Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
195 lines (134 sloc) 23.7 KB
title description services documentationcenter author manager editor ms.assetid ms.service ms.devlang ms.topic ms.tgt_pltfrm ms.workload ms.date ms.author ms.openlocfilehash ms.sourcegitcommit ms.translationtype ms.contentlocale ms.lasthandoff ms.locfileid
Säkerhetsmetodtips för IaaS-arbetsbelastningar i Azure | Microsoft Docs
Migrering av arbetsbelastningar till Azure IaaS ger dig möjligheter att omvärdera våra design
security
na
barclayn
MBaldwin
TomSh
02c5b7d2-a77f-4e7f-9a1e-40247c57e7e2
security
na
article
na
na
05/05/2019
barclayn
f4b2506781df5572ddaff8dda34bf3edab8987be
d4dfbc34a1f03488e1b7bc5e711a11b72c717ada
MT
sv-SE
06/13/2019
65145208

Rekommenderade säkerhetsmetoder för IaaS-arbetsbelastningar i Azure

Den här artikeln beskriver rekommenderade säkerhetsmetoder för virtuella datorer och operativsystem.

De bästa metoderna är baserade på en enhälligt av åsikter och de fungerar med den aktuella Azure-plattformsfunktioner och egenskapsuppsättningar. Eftersom andras åsikter och tekniker kan ändras med tiden, kommer den här artikeln att uppdateras för att återspegla dessa ändringar.

I de flesta infrastruktur som en tjänst (IaaS)-scenarier, virtuella Azure-datorer (VM) är huvudsakliga arbetsbelastningen för organisationer som använder molnbaserad databehandling. Detta kan ses i hybridscenarier där organisationer vill långsamt migrera arbetsbelastningar till molnet. I sådana scenarier, följer du de allmänna säkerhetsaspekter för IaaS, och tillämpa rekommenderade säkerhetsmetoder för alla dina virtuella datorer.

Delat ansvar

Ditt ansvar för säkerhet baseras på vilken typ av tjänst i molnet. Följande diagram sammanfattar balans ansvar för både Microsoft och du:

Ansvarsområden

Säkerhetskrav varierar beroende på ett antal faktorer, inklusive olika typer av arbetsbelastningar. Inte en av dessa metodtips skydda ensamt dina system. Som allt annat i security måste du välja lämpliga alternativ och se hur lösningarna kan kompletterar varandra genom att fylla luckor.

Skydda virtuella datorer med hjälp av autentisering och åtkomstkontroll

Det första steget i att skydda dina virtuella datorer är att säkerställa att endast behöriga användare kan ställa in nya virtuella datorer och åtkomst till virtuella datorer.

[!NOTE] Du kan integrera med Azure AD-autentisering för att förbättra säkerheten för virtuella Linux-datorer på Azure. När du använder Azure AD-autentisering för virtuella Linux-datorer, centralt styra och genomdriva principer som tillåter eller nekar åtkomst till de virtuella datorerna.

Bästa praxis: Styra åtkomst till virtuell dator.
Information om: Använd Azure principer upprätta konventioner för resurser i din organisation och skapa anpassade principer. Använda dessa principer på resurser, till exempel resursgrupper. Virtuella datorer som tillhör en resursgrupp ärver dess principer.

Om din organisation har många prenumerationer, kanske du behöver ett sätt att effektivt hantera åtkomst, principer och efterlevnad för dessa prenumerationer. Azure-hanteringsgrupper ger en nivå av omfång över prenumerationer. Du organiserar prenumerationer till hanteringsgrupper (behållare) och tillämpa dina styrning villkor för dessa grupper. Alla prenumerationer i en hanteringsgrupp ärver automatiskt villkor som används för gruppen. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.

Bästa praxis: Minska variationer i din installation och distribution av virtuella datorer.
Information om: Använd Azure Resource Manager mallar att stärka dina distributionsalternativ och gör det enklare att förstå och inventera de virtuella datorerna i din miljö.

Bästa praxis: Säker privilegierad åtkomst.
Information om: Använd en minsta privilegium metoden och inbyggda Azure-roller så att användarna kan komma åt och konfiguration av virtuella datorer:

  • Virtuell Datordeltagare: Hantera virtuella datorer, men inte virtuella nätverks- eller kontot som de är anslutna.
  • Klassisk virtuell Datordeltagare: Hantera virtuella datorer som skapas med hjälp av den klassiska distributionsmodellen, men inte virtuella nätverks- eller kontot som de virtuella datorerna är anslutna.
  • Säkerhetsadministratör: I Säkerhetscenter: Kan visa säkerhetsprinciper, security tillstånd, redigera säkerhetsprinciper, Visa aviseringar och rekommendationer, avvisa aviseringar och rekommendationer.
  • DevTest Labs-användare: Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.

