内容纲要
有许多服务可用于保护我们的虚拟机。
Azure 活动目录
- 通过使用 Azure Active Directory,我们可以控制不同用户或用户组对虚拟机的访问。当我们创建一个虚拟机时,我们可以为它分配一个用户,在我们为虚拟机分配用户的同时,我们也会给它们关联一个特定的规则。该角色定义了用户将在我们的虚拟机上拥有的访问级别。
- 该目录中的用户、组和应用程序可以管理 Azure 订阅中的资源。
- 它通过将适当的 RBAC 角色分配给特定范围内的用户、组和应用程序来授予访问权限。角色分配的范围可以是订阅、资源组或单个资源。
- Azure RBAC 具有适用于所有资源类型的三个基本角色:
- 所有者:他们拥有对所有资源的完全访问权限,包括将访问权限委托给他人的权利。
- 贡献者:他们可以创建和管理所有类型的 Azure 资源,但不能授予其他人访问权限。
- 读者:他们只能查看现有的 Azure 资源。
Azure 安全中心
Azure 安全中心识别潜在的虚拟机 (VM) 配置问题和针对性的安全威胁。这些可能包括缺少网络安全组、未加密磁盘和暴力远程桌面协议 (RDP) 攻击的 VM。
我们可以使用安全策略自定义我们希望从安全中心看到的建议。
- 设置数据收集
- 设置安全策略
- 查看 VM 配置运行状况
- 修复配置问题
- 查看检测到的威胁
托管服务标识
它是 Azure 中新引入的。以前,每当我们将应用程序部署到虚拟机中时,通常都会在该应用程序文件夹的配置文件中拥有用户 ID 和密码。但是,如果有人可以访问该虚拟机,他们也可以访问配置文件并查看它。为了进一步提高应用程序代码的安全性和应用程序代码正在访问的服务的安全性,我们可以使用托管服务标识。
其他安全功能
- 网络安全组:过滤进出虚拟机的流量。
- 适用于 Azure 的 Microsoft 反恶意软件:我们可以安装在我们的 Azure 虚拟机上,以保护我们的机器免受任何恶意软件的侵害。
- 加密:我们可以启用 Azure 磁盘加密。
- Key Vault 和 SSH 密钥:我们可以使用密钥库来存储证书或任何敏感密钥。
- 策略:我们可以使用它应用的所有与安全相关的策略。
