影音先锋男人资源站_国产婷婷综合丁香亚洲欧洲_白狐视频传媒污软件下载_趁女同学午休揉她的屁股

Azure 中 IaaS 工作負荷的安全性最佳實踐,azure 網絡配置和aws區別-ESG跨境

Azure 中 IaaS 工作負荷的安全性最佳實踐,azure 網絡配置和aws區別

來源網絡
來源網絡
2022-05-31
點贊icon 0
查看icon 935

Azure 中 IaaS 工作負荷的安全性最佳實踐,azure 網絡配置和aws區別Azure 中 IaaS 工作負荷的安全性最佳實踐本文介紹了VM和操作系統的安全最佳做法。最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎。由于觀點和技術會隨時改變,本文會進行更新以反映這些變化。在大多數基礎結構即服務(IaaS......

Azure 中 IaaS 工作負荷的安全性最佳實踐,azure 網絡配置和aws區別




Azure 中 IaaS 工作負荷的安全性最佳實踐

本文介紹了VM和操作系統的安全最佳做法。

最佳做法以觀點的共識以及Azure平臺功能和特性集為基礎。由于觀點和技術會隨時改變,本文會進行更新以反映這些變化。

在大多數基礎結構即服務(IaaS)方案中,Azure虛擬機(VM)是使用云計算的組織的主要工作負荷。這種事實在混合方案中十分明顯,組織希望在混合方案中慢慢將工作負載遷移到云。在這種方案中,應遵循IaaS常規安全注意事項,并向所有VM應用安全最佳做法。

通過身份驗證和訪問控制保護VM

保護VM安全的第一步是確保只有授權用戶才能設置新VM以及訪問VM。

備注

若要改進Azure上Linux VM的安全性,可以與Azure AD身份驗證集成。使用適用于Linux VM的Azure AD身份驗證時,可以通過集中進行控制和強制實施策略來允許或拒絕對VM的訪問。

最佳做法:控制VM訪問。

詳細信息:使用Azure策略建立組織中的資源約定和創建自定義策略。將這些策略應用于資源,如資源組。屬于該資源組的VM將繼承該組的策略。

如果你的組織有多個訂閱,則可能需要一種方法來高效地管理這些訂閱的訪問權限、策略和符合性。Azure管理組提供訂閱上的作用域級別。可將訂閱組織到管理組(容器)中,并將管理條件應用到該組。管理組中的所有訂閱都將自動繼承應用于該組的條件。不管使用什么類型的訂閱,管理組都能提供大規模的企業級管理。

最佳做法:減少VM的安裝和部署的可變性。

詳細信息:使用Azure資源管理器模板增強部署選項,使其更易理解并清點環境中的VM。

最佳做法:保護特權訪問。

詳細信息:使用最低特權方法和內置Azure角色使用戶能夠訪問和設置VM:

虛擬機參與者:可以管理VM,但無法管理虛擬機連接的虛擬網絡或存儲帳戶。

經典虛擬機參與者:可管理使用經典部署模型創建的VM,但無法管理這些VM連接到的虛擬網絡或存儲帳戶。

安全管理員:僅在安全中心內:可以查看安全策略、查看安全狀態、編輯安全策略、查看警報和建議、關閉警報和建議。

開發測試實驗室用戶:可以查看所有內容,以及連接、啟動、重新啟動和關閉VM。

訂閱管理員和共同管理員可更改此設置,使其成為訂閱中所有VM的管理員。請確保你信任所有訂閱管理員和共同管理員,以登錄你的任何計算機。

備注

建議將具有相同生命周期的VM合并到同一個資源組中。使用資源組可以部署和監視資源,并統計資源的計費成本。

控制VM訪問和設置的組織可改善其整體VM安全性。

使用多個VM提高可用性

如果VM運行需要具有高可用性的關鍵應用程序,我們強烈建議使用多個VM。為了獲得更好的可用性,請使用可用性集或可用性區域。

可用性集是一種邏輯分組功能,在Azure中使用它可以確保將VM資源部署在Azure數據中心后,這些資源相互隔離。Azure確??捎眯约胁渴鸬腣M能夠跨多個物理服務器、計算機架、存儲單元和網絡交換機運行。如果出現硬件或Azure軟件故障,只有一部分VM會受到影響,整體應用程序仍可供客戶使用。如果想要構建可靠的云解決方案,可用性集是一項關鍵功能。

