Författare: Stefan Gajic, Cloud and Infrastructure Lead på P3 Group, MCT på

I den här bloggen kommer vi att täcka de viktigaste säkerhet bästa praxis för att skydda din IaaS. Detta kommer att bli en teaser för dem som inte är bekant med dessa metoder för att börja tänka och lära sig om säkerhet i Azure , och för er som redan genomför några av dessa säkerhetsfunktioner påminnelser att fortsätta göra det eller att ens ägna mer uppmärksamhet säkerhet IaaS.

Kom ihåg att säkerhet i Azure är delat ansvar och vi ansvarar för hur infrastrukturen kommer att skyddas. Låt inte incidenter vara initiativtagare till att städa upp säkerhet men bättre vara proaktiv och alltid ha i åtanke att du är ansvarig för säkerheten för arbetsbelastningar i Azure .

Här är de ämnen som vi kommer att täcka, och dessa bästa praxis är redan skrivna i officiella Microsoft dokumentation,men jag var fri att krydda upp det med min erfarenhet:

1. Planering och distribution av virtuella datorer
2. Skydda virtuella datorer med åtkomstkontroll (IAM)
3. Slutpunktsskydd för virtuella datorer
4. VMs tillgänglighet
5. VM-uppdateringar – säkerhetskorrigering
6. Kryptera hårddiskar
7. Nätverkssäkerhet för virtuell dator
8. Precis i tid VM-åtkomst
9. Övervaka din infrastruktur

Planering och distribution av virtuella datorer
När det gäller planering finns det en hel del saker som betraktas som sunt förnuft och från min praktiska erfarenhet, de flesta av de saker som är "gå utan att säga" är den plats där saker och ting kommer att falla sönder. Det är därför jag alltid gillar att starta ett projekt med ordentlig planering, eller hur min ex-chef skulle säga "Att göra något utan planering är lika med att inte göra det". För att analysera och prata med människor, kanske du arbetar i IT-ops eller DevOps team som kommer att ansvara för att tilldela tillgång till IaaS till andra eller du kan vara beställare, spelar ingen roll, alltid be om planering sessioner - frågan är varför? Tja människor ibland ber om resurser i molnet som inte nödvändigtvis behövs, och i de flesta fall kommer de inte att ägna mycket uppmärksamhet åt säkerheten. Säkerhet är delat ansvar mellan molnleverantören, i det här fallet Microsoft och du som kund:

När du klara upp allt med dina kunder, kollegor eller vem du arbetar med, dokumentera det (inte gå lat och lämna det till senare), skicka det som en mini-projekt plan till ditt team, och som en bästa praxis, i detta fall, gör din dokumentation med de metoder du vill genomföras, naturligtvis kan du ha ritningar och politik på plats , och om din miljö är på denna nivå, tummen upp, men vanligtvis IT-avdelningar kommer inte att ha mycket tid att konfigurera alla dessa, så var beredd med "bästa praxis" dokument. 

Under planeringsanvändningen Azure Kalkylator och inställningsbudgetaviseringar för din infrastruktur åtminstone för att undvika ekonomiska risker med omfattas av säkerheten. 

Skydda virtuella datorer med åtkomstkontroll (IAM)

Det första du vill veta under planeringssessionerna är vad som krävs för teamet eller den person som kommer att använda IaaS - alltid använda minst privilegium strategi - så att du ger dem exakt vad de behöver, om de behöver mer kommer du att vara den som kommer att godkänna det, och om de inte klagar, ja, du är bra att gå och vara säker. Det finns några olika roller som du kan använda. Följ den officiella Microsoft länk för att kontrollera vilken som passar dina behov bäst.

Slutpunktsskydd för virtuella datorer

När du har distribuerat infrastruktur eller virtuell dator är det dags för dig att tänka på slutpunktsskydd. Samma som för din personliga laptop, vill du vara säker, eller hur? Hur kommer det sig då att vissa glömmer att skapa en slutpunkt på virtuella datorer.

Du bör installera skydd mot skadlig kod för att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Du kan installera Microsoft Antimalware eller en Microsoft partnerns slutpunktsskyddslösning (Trend Micro, Broadcom, McAfee, Windows Defenderoch System Center Endpoint Protection). Microsoft spenderar 1billion per år för säkerhet - varför inte använda den, det är som gratis pengar som kan spara din infra?

VMs tillgänglighet

När det gäller tillgänglighet de garanterade numren för SLA (servicenivåavtal) är riktigt bra, men din virtuella dator kan gå ner om det finns något problem eller underhåll fönster Du vill förhindra detta det bästa du kan.

Dessa två metoder hjälper dig: Tillgänglighetsuppsättningar och tillgänglighetszon 

Om du fortfarande inte är bekant med hur man använder dessa fantastiska funktioner jag starkt råda dig att hitta den i Microsoft och börja använda den för de viktigaste resurserna i din miljö.

