Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs metodtips för säkerhet för virtuella datorer och operativsystem.
Bästa praxis kommer från en konsensus av åsikter, och de fungerar med nuvarande Azure plattformsfunktioner och funktionsuppsättningar. Eftersom åsikter och tekniker kan ändras med tiden uppdateras den här artikeln för att återspegla dessa ändringar.
I de flesta IaaS-scenarier (infrastruktur som en tjänst) är Azure virtual machines (VM) den viktigaste arbetsbelastningen för organisationer som använder molnbaserad databehandling. Det här är tydligt i hybridscenarier där organisationer vill migrera arbetsbelastningar till molnet långsamt. I sådana scenarier följer du de allmänna säkerhetsövervägandena för IaaS och tillämpar metodtips för säkerhet på alla dina virtuella datorer.
Skydda virtuella datorer med hjälp av autentisering och access control
Skydda dina virtuella datorer genom att se till att endast behöriga användare kan konfigurera nya virtuella datorer och access befintliga virtuella datorer.
Note
För att förbättra säkerheten för virtuella Linux-datorer på Azure kan du integrera med Microsoft Entra-autentisering. När du använder Microsoft Entra-autentisering för virtuella Linux-datorer kontrollerar och tillämpar du principer som tillåter eller nekar access till de virtuella datorerna centralt.
Bästa praxis: Kontrollera VM-åtkomst. Detail: Använd Azure-principer för att upprätta konventioner för resurser i organisationen och skapa anpassade principer. Tillämpa dessa principer på resurser, till exempel resursgrupper. Virtuella datorer som tillhör en resursgrupp ärver dess principer.
Om din organisation har många prenumerationer kan du behöva ett sätt att effektivt hantera access, principer och efterlevnad för dessa prenumerationer. Azure hanteringsgrupper tillhandahålla en omfattningsnivå över prenumerationer. Du organiserar prenumerationer i hanteringsgrupper (containrar) och tillämpar dina styrningsvillkor på dessa grupper. Alla prenumerationer i en hanteringsgrupp ärver automatiskt de villkor som tillämpas på gruppen. Hanteringsgrupper tillhandahåller hantering i företagsklass i stor skala oavsett vilken typ av prenumeration du har.
Bästa praxis: Minska variabiliteten i konfigurationen och distributionen av virtuella datorer. Detail: Använd mallarna Azure Resource Manager för att stärka dina distributionsalternativ och göra det enklare att förstå och inventera de virtuella datorerna i din miljö.
Best practice: Säkra privilegierad tillgång. Detail: Använd en least privilege approach och inbyggda Azure roller för att göra det möjligt för användare att access och konfigurera virtuella datorer:
- Virtual Machine Contributor: Kan hantera virtuella datorer, men inte det virtual network- eller storage konto som de är anslutna till.
- Classic Virtual Machine Contributor: Kan hantera virtuella datorer som skapats med hjälp av den klassiska distributionsmodellen, men inte det virtual network eller storage konto som de virtuella datorerna är anslutna till.
- Säkerhetsadministratör: Endast i Defender för molnet: Kan visa säkerhetsprinciper, visa säkerhetstillstånd, redigera säkerhetsprinciper, visa aviseringar och rekommendationer, stänga aviseringar och rekommendationer.
- DevTest Labs User: Kan visa allt och ansluta, starta, starta om och stänga av virtuella datorer.
Prenumerationsadministratörer och coadmins kan ändra den här inställningen, vilket gör dem till administratörer för alla virtuella datorer i en prenumeration. Lita på att alla dina prenumerationsadministratörer och coadmins loggar in på någon av dina datorer.
Note
Konsolidera virtuella datorer med samma livscykel till samma resursgrupp. Genom att använda resursgrupper kan du distribuera, övervaka och samla in faktureringskostnader för dina resurser.
Organisationer som styr vm-access och konfiguration förbättrar sin övergripande säkerhet för virtuella datorer.
