Azure 虚拟机安全加固整理

   这篇文档不是原创，只是基于Azure官网上的Doc进行了相关链接的整理，从简单层面的安全设置，到更高层面的安全架构考量，以及Azure安全的白皮书及最佳实践，送给需要的你们，定有一款适合你！

 做好数据的备份

    为了确保数据的安全，尽量减少RPO，合理的规划数据的备份是非常必要的。目前在Azure中，针对虚机资源，包括虚机用到的数据磁盘，有如下几种备份方式：

Azure 备份

    若要备份运行生产工作负荷的 Azure VM，请使用 Azure 备份。 Azure 备份对 Windows 和Linux VM 均支持应用程序一致性备份。 Azure 备份可创建恢复点，这些恢复点存储在异地冗余的恢复保管库中。从恢复点还原时，可以还原整个 VM，也可以仅还原特定的文件。

教程：在 Azure 中备份和还原 Linux 虚拟机的文件 - https://docs.azure.cn/zh-cn/virtual-machines/linux/tutorial-backup-vms

教程：在 Azure 中备份和还原 Windows 虚拟机的文件 - https://docs.azure.cn/zh-cn/virtual-machines/windows/tutorial-backup-vms

Azure Site Recovery

    当整个区域因重大自然灾难或大规模服务中断而发生中断时，Azure Site Recovery 可以保护 VM，使其免受重大灾难影响。

教程：将 Azure VM 复制到另一个 Azure 区域 - https://docs.azure.cn/zh-cn/site-recovery/azure-to-azure-quickstart

托管快照

    在开发和测试环境中，快照为使用托管磁盘的 VM 备份提供快速而又简单的选项。 托管快照是托管磁盘的只读完整副本。 快照独立于源磁盘而存在，并可用来新建用于重建 VM 的托管磁盘。 基于磁盘的已使用部分对快照进行计费。

教程：使用 Windows 中的快照创建作为托管磁盘存储的 VHD 的副本 -https://docs.azure.cn/zh-cn/virtual-machines/windows/snapshot-copy-managed-disk

教程：使用 Linux 中的快照创建作为托管磁盘存储的 VHD 的副本- https://docs.azure.cn/zh-cn/virtual-machines/linux/snapshot-copy-managed-disk

教程：通过递增快照备份 Azure 非托管 VM 磁盘 - https://docs.azure.cn/zh-cn/virtual-machines/windows/incremental-snapshots

更多VM备份基础结构及原理请参阅 ：在 Azure 中计划 VM 备份基础结构- https://docs.azure.cn/zh-cn/backup/backup-azure-vms-introduction

安全加固虚机资源

    虚机目前还是云计算用户最常用的资源，保护好虚机的安全，也就确保了业务的稳定，Azure在针对Windows虚机，Linux虚机都提供了安全方面的最佳实践及建议，以及相应的Extension来保护你的虚机安全。

教程：适用于 Azure 云服务和虚拟机的 Microsoft 反恶意软件 - https://docs.azure.cn/zh-cn/security/azure-security-antimalware

教程：如何查询虚拟机流量异常及相关安全加固建议 - https://docs.azure.cn/zh-cn/articles/azure-operations-guide/virtual-machines/aog-virtual-machines-howto-query-abnormal-traffic-and-security-reinforce-recommendations

教程：针对虚机异常创建警报，以快速通知用户 - https://docs.azure.cn/zh-cn/virtual-machines/windows/tutorial-monitoring#create-alerts-1

教程：Linux虚拟机的安全加固 - https://docs.azure.cn/zh-cn/articles/azure-operations-guide/virtual-machines/linux/aog-virtual-machines-linux-security-reinforce

教程：Linux虚拟机的安全审计 - https://docs.azure.cn/zh-cn/articles/azure-operations-guide/virtual-machines/linux/aog-virtual-machines-linux-security-audit

教程：针对数据库资源的安全访问检查清单 - https://docs.microsoft.com/zh-cn/azure/security/azure-database-security-checklist

更多虚机方面的安全请参阅 ： Azure虚拟机安全概述 - https://docs.azure.cn/zh-cn/security/security-virtual-machines-overview