VM-uppdateringar – säkerhetskorrigering

• Azure Virtuella datorer, liksom alla lokala virtuella datorer, är avsedda att hanteras av användaren. Azure skickar inte Windows-uppdateringar till dem. Du måste hantera dina vm-uppdateringar.
• Håll dina virtuella datorer aktuella. 
• Om du använder Windows Update lämnar du den automatiska Windows Update-inställningen aktiverad. Se till att avbildningar som du har skapat för att inkludera den senaste omgången av Windows-uppdateringar vid distributionen.
• Distribuera regelbundet om dina virtuella datorer för att tvinga fram en ny version av operativsystemet.
• Definiera din virtuella dator med en Azure Resource Manager-mall så att du enkelt kan distribuera om den. Med hjälp av en mall får du en korrigerad och säker virtuell dator när du behöver den.  
• Snabbt tillämpa säkerhetsuppdateringar på virtuella datorer.
• Azure Security Center (kostnadsfri nivå eller standardnivå) för att identifiera saknade säkerhetsuppdateringar och tillämpa dem.
• Installera de senaste säkerhetsuppdateringarna.
• Distribuera och testa en lösning för säkerhetskopiering.
  

En säkerhetskopia måste hanteras på samma sätt som du hanterar alla andra åtgärder. Detta gäller för system som är en del av din produktionsmiljö som sträcker sig till molnet.

Kryptera hårddiskar

• Vi rekommenderar starkt att du krypterar dina virtuella hårddiskar (VHD) för att skydda startvolymen och datavolymerna i vila i lagringsutrymmet, tillsammans med krypteringsnycklar och hemligheter. Azure Diskkryptering använder den branschstandarda BitLocker-funktionen i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna.
• Använd en nyckelkrypteringsnyckel (KEK) för ytterligare ett säkerhetslager för krypteringsnycklar. Lägg till en KEK i ditt nyckelvalv.
• Ta en ögonblicksbild och/eller säkerhetskopia innan diskarna krypteras. Säkerhetskopior ger ett återställningsalternativ om ett oväntat fel inträffar under krypteringen.
• För att se till att krypteringshemligheterna inte korsar regionala gränser Azure Diskkryptering behöver nyckelvalvet och de virtuella datorerna som ska finnas i samma region.

Nätverkssäkerhet för virtuell dator

• Identifiera och åtgärda exponerade virtuella datorer som tillåter åtkomst från "alla" käll-IP-adress.
• Konfigurera NSG – Nätverkssäkerhetsgrupper. 
• Som standard har varje virtuell dator öppnat RDP- och SSH-portar från valfri plats. Detta, med en offentlig IP-adress som tilldelats VM, är ett samtal för hackare, eftersom varje offentlig IP-adress skannas och angripare kan, eller jag skulle ens säga kommer att attackera det om du lämnar det så.
• Få information och bygg din NSG så att endast användare från vissa IP-adresser kan komma åt din virtuella dator.
• Ta en mycket konfidentiell server där användardata lagras. Hur skulle du skydda den? Överväg att använda hoppservrar. Det här är virtuella datorer, icke-domänanslutna, från vilka du kan komma åt andra virtuella datorer ytterligare i din miljö. 

Precis i tid VM-åtkomst (JIT)
Begränsa hanteringsportar (RDP, SSH). Detalj: JUST-in-time (JIT) VM-åtkomst kan användas för att låsa inkommande trafik till din Azure Virtuella datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs. När JIT är aktiverat låser Security Center ingående trafik till Azure Virtuella datorer genom att skapa en regel för nätverkssäkerhetsgrupper. Du väljer de portar på den virtuella datorn som inkommande trafik ska vara låst. Dessa portar styrs av JIT-lösningen.

Läs om potentiella attackscenarier som kan hända dig och sedan kommer du att implementera JIT snabbt 😊.

Övervaka din infrastruktur

Azure Security Center är ett enhetligt säkerhetshanteringssystem för infrastruktur som stärker säkerhetspositionen för dina datacenter och ger avancerat hotskydd över dina hybridarbetsbelastningar i molnet – oavsett om de är i Azure eller inte – såväl som lokalt. Rekommenderas är användningen av Azure Övervaka för att få insyn i resursens hälsa. Azure Bildskärmsfunktioner:

• Resursdiagnostikloggfiler:Övervakar dina vm-resurser och identifierar potentiella problem som kan äventyra prestanda och tillgänglighet.
• Azure Tillägg för diagnostik: Tillhandahåller funktioner för övervakning och diagnostik på virtuella datorer iWindows. Du kan aktivera dessa funktioner genom att inkludera tillägget som en del av Azure Mall för Resurshanteraren.

Organisationer som inte övervakar vm-prestanda kan inte avgöra om vissa ändringar i prestandamönster är normala eller onormala. En virtuell dator som förbrukar mer resurser än normalt kan tyda på en attack från en extern resurs eller en komprometterade process som körs i den virtuella datorn.

Tack för att du läser den här bloggen.

Mer information och referenser se på denna länk