防范惡意軟件

應安裝反惡意軟件保護,以幫助識別和刪除病毒、間諜軟件和其他惡意軟件??砂惭bMicrosoft反惡意軟件或Microsoft合作伙伴的終結點保護解決方案(Trend Micro、Broadcom、McAfee、Windows Defender和System Center Endpoint Protection)。

Microsoft反惡意軟件包括實時保護、計劃掃描、惡意軟件修正、簽名更新、引擎更新、示例報告和排除事件收集等功能。對于與生產環境分開托管的環境,可以使用反惡意軟件擴展來幫助保護VM和云服務。

可將Microsoft反惡意軟件和合作伙伴解決方案與Azure安全中心集成,以方便部署和內置檢測(警報和事件)。

最佳做法:安裝反惡意軟件解決方案,以防范惡意軟件。

詳細信息:安裝Microsoft合作伙伴解決方案或Microsoft反惡意軟件

最佳做法:將反惡意軟件解決方案與安全中心集成,以監視保護狀態。

詳細信息:使用安全中心管理終結點保護問題

管理VM更新

與所有本地VM一樣,Azure VM應由用戶管理。Azure不會向他們推快遞Windows更新。你需要管理VM更新。

最佳做法:使VM保持最新。

詳細信息:使用Azure自動化中的更新管理解決方案,為部署在Azure、本地環境或其他云提供程序中的Windows和Linux計算機管理操作系統更新??梢钥焖僭u估所有代理計算機上可用更新的狀態,并管理為服務器安裝所需更新的過程。

由更新管理托管的計算機使用以下配置執行評估和更新部署:

用于Windows或Linux的Microsoft監視代理(MMA)

用于Linux的PowerShell所需狀態配置(DSC)

自動化混合Runbook輔助角色

適用于Windows計算機的Microsoft更新或Windows Server更新服務(WSUS)

若使用Windows更新,請啟用Windows自動更新設置。

最佳做法:在部署時,確保構建的映像包含最新一輪的Windows更新。

詳細信息:每個部署的第一步應是檢查和安裝所有Windows更新。在部署自己或庫中提供的映像時,采用此措施就特別重要。雖然默認情況下會自動更新Azure市場中的映像,但公開發布后可能會有延遲(最多幾周)。

最佳做法:定期重新部署VM以強制刷新操作系統版本。

詳細信息:使用Azure資源管理器模板定義VM,以便輕松地重新部署。使用模板可在需要時提供已修補且安全的VM。

最佳做法:快速對VM應用安全更新。

詳細信息:啟用Azure安全中心(免費層或標準層)以識別缺少的安全更新并應用這些安全更新。

最佳做法:安裝最新的安全更新。

詳細信息:客戶移到Azure的部分首批工作負荷為實驗室和面向外部的系統。如果Azure VM托管需要訪問Internet的應用程序或服務,則需要警惕修補。修補不僅僅包括操作系統。合作伙伴應用程序上未修補的漏洞還可能導致一些問題,而如果實施良好的修補程序管理,就可以避免這些問題。

最佳做法:部署并測試一個備份解決方案。

詳細信息:需要按照處理任何其他操作的相同方法處理備份。這適合于屬于擴展到云的生產環境的系統。

測試和開發系統必須遵循備份策略,這些策略可以根據用戶的本地環境體驗,提供與用戶習慣的功能類似的存儲功能。如果可能,遷移到Azure的生產工作負荷應與現有的備份解決方案集成。或者,可以使用Azure備份來幫助解決備份要求。

