使用 Azure 安全中心 (Defender for Cloud) 保护 Azure 虚拟机

使用 Azure 安全中心 (Defender for Cloud) 保护 Azure 虚拟机

2024年1月8日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Defender for Cloud(以前称为 Azure 安全中心)来保护 Azure 虚拟机 (VM)。 Defender for Cloud 是一款全面的云安全态势管理 (CSPM) 和云工作负载保护 (CWPP) 解决方案,可为虚拟机提供可见性、安全建议、威胁检测和保护功能,确保它们保持安全和合规性 [1]。

简介

虚拟机是许多云基础设施的基本组件,托管关键应用程序、数据库和基本服务。但是,云中虚拟机的安全性是云提供商 (Azure) 和客户之间的共同责任。配置错误、过时的软件、已知漏洞和未经授权的访问可能会使虚拟机面临各种网络威胁。 Microsoft Defender for Cloud 通过提供统一的安全态势视图、主动识别漏洞并提供高级威胁防护,简化了保护虚拟机的任务,所有这些都本机集成到 Azure 环境中 [2]。

本实用指南将涵盖将虚拟机与 Defender for Cloud 集成、激活 Defender for Servers 计划、分析和实施安全建议、配置即时 (JIT) 访问以及检测威胁。将提供分步说明、示例 Azure CLI 命令和说明,以便读者可以实施强大的 VM 保护策略,减少攻击面并增强 Azure 基础设施的网络弹性。

为什么 Microsoft Defender for Cloud 对于虚拟机至关重要?

  • 安全态势管理 (CSPM):根据安全最佳实践和监管标准持续评估虚拟机配置,提供可行的建议。
  • 工作负载保护 (CWPP):提供高级威胁防护,包括恶意软件检测、应用程序控制、文件完整性监控和虚拟机网络保护。
  • 集中可见性:将多个来源的安全警报和建议整合到单个仪表板中,从而简化安全管理。
  • 即时 (JIT) 访问:仅在必要时且在有限的时间内限制对管理端口的访问,从而减少虚拟机的攻击面。
  • 本机集成:与其他 Azure 服务和 Microsoft 365 Defender 解决方案无缝集成,提供统一的安全体验。
  • 自动化:允许您自动执行漏洞修复和事件响应,优化安全操作。

先决条件

要使用 Azure 安全中心保护 Azure 虚拟机,您将需要以下项目:

  1. 活动 Azure 订阅:用于创建和管理资源的 Azure 订阅。
  2. 管理访问权限:在 Azure 订阅或虚拟机所在的资源组中具有“所有者”、“贡献者”或“安全管理员”角色的帐户。
  3. 现有 Azure 虚拟机:要保护的 Azure VM。对于本教程,我们假设您已经部署了虚拟机。
  4. 可选:Azure CLI 或 Azure PowerShell:通过命令行实现自动化和管理。

一步一步:使用安全中心保护虚拟机

让我们配置安全中心来保护您的 Azure VM。

1. 在订阅中启用 Microsoft Defender for Cloud

Defender for Cloud 已启用订阅。如果尚未启用,请按照下列步骤操作:

  1. 打开浏览器并导航到 Azure 门户:“https://portal.azure.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在顶部搜索字段中,输入“Defender for Cloud”并从结果中选择它。
  4. 在 Defender for Cloud 仪表板中,选择左侧导航窗格中的 环境设置
  5. 选择包含您的 VM 的 Azure 订阅。
  6. 在 Defender 计划页面上,确保 Defender for Servers 计划为“A”激活`。如果没有,请单击“启用”并按照说明进行启用。该计划对于高级虚拟机保护至关重要 [4]。

2. 虚拟机入门

在安全中心可以监控和保护您的虚拟机之前,它们需要安装 Log Analytics 代理(也称为 Microsoft 监控代理 - MMA)。对于 Azure VM,这通常是在激活 Defender for Servers 计划时自动完成的。对于非 Azure VM,您需要通过 Azure Arc 载入它们。

  1. 启用 Defender for Servers 后,Defender for Cloud 将尝试在订阅中的所有 Azure VM 上自动预配 Log Analytics 代理。
  2. 您可以在安全中心的资产清单中查看代理状态。按“资源类型”=“虚拟机”过滤。
  3. 单击虚拟机,查看其运行状况以及是否安装代理。

3. 审查安全建议

安全中心不断评估您的虚拟机并提供改善安全状况的建议。

  1. 在 Defender for Cloud 仪表板中,选择左侧导航窗格中的 建议
  2. 按“资源类型”=“虚拟机”过滤推荐。

  3. 您将看到一系列建议,例如“应修补虚拟机中的漏洞”、“应在虚拟机上调整对管理端口的 JIT 访问”或“应在具有订阅读取权限的帐户上启用 MFA”。

  4. 单击建议(例如“应修补虚拟机中的漏洞”)以查看详细信息。

    • 您将看到漏洞的描述、潜在影响以及受影响的虚拟机列表。
    • Defender for Cloud 与 Microsoft Defender 漏洞管理集成,为您的虚拟机提供全面的漏洞评估。