Använd Virtual Machine Scale Sets för hög tillgänglighet
Om den virtuella datorn kör kritiska program som behöver hög tillgänglighet använder du Virtual Machine Scale Sets.
Virtual Machine Scale Sets låter dig skapa och hantera en grupp med belastningsutjämnade virtuella datorer. Antalet VM-instanser kan automatiskt öka eller minska som svar på efterfrågan eller ett definierat schema. Skalningsuppsättningar ger hög tillgänglighet till dina program och du kan centralt hantera, konfigurera och uppdatera många virtuella datorer. Det finns ingen kostnad för själva skalningsuppsättningen, du betalar bara för varje VM-instans som du skapar.
Du kan distribuera virtuella maskiner i en skalningsuppsättning till flera tillgänglighetszoner, en enda tillgänglighetszon eller regionalt i en region.
Skydd mot skadlig kod
Installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Du kan installera Microsoft Antimalware eller en Microsoft-partners slutpunktsskyddslösning (Trend Micro, Broadcom, McAfee, Windows Defender och System Center Endpoint Protection).
Microsoft Antimalware innehåller funktioner som realtidsskydd, schemalagd genomsökning, reparation av skadlig kod, signaturuppdateringar, motoruppdateringar, exempelrapportering och insamling av undantagshändelser. För miljöer som finns separat från produktionsmiljön använder du ett tillägg för program mot skadlig kod för att skydda dina virtuella datorer och cloud services.
Du kan integrera Microsoft Antimalware- och partnerlösningar med Microsoft Defender for Cloud för enkel distribution och inbyggda identifieringar (aviseringar och incidenter).
Bästa praxis: Installera en lösning mot skadlig kod för att skydda mot skadlig kod.
Information: Installera en Microsoft-partnerlösning eller Microsoft Antimalware
Bästa praxis: Integrera din lösning för program mot skadlig kod med Defender för molnet för att övervaka statusen för ditt skydd.
Information: Hantera problem med slutpunktsskydd med Defender för molnet
Hantera dina VM-uppdateringar
Azure virtuella datorer, som alla lokala virtuella datorer, är avsedda att hanteras av användaren. Azure push-överför inte Windows-uppdateringar till dem. Du måste hantera dina vm-uppdateringar.
Bästa praxis: Håll dina virtuella datorer aktuella.
Detail: Använd lösningen Update Management i Azure Automation för att hantera operativsystemuppdateringar för dina Windows- och Linux-datorer som distribueras i Azure, i lokala miljöer eller i andra molnleverantörer. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.
Datorer som hanteras med Uppdateringshantering använder följande konfigurationer för att utföra utvärdering och uppdateringsdistributioner:
- Microsoft Monitoring Agent (MMA) för Windows eller Linux
- PowerShell Desired State Configuration (DSC) för Linux
- Automatiserad Hybrid Runbook-arbetare
- Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorer
Om du använder Windows Update låter du inställningen för automatisk Windows Update vara aktiverad.
Bästa praxis: Se till att avbildningar som du har skapat vid distributionen innehåller den senaste omgången Windows-uppdateringar.
Information: Sök efter och installera alla Windows-uppdateringar som ett första steg i varje distribution. Det här måttet är särskilt viktigt att tillämpa när du distribuerar bilder som kommer från dig eller ditt eget bibliotek. Även om bilder från Azure Marketplace uppdateras automatiskt som standard kan det finnas en fördröjningstid (upp till några veckor) efter en offentlig version.
Bästa praxis: Distribuera regelbundet om dina virtuella datorer för att tvinga fram en ny version av operativsystemet.
Detail: Definiera den virtuella datorn med en Azure Resource Manager mall så att du enkelt kan distribuera om den. Med hjälp av en mall får du en korrigerad och säker virtuell dator när du behöver den.
Bästa praxis: Tillämpa säkerhetsuppdateringar snabbt på virtuella datorer.