未實施軟件更新策略的組織面臨更多利用已修復的已知漏洞的威脅。為了遵守行業法規,公司還必須證明他們在不斷作出相應努力并使用正確的安全控制機制來幫助確保云中工作負載的安全性。

傳統數據中心與Azure IaaS之間的軟件更新最佳做法存在許多相似之處。建議評估當前的軟件更新策略,將位于Azure中的VM包含在內。

管理VM安全狀況

網絡威脅不斷加劇。保護VM需要監視功能,以便快速檢測威脅、防止有人未經授權訪問資源、觸發警報并減少誤報。

若要監視Windows和Linux VM的安全狀況,可以使用Azure安全中心??梢岳冒踩行牡囊韵鹿δ軄肀WoVM:

應用包含建議的配置規則的OS安全設置。

識別并下載可能缺少的系統安全更新和關鍵更新。

部署終結點反惡意軟件防護建議措施。

驗證磁盤加密。

評估并修正漏洞。

檢測威脅。

安全中心可主動監視威脅,并通過“安全警報”公開潛在的威脅。關聯的威脅將合并到名為“安全事件”的單個視圖中。

安全中心將數據存儲在Azure Monitor日志中。Azure Monitor日志提供查詢語言和分析引擎,讓你能夠深入了解應用程序和資源的操作。數據也是從Azure Monitor、管理解決方案以及安裝在虛擬機(云中或本地)上的代理收集的數據。可以通過此共享功能全面了解自己的環境。

沒有為VM實施強大安全措施的組織將意識不到未經授權的用戶可能試圖繞過安全控制機制。

監視VM性能

如果VM進程消耗的資源多過實際所需的量,可能會造成資源濫用的問題。VM性能問題可能會導致服務中斷,從而違反可用性安全原則。這對于托管IIS或其他Web服務器的VM尤其重要,因為CPU或內存占用較高可能意味著遭到拒絕服務(DoS)攻擊。不僅要在出現問題時被動監視VM的訪問,而且還要在正常運行期間針對基準性能進行主動監視。

我們還建議使用Azure Monitor來洞察資源的運行狀況。Azure Monitor功能:

資源診斷日志文件:監視VM資源并識別可能會損害性能與可用性的潛在問題。

Azure診斷擴展:在Windows VM上提供監視和診斷功能。在Azure資源管理器模板中包含該擴展即可啟用這些功能。

不監視VM性能的組織無法確定性能模式的某些變化是正常還是異常。若VM消耗的資源超過平常,可能意味著存在來自外部資源的攻擊,或者此VM中有不安全的進程正在運行。

加密虛擬硬盤文件

建議加密虛擬硬盤(VHD),以幫助保護存儲中的靜態啟動卷和數據卷以及加密密鑰和機密。

Azure磁盤加密用于加密Windows和Linux IaaS虛擬機磁盤。Azure磁盤加密使用Windows行業標準的BitLocker功能和Linux的DMCRYPT功能為OS和數據磁盤提供卷加密。該解決方案與Azure Key Vault集成,幫助用戶管理Key Vault訂閱中的磁盤加密密鑰和機密。此解決方案還可確保虛擬機磁盤上的所有數據在Azure存儲中靜態加密。

下面是使用Azure磁盤加密的最佳做法:

最佳做法:在VM上啟用加密。

詳細信息:Azure磁盤加密將生成加密密鑰并將其寫入密鑰保管庫。在Key Vault中管理加密密鑰需要Azure AD身份驗證。為此,請創建Azure AD應用程序。對于身份驗證,可以使用基于客戶端機密的身份驗證或基于客戶端證書的Azure AD身份驗證。

