共用方式為


將 零信任 原則套用至 Azure 中的虛擬機

注意

即將推出的 Livestream 在討論本文時加入 Azure FastTrack 小組。 2024 年 10 月 23 日 |上午 10:00 - 上午 11:00 (UTC-07:00) 太平洋時間 (美國和加拿大)。 在這裡註冊。

摘要:若要將 零信任 原則套用至 Azure 虛擬機,您必須使用專用資源群組設定邏輯隔離、利用角色型 存取控制(RBAC)、安全虛擬機開機組件、啟用客戶管理的密鑰和雙重加密、控制已安裝的應用程式、設定虛擬機的安全存取和維護,以及啟用進階威脅偵測和保護。

本文提供將 零信任 原則套用至 Azure 中的虛擬機的步驟:

零信任 原則 定義 符合者
明確驗證 一律根據所有可用的資料點進行驗證及授權。 使用安全存取。
使用最低權限存取 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 利用角色型 存取控制 (RBAC)並控制在虛擬機上執行的應用程式。
假設缺口 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 使用資源群組隔離虛擬機、保護其元件、使用雙重加密,以及啟用進階威脅偵測和保護。

本文是一系列文章的一部分,示範如何將 零信任 原則套用至 Azure 中裝載虛擬機工作負載的輪輻虛擬網路 (VNet) 環境。 如需概觀,請參閱將 零信任 原則套用至 Azure 基礎結構

虛擬機的邏輯架構

虛擬機 零信任 原則會套用到邏輯架構,從租用戶和目錄層級向下套用到每個虛擬機內的數據和應用層。

下圖顯示邏輯架構元件。

將 零信任 套用至 Azure 虛擬機的邏輯架構圖,其中顯示Microsoft Entra ID 租使用者內的訂用帳戶、資源群組和虛擬機組件。

在此圖表中:

  • 是一組隔離在 Azure 訂用帳戶內專用資源群組內的虛擬機。
  • B 是單一虛擬機的邏輯架構,其已呼叫下列元件:應用程式、操作系統、磁碟、開機載入器、OS 核心、驅動程式,以及受信任的平臺模組 (TPM) 元件。

本文會逐步解說使用這些步驟,在整個邏輯架構中套用 零信任 原則的步驟。

本文五個步驟中將 零信任 套用至 Azure 虛擬機的邏輯架構圖表。

步驟 Task 已套用 零信任 原則
1 將虛擬機部署至專用資源群組,以設定邏輯隔離。 假設缺口
2 利用角色型 存取控制(RBAC)。 明確驗證
使用最低權限存取
3 保護虛擬機開機組件,包括開機載入器、OS 核心和驅動程式。 安全地保護信任平台模組 (TPM) 中的金鑰、憑證和秘密。 假設缺口
4 啟用客戶管理的金鑰和雙重加密。 假設缺口
5 控制安裝在虛擬機上的應用程式。 使用最低權限存取
6 設定安全存取 (未顯示在邏輯架構圖上)。 明確驗證
使用最低許可權存取
假設缺口
7 設定虛擬機的安全維護(未顯示在邏輯架構圖上)。 假設缺口
8 啟用進階威脅偵測和保護(未顯示在邏輯架構圖上)。 假設缺口

步驟 1:設定虛擬機的邏輯隔離

首先,隔離專用資源群組內的虛擬機。 您可以根據用途、數據分類和治理需求,將虛擬機隔離到不同的資源群組,例如控制許可權和監視的需求。

使用專用資源群組可讓您設定套用至資源群組內所有虛擬機的原則和許可權。 接著,您可以使用角色型訪問控制 (RBAC) 來建立資源群組中所含 Azure 資源的最低特殊許可權存取權。

如需建立和管理資源群組的詳細資訊,請參閱使用 Azure 入口網站 管理 Azure 資源群組。

當您第一次建立虛擬機時,您會將虛擬機指派給資源群組,如下所示。

將虛擬機指派給資源群組的螢幕快照。

步驟 2:運用角色型 存取控制 (RBAC)

零信任 需要設定最低許可權的存取權。 若要這樣做,您必須根據使用者的角色、工作負載和數據分類,使用 Just-In-Time 和 Just-enough access 來限制使用者存取權(JIT/JEA)。

下列內建角色通常用於虛擬機存取:

  • 虛擬機使用者登入: 在入口網站中檢視虛擬機,並以一般使用者身分登入。
  • 虛擬機系統管理登入: 在入口網站中檢視虛擬機,並以系統管理員身分登入虛擬機。
  • 虛擬機參與者: 建立和管理虛擬機,包括重設根用戶的密碼和受控磁碟。 不會授與管理虛擬網路 (VNet) 的存取權,或將許可權指派給資源的能力。