Detail: Aktivera Microsoft Defender for Cloud (kostnadsfri nivå eller standardnivå) för att identifiera saknade säkerhetsuppdateringar och tillämpa dem.
Bästa praxis: Installera de senaste säkerhetsuppdateringarna.
Detail: Några av de första arbetsbelastningarna som kunderna flyttar till Azure är labb och externa system. Om dina virtuella Azure-datorer är värdar för program eller tjänster som måste vara tillgängliga för internet, var noggrann med uppdateringarna. Patcha utanför operativsystemet. Opatchade sårbarheter i partnerapplikationer kan också leda till problem som kan undvikas om effektiv korrigeringshantering finns på plats.
Bästa praxis: Distribuera och testa en säkerhetskopieringslösning.
Information: En säkerhetskopia måste hanteras på samma sätt som du hanterar andra åtgärder. Den här hanteringen gäller för system som ingår i din produktionsmiljö som sträcker sig till molnet.
Test- och utvecklingssystem måste följa säkerhetskopieringsstrategier som ger återställningsfunktioner som liknar vad användarna har vant sig vid, baserat på deras erfarenhet av lokala miljöer. Produktionsarbetsbelastningar som flyttas till Azure bör integreras med befintliga säkerhetskopieringslösningar när det är möjligt. Du kan också använda Azure Backup för att uppfylla dina krav på säkerhetskopiering.
Organisationer som inte tillämpar principer för programuppdatering är mer utsatta för hot som utnyttjar kända, tidigare fasta säkerhetsrisker. För att följa branschreglerna måste företag bevisa att de är flitiga och använda korrekta säkerhetskontroller för att säkerställa säkerheten för sina arbetsbelastningar i molnet.
Metodtips för programuppdatering för ett traditionellt datacenter och Azure IaaS har många likheter. Utvärdera dina aktuella principer för programuppdatering för att inkludera virtuella datorer som finns i Azure.
Hantera säkerhetsstatusen för den virtuella datorn
Cyberhot utvecklas alltid. För att skydda dina virtuella datorer krävs en övervakningsfunktion som snabbt kan identifiera hot, förhindra obehöriga access till dina resurser, utlösa aviseringar och minska falska positiva identifieringar.
Om du vill övervaka säkerhetsstatusen för dina Windows och Linux VMs använder du Microsoft Defender for Cloud. I Defender för molnet skyddar du dina virtuella datorer genom att dra nytta av följande funktioner:
- Använd operativsystemets säkerhetsinställningar med rekommenderade konfigurationsregler.
- Identifiera och ladda ned systemsäkerhet och kritiska uppdateringar som kanske saknas.
- Distribuera rekommendationer för skydd mot skadlig kod för slutpunkter.
- Verifiera diskkryptering.
- Utvärdera och åtgärda sårbarheter.
- Identifiera hot.
Defender för molnet kan aktivt övervaka hot och säkerhetsaviseringar exponera potentiella hot. Korrelerade hot aggregeras i en enda vy som kallas en säkerhetsincident.
Defender for Cloud lagrar data i Azure Monitor-loggar. Azure Monitor-loggar innehåller en frågespråk- och analysmotor som ger dig insikter om hur dina program och resurser fungerar. Data samlas också in från Azure Monitor, hanteringslösningar och agenter som är installerade på virtual machines i molnet eller lokalt. Denna delade funktion hjälper dig att få en komplett bild av din miljö.
Om du inte framtvingar stark säkerhet för dina virtuella datorer förblir du omedveten om eventuella försök av obehöriga användare att kringgå säkerhetskontroller.