最佳做法:使用密鑰加密密鑰(KEK)來為加密密鑰提供附加的安全層。將KEK添加到密鑰保管庫。

詳細信息:使用AzKeyVaultKey cmdlet在key vault中創建密鑰加密密鑰。還可從本地硬件安全模塊(HSM)導入KEK以進行密鑰管理。有關詳細信息,請參閱Key Vault文檔。指定密鑰加密密鑰后,Azure磁盤加密會使用該密鑰包裝加密機密,然后將機密寫入Key Vault。在本地密鑰管理HSM中保留此密鑰的托管副本,提供額外的保護,防止意外刪除密鑰。

最佳做法:在加密磁盤之前創建快照和/或備份。如果加密期間發生意外故障,備份可提供恢復選項。

詳細信息:加密之前,需要備份包含托管磁盤的VM。備份之后,可以通過指定“skipVmBackup”參數,使用“SetAzVMDiskEncryptionExtension cmdlet”來加密托管磁盤。有關如何備份和還原已加密VM的詳細信息,請參閱Azure備份一文。

最佳做法:為確保加密機密不會跨過區域邊界,Azure磁盤加密需要將密鑰保管庫和VM共置在同一區域。

詳細信息:在要加密的VM所在的同一區域中創建并使用密鑰保管庫。

Azure磁盤加密可解決以下業務需求:

使用行業標準的加密技術輕松保護IaaS VM,滿足組織的安全性與合規性要求。

IaaS VM會根據客戶控制的密鑰和策略啟動,客戶可以在Key Vault中審核密鑰和策略的使用方式。

限制直接Internet連接

監視和限制VM直接Internet連接。攻擊者會不斷地掃描公共云IP范圍,尋找開放管理端口,并嘗試輕松的攻擊,如常見密碼和已知的修補漏洞。下表列出了有助于防范這些攻擊的最佳做法:

最佳做法:防止無意中暴露網絡路由和安全性。

詳細信息:使用Azure RBAC確保只有中心網絡組具有網絡資源的權限。

最佳做法:標識并修正允許從任何源IP地址進行訪問的公開vm。

詳細信息:使用Azure安全中心。如果你的任何網絡安全組有一個或多個允許從任何源IP地址進行訪問的入站規則,安全中心將建議你通過面向internet的終結點限制訪問。安全中心將建議編輯這些入站規則,以對實際需要訪問的源IP地址限制訪問。

最佳做法:限制管理端口(RDP、SSH)。

詳細信息:實時(JIT)VM訪問可以用來鎖定發往Azure VM的入站流量,降低遭受攻擊的可能性,同時在需要時還允許輕松連接到VM。當JIT時,安全中心會通過創建網絡安全組規則來鎖定發往Azure VM的入站流量。你需要選擇要鎖定VM上的哪些端口的入站流量。這些端口將受JIT解決方案控制。


文章推薦
GameRefiner分析人士談手游應該如何利用季節性活動,手游技能自由組合
Azure Stack Hub 概述,azure iot解決方案
AppGallery Connect應用內分發查詢圖章,appgalleryconnect使用教程
AzureCAF拍了拍你


特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進群
美國賣家交流群
加入
美國賣家交流群
掃碼進群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進群
拉美電商交流群
加入
拉美電商交流群
掃碼進群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進群
拉美電商交流群
加入
拉美電商交流群
掃碼進群
ESG獨家招商-PHH GROUP賣家交流群
加入
ESG獨家招商-PHH GROUP賣家交流群
掃碼進群
2025跨境電商營銷日歷
《2024年全球消費趨勢白皮書——美國篇》
《2024TikTok出海達人營銷白皮書》
《Coupang自注冊指南》
《eMAG知識百科》
《TikTok官方運營干貨合集》
《韓國節日營銷指南》
《開店大全-全球合集》
《TikTok綜合運營手冊》
《TikTok短視頻運營手冊》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業1v1客戶經理服務
運營實操指導
運營提效資源福利
平臺官方專屬優惠

立即登記,定期獲得更多資訊

訂閱
聯系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機入駐更便捷

icon icon

返回頂部