若要將虛擬機加入 VNet,您可以使用自定義許可權 Microsoft.Network/virtualNetworks/subnets/join/action 來建立自定義角色。

當此自定義角色與受控識別和條件式存取原則搭配使用時,您可以使用裝置狀態、數據分類、異常、位置和身分識別來強制多重要素驗證,並根據已驗證的信任細微地允許存取。

若要將控制領域延伸至系統之外,並允許具有 Microsoft Intelligent Security Graph 的 Microsoft Entra ID 租用戶支援安全存取,請移至 虛擬機的 [管理 ] 刀鋒視窗,然後開啟 [系統指派的受控識別],如下所示。

啟用系統指派受控識別的螢幕快照。

注意

此功能僅適用於使用憑證型存取的 Azure 虛擬桌面、Windows Server 2019、Windows 10 和 Linux 散發版本。

步驟 3:保護虛擬機開機組件

執行下列步驟:

  • 當您建立虛擬機時,請務必設定開機組件的安全性。 虛擬機的增強部署可讓您選取安全性類型,並使用 安全開機vTPM
  • 使用已驗證的開機載入器、OS 核心和驅動程式安全地部署虛擬機,這些驅動程式是由受信任的發行者簽署,以建立「根目錄」。如果映像不是由受信任的發行者簽署,虛擬機將不會開機。
  • 安全地保護受信任平臺模組中虛擬機中的密鑰、憑證和秘密。
  • 取得整個開機鏈完整性的見解和信賴度。
  • 確定工作負載可信和可驗證。 vTPM 藉由測量虛擬機的整個開機鏈結來啟用 證明 (UEFI、OS、系統和驅動程式)。

增強的虛擬機部署可讓您選取安全性類型,並在建立虛擬機時使用安全開機和 vTPM,如下所示。

指定虛擬機安全性功能的螢幕快照。

步驟 4:啟用客戶管理的金鑰和雙重加密

使用客戶管理的金鑰和雙重加密可確保如果導出磁碟,就無法讀取或能夠運作。 藉由確保密鑰被私下保存,且磁碟會雙重加密,您可以防範嘗試擷取磁碟資訊的缺口。

如需如何使用 Azure 金鑰保存庫 來設定客戶管理的加密金鑰的資訊,請參閱使用 Azure 入口網站 為受控磁碟使用客戶管理的金鑰啟用伺服器端加密。 使用 Azure 金鑰保存庫 需要額外的成本。

啟用 Azure 磁碟記憶體 的伺服器端加密,以進行:

  • 使用 AES 256 加密的 FIPS 140-2 相容透明加密
  • 更彈性地管理控制件。
  • 硬體 (HSM) 或軟體定義的加密。

在主機啟用伺服器端加密 ,以便對虛擬機數據進行端對端加密。

完成這些程序之後,您可以使用客戶管理的加密金鑰來加密虛擬機內的磁碟。

您可以在虛擬機組態的 [磁碟 ] 刀鋒視窗上選取加密類型。 針對 [加密類型],選取 [使用平臺管理的和客戶管理的密鑰進行雙重加密],如下所示。

選取虛擬機加密類型的螢幕快照。

步驟 5:控制安裝在虛擬機上的應用程式

請務必控制安裝在虛擬機上的應用程式:

  • 瀏覽器延伸模組 (API) 難以保護,這可能會導致惡意 URL 傳遞。
  • 未經批准的應用程式可以取消修補,因為它們是影子IT物件(IT小組尚未準備好或不知道這些已安裝)。

您可以使用虛擬機器應用程式功能來控制安裝在虛擬機上的應用程式。 使用這項功能,您可以選取要安裝的虛擬機應用程式。 這項功能會使用 Azure 計算資源庫來簡化虛擬機應用程式的管理。 與 RBAC 搭配使用時,您可以確保只有受信任的應用程式可供使用者使用。

您可以在虛擬機組態的 [進階 ] 刀鋒視窗上選取虛擬機應用程式,如下所示。

設定虛擬機器應用程式的螢幕快照。

步驟 6:設定安全存取

若要設定安全存取:

  • 在直接存取虛擬機的元件之間設定 Azure 環境中的安全通訊
  • 使用條件式存取設定多重要素驗證
  • 使用特殊權限存取工作站 (PAW)

設定虛擬機安全存取的邏輯架構圖表。

在此圖表中:

