嵌套虛擬機進一步細分隔離 vm 的資源。
獨立 VM 的最小大小為64虛擬 CPU 核心和 256 GiB 的內(nèi)存。 這些 Vm 遠遠大于大多數(shù) n 層應用程序所需的數(shù)量,并可能產(chǎn)生較大的成本開銷。 為了降低開銷,可以在具有嵌套虛擬化的單個 VM 上運行多個應用層,或者在不同的進程或容器中運行。 你仍需要在 AZs 中部署不同的 Vm 以進行復原,并在不同的 Vm 上(DMZ) 設(shè)備上運行隔離區(qū)。 出于經(jīng)濟原因?qū)⒍鄠€應用組合到一個基礎(chǔ)結(jié)構(gòu)上可能還會與組織應用隔離策略發(fā)生沖突。
隨著 Azure 區(qū)域功能的擴展,Azure 還可以從特定的 VM 大小中刪除隔離保障,只需要一年的通知即可。
Azure 專用主機是適用于高敏感度工作負載的首選計算隔離解決方案。 專用主機是專用于一個客戶的物理服務器,用于托管多個虛擬機。 除隔離 Vm 外,專用主機還允許控制維護和 VM 位置,以避免鄰居干擾。
專用主機的最小大小和多個大小因素與隔離的 Vm 相同。 不過,專用主機可以托管位于不同虛擬網(wǎng)絡中的 Vm,以滿足應用程序隔離策略的需要。 你仍應在另一臺主機上運行DMZvm,以防止任何側(cè)通道攻擊發(fā)生在 DMZ 中的受入侵 VM。
數(shù)據(jù)加密是保護工作負荷的重要組成部分。 加密對信息進行編碼,因此只有授權(quán)的接收方可以使用密鑰或證書對其進行解碼。 加密包括磁盤加密,適用于靜態(tài)靜態(tài)數(shù)據(jù)和傳輸級安全 (TLS),用于通過網(wǎng)絡進行的加密傳輸。
你可以通過將加密密鑰和證書存儲在Azure Key Vault中,將其存儲在 (HSM) 解決方案驗證為聯(lián)邦信息處理標準 (FIPS) 1402 級別2的云硬件安全模塊中。 有關(guān)僅允許已授權(quán)的應用程序和用戶訪問 Key Vault 的最佳實踐,請參閱保護對密鑰保管庫的訪問。
若要保護 Key Vault 中的密鑰,可以啟用軟刪除,這可確保刪除的密鑰是可恢復的。 為了進一步保護,你可以將單個密鑰備份到可用于還原密鑰的加密文件,這可能是同一地理位置的另一 Azure 區(qū)域。
當在 VM 上托管 SQL Server 時,可以使用用于 Microsoft Azure Key Vault 的 SQL Server 連接器獲取透明數(shù)據(jù)加密的密鑰 (TDE)、列級加密 (CLE)和備份加密。 有關(guān)詳細信息,請參閱為Azure 虛擬機上的 SQL Server 配置 Azure Key Vault 集成。
Azure 磁盤加密使用 BitLocker 外部密鑰保護程序為 Azure Vm 的 OS 和數(shù)據(jù)磁盤提供卷加密,并可與 Azure Key Vault 集成,以幫助你控制和管理磁盤加密密鑰和機密。 每個 VM 都會生成自己的加密密鑰,并將其存儲在 Azure Key Vault 中。 若要配置 Azure Key Vault 以啟用 Azure 磁盤加密,請參閱創(chuàng)建和配置 Azure 磁盤加密的密鑰保管庫。
對于高度敏感的工作負載,還應使用(KEK) 的密鑰加密密鑰,以實現(xiàn)額外的安全性。 指定 KEK 時,Azure 磁盤加密將使用該密鑰在寫入到 Key Vault 之前包裝加密機密。 可以 Azure Key Vault 生成 KEK,但更安全的方法是在本地 HSM 中生成密鑰并將其導入到 Azure Key Vault 中。 這種情況通常被稱為自帶密鑰,簡稱 BYOK。 由于導入的密鑰不能離開 HSM 邊界,因此在 HSM 中生成密鑰可確保你完全控制加密密鑰。