Övervaka vm-prestanda
Resursmissbruk kan vara ett problem när virtuella datorprocesser förbrukar mer resurser än de borde. Prestandaproblem med en virtuell dator kan leda till avbrott i tjänsten, vilket strider mot säkerhetsprincipen för tillgänglighet. Det här problemet är särskilt viktigt för virtuella datorer som är värdar för IIS eller andra webbservrar, eftersom hög cpu- eller minnesanvändning kan tyda på en DoS-attack (Denial of Service). Det är absolut nödvändigt att övervaka åtkomst till virtuella maskiner inte bara reaktivt när ett problem uppstår, utan även proaktivt i förhållande till baslinjeprestanda som utförs under normal drift.
Använd Azure Monitor för att få insyn i resursens hälsa. Azure Monitor-funktioner:
- Resource diagnostikloggfiler: Övervakar dina VM-resurser och identifierar potentiella problem som kan äventyra prestanda och tillgänglighet.
- Azure Diagnostics-tillägget: Tillhandahåller funktioner för övervakning och diagnostik på virtuella Windows-datorer. Du kan aktivera dessa funktioner genom att inkludera tillägget som en del av mallen Azure Resource Manager.
Om du inte övervakar prestanda för virtuella datorer kan du inte avgöra om vissa ändringar i prestandamönstren är normala eller onormala. En virtuell dator som förbrukar mer resurser än normalt kan tyda på en attack från en extern resurs eller en komprometterad process som körs på den virtuella datorn.
Kryptera dina virtuella hårddiskfiler
Kryptera dina virtuella hårddiskar (VHD:er) för att hjälpa till att skydda startvolymen och datavolymerna vilande i lagring, tillsammans med dina krypteringsnycklar och konfidentiell information.
Viktigt!
Azure Disk Encryption är planerad att pensioneras den September 15, 2028. Fram till det datumet kan du fortsätta att använda Azure Disk Encryption utan avbrott. Den 15 september 2028 fortsätter ADE-aktiverade arbetsbelastningar att köras, men krypterade diskar kan inte låsas upp efter omstarter av virtuella datorer, vilket resulterar i avbrott i tjänsten.
Använd kryptering på värden för nya virtuella datorer eller överväg konfidentiella VM-storlekar med kryptering av OS-disk för arbetslaster för konfidentiell databehandling. Alla ADE-aktiverade virtuella datorer (inklusive säkerhetskopior) måste migreras till kryptering hos värden före pensionsdatumet för att undvika serviceavbrott. Mer information finns i Migrera från Azure Disk Encryption till kryptering på värd.
Kryptering på värd tillhandahåller kryptering från slutpunkt till slutpunkt för dina virtuella datordata som standard, kryptering av tillfälliga diskar, OS- och datadiskcacheminnen och dataflöden till Azure Storage. Som standardinställning använder kryptering på värdnivå nycklar hanterade av plattformen utan att någon extra konfiguration krävs. Du kan också konfigurera lösningen så att den använder kundhanterade nycklar som lagras i Azure Key Vault eller Azure Key Vault Managed HSM när du behöver styra och hantera dina egna diskkrypteringsnycklar. Lösningen säkerställer att alla data på de virtuella datordiskarna krypteras i vila i Azure Storage.
Följande bästa praxis hjälper dig att använda kryptering på värdmaskinen:
Bästa praxis: Aktivera kryptering på värden för virtuella datorer som standardinställning.
Detalj: Kryptering på värden är aktiverad som standard för nya virtuella datorer och ger transparent kryptering med hjälp av plattformshanterade nycklar utan extra konfiguration. Om du väljer att använda kundhanterade nycklar lagrar du dem i Azure Key Vault eller Azure Key Vault Managed HSM. Microsoft Entra-autentisering krävs för access. I autentiseringssyfte kan du använda antingen klienthemlighetsbaserad autentisering eller klientcertifikatbaserad Microsoft Entra-autentisering.
Bästa praxis: När du använder kundhanterade nycklar använder du en nyckelkrypteringsnyckel (KEK) för ett extra säkerhetslager för krypteringsnycklar.
