通过

Azure 虚拟机安全概述

本文概述了虚拟机的核心 Azure 安全功能。

Azure 虚拟机允许以敏捷的方式部署各种计算解决方案。 该服务支持 Microsoft Windows、Linux、Microsoft SQL Server、Oracle、IBM、SAP 和 Azure BizTalk Services。 可以在几乎任何作系统上部署任何工作负载和任何语言。

Azure VM 提供虚拟化的灵活性,无需购买和维护物理硬件。 可以生成和部署应用程序,并确保数据在高度安全的数据中心受到保护。

通过使用 Azure,可以生成安全性增强且合规的解决方案,这些解决方案可以:

  • 保护虚拟机免受病毒和恶意软件的侵害
  • 加密敏感数据
  • 保护网络流量
  • 识别和检测威胁
  • 满足合规性要求

受信任的启动

受信任的启动 是新创建的第 2 代 Azure VM 和虚拟机规模集的默认值。 受信任的启动可防范高级和持久性攻击技术,包括启动工具包、rootkit 和内核级恶意软件。

可信启动提供:

  • 安全启动:通过确保只有经过签名的操作系统和驱动程序才能启动,防止安装基于恶意软件的 rootkit 和启动套件
  • vTPM (虚拟受信任的平台模块):用于密钥和度量的专用安全保管库,可实现证明和启动完整性验证
  • 启动完整性监视:通过 Microsoft Defender for Cloud 使用证明来验证启动链完整性并针对故障发出警报

可以在现有的虚拟机和虚拟机规模集上启用受信任的启动。 有关详细信息,请参阅 Azure 虚拟机的受信任启动

虚拟机磁盘加密

重要

Azure 磁盘加密计划于 2028 年 9 月 15 日停用。 在该日期之前,可以继续使用 Azure 磁盘加密,而不会中断。 2028 年 9 月 15 日,已启用 ADE 的工作负荷将继续运行,但 VM 重启后加密磁盘将无法解锁,从而导致服务中断。

使用 主机端加密 用于新 VM。 所有已启用 ADE 的 VM(包括备份)必须在停用日期之前迁移到主机上的加密,以避免服务中断。 有关详细信息,请参阅 从 Azure 磁盘加密迁移到主机加密

Azure 为托管磁盘提供了多个加密选项:

  • 服务器端加密(SSE):也称为静态加密或 Azure 存储加密,SSE 始终启用,并在保存到存储群集时自动加密 Azure 托管磁盘(OS 和数据磁盘)上的数据。 使用符合 FIPS 140-2 标准的 256 位 AES 加密以透明方式加密数据。 SSE 不会影响磁盘性能,且不产生额外费用。 但是,SSE 不会加密临时磁盘或磁盘缓存。

  • 主机加密:通过加密静态临时磁盘和磁盘缓存来增强 SSE,并将数据流加密到存储群集。 此加密为 VM 数据提供端到端加密。 主机加密不使用 VM 的 CPU,不会影响性能。 临时磁盘和临时 OS 磁盘使用平台管理的密钥进行加密。 OS 和数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行加密,具体取决于磁盘加密类型。

  • 机密磁盘加密:对于机密 VM,此加密会将磁盘加密密钥绑定到 VM 的 TPM,使受保护的磁盘内容只能访问 VM。

默认情况下,托管磁盘使用平台管理的密钥,无需其他配置。 对于客户管理的密钥,可以使用 Azure Key Vault、Azure Key Vault 托管 HSM 或 Azure 云 HSM 来控制和管理自己的加密密钥。

有关详细信息,请参阅 Azure 磁盘存储的托管磁盘加密选项服务器端加密概述

密钥管理

Azure Key Vault 为加密密钥、机密和证书提供安全存储。 Azure 提供具有不同安全级别的多个密钥管理解决方案:

  • Azure Key Vault 标准版:经过 FIPS 140-2 级别 1 验证的多租户服务,使用软件保护密钥。
  • Azure Key Vault Premium:FIPS 140-3 级别 3 验证的多租户服务,其中包含受 HSM 保护的密钥。
  • Azure Key Vault 托管 HSM:FIPS 140-3 级别 3 验证的单租户服务,可提供对 HSM 和密钥主权的完全客户控制。

