Автор: Стефан Гаджич, руководитель направления "Облако и инфраструктура" в компании P3 Group, MCT в компании Semos Education

В этом блоге мы расскажем о наиболее важных передовом опыте в области безопасности для защиты вашего IaaS. Это будет тизер для тех, кто не знаком с этими методами, чтобы начать думать и учиться безопасности в Azure, а для тех из вас, кто уже реализует некоторые из этих функций безопасности напоминания, чтобы продолжать делать это или даже уделять больше внимания безопасности IaaS.

Помните, что безопасность внутри Azure - это общая ответственность, и мы несем ответственность за то, как будет защищена инфраструктура. Не позволяйте инцидентам быть инициаторами приведения в порядок безопасности, но лучше будьте проактивными и всегда помните, что Вы отвечаете за безопасность рабочих нагрузок в Azure.

Вот темы, которые мы рассмотрим, и эти лучшие практики уже написаны в официальной Microsoft документации, однако, я был вольен приукрашивать их своим опытом:

1. Планирование и развертывание виртуальных машин
2. Защита виртуальных машин с контролем доступа (IAM)
3. Защита конечных точек для виртуальных машин
4. наличие ВМ
5. Обновления VM - исправление безопасности
6. Жесткие диски с шифрованием
7. Безопасность сети для ВМ
8. Как раз вовремя доступ к ВМ
9. Мониторинг вашей инфраструктуры

Планирование и развертывание виртуальных машин Когда дело доходит до планирования, есть много вещей, которые считаются здравым смыслом, и из моего практического опыта, большинство вещей, которые "идут само собой разумеющимся", являются местом, где вещи будут разваливаться на части. Именно поэтому мне всегда нравится начинать проект с правильного планирования, или как мой бывший босс сказал бы: "Делать что-то без планирования равносильно не делать этого". Чтобы анализировать и разговаривать с людьми, вы можете работать в IT-операции или команде DevOps, которая будет отвечать за назначение доступа к IaaS для других, или вы можете быть запрашивающим, не имеет значения, всегда просить о планировании сессий - вопрос в том, почему? Ну, люди иногда спрашивают о ресурсах в "облаке", которые не обязательно нужны, и, в большинстве случаев, они не будут уделять много внимания безопасности. Безопасность - это БЕЗОПАСНОСТЬ ОТВЕТСТВЕННОСТИ между провайдером "облака", в данном случае, Microsoft и вами как клиентом:

Как только вы все проясните со своими клиентами, коллегами или кем бы вы ни работали, задокументируйте это (не ленитесь и оставьте это на потом), отправьте это как план мини-проекта вашей команде, и в качестве лучшей практики, в этом случае, сделайте вашу документацию с теми практиками, которые вы хотите внедрить - конечно, у вас могут быть Blueprints и политики на месте, и если ваша среда на этом уровне, то это очень важно, однако обычно у IT отделов не будет много времени, чтобы настроить все это, так что будьте готовы к работе с "лучшими практиками" документов. 

Во время планирования использования, Azure Калькулятор и установка бюджетных оповещений для вашей инфраструктуры, по крайней мере, чтобы избежать финансового риска с входят в сферу безопасности. 

Защита виртуальных машин с контролем доступа (IAM)

Первое, что вы хотите знать во время сеансов планирования, это то, что требуется для команды или человека, который будет использовать IaaS - всегда используйте подход с наименьшими привилегиями - так что вы даете им именно то, что им нужно, если им нужно больше, вы будете тем, кто будет это одобрять, и если они не будут жаловаться, ну, вы можете идти и быть в безопасности. Есть несколько различных ролей, которые вы можете использовать. Следите за . официальная Microsoft ссылка чтобы проверить, какой из них лучше всего соответствует вашим потребностям.

Защита конечных точек для виртуальных машин

После развертывания инфраструктуры или виртуальной машины настало время подумать о защите конечных точек. Так же, как и в случае с персональным ноутбуком, вы хотите быть в безопасности, не так ли? Тогда почему некоторые забывают установить конечную точку на ВМ.

Вы должны установить защиту от вредоносных программ, чтобы помочь идентифицировать и удалять вирусы, шпионские и другие вредоносные программы. Вы можете установить Microsoft Антивирусная программа или решение по защите конечной точки Microsoft партнера (Trend Micro, Broadcom, McAfee, Windows Defenderи Защита конечных точек системного центра). Microsoft тратит ли 1 миллиард в год на безопасность - почему бы не использовать его, это как бесплатные деньги, которые могут спасти вашу инфракрасную систему?

наличие ВМ

Когда дело доходит до доступности, гарантированные номера для SLA (соглашение об уровне обслуживания) действительно хороши, но ваша ВМ может упасть, если есть какая-то проблема или окно обслуживания Вы хотите предотвратить это как можно лучше.

Эти две практики помогут вам: Наличие наборов и Зона наличия

Если вы все еще не знаете, как использовать эти замечательные возможности, я настоятельно рекомендую вам найти их в Microsoft документах и начать использовать их для наиболее важных ресурсов в вашей среде.