Detail: När du använder kundhanterade nycklar använder du cmdleten Add-AzKeyVaultKey för att skapa en nyckelkrypteringsnyckel i Azure Key Vault eller Hanterad HSM. Du kan också importera en KEK från din lokala maskinvarusäkerhetsmodul (HSM). Mer information finns i dokumentationen Key Vault. När du anger en nyckelkrypteringsnyckel använder kryptering på värdsystemet den nyckeln för att omsluta krypteringsnycklarna. Att behålla en depositionskopia av den här nyckeln i en lokal HSM för nyckelhantering ger extra skydd mot oavsiktlig borttagning av nycklar.
Best practice: Gör en snapshot och/eller säkerhetskopia innan du gör ändringar i krypteringskonfigurationen. Säkerhetskopior ger ett återställningsalternativ om ett oväntat fel inträffar.
Detail: Säkerhetskopiera virtuella datorer med managed disks regelbundet. Mer information om hur du säkerhetskopierar och återställer krypterade virtuella datorer finns i artikeln Azure Backup.
Bästa praxis: När du använder kundhanterade nycklar bör du se till att krypteringshemligheterna inte korsar regionala gränser genom att hitta din nyckelhanteringstjänst och virtuella datorer i samma region.
Detail: När du använder kundhanterade nycklar skapar och använder du en key vault eller hanterad HSM som finns i samma region som den virtuella datorn som ska krypteras.
När du tillämpar kryptering för värden kan du uppfylla följande affärsbehov:
- Virtuella IaaS-datorer skyddas i vila med hjälp av krypteringsteknik som är branschstandard i syfte att uppfylla organisationens krav på säkerhet och efterlevnad.
- Virtuella IaaS-datorer börjar under kundkontrollerade nycklar och principer och du kan granska deras användning i din nyckelhanteringstjänst.
Begränsa direkt internetanslutning
Övervaka och begränsa direkt internetanslutning för virtuella datorer. Angripare söker ständigt igenom offentliga moln-IP-intervall efter öppna hanteringsportar och försöker med "enkla" attacker som vanliga lösenord och kända opatcherade sårbarheter. I följande tabell visas metodtips för att skydda mot dessa attacker:
Bästa praxis: Förhindra oavsiktlig exponering för nätverksroutning och säkerhet.
Detail: Använd Azure RBAC för att säkerställa att endast den centrala nätverksgruppen har behörighet till nätverksresurser.
Best practice: Identifiera och åtgärda exponerade virtuella datorer som tillåter access från "alla" käll-IP-adresser.
Detail: Använd Microsoft Defender for Cloud. Defender for Cloud rekommenderar att du begränsar access via internetuppkopplade slutpunkter om någon av dina nätverkssäkerhetsgrupper har en eller flera inkommande regler som tillåter access från "valfri" käll-IP-adress. Defender för Cloud rekommenderar att du redigerar dessa inkommande regler för att begränsa åtkomsten till käll-IP-adresser som faktiskt behöver åtkomst.
Bästa praxis: Begränsa hanteringsportar (RDP, SSH).
Detail: Använd just-in-time(JIT) VM access för att låsa inkommande trafik till dina Azure virtuella datorer. Det minskar exponeringen för attacker samtidigt som det ger enkla access att ansluta till virtuella datorer när det behövs. När du aktiverar JIT låser Defender för molnet inkommande trafik till dina Azure virtuella datorer genom att skapa en regel för nätverkssäkerhetsgrupp. Du väljer de portar på den virtuella datorn som inkommande trafik är låst till. JIT-lösningen styr dessa portar.
Nästa steg
Mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure finns i Azure bästa praxis och mönster för säkerhet.
Följande resurser ger mer allmän information om Azure säkerhet och relaterade Microsoft-tjänster:
- Azure Security Team Blog – för uppdaterad information om det senaste inom Azure Security
- Microsoft Security Response Center – där du kan rapportera Säkerhetsrisker för Microsoft, inklusive problem med Azure, eller skicka ett e-postmeddelande till secure@microsoft.com