有關(guān)受 HSM 保護的密鑰的詳細信息,請參閱如何為 Azure Key Vault 生成和傳輸受 hsm 保護的密鑰。
類似于 HTTPS 的網(wǎng)絡協(xié)議會加密傳輸中的數(shù)據(jù)和證書。 客戶端到應用程序通信通常使用受信任的證書頒發(fā)機構(gòu)頒發(fā)的證書 (CA)。 內(nèi)部應用可以使用內(nèi)部 CA 或公共 CA (如 DigiCert 或 GlobalSign)中的證書。 層到層通信通常使用由內(nèi)部 CA 頒發(fā)的證書或自簽名證書。 Azure Key Vault 可以容納其中的任何證書類型。 有關(guān)創(chuàng)建不同證書類型的詳細信息,請參閱證書創(chuàng)建方法。
Azure Key Vault 可以用作層到層流量的自簽名證書 CA。KEY VAULT vm 擴展可在 vm 上使用或不使用私鑰來監(jiān)視和自動刷新指定的證書,具體取決于用例。 若要使用 Key Vault VM 擴展,請參閱適用于Linux 的 Key Vault 虛擬機擴展或適用于 Windows 的 Key Vault 虛擬機擴展。
Key Vault 還可以存儲不使用證書的網(wǎng)絡協(xié)議密鑰。 自定義工作負荷可能需要編寫自定義腳本擴展的腳本,從 Key Vault 檢索密鑰,并將其存儲起來供應用程序使用。 應用還可以使用 VM 的托管標識直接從 Key Vault 檢索機密。
(Nsg 的網(wǎng)絡安全組) 在 Azure 虛擬網(wǎng)絡中的資源之間篩選流量。 NSG 安全規(guī)則根據(jù) IP 地址和端口允許或拒絕進出 Azure 資源的網(wǎng)絡流量。 默認情況下,Nsg 阻止來自 internet 的入站流量,但允許來自 Vm 的出站連接到 internet。 若要防止意外的出站流量,請?zhí)砑幼畹蛢?yōu)先級為4096的自定義規(guī)則以阻止所有入站和出站流量。 然后,你可以添加優(yōu)先級更高的規(guī)則來允許特定的流量。
Nsg 為現(xiàn)有連接創(chuàng)建流記錄,并根據(jù)流記錄的連接狀態(tài)允許或拒絕通信。 流記錄允許 NSG 是有狀態(tài)的。 例如,如果為端口443上的任何地址指定出站安全規(guī)則,則無需同時為響應指定入站安全規(guī)則。 僅當在外部啟動通信時,才需要指定入站安全規(guī)則。
大多數(shù) Azure 服務都允許使用虛擬網(wǎng)絡服務標記,而不是 NSG。 服務標記代表 Azure 服務中的一組 IP 地址前綴,有助于最大程度地減少網(wǎng)絡安全規(guī)則更新的復雜性。 Azure Key Vault 服務標記可以允許 VM 從 Azure Key Vault 檢索證書、密鑰和機密。
控制網(wǎng)絡安全的另一種方法是通過虛擬網(wǎng)絡流量路由和強制隧道。 Azure 自動創(chuàng)建系統(tǒng)路由,并將路由分配到虛擬網(wǎng)絡中的每個子網(wǎng)。 無法創(chuàng)建或刪除系統(tǒng)路由,但可以使用自定義路由替代某些系統(tǒng)路由。 使用自定義路由,你可以通過網(wǎng)絡虛擬設(shè)備路由流量 (NVA)如防火墻或代理,或刪除不需要的流量,這與使用 NSG 阻止流量類似。
可以使用 Nva 等Azure 防火墻來允許、阻止和檢查網(wǎng)絡流量。 Azure 防火墻是一種托管的、高度可用的平臺防火墻服務。 你還可以從Azure Marketplace部署第三方 nva。 若要使這些 Nva 高度可用,請參閱部署高度可用的網(wǎng)絡虛擬設(shè)備。
