📅  最后修改于: 2021-01-07 04:43:42             🧑  作者: Mango
Azure虚拟机安全
有许多服务可用于保护我们的虚拟机。
Azure活动目录
- 通过使用Azure Active Directory,我们可以控制不同用户或用户组对虚拟机的访问。创建虚拟机时,可以为其分配用户,并且在将用户分配给虚拟机时,还将特定规则与其关联。该角色定义了用户将在我们的虚拟机上拥有的访问级别。
- 该目录中的用户,组和应用程序可以管理Azure订阅中的资源。
- 它通过在特定范围内为用户,组和应用程序分配适当的RBAC角色来授予访问权限。角色分配的范围可以是预订,资源组或单个资源。
- Azure RBAC具有适用于所有资源类型的三个基本角色:
- 所有者:他们拥有对所有资源的完全访问权,包括将访问权委派给其他人的权利。
- 贡献者:他们可以创建和管理所有类型的Azure资源,但不能向其他人授予访问权限。
- 读者:他们只能查看现有的Azure资源。
Azure安全中心
Azure安全中心可识别潜在的虚拟机(VM)配置问题和有针对性的安全威胁。其中可能包括缺少网络安全组的VM,未加密的磁盘和暴力远程桌面协议(RDP)攻击。
我们可以使用安全策略自定义希望从安全中心看到的建议。
- 设置数据收集
- 设置安全策略
- 查看虚拟机配置运行状况
- 补救配置问题
- 查看检测到的威胁
托管服务身份
它是Azure中新引入的。以前,曾经发生过的事情是,每当我们将应用程序部署到虚拟机中时,通常在该应用程序的文件夹的配置文件中都有用户ID和密码。但是,如果有人可以访问该虚拟机,则他们可以转到配置文件并查看该文件。为了进一步提高应用程序代码的安全性和应用程序代码正在访问的服务的安全性,我们可以使用托管服务身份。
其他安全功能
- 网络安全组:筛选进出虚拟机的流量。
- 适用于Azure的Microsoft反恶意软件:我们可以在Azure虚拟机上安装以保护我们的计算机免受任何恶意软件的侵害。
- 加密:我们可以启用Azure磁盘加密。
- 密钥库和SSH密钥:我们可以使用密钥库来存储证书或任何敏感密钥。
- 政策:我们可以使用它应用的所有与安全相关的政策。