12、Azure Arc 服务器的法规与安全合规性

最新推荐文章于 2025-11-04 14:41:26 发布

寂静夜空35

最新推荐文章于 2025-11-04 14:41:26 发布

阅读量18

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/vulkan6gpu/article/details/154474187

Azure Arc实战指南专栏收录该内容

17 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Azure Arc 服务器的法规与安全合规性

在当今数字化时代，企业的服务器管理和安全合规性面临着诸多挑战。随着混合云环境的普及，如何有效地管理和保护分布在不同位置的服务器成为了关键问题。本文将深入介绍 Azure Arc 服务器的法规与安全合规性相关内容，帮助企业更好地应对这些挑战。

1. Microsoft Defender for Cloud 概述

Microsoft Defender for Cloud 是一个统一的基础设施安全管理系统，它能够为云端和本地的混合工作负载提供高级威胁防护。无论是在 Azure 中还是其他环境，该系统都能发挥重要作用。它是 Azure 门户中的一个顶级控制台，可对 Azure Arc 服务器的工作负载进行保护。

与 Microsoft Defender for Cloud 类似的竞争产品包括 Qualys Cloud Platform、AlienVault USM、Tripwire Enterprise、Nessus 和 Tenable.io 等。这些平台用于管理、编排和报告企业的安全态势，并且包含或支持用于保护公共云基础设施中服务器工作负载的云工作负载保护平台（CWPP）。常见的 CWPP 有 Microsoft Defender for Cloud、Trend Micro Deep Security 和 Cloud One、VMware Carbon Black、Sophos Central 和 Palo Alto Networks Prisma Cloud 等。

在实际应用中，Microsoft Defender for Cloud 是企业管理安全问题的有力工具。它通过 Azure Policy 与 Azure Arc 服务器进行交互，所应用的策略与企业需要遵循的法规框架的控制措施相对应，从而实现对服务器的覆盖和保护。其覆盖范围应用于 Azure 订阅，然后可以为覆盖订阅中找到的“可保护”资源类型启用相应的计划。

2. Microsoft Defender for Cloud 的工作负载保护

Microsoft Defender for Cloud 的集成云工作负载保护平台（CWPP）能够为 Azure 和混合资源及工作负载提供高级、智能的保护。它为特定的 Azure 资源类型提供安全警报和高级威胁防护，其中混合计算机也是包含的资源类型之一。Azure Arc 服务器在基于 ARM 的安全保护方面与 Azure VMs 享有同等地位，这意味着企业可以将 Microsoft 为超大规模云验证过的安全保护扩展到自己的本地服务器。

Microsoft Defender for Cloud 抽象了环境中的计算、数据和服务层，以便将不同的合规策略应用于各种异构资源类型，具体包括：
- 服务器的工作负载保护
- 应用服务的工作负载保护
- 存储的工作负载保护
- SQL 的工作负载保护
- Kubernetes 的工作负载保护
- 容器注册表的工作负载保护
- 密钥保管库的工作负载保护
- 资源管理器的工作负载保护
- DNS 的工作负载保护

3. Microsoft Defender for Cloud for Servers

Microsoft Defender for Cloud for Servers 为 Windows 和 Linux 计算机添加了威胁检测和高级防御功能。该产品以前被称为 Azure Security Center (ASC) Standard，并且“Azure Defender for Servers”和“ASC Standard”可以与“Microsoft Defender for Cloud 服务器工作负载保护”互换使用。

使用 Microsoft Defender for Cloud 存在一定的成本，主要是每台服务器每月 15 美元。这是 Microsoft 云工作负载保护平台的成本，在当今的网络安全市场中具有很高的价值，并且对于 Azure 内的服务器和 Azure Arc 服务器成本相同。它集成了以下 Azure 服务来监控和保护 Azure Arc 服务器：
- 集成的 Microsoft Defender for Endpoint 许可证（仅适用于 Windows） ：包含 Microsoft Defender for Endpoint，共同提供全面的端点检测和响应（EDR）功能。
- VM 的漏洞评估扫描 ：其漏洞扫描器由 Qualys 提供支持。
- 即时 (JIT) 虚拟机 (VM) 访问 ：启用后可以锁定 VM 的入站流量，减少攻击暴露，同时在需要时提供轻松连接到 VM 的途径。
- 文件完整性监控 (FIM) ：可用于验证 Windows 文件、Windows 注册表和 Linux 文件的完整性。
- Linux 审计记录收集 ：通过 auditd（一种常见的 Linux 审计框架）从 Linux 机器收集审计记录，并将 auditd 包的功能集成到 Log Analytics 代理中。还可以通过识别 IaaS Linux VM 上托管的未管理容器或运行 Docker 容器的其他 Linux 机器来对 Docker 主机进行强化。
- 自适应应用程序控制 (AAC) 和自适应网络强化 (ANH) ：AAC 是一种智能自动化解决方案，用于为机器定义已知安全应用程序的“允许列表”；ANH 则根据实际流量模式强化 NSG 规则，进一步改善安全态势。

