Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文概述了虚拟机的核心Azure安全功能。
Azure 虚拟机使你可以以敏捷的方式部署各种计算解决方案。 该服务支持 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk 服务。 可以在几乎任何作系统上部署任何工作负载和任何语言。
Azure VM 提供虚拟化的灵活性,无需购买和维护物理硬件。 可以生成和部署应用程序,并确保数据在高度安全的数据中心受到保护。
通过使用Azure,可以生成安全性增强的合规解决方案,以便:
- 保护虚拟机免受病毒和恶意软件的侵害
- 加密敏感数据
- 保护网络流量
- 识别和检测威胁
- 满足合规性要求
受信任的启动
可信启动是新创建的第 2 代 Azure 虚拟机和虚拟机规模集的默认设置。 受信任的启动可防范高级和持久性攻击技术,包括启动工具包、rootkit 和内核级恶意软件。
可信启动提供:
- 安全启动:通过确保只有经过签名的操作系统和驱动程序才能启动,防止安装基于恶意软件的 rootkit 和启动套件
- vTPM (虚拟受信任的平台模块):用于密钥和度量的专用安全保管库,可实现证明和启动完整性验证
- Boot 完整性监视:通过Microsoft Defender for Cloud进行验证,以确认引导链完整性,并在发生故障时发出警报
可以在现有的虚拟机和虚拟机规模集上启用受信任的启动。 有关详细信息,请参阅 Azure 虚拟机的可信启动。
虚拟机磁盘加密
重要
Azure 磁盘加密定于 2028 年 15 月 15 日停用。 在该日期之前,可以继续使用Azure 磁盘加密而不中断。 2028 年 9 月 15 日,已启用 ADE 的工作负荷将继续运行,但 VM 重启后加密磁盘将无法解锁,从而导致服务中断。
使用 主机端加密 用于新 VM。 所有已启用 ADE 的 VM(包括备份)必须在停用日期之前迁移到主机上的加密,以避免服务中断。 有关详细信息,请参阅 从 Azure 磁盘加密 迁移到在主机进行加密。
Azure为托管磁盘提供了多个加密选项:
服务器端加密(SSE):也称为静态加密或Azure 存储加密,始终启用 SSE,并在保存到存储群集时自动加密Azure托管磁盘(OS 和数据磁盘)上的数据。 使用符合 FIPS 140-2 标准的 256 位 AES 加密以透明方式加密数据。 SSE 不会影响磁盘性能,且不产生额外费用。 但是,SSE 不会加密临时磁盘或磁盘缓存。
主机加密:通过加密静态临时磁盘和磁盘缓存来增强 SSE,并将数据流加密到存储群集。 此加密为 VM 数据提供端到端加密。 主机加密不使用 VM 的 CPU,不会影响性能。 临时磁盘和临时 OS 磁盘使用平台管理的密钥进行加密。 OS 和数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行加密,具体取决于磁盘加密类型。
机密磁盘加密:对于机密 VM,此加密会将磁盘加密密钥绑定到 VM 的 TPM,使受保护的磁盘内容只能访问 VM。
默认情况下,托管磁盘使用平台管理的密钥,无需其他配置。 对于客户管理的密钥,可以使用Azure 密钥保管库、Azure 密钥保管库托管 HSM 或 Azure Cloud HSM 来控制和管理自己的加密密钥。
有关详细信息,请参阅托管磁盘加密选项概述和Azure 磁盘存储的服务器端加密。
密钥管理
Azure 密钥保管库为加密密钥、机密和证书提供安全存储。 Azure提供具有不同安全级别的多个关键管理解决方案:
- Azure 密钥保管库 Standard:FIPS 140-2 级别 1 验证的多租户服务,其中包含受软件保护的密钥。
- Azure 密钥保管库 Premium:FIPS 140-3 级别 3 验证的多租户服务,其中包含受 HSM 保护的密钥。
- Azure 密钥保管库托管 HSM:FIPS 140-3 级 3 验证的单租户服务,使客户能够完全控制 HSM 和密钥主权。
对于虚拟机,这些服务可以存储:
- 磁盘加密密钥:客户管理的密钥,用于通过磁盘加密集加密托管磁盘。
- SQL Server加密密钥:SQL Server VM 上用于 transparent 数据加密的密钥。
- 应用程序机密:VM 上运行的应用程序使用的密钥和机密。
可以通过 Microsoft Entra ID 管理对受保护项的权限和访问权限。 可以审核密钥使用情况,并保留对加密密钥的完全控制。
有关详细信息,请参阅
虚拟机备份
Azure 备份 是一种可缩放的解决方案,可保护 VM 数据,且资本投资零,运营成本最低。 应用程序错误可能会损坏数据,而人为错误可能会引入漏洞。 使用 Azure 备份,运行 Windows 和 Linux 的虚拟机受到保护。
Azure 备份提供:
- 独立备份和隔离备份:备份存储在恢复服务保管库中,该保管库提供恢复点的内置管理,并防止意外销毁数据
- 应用程序一致性恢复点:在备份时捕获运行 VM 的应用程序数据的状态
- 不需要显式出站连接:所有通信和数据传输都发生在Azure主干网络上
- 软删除保护:已删除的备份数据将额外保留 14 天,期间可以恢复,且不会丢失数据。
- 跨区域还原:在辅助的 Azure 配对区域中还原 Azure VM,以用于灾难恢复方案
有关详细信息,请参阅 什么是 Azure 备份? 和 Azure 备份 服务常见问题解答。
Azure Site Recovery
Azure Site Recovery可帮助协调工作负荷和应用的复制、故障转移和恢复,以便在主要位置出现故障时从辅助位置获取它们。
Site Recovery:
- 简化 BCDR 策略:可以轻松地从单个位置处理多个业务工作负荷和应用的复制、故障转移和恢复
- 灵活复制:复制在 Hyper-V VM、VMware VM 和 Windows/Linux 物理服务器上运行的工作负荷
- 支持故障转移和恢复:为灾难恢复演练提供测试故障转移,而不会影响生产环境
- 消除次级数据中心:通过复制到 Azure,消除维护次要站点的成本和复杂性。
有关详细信息,请参阅 Azure Site Recovery?、Azure Site Recovery工作原理如何?,以及哪些工作负荷受 Azure Site Recovery? 保护。
虚拟网络
虚拟机需要网络连接。 Azure要求虚拟机连接到Azure虚拟网络。
Azure虚拟网络是基于物理Azure网络构造构建的逻辑构造。 每个逻辑Azure虚拟网络都与所有其他Azure虚拟网络隔离。 这种隔离有助于确保其他Microsoft Azure客户无法访问部署中的网络流量。
有关详细信息,请参阅 Azure 网络安全概述和 虚拟网络 概述。
安全策略管理
Microsoft Defender for Cloud有助于防止、检测和响应威胁。 Defender for Cloud使你能够更深入地了解和控制Azure资源的安全性。 它跨Azure订阅提供集成的安全监视和策略管理。
Defender for Cloud通过以下方式帮助优化和监视 VM 安全性:
- 为虚拟机提供安全建议
- 监视虚拟机的状态
有关详细信息,请参阅 Microsoft Defender for Cloud 简介,以及 Microsoft Defender for Cloud 常见问题。
合规性
Azure 虚拟机已通过 FISMA、FedRAMP、HIPAA、PCI DSS 级别 1 和其他关键合规性计划认证。 通过此认证,Azure应用程序能够更轻松地满足合规性要求,使企业能够应对国内外法规要求。
有关详细信息,请参阅 Microsoft 信任中心:合规性。
后续步骤
了解 VM 和操作系统的安全最佳做法。