若要在虛擬網(wǎng)絡內(nèi)篩選應用程序?qū)又g的流量,請使用 (Asg) 的應用程序安全組。 Asg 使你可以將網(wǎng)絡安全配置為應用程序結(jié)構(gòu)的擴展,使你能夠?qū)?Vm 進行分組,并根據(jù)組定義網(wǎng)絡安全策略。 你可以大規(guī)模重復使用安全策略,而無需手動維護顯式 IP 地址。
因為 Asg 應用于網(wǎng)絡接口而不是子網(wǎng),所以它們會啟用微細分。 你可以嚴格控制哪些 Vm 可以相互通信,甚至會阻止同一層中 Vm 之間的流量,并通過從該 VM 刪除 Asg 來輕松隔離 VM。
混合體系結(jié)構(gòu)將本地網(wǎng)絡與 Azure 等公有云連接起來。 可以通過多種方式將本地網(wǎng)絡連接到在 Azure 中運行的應用程序:
Internet 上的公共終結(jié)點。 可以依賴標識、傳輸級別安全 (HTTPS) 和應用程序網(wǎng)關(guān)來保護應用程序(可能與防火墻結(jié)合)。 但對于高度敏感的工作負載,不建議通過 internet 公開公共終結(jié)點。
Azure 或第三方 VPN 網(wǎng)關(guān)。 可以使用AZURE VPN 網(wǎng)關(guān)將本地網(wǎng)絡連接到 Azure。 流量仍通過 internet 傳播,但通過使用 TLS 的加密隧道。 如果 Azure VPN 網(wǎng)關(guān)不支持特定要求,還可以在 VM 中運行第三方網(wǎng)關(guān)。
ExpressRoute。ExpressRoute連接通過第三方連接提供商使用專用連接。 專用連接將本地網(wǎng)絡擴展到 Azure,并 (SLA) 提供可伸縮性和可靠服務級別協(xié)議。
具有 VPN 故障轉(zhuǎn)移的 ExpressRoute。 此選項在正常情況下使用 ExpressRoute,但如果在 ExpressRoute 線路中出現(xiàn)連接中斷,則會故障轉(zhuǎn)移到 VPN 連接,從而提供更高的可用性。
基于 ExpressRoute 的 VPN。 此選項最適合高敏感度工作負荷。 ExpressRoute 提供具有可伸縮性和可靠性的專用線路,VPN 提供額外的保護層,可在特定的 Azure 虛擬網(wǎng)絡中終止加密的連接。
有關(guān)在不同類型的混合連接之間進行選擇的更多指導,請參閱選擇用于將本地網(wǎng)絡連接到 Azure 的解決方案。
連接本地和 Azure 環(huán)境可讓本地用戶訪問 Azure 應用程序。 外圍網(wǎng)絡或外圍網(wǎng)絡區(qū)域 (DMZ)為高度敏感的工作負荷提供額外的保護。
Azure 與本地數(shù)據(jù)中心之間網(wǎng)絡外圍網(wǎng)絡之間的體系結(jié)構(gòu)在同一虛擬網(wǎng)絡中部署所有的 DMZ 和應用程序服務,并使用 NSG 規(guī)則和用戶定義的路由來隔離 DMZ 和應用程序子網(wǎng)。 此體系結(jié)構(gòu)可以通過公共 internet 提供管理子網(wǎng),以便在本地網(wǎng)關(guān)不可用的情況下管理應用。 但對于高度敏感的工作負載,只應允許繞過中斷玻璃方案中的網(wǎng)關(guān)。 更好的解決方案是使用Azure 堡壘,這使得直接可以從 Azure 門戶進行訪問,同時限制公共 IP 地址的公開。
你還可以使用實時(JIT) VM 訪問進行遠程管理,同時限制公共 IP 地址的公開。 使用 JIT VM 訪問時,默認情況下,NSG 會阻止遠程管理端口,如遠程桌面協(xié)議 (RDP)和安全 SHELL () SSH。 發(fā)出請求后,JIT VM 訪問僅在指定的時間范圍內(nèi)啟用該端口,可能會為特定的 IP 地址或范圍啟用此端口。 JIT 訪問還適用于僅具有專用 IP 地址的 Vm。 在啟用 JIT VM 訪問之前,可以使用 Azure 堡壘阻止到 VM 的流量。
