作者:Stefan Gajic Stefan Gajic,P3集团云计算和基础设施主管,MCT,北京 Semos Education
在这篇博客中,我们将涵盖最重要的安全最佳实践来保护你的IaaS。这将是一个预告,对于那些不熟悉这些方法的人,开始思考和学习安全问题Azure,对于那些已经在实施这些安全功能的人,提醒他们继续这样做,甚至更加注意IaaS的安全。
记住,安全在Azure 是共同的责任,我们要对如何保护基础设施负责。不要让事件成为整顿安全的始作俑者,而最好是主动出击,并始终牢记你要对工作负载的安全负责,在Azure......。
下面是我们要讲的主题,这些最佳实践已经写在官方Microsoft 文档中,不过,我可以自由地用我的经验来加点料。
- 虚拟机规划和部署
- 使用访问控制(IAM)保护虚拟机
- 虚拟机的端点保护
- 虚拟机的可用性
- 虚拟机更新--安全补丁
- 加密硬盘驱动器
- 虚拟机的网络安全
- 及时的虚拟机访问
- 监控您的基础设施
虚拟机规划和部署
说到策划,有很多被认为是常识的东西,从我的实践经验来看,大部分"不说不知道"的东西,都是事情会崩盘的地方。所以我总是喜欢在一个项目开始的时候就做好规划,也就是我的前老板所说的"做一件事没有规划等于没有做"。分析一下,和大家聊聊,你可能在IT运维或DevOps团队工作,会负责把IaaS的访问权分配给别人,也可以是请求者,无所谓,总是要求开规划会--问题是为什么?好吧,人们有时会要求在云中获得不一定需要的资源,而且,在大多数情况下,他们不会很注意安全问题。在这种情况下,安全是云提供商Microsoft 和您作为客户之间的共同责任。
一旦你和你的客户、同事或任何与你合作的人理清了一切,就把它记录下来(不要偷懒,留到以后再做),作为一个小型项目计划发给你的团队,作为一个最佳实践,在这种情况下,把你想实施的实践做成文档--当然,你可以有蓝图和政策,如果你的环境达到了这个水平,请竖起大拇指,然而通常IT部门不会有太多的时间来配置所有这些,所以要准备好"最佳实践"文档。
在规划使用过程中,Azure 计算器和设置预算警报,为您的基础设施至少避免金融风险与是安全的范围。
使用访问控制(IAM)保护虚拟机
在规划会议上,你首先要知道的是对团队或将使用IaaS的人有什么要求--总是使用最小权限的方法--所以你给他们的正是他们需要的,如果他们需要更多,你将是那个批准的人,如果他们不抱怨,好吧,你就可以走了,安全了。 有几个不同的角色,你可以使用。遵循 官方Microsoft 链接以检查哪种方式最适合你的需求。
虚拟机的端点保护
一旦你部署了基础设施或虚拟机,那么你就应该考虑端点保护了。和你的个人笔记本电脑一样,你也想安全,对吧?那怎么有些人就忘了在虚拟机上设置一个端点呢。
你应该安装反恶意软件保护,以帮助识别和清除病毒、间谍软件和其他恶意软件。您可以安装 Microsoft 反恶意软件或Microsoft 合作伙伴的端点保护解决方案(趋势科技, 博通, McAfee, 视窗卫士和 系统中心端点保护趋Microsoft 势科技每年花费10亿用于安全防护--为什么不用它,它就像免费的钱一样,可以拯救你的Infra?
虚拟机的可用性
当涉及到可用性时,SLA(服务水平协议)的保证数字真的很好,但如果有一些问题或维护窗口,你的虚拟机可能会下降,你想尽可能地防止这种情况。
这两种做法会对你有所帮助。 可用性设置和可用区域
如果你还不熟悉如何利用这些伟大的功能,我强烈建议你在Microsoft 文档中找到它,并开始使用它来处理你环境中最重要的资源。
虚拟机更新--安全补丁
- Azure 虚拟机,像所有的预置虚拟机一样,旨在由用户管理,Azure 不会向它们推送Windows更新。您需要管理您的虚拟机更新。
- 让您的虚拟机保持最新状态。
- 如果您使用 Windows 更新,请启用自动 Windows 更新设置。确保在部署时,您构建的映像包含最新一轮的Windows更新。
- 定期重新部署您的虚拟机,以强制执行操作系统的新版本。
- 用以下方式定义您的虚拟机 Azure 资源管理员模板以便您可以轻松地重新部署它。使用模板可以在您需要时为您提供一个打过补丁的安全虚拟机。
- 快速向虚拟机应用安全更新。
- Azure 安全中心(免费层或标准层)至 识别缺失的安全更新并应用它们.
- 安装最新的安全更新。
- 部署和测试备份解决方案。
需要以处理任何其他操作的方式来处理备份。作为生产环境的一部分延伸到云端的系统也是如此。
加密硬盘驱动器
- 强烈建议您加密您的虚拟硬盘(VHD),以帮助保护您的启动卷和存储中静止的数据卷,以及您的加密密钥和秘密。 Azure 磁盘加密使用行业标准的 BitLockerWindows的功能和 DM-Crypt的功能,为操作系统和数据磁盘提供卷加密。
- 使用密钥加密密钥(KEK)为加密密钥提供额外的安全层。将KEK添加到您的密钥库中。
- 乘坐 快照和/或在磁盘加密前进行备份。如果加密过程中发生意外故障,备份提供了一个恢复选项。
- 为了确保加密秘密不跨越区域界限,Azure 磁盘加密需要密钥库和虚拟机位于同一区域。
虚拟机的网络安全
- 识别并修复允许从"任何"源 IP 地址访问的暴露虚拟机。
- 配置NSG--网络安全组。
- 默认情况下,每个虚拟机都开通了任何位置的RDP和SSH端口。这样一来,给虚拟机分配了一个公有的IP地址,就给黑客打了一个电话,因为每个公有的IP地址都会被扫描,如果你这样放着,攻击者就可以,甚至我说会攻击它。
- 进入细节,建立你的NSG,这样只有特定IP地址的用户才能访问你的虚拟机。
- 就拿一些高度机密的服务器来说,用户数据就存放在那里。你会如何保护它?可以考虑使用跳转服务器。这些都是非域加入的虚拟机,只有从这些虚拟机上,你才能进一步访问环境中的其他虚拟机。
及时虚拟机访问(JIT)
限制管理端口(RDP、SSH)。详细介绍。及时(JIT)虚拟机访问可用于锁定Azure 虚拟机的入站流量,减少遭受攻击的风险,同时在需要时提供连接虚拟机的轻松访问。启用 JIT 后,Security Center 会通过创建网络安全组规则来锁定Azure 虚拟机的入站流量。您可以选择虚拟机上要锁定入站流量的端口。这些端口由 JIT 解决方案控制。
阅读可能发生在你身上的潜在攻击场景,然后你就会快速实施JIT😊。
监控您的基础设施
Azure 安全中心是一个统一的基础设施安全管理系统,它可以加强数据中心的安全态势,并为您在云端(无论是否在Azure 云端)以及内部的混合工作负载提供高级威胁保护。 建议使用 Azure 监控以获得资源健康状况的可见性。Azure 监控功能。
不监控虚拟机性能的组织无法确定性能模式的某些变化是正常还是异常。消耗资源比正常情况下更多的虚拟机可能表明来自外部资源的攻击或虚拟机中运行的进程受到了损害。