Dina prenumerationsadministratörer och coadmins ska kan ändra den här inställningen, vilket gör dem administratörer av alla virtuella datorer i en prenumeration. Var noga med att du litar på alla prenumerationsadministratörer och coadmins ska logga in på någon av dina datorer.

[!NOTE] Vi rekommenderar att du sammanställa virtuella datorer med samma livscykel i samma resursgrupp. Med hjälp av resursgrupper kan du distribuera, övervaka och ackumulera faktureringskostnader för dina resurser.

Organisationer som styr åtkomst till virtuell dator och installationen att förbättra sina övergripande VM-säkerhet.

Använda flera virtuella datorer för bättre tillgänglighet

Om den virtuella datorn kör kritiska program som måste ha hög tillgänglighet, rekommenderar vi starkt att du använder flera virtuella datorer. För bättre tillgänglighet använda en tillgänglighetsuppsättning.

En tillgänglighetsuppsättning är en logisk gruppering som du kan använda i Azure så att du placerar i VM-resurserna är isolerade från varandra när de har distribuerats i ett Azure-datacenter. Azure ser till att de virtuella datorerna som du placerar i en tillgänglighetsuppsättning in kör över flera fysiska servrar, beräkning rack, lagringsenheter och nätverksväxlar. Om ett maskinvarufel eller Azure programvarufel inträffar endast en delmängd av dina virtuella datorer som påverkas och ditt program fortsätter att vara tillgängliga för dina kunder. Tillgänglighetsuppsättningar är en viktig funktion när du vill skapa tillförlitliga molnlösningar.

Skydda mot skadlig kod

Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Du kan installera Microsoft Antimalware eller en Microsoft-partner endpoint protection-lösning (Trend Micro, Symantec, McAfee, Windows Defender, och System Center Endpoint Protection).

Microsoft Antimalware innehåller funktioner som realtidsskydd, schemalagd genomsökning, korrigering av skadlig kod, Signaturuppdateringar, uppdateringar, exempel reporting och insamling av undantag. Du kan använda ett tillägg för program mot skadlig kod för att skydda dina virtuella datorer och molntjänster för miljöer som finns separat från din produktionsmiljö.

Du kan integrera lösningar från Microsoft Antimalware och partner med Azure Security Center för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).

Bästa praxis: Installera ett program mot skadlig kod som skydd mot skadlig kod.
Information om: Installera en lösning för Microsoft-partner eller Microsoft Antimalware

Bästa praxis: Integrera din lösning för program mot skadlig kod med Security Center för att övervaka status för skyddet av.
Information om: Hantera problem med endpoint protection med Security Center

Hantera VM-uppdateringar

Azure virtuella datorer, som alla lokala virtuella datorer är avsedda att hanteras av användare. Azure Skicka inte Windows-uppdateringar till dem. Du behöver hantera dina VM-uppdateringar.

Bästa praxis: Håll dina virtuella datorer uppdaterade.
Information om: Använd den uppdateringshantering lösning i Azure Automation för att hantera operativsystem systemuppdateringar för dina Windows- och Linux-datorer som distribueras i Azure, i lokala miljöer eller i andra moln providers. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.

Datorer som hanteras av uppdateringshantering Använd följande konfigurationer för att utföra utvärdering och uppdatera distribueringar:

  • Microsoft Monitoring Agent (MMA) för Windows eller Linux
  • Önskad PowerShell-tillståndskonfiguration (DSC) för Linux
  • Automation Hybrid Runbook Worker
  • Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorer

Om du använder Windows Update, lämna inställningen för automatisk uppdatering för Windows.

Bästa praxis: Kontrollera att du har inbyggda avbildningar inkluderar den senaste runda av Windows-uppdateringar vid distributionen.
Information om: Sök efter och installera alla Windows-uppdateringar som ett första steg för varje distribution. Det här måttet är särskilt viktigt att tillämpa när du distribuerar avbildningar som kommer från dig eller dina egna bibliotek. Även om avbildningar från Azure Marketplace uppdateras automatiskt som standard, kan det finnas en fördröjning (upp till några veckor) när du har en offentlig version.

Bästa praxis: Distribuera med jämna mellanrum om dina virtuella datorer om du vill framtvinga en ny version av Operativsystemet.
Information om: Definiera den virtuella datorn med en Azure Resource Manager-mall så att du enkelt kan distribuera om den. En mall ger dig en korrigerad och säker virtuell dator när du behöver den.

Bästa praxis: Snabbt använda säkerhetsuppdateringar för virtuella datorer.
Information om: Använd Azure Security Center (kostnadsfria nivån eller standardnivån) till identifiera säkerhetsuppdateringar som saknas och tillämpa dem.