4. 启用 Microsoft Defender for Cloud 工作负载保护

要在 Azure 订阅上启用 Microsoft Defender for Cloud，可以按照以下步骤操作：
1. 从 Microsoft Defender for Cloud 的侧边栏中选择“Getting started”。
2. “Upgrade”选项卡会列出符合加入条件的订阅。
3. 从“Select subscriptions to enable Microsoft Defender for Cloud on”列表中选择要升级的订阅，然后点击“Upgrade”按钮以启用 Microsoft Defender for Cloud。

5. 角色和权限

为了开始使用 Microsoft Defender for Cloud 和 Azure Policy 功能，企业需要组织内部团队。要在生产环境中使用 Microsoft Defender for Cloud，需要指定一个负责从安全角度监控和管理 Azure 和非 Azure 环境的团队。具体操作如下：
- 根据团队成员的工作适当分配“Security Admin”、“Contributor”或“Reader”角色。
- 对关键利益相关者和操作员进行访问和使用该解决方案的培训，根据组织的操作方式，涵盖使用 Azure 门户、ARM 模板、Azure PowerShell、Azure CLI（命令行界面）和/或 REST API。

需要注意的是，只有“Owner”和“Security Admin”这两个 Azure RBAC 安全角色有权在订阅上启用 Microsoft Defender for Cloud，并且只有“Owner”角色可以添加和分配法规合规标准。

6. 分配和自定义 Microsoft Defender for Cloud 默认策略

激活 Microsoft Defender for Cloud 会将订阅注册到 Microsoft Defender for Cloud 资源提供程序“Microsoft.Security”。如果 Azure 安全基准策略计划尚未分配给订阅本身或层次结构中更高的管理组，此操作还会触发在订阅上分配该策略计划。

Azure 安全基准策略计划代表了在 Azure 安全基准 v2 中定义的安全建议的策略和控制措施，它是 Microsoft Defender for Cloud 的默认策略计划，其中包含约 200 多个策略，包括检测未安装 Log Analytics 代理的 Azure Arc 计算机的策略。

将 Azure 安全基准分配给包含 Azure Arc 服务器的订阅或资源组后，每个 Azure Arc 服务器将开始报告其合规状态。在 Azure 门户的“Azure Arc 服务器 ➤ 操作 ➤ 策略”刀片中可以查看与该计划的整体合规性以及每个具体策略的个体合规性。

7. 评估策略合规性

如果按照相关步骤操作，Azure Arc 服务器已经受到“Enable Azure Monitor for VMs”策略计划的覆盖。在这种情况下，Azure Arc 服务器的策略刀片可能会显示服务器符合“Enable Azure Monitor for VMs”策略，但不完全符合“ASC Default”订阅策略。点击“ASC Default”订阅计划可以查看该计划中的所有策略，不符合的策略会排在列表顶部。

例如，在一个示例中，服务器在 199 个策略中仅不符合一个策略，即“Perform software vulnerability assessments”。由于“Enable Azure Monitor for VMs”计划包含相同的单个策略，所以 Azure Arc 服务器已经符合 Log Analytics 代理策略。此时，企业只需要部署漏洞评估即可，后续会在“Integrated Vulnerability Assessment”部分详细介绍。

在使用合规标准时，需要验证或设置一些参数，例如 CMMC 要求声明哪些账户应在本地管理员组中，然后进行审计以确保只有这些账户在该组中。

8. 选择行业标准并启用合规性

Azure 拥有行业内最广泛和最深入的合规产品组合。其合规性提供是全球性的，针对 20 多个地区和国家有 60 多个特定的产品。同时，Azure 还针对关键行业的特定需求构建，符合针对医疗、政府、金融、教育、制造和媒体行业的 50 多个合规产品。完整的 Azure 合规产品列表可在此处找到。

部分合规产品默认包含在 Microsoft Defender for Cloud 中，或者可以轻松导入到法规合规仪表板并分配给订阅。使用 Microsoft Defender for Cloud 中的法规合规仪表板，企业可以将资源的配置与行业标准、法规和基准的要求进行比较。

企业可以使用预构建产品作为指南来构建自己的自定义产品。自定义产品是一个自定义策略计划，包含构成该合规标准的所有单个策略。它可以包括许多预构建的单个策略以及一些额外的自定义策略，以创建自定义的策略组合。

要添加预构建产品、禁用开箱即用的产品或添加自定义计划，可以导航到“Microsoft Defender for Cloud ➤ Cloud Security ➤ Regulatory compliance”，然后点击“Manage compliance policies”按钮。

9. 评估法规合规性

如果企业想要查看组织对某个“开箱即用”标准的合规性，或者在添加了预构建或自定义标准后进行评估，可以导航到“Microsoft Defender for Cloud ➤ Regulatory compliance”，然后点击与要查看的产品对应的选项卡。例如，在分配了“HIPAA HITRUST”标准后，可能会发现 27 台 VMs 和 Azure Arc 服务器中有 11 台缺少在生产部署前进行补丁测试和验证的变更单。

单个 Azure Arc 服务器会在“Azure Arc 服务器 ➤ 设置 ➤ 安全”刀片中显示 Microsoft Defender for Cloud 的集成情况，列出基于已启用的法规标准应用的策略的建议。如果该服务器在过去 21 天内涉及任何安全事件或警报，也会在该页面上反映出来。