  • 使用條件式存取的多重要素驗證是在Microsoft Entra ID 和相關入口網站內設定。
  • 系統管理員會使用特殊許可權存取工作站 (PAWs) 直接存取虛擬機。

在 Azure 環境中為虛擬機設定安全通訊

首先,請確定 Azure 環境中的元件之間的通訊是安全的。

在參考架構中, Azure Bastion 提供虛擬機的安全連線。 Azure Bastion 會作為 RDP/SSH 訊息代理程式,且不會與實體系統的 RDP 通訊協議互動。 這也可讓您減少面向公用IP位址的數目。

下圖顯示虛擬機安全通訊的元件。

Azure IaaS 參考架構內虛擬機安全通訊元件的圖表。

使用條件式存取設定多重要素驗證

步驟 2 中。利用角色型 存取控制,您已設定Microsoft Entra 整合和受控識別。 這可讓您針對 Azure 虛擬桌面或執行 Windows Server 2019 或更新版本的伺服器設定 Azure 多重要素驗證。 您也可以 使用 Microsoft Entra 認證登入 Linux VM。 這項新增的優點是聯機到虛擬機的計算機也必須註冊到您的Microsoft允許連線的 Entra ID 租使用者。

使用條件式存取和相關原則設定多重要素驗證時,請使用針對 零信任 設定的建議原則做為指南。 這包括 不需要管理裝置的起始點 原則。 在理想情況下,存取虛擬機的裝置會受到管理,而且您可以實作企業原則,這是建議用於 零信任。 如需詳細資訊,請參閱常見的 零信任 身分識別和裝置存取原則

下圖顯示 零信任 的建議原則。

三個保護層級 零信任 身分識別和裝置存取原則的圖表:起點、企業和特製化安全性。

請記住,使用者名稱和密碼可能會遭到100%的入侵。 使用多重要素驗證,您可以降低 99.9% 的入侵風險。 這需要Microsoft Entra ID P1 授權。

注意

您也可以使用用來連線到 Azure 中虛擬機的 VPN。 不過,您應該務必使用方法來明確驗證。 建立「信任」的通道,不論其使用方式是否比具有高度驗證的特定連線更危險。

如果您不是來自受信任、已驗證且安全的來源,網路、傳輸或應用層的安全性就不重要。

使用PAW

使用 特殊許可權存取工作站 (PAW) 以確保存取虛擬機的裝置狀況良好。 PAW 會特別設定為特殊許可權存取,讓系統管理員使用具有下列專案的裝置:

  • 限制本機系統管理存取的安全性控制和原則。
  • 將受攻擊面降到執行敏感性系統管理工作所需的生產力工具。

如需部署選項的詳細資訊,請參閱 特殊許可權存取部署

步驟 7:設定虛擬機的安全維護

虛擬機器的安全維護包括:

  • 使用反惡意代碼
  • 自動化虛擬機更新

在虛擬機上使用反惡意代碼

反惡意代碼可協助保護您的虛擬機免於遭受威脅,例如惡意檔案和廣告軟體等。您可以從廠商的選項使用反惡意代碼軟體,例如Microsoft、Symantec、Trend Micro 和卡巴斯基。

Microsoft反惡意代碼 軟體是一項無成本資源,可提供即時保護功能,以協助偵測、隔離和清除惡意軟體、間諜軟體和病毒:

  • 在背景中執行,需要用戶互動
  • 在下載、安裝或執行垃圾或惡意軟體時提供警示
  • 提供安全預設組態和反惡意代碼監視
  • 排程掃描
  • 簽章更新
  • 反惡意代碼引擎和平臺更新
  • 主動保護
  • 範例報告
  • 排除
  • Antimalware 事件集合

自動化虛擬機更新

自動化系統更新可確保它們受到保護,免於最新的惡意代碼和設定錯誤惡意探索。 在受信任的平台驗證程式中,有自動更新協助。

專注於 Azure 虛擬機器維護和更新,以確保系統會針對設定不安全性強化您的系統:

  • Azure 自動化 更新管理可協助您管理更新程式。 使用此公用程式,您可以檢查系統的更新狀態、管理、排程和重新啟動伺服器。
  • Azure 虛擬機器代理程式 可用來管理虛擬機,並讓您能夠使用擴充功能來管理。

更新管理 支援的作業系統包括下列各項:

  • 每個 Windows 虛擬機 - 更新管理會每天掃描每部機器兩次。
  • 每個 Linux 虛擬機 - 更新管理每小時都會執行掃描。

請參閱下列其他指引:

步驟 8:啟用進階威脅偵測和保護

Azure 基礎結構的威脅防護是由 適用於雲端的 Microsoft Defender 所提供。 當您布 建適用於伺服器的 Defender Microsoft 時,此保護會延伸至虛擬機,如下圖所示。

邏輯架構的圖表,顯示 適用於雲端的 Microsoft Defender 與適用於伺服器Microsoft Defender 如何提供虛擬機的威脅偵測和保護。

在此圖表中:

  • 如將 零信任 原則套用至 Azure IaaS 概觀一文所述,適用於雲端的 Defender 是在 Azure 訂用帳戶層級或包含多個 Azure 訂用帳戶的 Azure 管理群組層級啟用。
  • 除了啟用 適用於雲端的 Defender 之外,也會布建適用於伺服器的 Defender。

進階威脅防護會根據Microsoft的威脅情報,驗證虛擬機上發生的活動。 它會尋找建議有缺口的特定組態和活動。 它會明確啟用驗證,並假設違反 零信任 原則。

Microsoft適用於伺服器的 Defender 包含下列專案:

  • 存取 適用於端點的 Microsoft Defender 數據,這些數據與 端點偵測及回應 端點的弱點、已安裝的軟體和警示有關。
  • 適用於雲端的 Defender 伺服器的整合式弱點評估掃描器。
  • 使用 適用於端點的 Microsoft Defender 即時探索弱點和設定錯誤,而不需要其他代理程式或定期掃描。
  • 適用於雲端的 Defender 適用於 Azure 和混合式機器的整合式 Qualys 掃描儀可讓您在不需要 Qualys 授權的情況下,即時使用領先的弱點識別工具。
  • 在 適用於雲端的 Defender 中實作 Just-In-Time 虛擬機存取。 這會建立 RDP/SSH 的明確拒絕規則,並在需要時在伺服器層級提供 JIT 存取權,並可讓您限制存取期限。
  • 適用於雲端的 Defender 中的檔案完整性監視可讓您變更作業系統、應用程式軟體和其他變更的檔案和登錄監視,讓您驗證文件系統的完整性。
  • 適用於雲端的 Defender 中的調適型應用程控提供自動化解決方案,讓您建立及定義已知安全應用程式的允許清單,並在您定義為安全使用的應用程式執行時產生安全性警示。
  • 適用於雲端的 Defender 中的自適性網路強化會使用機器學習演算法來計算您目前的流量、威脅情報、入侵指標,以及已知的受信任設定,以提供強化網路安全組的建議。

技術圖例

這些圖例是這些文章中參考圖例的複本。 下載並自定義您自己的組織和客戶。 將 Contoso 標誌取代為您自己的標誌。

項目 說明
縮圖圖片 1下載 Visio
更新日期:2024年10月
將 零信任 原則套用至 Azure IaaS
搭配下列文章使用這些圖例:
- 概觀
- Azure 儲存體
- 虛擬機器
- Azure 輪輻虛擬網路
- Azure 中樞虛擬網路
縮圖圖片 2下載 Visio
更新日期:2024年10月
將 零信任 原則套用至 Azure IaaS — 一頁海報
將 零信任 原則套用至 Azure IaaS 環境之程式的單頁概觀。

如需其他技術圖例,請參閱適用於IT架構設計人員和實作者的 零信任圖例。

保護您的 Azure 虛擬機器磁碟

訓練 保護您的 Azure 虛擬機器磁碟
瞭解如何使用 Azure 磁碟加密 (ADE) 來加密現有和新虛擬機上的 OS 和數據磁碟。
在本課程模組中,您將瞭解如何:
  • 判斷哪一種加密方法最適合您的虛擬機。
  • 使用 Azure 入口網站為現有的虛擬機器磁碟加密。
  • 使用 PowerShell 為現有的虛擬機器磁碟加密。
  • 修改 Azure Resource Manager 範本,以將新虛擬機上的磁碟加密自動化。
  • 如需 Azure 上的更多訓練,請參閱整個Microsoft目錄:
    全部流覽 - 訓練 |Microsoft Learn

    在 Azure 中實作虛擬機器主機安全性

    訓練 在 Azure 中實作虛擬機主機安全性
    在此學習路徑中,瞭解如何在 Azure 中保護和強化虛擬機。

    如需 Azure 中虛擬機的更多訓練,請參閱Microsoft目錄中的這些資源:
    Azure 中的虛擬機 |Microsoft Learn

    後續步驟

    請參閱下列其他文章,以將 零信任 原則套用至 Azure:

    參考資料