Bästa praxis: Installera de senaste säkerhetsuppdateringarna.
Information om: Vissa av de första arbetsbelastningarna som kunder flyttar till Azure är labs och externa system. Om virtuella datorer i Azure vara värd för program eller tjänster som måste vara tillgänglig på Internet, vara vaksam om uppdateringar. Korrigera sig utöver operativsystemet. Okorrigerade säkerhetsproblem på partnerprogram kan också leda till problem som kan undvikas om bra uppdateringshantering är på plats.

Bästa praxis: Distribuera och testa en lösning för säkerhetskopiering.
Information om: En säkerhetskopia måste hanteras på samma sätt som du hanterar andra åtgärder. Det här gäller för system som ingår i din produktionsmiljö utöka till molnet.

Testning och utveckling system måste följa säkerhetskopieringsstrategier som gör det möjligt för återställning som liknar vad användare har blivit vana vid, baserat på deras upplevelse med lokala miljöer. Produktionsarbetsbelastningar flyttade till Azure ska integrera med befintliga säkerhetskopieringslösningar när det är möjligt. Du kan också använda Azure Backup att hjälpa med dina behov för säkerhetskopiering.

Organisationer som inte tillämpa principer för programuppdatering exponeras mer för hot som utnyttjar kända, fasta tidigare sårbarheter. För att uppfylla branschbestämmelser måste företag bevisa att de är flitig och använda rätt säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar finns i molnet.

Programuppdateringen Metodtips för ett traditionella datacenter och Azure IaaS har många likheter. Vi rekommenderar att du utvärderar din aktuella uppdateringsprinciper för programvara för att inkludera virtuella dator i Azure.

Hantera din säkerhetsposition för virtuell dator

Cyberhot är under utveckling. Skydda dina virtuella datorer kräver en övervakningsfunktionen som kan snabbt identifiera hot, förhindra obehörig åtkomst till dina resurser, utlöser aviseringar och minska falska positiva identifieringar.

Övervaka säkerhetstillståndet för dina Windows och virtuella Linux-datorer, använda Azure Security Center. Skydda dina virtuella datorer genom att utnyttja följande funktioner i Security Center:

  • Tillämpa säkerhetsinställningar för OS med rekommenderade konfigurationsregler.
  • Identifiera och ladda ned systemsäkerhet och viktiga uppdateringar som saknas.
  • Distribuera rekommendationer för slutpunktsskydd för program mot skadlig kod.
  • Verifiera diskkryptering.
  • Utvärdera och åtgärda sårbarheter.
  • Identifiera hot.

Security Center kan övervaka aktivt för hot och potentiella hot som exponeras i säkerhetsaviseringar. Korrelerade hot räknas samman i en enda vy som kallas en säkerhetsincident.

Security Center lagrar data i Azure Monitor loggar. Azure Monitor-loggar innehåller en fråga frågespråk och en analytisk motor som ger dig insikter om hur dina program och resurser. Data samlas även från Azure Monitor, hanteringslösningar och agenter som installerats på virtuella datorer i molnet eller lokalt. Denna delade funktion hjälper dig att få en komplett bild av din miljö.

Organisationer som inte framtvingar stark säkerhet för sina virtuella datorer vara ovetande om eventuella försök från obehöriga användare kringgå de säkerhetskontroller.

Övervaka prestanda för virtuell dator

Resursen missbruk kan vara ett problem när VM-processer använder fler resurser än vad de ska. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, som bryter mot reglerna security tillgänglighet. Detta är särskilt viktigt för virtuella datorer som är värd för IIS eller andra webbservrar, eftersom hög CPU eller minne användning kan tyda på en attack denial of service (DoS). Det är viktigt att övervaka åtkomst till virtuell dator inte bara reaktivt när ett problem uppstår, utan även proaktivt mot baslinjeprestanda mätt under normal drift.

Vi rekommenderar att du använder Azure Monitor att få insyn i resursens hälsotillstånd. Azure Monitor-funktioner:

Organisationer som inte övervakar prestanda för virtuella datorer kan inte avgöra om vissa ändringar i prestandamönster är normal eller onormalt. En attack från en extern resurs eller en komprometterad process som körs på den virtuella datorn kan tyda på en virtuell dator som använder fler resurser än normalt.

Kryptera din virtuella hårddisk-filer

Vi rekommenderar att du krypterar dina virtuella hårddiskar (VHD) för att skydda din startvolymen och datavolymer i vila i lagring, tillsammans med dina krypteringsnycklar och hemligheter.

Azure Disk Encryption hjälper dig att kryptera din Windows- och Linux IaaS VM-diskar. Azure Disk Encryption används vanliga BitLocker funktion i Windows och DM-Crypt funktion i Linux för att kryptera volymer för Operativsystemet och datadiskarna. Lösningen är integrerad med Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter i key vault-prenumeration. Lösningen innebär också att alla data på diskar i virtuella datorer krypteras i vila i Azure Storage.

