Azure 虚拟机安全性

有许多服务可用于保护我们的虚拟机。

Azure Active Directory

• 通过使用 Azure Active Directory，我们可以控制不同用户或用户组对虚拟机的访问。当我们创建虚拟机时，我们可以为其分配一个用户，并且在将用户分配给虚拟机时，我们还会将特定的规则与之关联。该角色定义了用户对我们的虚拟机拥有的访问级别。
• 来自该目录的用户、组和应用程序可以管理 Azure 订阅中的资源。
• 它通过在特定范围内向用户、组和应用程序分配适当的 RBAC 角色来授予访问权限。 角色分配的范围可以是订阅、资源组或单个资源。
• Azure RBAC 具有三个适用于所有资源类型的重要角色
  • 所有者： 他们拥有对所有资源的完全访问权限，包括将访问权限委派给其他人的权利。
  • 参与者： 他们可以创建和管理所有类型的 Azure 资源，但不能授予其他人访问权限。
  • 读者： 他们只能查看现有的 Azure 资源。

Azure 安全中心

Azure 安全中心识别潜在的虚拟机 (VM) 配置问题和有针对性的安全威胁。 这些可能包括缺少网络安全组、未加密磁盘和暴力远程桌面协议 (RDP) 攻击的 VM。

我们可以使用安全策略自定义我们希望从安全中心看到的建议。

• 设置数据收集
• 设置安全策略
• 查看 VM 配置运行状况
• 解决配置问题
• 查看检测到的威胁

托管服务标识

它是 Azure 中新引入的。 以前，我们通常会将用户 ID 和密码保存在应用程序的配置文件的文件夹中，每当我们都将应用程序部署到虚拟机中时。 但是，如果有人访问该虚拟机，他们也可以访问该配置文件并查看该信息。 为了进一步提高应用程序代码的安全性以及应用程序代码正在访问的服务的安全性，我们可以使用托管服务标识。

其他安全功能

• 网络安全组： 用于过滤进出虚拟机的流量。
• Microsoft Antimalware for Azure： 我们可以安装在 Azure 虚拟机上，以保护我们的机器免受任何恶意软件的侵害。
• 加密： 我们可以启用 Azure 磁盘加密。
• Key Vault 和 SSH 密钥： 我们可以使用 Key Vault 来存储证书或任何敏感密钥。
• 策略： 我们可以使用它来应用所有与安全相关的策略。