若要部署更多應用程序,可以在 Azure 中使用中心輻射型網(wǎng)絡拓撲,并在中心虛擬網(wǎng)絡中使用外圍網(wǎng)絡,并在輻射虛擬網(wǎng)絡中使用應用程序。 中心虛擬網(wǎng)絡可以包含 VPN 和/或 ExpressRoute 網(wǎng)關(guān)、防火墻 NVA、管理主機、標識基礎(chǔ)結(jié)構(gòu)和其他共享服務。 輻射虛擬網(wǎng)絡通過虛擬網(wǎng)絡對等互連連接到中心。 Azure 虛擬網(wǎng)絡不允許跨中心從一個分支傳遞到另一個分支的傳遞路由。 僅可通過集線器中的防火墻設(shè)備進行輻射到輻射的通信。 這種體系結(jié)構(gòu)有效地將應用程序隔離開來。
業(yè)務連續(xù)性和災難恢復可能需要跨多個 Azure 區(qū)域部署應用程序,這可能會影響數(shù)據(jù)駐留和安全性。 有關(guān)多區(qū)域部署的參考體系結(jié)構(gòu),請參閱在多個 Azure 區(qū)域中運行 N 層應用程序以實現(xiàn)高可用性。
Azure 地理位置是世界上定義的一種區(qū)域,其中包含至少一個 Azure 區(qū)域,每個區(qū)域有一個或多個數(shù)據(jù)中心。 每個 Azure 區(qū)域與同一地理位置中的另一個區(qū)域配對。 區(qū)域?qū)Σ粫瑫r更新,并且如果發(fā)生災難,這兩個區(qū)域的優(yōu)先級均為第一項。 對于業(yè)務連續(xù)性,如果在多個區(qū)域部署,則應將高度敏感的應用至少部署到區(qū)域?qū)Α?/p>
有關(guān)更多詳細信息,請參閱業(yè)務連續(xù)性和災難恢復 (BCDR) : Azure 配對區(qū)域。 白皮書實現(xiàn)符合性的數(shù)據(jù)派駐和安全性Azure 討論了數(shù)據(jù)駐留,還討論了如何滿足數(shù)據(jù)駐留要求。
在 IaaS 體系結(jié)構(gòu)中,在區(qū)域之間復制數(shù)據(jù)是應用程序的責任。 最常見的復制方案使用數(shù)據(jù)庫服務器產(chǎn)品中內(nèi)置的數(shù)據(jù)庫復制技術(shù),如SQL Server Always On 可用性組、Oracle 數(shù)據(jù)防護或MySQL 復制。
在 IaaS 數(shù)據(jù)庫服務器之間設(shè)置復制并不簡單,您需要考慮業(yè)務連續(xù)性要求。 Azure 數(shù)據(jù)庫服務(例如Azure SQL 數(shù)據(jù)庫、Azure Database for MySQL 和Cosmos DB在區(qū)域之間進行復制更簡單,但可能不滿足高度敏感的工作負載的安全要求。
有關(guān)多區(qū)域 SQL Server 和 Oracle 部署的詳細信息和指南,請參閱:
在位于不同區(qū)域的 Azure SQL Server 虛擬機上配置可用性組
在 Azure 環(huán)境下的 Oracle Database 12c 數(shù)據(jù)庫災難恢復
可以通過使用全局虛擬網(wǎng)絡對等互連在不同區(qū)域的虛擬網(wǎng)絡之間啟用安全通信。 全局對等互連與在區(qū)域內(nèi)對等互連的工作方式相同。 區(qū)域之間的流量通過 Microsoft 主干運行,不遍歷 internet,并與其他流量隔離。 為了獲得更高的安全性,可以在這兩個區(qū)域中部署 VPN Nva,并使用用戶定義的路由來強制 nva 上各區(qū)域之間的流量,類似于部署外圍網(wǎng)絡。