合理的规划网络安全性

    网络是访问公有云资源的方式，合理的规划云端应用的网络结构，严格限制进出站流量的访问能力，尽可能将数据网络与管理网络分离，以提高云上资源的安全性。

教程：禁用对 Azure 虚拟机的 RDP/SSH 访问 - https://docs.azure.cn/zh-cn/security/azure-security-network-security-best-practices#%E7%A6%81%E7%94%A8%E5%AF%B9-azure-%E8%99%9A%E6%8B%9F%E6%9C%BA%E7%9A%84-rdpssh-%E8%AE%BF%E9%97%AE

教程：尽可能少的对外暴露公网的访问，可通过负载均衡提供对外访问能力- https://docs.azure.cn/zh-cn/security/azure-security-network-security-best-practices#%E5%9F%BA%E4%BA%8E-http-%E7%9A%84%E8%B4%9F%E8%BD%BD%E5%9D%87%E8%A1%A1

教程：以逻辑方式划分子网，并通过NSG来增加对进出子网及网络流量的权限控制- https://docs.azure.cn/zh-cn/security/azure-security-network-security-best-practices#%E4%BB%A5%E9%80%BB%E8%BE%91%E6%96%B9%E5%BC%8F%E5%88%86%E6%AE%B5%E5%AD%90%E7%BD%91

教程：根据业务情况合理的使用虚拟网络设备，结合强制路由增加访问流量的安全性- https://docs.azure.cn/zh-cn/security/azure-security-network-security-best-practices#%E4%BD%BF%E7%94%A8%E8%99%9A%E6%8B%9F%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87

教程：通过Azure Marketplace中的镜像部署NVA设备 - https://market.azure.cn/zh-cn/marketplace/apps/category/security-identity?page=1

更多网络方面的最佳实践请参阅 ： Azure网络安全最佳实践 - https://docs.azure.cn/zh-cn/security/azure-security-network-security-best-practices#%E4%BD%BF%E7%94%A8%E8%99%9A%E6%8B%9F%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87

开启诊断日志来收集更多的信息

    Azure监控提供了包括Metrics及日志来帮助用户监控云端资源的使用情况，并可结合第三方的工具对日志进行更为具体的分析。目前针对Azure中提供的日志，主要包括活动日志和诊断日志，如果用户对于使用的服务有更多日志的需求，建议开启诊断日志，以收取更多的日志信息，以便日后分析需要。

教程：通过Azure Monitor，开启不同资源的诊断日志 - https://docs.azure.cn/zh-cn/monitoring-and-diagnostics/monitoring-overview-of-diagnostic-logs#enable-collection-of-resource-diagnostic-logs-in-the-portal

教程：根据订阅活动日志，发出警报 - https://docs.azure.cn/zh-cn/monitoring-and-diagnostics/monitor-quick-audit-notify-action-in-subscription

教程：AzureMonitor支持的合作伙伴List，以提高监控及分析能力- https://docs.azure.cn/zh-cn/monitoring-and-diagnostics/monitoring-partners

制定相应的策略和规则

    Azure管理员可以借助Azure Policy，通过制定并执行强制的各种规定规则，以尽量减少资源使用过程中误操作带来的风险。

教程：Azure策略概述 - https://docs.azure.cn/zh-cn/azure-policy/azure-policy-introduction

教程：创建和管理策略以强制实施符合性 - https://docs.azure.cn/zh-cn/azure-policy/create-manage-policy

从系统架构触发，提高云上应用的安全性

想要了解更多Azure中的安全指导规则，请参阅 ：Azure 中的安全管理 - https://docs.azure.cn/zh-cn/security/azure-security-management

想要了解数据存储层面的安全方法论，请参阅：Azure存储安全指南- https://docs.azure.cn/zh-cn/storage/common/storage-security-guide

想要了解由21V运营的Azure公有云的安全准则，请参阅 ：Azure信任中心 - https://docs.azure.cn/zh-cn/security/security-microsoft-trust-center

想要了解更多Azure安全性方面的知识，请参阅：Azure 安全性 白皮书 - https://docs.microsoft.com/zh-cn/azure/security/security-white-papers

想要了解更多Azure安全方面用到的技术，请参阅：Azure 安全技术指南 - https://docs.microsoft.com/zh-cn/azure/security/security-overviews

想要结合不同的层面对现有架构进行修改，请参阅：Azure 安全最佳实践及模式 - https://docs.microsoft.com/zh-cn/azure/security/security-best-practices-and-patterns

想要了解Azure数据中心的安全性设计，请参阅：Azure基础结构安全性 - https://docs.microsoft.com/zh-cn/azure/security/azure-security-infrastructure