Nedan följer bästa praxis för att använda Azure Disk Encryption:

Bästa praxis: Aktivera kryptering på virtuella datorer.
Information om: Azure Disk Encryption genererar och skriver dem till ditt nyckelvalv. Hantera krypteringsnycklar i ditt nyckelvalv kräver Azure AD-autentisering. Skapa ett Azure AD-program för detta ändamål. Du kan använda antingen autentisering med klient-hemlighet för autentisering, eller klientautentisering certifikatbaserad Azure AD.

Bästa praxis: Använda en krypteringsnyckel nyckel (KEK) för ett extra lager av säkerhet för krypteringsnycklar. Lägg till en KEK till ditt nyckelvalv.
Information om: Använd den Lägg till AzKeyVaultKey cmdlet för att skapa en nyckelkrypteringsnyckel i nyckelvalvet. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM) för hantering av nycklar. Mer information finns i den dokumentationen för Key Vault. När du anger en nyckelkrypteringsnyckel använder Azure Disk Encryption nyckeln för att omsluta kryptering hemligheter innan du skriver till Key Vault. Att behålla en escrow kopia av den här nyckeln i en lokal ger nyckelhantering HSM ytterligare skydd mot oavsiktlig borttagning av nycklar.

Bästa praxis: Ta en ögonblicksbild och/eller säkerhetskopiera innan diskar krypteras. Säkerhetskopieringar ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.
Information om: Virtuella datorer med hanterade diskar kräver en säkerhetskopia innan kryptering sker. När en säkerhetskopia görs, kan du använda den Set-AzVMDiskEncryptionExtension cmdlet för att kryptera hanterade diskar genom att ange den - skipVmBackup parametern. Mer information om hur du säkerhetskopiera och återställa krypterade virtuella datorer finns i den Azure Backup artikeln.

Bästa praxis: Om du vill se till att kryptering hemligheterna inte går över regionala gränser, måste Azure Disk Encryption nyckelvalvet och de virtuella datorerna ska finnas i samma region.
Information om: Skapa och använda ett nyckelvalv som är i samma region som den virtuella datorn måste vara krypterade.

När du använder Azure Disk Encryption kan du uppfylla följande affärsbehov:

  • Virtuella IaaS-datorer är skyddade i vila med branschstandard krypteringsteknik att uppfylla organisationens krav för säkerhet och efterlevnad.
  • Virtuella IaaS-datorer startar under kund-kontrollerade nycklar och principer och du kan granska deras användning i ditt nyckelvalv.

Begränsa direkt Internetanslutning

Övervaka och begränsa VM direkt Internetanslutning. Angripare ständigt Sök offentligt moln IP-intervall för öppna hanteringsportar och försök att ”enkla” attacker som vanliga lösenord och kända okorrigerade säkerhetsproblem. I följande tabell visas bästa praxis för att skydda mot dessa attacker:

Bästa praxis: Förhindra oavsiktlig exponering nätverket Routning och säkerhet.
Information om: Använd RBAC för att se till att endast centrala nätverk gruppen har behörighet att nätverksresurser.

Bästa praxis: Identifiera och åtgärda exponerade virtuella datorer som tillåter åtkomst från ”alla” källans IP-adress.
Information om: Använd Azure Security Center. Security Center rekommenderar att du begränsar åtkomst via internet-riktade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera inkommande regler som tillåter åtkomst från ”alla” källans IP-adress. Security Center rekommenderar att du redigerar dessa regler för inkommande trafik till begränsa åtkomsten till källans IP-adresser som faktiskt behöver åtkomst.

Bästa praxis: Begränsa hanteringsportar (RDP, SSH).
Information om: Åtkomst till Virtuella just-in-time (JIT) kan användas för att låsa inkommande trafik till dina virtuella Azure-datorer minskar exponeringen för attacker samtidigt som det ger enkel åtkomst till att ansluta till virtuella datorer när det behövs. När JIT är aktiverad låser Security Center inkommande trafik till virtuella datorer i Azure genom att skapa en regel för nätverkssäkerhetsgrupp. Du väljer vilka portar på den virtuella datorn som inkommande trafik låses. De här portarna styrs av JIT-lösning.

Nästa steg

Se säkerhet i Azure-metodtips och mönster för flera beprövade metoder för att använda när du utforma, distribuera och hantera dina molnlösningar med hjälp av Azure.

Följande resurser är tillgängliga för att tillhandahålla mer allmän information om Azure-säkerhet och relaterade Microsoft-tjänster:

You can’t perform that action at this time.