Azure 虚拟机安全概述

本文概述了虚拟机的核心 Azure 安全功能。

Azure 虚拟机允许以敏捷的方式部署各种计算解决方案。该服务支持 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk Services。可以在几乎任何作系统上部署任何工作负载和任何语言。

Azure VM 提供虚拟化的灵活性，无需购买和维护物理硬件。可以生成和部署应用程序，并确保数据在高度安全的数据中心受到保护。

使用 Azure 可以构建安全增强且符合法规的解决方案：

受信任的启动

受信任的启动是新创建的第 2 代 Azure VM 和虚拟机规模集的默认值。受信任的启动可防范高级和持久性攻击技术，包括启动工具包、rootkit 和内核级恶意软件。

可信启动提供：

可以在现有 VM 和虚拟机规模集上启用受信任的启动。有关详细信息，请参阅 Azure 虚拟机的受信任启动。

Azure 备份是一种可缩放的解决方案，它通过零资本投资和最低运营成本来保护应用程序数据。应用程序错误可能会损坏数据，人为错误可能会将 bug 引入应用程序。使用 Azure 备份可以保护运行 Windows 和 Linux 的虚拟机。

Azure 备份提供独立和隔离的备份，以防止意外销毁数据。备份存储在提供恢复点内置管理的恢复服务保管库中。

Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移和恢复，以便在主要位置出现故障时从辅助位置获取它们。

Site Recovery：

虚拟机需要网络连接。 Azure 要求虚拟机连接到 Azure 虚拟网络。

Azure 虚拟网络是一个构建于物理 Azure 网络结构之上的逻辑构造。每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。这种隔离可帮助确保部署中的网络流量对于其他 Microsoft Azure 客户不可访问。

Microsoft Defender for Cloud 可帮助防止、检测和响应威胁。通过 Defender for Cloud 可提高对 Azure 资源的可见性和安全可控性。它为 Azure 订阅提供集成的安全监控和策略管理。

Defender for Cloud 通过以下方式帮助你优化和监视 VM 安全性：

Azure 虚拟机已针对 FISMA、FedRAMP、HIPAA、PCI DSS Level 1 和其他关键合规性计划进行了认证。通过此认证，Azure 应用程序可以更轻松地满足合规性要求，使企业能够应对国内外法规要求。

有关详细信息，请参阅 Microsoft信任中心：合规性。

Azure Key Vault 为密钥和机密提供安全存储。 Key Vault 提供用于将密钥存储在经过 FIPS 140 验证标准的硬件安全模块（HSM）中的选项。

用于备份或透明数据加密的 SQL Server 加密密钥都可以存储在 Key Vault 中，其中包含来自应用程序的任何密钥或机密。权限和对这些受保护项的访问权限通过 Microsoft Entra ID 进行管理。

了解 VM 和操作系统的安全最佳做法。