对于虚拟机,这些服务可以存储:

  • 磁盘加密密钥:客户管理的密钥,用于通过磁盘加密集加密托管磁盘。
  • SQL Server 加密密钥:用于 SQL Server VM 上的 透明数据加密 的密钥。
  • 应用程序机密:VM 上运行的应用程序使用的密钥和机密。

可以通过 Microsoft Entra ID 管理对受保护项的权限和访问权限。 可以审核密钥使用情况,并保留对加密密钥的完全控制。

有关详细信息,请参阅 什么是 Azure Key Vault?什么是 Azure Key Vault 托管 HSM?以及 Azure 中的密钥管理

虚拟机备份

Azure 备份 是一种可缩放的解决方案,它通过零资本投资和最低的运营成本来保护 VM 数据。 应用程序错误可能会损坏数据,而人为错误可能会引入漏洞。 使用 Azure 备份可以保护运行 Windows 和 Linux 的虚拟机。

Azure 备份提供:

  • 独立备份和隔离备份:备份存储在恢复服务保管库中,该保管库提供恢复点的内置管理,并防止意外销毁数据
  • 应用程序一致性恢复点:在备份时捕获运行 VM 的应用程序数据的状态
  • 无需显式出站连接:所有通信和数据传输都发生在 Azure 主干网络上
  • 软删除保护:已删除的备份数据将额外保留 14 天,期间可以恢复,且不会丢失数据。
  • 跨区域还原:为灾难恢复方案还原辅助 Azure 配对区域中的 Azure VM

有关详细信息,请参阅 什么是 Azure 备份?Azure 备份服务常见问题解答

Azure Site Recovery

Azure Site Recovery 可帮助协调工作负荷和应用的复制、故障转移和恢复,以便在主要位置出现故障时从辅助位置获取它们。

Site Recovery:

  • 简化 BCDR 策略:可以轻松地从单个位置处理多个业务工作负荷和应用的复制、故障转移和恢复
  • 提供灵活的复制:复制在 Hyper-V VM、VMware VM 和 Windows/Linux 物理服务器上运行的工作负荷
  • 支持故障转移和恢复:为灾难恢复演练提供测试故障转移,而不会影响生产环境
  • 消除辅助数据中心:复制到 Azure,消除维护辅助站点的成本和复杂性

有关详细信息,请参阅什么是 Azure Site Recovery?Azure Site Recovery 的工作原理?以及哪些工作负载受 Azure Site Recovery 保护?

虚拟网络

虚拟机需要网络连接。 Azure 要求虚拟机连接到 Azure 虚拟网络。

Azure 虚拟网络是一个构建于物理 Azure 网络结构之上的逻辑构造。 每个逻辑 Azure 虚拟网络都独立于所有其他 Azure 虚拟网络。 这种隔离可帮助确保部署中的网络流量对于其他 Microsoft Azure 客户不可访问。

有关详细信息,请参阅 Azure 网络安全概述虚拟网络概述

安全策略管理

Microsoft Defender for Cloud 可帮助防止、检测和响应威胁。 通过 Defender for Cloud 可提高对 Azure 资源的可见性和安全可控性。 它为 Azure 订阅提供集成的安全监控和策略管理。

Defender for Cloud 通过以下方式帮助你优化和监视 VM 安全性:

  • 为虚拟机提供安全建议
  • 监视虚拟机的状态

有关详细信息,请参阅 Microsoft Defender for Cloud 简介,以及 Microsoft Defender for Cloud 常见问题解答

合规性

Azure 虚拟机已针对 FISMA、FedRAMP、HIPAA、PCI DSS Level 1 和其他关键合规性计划进行了认证。 通过此认证,Azure 应用程序可以更轻松地满足合规性要求,使企业能够应对国内外法规要求。

有关详细信息,请参阅 Microsoft信任中心:合规性

后续步骤

了解 VM 和操作系统的安全最佳做法

  • Last updated on