Обновления VM - исправление безопасности

• Azure ВМ, как и все местные ВМ, предназначены для управления пользователями, а Azure не для установки на них обновлений Windows. Вам необходимо управлять обновлениями виртуальных машин.
• Держите ваши ВМ в курсе. 
• Если вы используете Windows Update, оставьте включенным параметр автоматического обновления Windows. При установке убедитесь, что образы, которые вы создали, включают самые последние обновления Windows.
• Периодически передислоцируйте ВМ, чтобы заставить новую версию операционной системы.
• Определите ваш ВМ с Azure Шаблон менеджера ресурсов так что ты можешь легко передислоцировать его. Использование шаблона дает вам исправленную и безопасную ВМ, когда вам это нужно.
• Быстрое применение обновлений безопасности к ВМ.
• Azure Центр безопасности (Бесплатный уровень или Стандартный уровень) до определить отсутствующие обновления безопасности и применить их.
• Установите последние обновления системы безопасности.
• Развертывание и тестирование решения для резервного копирования.
  

Резервное копирование должно обрабатываться так же, как и любая другая операция. Это справедливо для систем, которые являются частью вашей производственной среды, распространяющейся на облако.

Жесткие диски с шифрованием

• Настоятельно рекомендуется шифровать виртуальные жесткие диски (VHD), чтобы защитить загрузочный том и тома данных, находящиеся в хранилище, а также ключи шифрования и секреты. Azure Дисковое шифрование использует отраслевой стандарт BitLocker особенность Windows и DM-Crypt функция Linux для обеспечения шифрования тома для ОС и дисков с данными.
• Используйте ключ шифрования (KEK) для дополнительного уровня безопасности ключей шифрования. Добавьте KEK в хранилище ключей.
• Сделать снимок и/или резервное копирование перед шифрованием дисков. Резервное копирование обеспечивает возможность восстановления в случае неожиданного сбоя во время шифрования.
• Чтобы секреты шифрования не пересекали региональные границы, Azure Disk Encryption необходимо, чтобы хранилище ключей и ВМ находились в одном и том же регионе.

Безопасность сети для ВМ

• Выявление и устранение открытых ВМ, которые разрешают доступ с "любого" IP-адреса источника.
• Настройка NSG - группы сетевой безопасности. 
• По умолчанию каждая ВМ открыла порты RDP и SSH из любого места. Это, с публичным IP адресом, назначенным ВМ, является вызовом для хакеров, так как каждый публичный IP адрес сканируется и злоумышленники могут, или, я бы даже сказал, будут атаковать его, если вы оставите его так.
• Вникните в детали и создайте NSG, чтобы только пользователи с определенных IP-адресов могли получить доступ к вашей виртуальной машине.
• Возьмите какой-нибудь высококонфиденциальный сервер, на котором хранятся данные пользователя. Как бы вы защитили его? Подумайте об использовании "прыжковых" серверов. Это виртуальные машины, не принадлежащие домену, с которых вы можете получить доступ к другим ВМ в вашей среде. 

Как раз вовремя доступ к ВМ (JIT)
. Ограничение портов управления (RDP, SSH). Детали: Доступ к ВМ "точно в срок" (JIT) можно использовать для блокировки входящего трафика к Azure ВМ, снижая риск атак и обеспечивая легкий доступ к ВМ при необходимости. Когда JIT включена, Security Center блокирует входящий трафик к виртуальным Azure машинам, создавая правило группы сетевой безопасности. Вы выбираете порты на виртуальной машине, к которым будет блокироваться входящий трафик. Эти порты контролируются решением JIT.

Читайте о возможных сценариях атак, которые могут произойти с вами, а затем вы быстро внедрите JIT 😊.

Мониторинг вашей инфраструктуры

Azure Security Center - это унифицированная система управления безопасностью инфраструктуры, которая укрепляет позиции безопасности Ваших центров обработки данных и обеспечивает расширенную защиту от угроз для Ваших гибридных рабочих нагрузок в "облаке" - независимо от того, находятся ли они внутри Azure или нет, а также во внутренних помещениях. Рекомендуется использовать Azure Мониторинг чтобы получить представление о здоровье вашего ресурса. Azure Функции мониторинга:

• Файлы журнала диагностики ресурсов: Отслеживает ресурсы виртуальной машины и выявляет потенциальные проблемы, которые могут снизить производительность и доступность.
• Azure Расширение диагностики: Предоставляет возможности мониторинга и диагностики на ВМ Windows. Вы можете включить эти возможности, включив расширение в состав Azure Шаблон менеджера ресурсов.

Организации, которые не отслеживают производительность VM, не могут определить, являются ли определенные изменения в производительности нормальными или ненормальными. ВМ, потребляющая больше ресурсов, чем обычно, может указывать на атаку с внешнего ресурса или скомпрометированный процесс, запущенный в ВМ.

Спасибо, что прочитали этот блог.

Более подробную информацию и ссылки см. на этой странице ссылка