4. 实现虚拟机的即时 (JIT) 访问

JIT 访问可确保管理端口(例如 RDP 3389、SSH 22)仅在必要时且在有限的时间内打开,从而减少虚拟机的攻击面。

  1. 在安全中心仪表板中,选择 工作负载保护 > 即时 VM 访问

  2. 您将看到符合 JIT 条件的虚拟机列表。选择一个虚拟机并单击“在虚拟机上启用 JIT”。

  3. 配置必须受 JIT 保护的端口(例如:RDP 为 3389,SSH 为 22)。

  4. 定义“最大请求时间”(例如:3 小时)和允许的“协议”。
  5. 设置“批准的源 IP 地址”(可选,以进一步限制访问)。
  6. 单击“保存”。

请求 JIT 访问

当用户需要访问虚拟机时:

  1. 在安全中心仪表板中,选择 工作负载保护 > 即时 VM 访问
  2. 选择您要访问的虚拟机,然后单击“请求访问”。
  3. 指定端口、访问时间和源IP 地址。
  4. 单击“打开端口”。

5. 威胁检测和安全警报

Defender for Cloud 持续监控您的虚拟机是否存在可疑活动和威胁。

  1. 在 Defender for Cloud 仪表板中,选择左侧导航窗格中的 安全警报

  2. 您将看到为您的虚拟机生成的警报列表,按严重性分类(例如“虚拟机暴力尝试”、“可疑的 PowerShell 活动”)。

  3. 单击警报可查看详细信息,包括:

    • 描述:解释威胁的性质。
    • 受影响的资源:涉及的虚拟机。
    • 建议的操作:调查和修复警报的步骤。
    • 攻击时间线:事件序列的直观表示。

验证和测试

验证安全中心对虚拟机的保护涉及验证是否生成建议、是否应用保护以及是否检测到警报。

1. 检查安全建议

  1. 创建新的 Azure VM,而不应用所有建议的安全设置(例如,无磁盘加密、无安全更新)。
  2. 等待几个小时,让安全中心评估虚拟机。
  3. 检查安全中心建议仪表板,查看是否已生成新虚拟机的安全建议。

2. 测试 JIT 访问

  1. 尝试访问受 JIT 保护的端口(例如 RDP)无需请求 JIT 访问的 VM。
    • 预期结果:连接应被拒绝。
  2. 请求所需虚拟机和端口的 JIT 访问。
  3. 在规定的时间内再次尝试访问该端口。
    • 预期结果:连接应该成功。

3. 模拟安全警报

  1. 在受安全中心保护的测试虚拟机上,尝试执行可能生成警报的活动(例如,多次尝试通过 RDP 使用不正确的凭据登录以模拟暴力破解)。
  2. 等待几分钟。
  3. 检查 Defender for Cloud 安全警报 仪表板,查看是否已为 VM 生成警报。

安全提示和最佳实践

  • 启用 Defender for Servers:确保为所有订阅和虚拟机启用 Defender for Servers 计划,以获得最全面的保护。
  • 遵循建议:定期监控和实施 Defender for Cloud 提供的安全建议,以保持稳健的安全态势。
  • 管理端口的 JIT 访问:始终对 VM 管理端口使用 JIT 访问,以最大程度地减少攻击面并防止暴力攻击和端口扫描。
  • 与 Azure Policy 集成:使用 Azure Policy 实施安全标准并确保从一开始就使用安全配置部署 VM。
  • 补丁管理:使用最新的安全补丁使虚拟机上的操作系统和应用程序保持最新状态。
  • 最小权限原则:仅向与虚拟机交互的用户和服务授予必要的权限。
  • 日志监控:将虚拟机安全日志与 Azure Monitor 和 Microsoft Sentinel 集成,以进行集中分析和高级威胁检测。

常见故障排除

  • 虚拟机不会出现在 Defender for Cloud 中:检查订阅是否已启用以及 Defender for Servers 计划是否处于活动状态。确保 Log Analytics 代理已安装并在 VM 上运行。检查 VM 与 Log Analytics 终结点的网络连接。
  • 没有为虚拟机生成建议:安全中心可能需要一些时间来评估虚拟机在加入后。确保代理正在发送数据。检查是否存在可能阻止评估的已配置排除项。
  • JIT 访问不起作用:验证是否为 VM 和正确的端口启用了 JIT。确保JIT访问请求中的源IP地址与您的公共IP地址匹配。检查 Azure 活动日志中是否有与 JIT 相关的错误。
  • 缺少安全警报:验证 Defender for Servers 计划是否处于活动状态。确保 Log Analytics 代理正在发送安全数据。检查您是否配置了警报排除。
  • 代理性能问题:如果 Log Analytics 代理导致 VM 出现性能问题,请检查您的资源要求并考虑调整数据收集设置。

结论

Microsoft Defender for Cloud 是保护 Azure 虚拟机不可或缺的工具,提供安全态势管理和高级威胁防护的集成方法。通过启用 Defender for Servers 计划、实施安全建议、配置即时访问和监控警报,组织可以显着降低与其云虚拟机相关的风险。有效使用安全中心,结合安全最佳实践以及与其他 Azure 服务的集成,可确保 VM 成为云基础设施中安全且有弹性的资产。通过本实用指南,安全专业人员将能够充分保护其 Azure 虚拟机,同时维护安全且合规的环境。

参考资料:

[1] 微软学习。 什么是 Microsoft Defender for Cloud?。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [2] 微软学习。 使用 Defender for Servers 保护您的服务器。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-servers-plan [3] 微软学习。 对虚拟机的即时 (JIT) 访问。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/just-in-time-access-usage [4] 微软学习。 虚拟机支持矩阵。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/support-matrix-compute