使用公用終結(jié)點,可以使用流量管理員或Azure 前門將流量定向到主動主動故障轉(zhuǎn)移配置中的活動區(qū)域或最近的區(qū)域。 但是,流量管理員和 Azure 前端都需要公共終結(jié)點來監(jiān)視可用性,并且它們對應的 DNS 條目是公共的。 對于高度敏感的工作負載,替代解決方案是在本地部署 DNS,并將條目更改為活動區(qū)域以進行故障轉(zhuǎn)移。
保護高度敏感的 IaaS 應用不僅僅需要部署正確的體系結(jié)構(gòu)和實現(xiàn)網(wǎng)絡安全規(guī)則。 由于云環(huán)境很容易改變,因此,確保只能在某些權(quán)限和安全策略的邊界內(nèi)進行更改,這一點特別重要。 例如,你必須防止惡意執(zhí)行組件無法更改網(wǎng)絡安全規(guī)則以允許來自 internet 的流量。
若要在 Azure 中部署工作負荷,需要一個或多個管理帳戶。 保護管理帳戶對于保護工作負荷至關(guān)重要。 有關(guān)詳細信息,請參閱在 Azure AD 中保護混合和云部署的特權(quán)訪問。
使用管理子網(wǎng)中的資源僅向需要管理該層的用戶授予應用層訪問權(quán)限。 例如,可以將Microsoft Identity Manager與 Azure Active Directory (Azure AD) 一起使用。 但對于云本機方案,Azure ADPrivileged Identity Management(PIM) 是首選的。
還可以通過多種方法控制 Azure 角色和策略:
Azure 資源的 azureRBAC) (azure 基于角色的訪問控制可將內(nèi)置或自定義角色分配給用戶,因此他們只擁有所需的特權(quán)。 可以結(jié)合使用 Azure RBAC 與 PIM 來實現(xiàn)在有限時間段內(nèi)提升權(quán)限的審核的審批工作流。
策略強制實施公司規(guī)則、標準和 Sla。Azure 策略是一種 azure 服務,可用于創(chuàng)建、分配和管理策略,并評估資源的策略符合性。
Azure 藍圖結(jié)合角色分配、策略分配和部署模板來定義一組可復制的 Azure 資源,這些資源可實現(xiàn)并遵循組織的標準、模式和要求。 藍圖是一種聲明性方式,用于協(xié)調(diào)資源模板和其他項目的部署。 你可以自己創(chuàng)建藍圖,也可以利用現(xiàn)有藍圖。 例如,ISO 27001 共享服務藍圖會部署一個共享服務中心,你可以修改并擴展該中心,并滿足組織的要求。
Azure 安全中心提供監(jiān)視和警報,幫助你維護環(huán)境的安全性。 免費服務會自動檢查漏洞,例如缺少 OS 修補程序、安全配置錯誤和基本網(wǎng)絡安全。 標準付費版本提供了其他功能,例如行為分析、自適應網(wǎng)絡強化和JIT VM 訪問。 有關(guān)功能的完整列表,請參閱計算機的功能覆蓋范圍。 安全中心還為其他資源(如安全中心)Azure Key Vault。
可以使用Azure Monitor進一步監(jiān)視和分析。 若要監(jiān)視標識和訪問,可以將Azure AD日志路由到 Azure Monitor。還可以監(jiān)視VM、網(wǎng)絡和Azure 防火墻,并分析具有強大日志查詢功能導入的日志。 你可以將Azure Monitor安全信息和事件管理器 (SIEM) (可以是第三方SIEM或Azure Sentinel)。
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部