Microsoft Defender for Cloud 的界面看似简单，但隐藏着强大的安全工具。点击推荐部分下的“View additional recommendations on other resources in Security Center”链接，会打开一个新窗口，显示所有不符合的策略的交互式视图。这个视图的强大之处在于，它会对每个具体建议对安全的潜在提升进行评分，通过将影响的严重程度乘以需要修复的实例数量得出一个数值，帮助企业优先处理安全工作。这样，在分布式和混合环境中执行企业安全的艰巨任务就变得更加可行，企业可以每次专注于修复下一个影响最大的未缓解安全风险，直到全部解决。

10. 创建合规例外

当企业通过执行推荐的操作来修复安全风险时，会在合规仪表板报告中看到结果，因为合规分数会提高（评估大约每 12 小时运行一次）。但有些策略可能不适用于企业环境，或者经过尽职调查后被接受为已知风险。在这些情况下，企业可以为特定策略创建例外。

对于内置在 Microsoft Defender for Cloud 中并包含在安全分数中的策略，可以直接在门户中为一个或多个资源创建豁免，具体步骤如下：
1. 打开特定建议的详细信息页面，例如“Log Analytics agent should be installed on your Windows - based Azure Arc machines”。
2. 从页面顶部的工具栏中选择“Exempt”。
3. 点击刀片底部的“Exempt”按钮，然后选择要豁免的资源。
4. 选择“Mitigated”或“Waiver”，然后点击“Create”按钮。

对于其他策略，可以根据 Azure Policy 豁免的说明直接在策略本身中创建豁免。

通过以上介绍，企业可以更好地理解和利用 Microsoft Defender for Cloud 来实现 Azure Arc 服务器的法规与安全合规性，从而提升整体的安全态势，应对日益复杂的网络安全挑战。

Azure Arc 服务器的法规与安全合规性

11. 集成漏洞评估解决方案

Microsoft Defender for Cloud 集成了强大的漏洞评估功能，其漏洞扫描器由 Qualys 提供支持，专门用于对虚拟机进行漏洞评估扫描。这一功能能够帮助企业及时发现 Azure Arc 服务器中的安全漏洞，以便采取相应的措施进行修复。

当启用 Microsoft Defender for Cloud for Servers 后，漏洞评估扫描会自动开启。其工作流程如下：
1. 扫描启动 ：系统会按照预设的时间间隔或者手动触发的方式，对 Azure Arc 服务器进行全面的漏洞扫描。
2. 数据收集 ：扫描过程中，会收集服务器的各种信息，包括操作系统版本、安装的软件、开放的端口等。
3. 漏洞分析 ：Qualys 基于其庞大的漏洞数据库，对收集到的数据进行分析，识别出可能存在的安全漏洞。
4. 报告生成 ：扫描完成后，会生成详细的漏洞报告，报告中会列出发现的漏洞信息，包括漏洞的严重程度、可能的影响以及建议的修复措施。

企业可以根据漏洞报告，优先处理严重程度较高的漏洞，从而降低服务器遭受攻击的风险。

12. 智能分析与威胁情报

Microsoft Defender for Cloud 不仅提供了基本的安全保护功能，还集成了智能分析和威胁情报。它能够实时分析服务器的活动和事件，识别潜在的威胁，并根据威胁情报提供相应的防护建议。

其智能分析功能主要体现在以下几个方面：
- 异常检测 ：通过对服务器的正常行为模式进行学习，当发现异常活动时，会及时发出警报。例如，如果某个服务器在非工作时间出现大量的数据传输，系统会认为这是异常行为，并进行相应的处理。
- 关联分析 ：能够将不同来源的安全数据进行关联分析，从而发现潜在的攻击链。例如，将服务器的登录日志、网络流量日志和应用程序日志进行关联，可能会发现某个攻击者通过多次尝试登录，最终成功获取了服务器的访问权限。
- 威胁情报整合 ：与全球的威胁情报网络相连，实时获取最新的威胁信息。当发现某个已知的恶意 IP 地址试图访问服务器时，系统会自动进行拦截。

通过智能分析和威胁情报，企业可以更加主动地应对安全威胁，提高服务器的安全性。

13. 安全态势可视化

为了帮助企业更好地了解服务器的安全态势，Microsoft Defender for Cloud 提供了直观的可视化界面。在这个界面中，企业可以看到服务器的整体安全状况、各个资源的安全评分以及存在的安全问题。

以下是安全态势可视化的主要内容：
- 安全评分 ：对每个服务器和资源进行安全评分，评分越高表示安全状况越好。企业可以根据评分情况，优先关注安全评分较低的资源。
- 安全警报 ：实时显示服务器的安全警报信息，包括警报的严重程度、发生时间和相关的资源信息。企业可以根据警报信息，及时采取相应的措施进行处理。
- 合规性状态 ：展示服务器对各种法规标准的合规性状态，例如是否符合 Azure 安全基准、PCI DSS 等标准。企业可以根据合规性状态，及时调整服务器的配置，以满足法规要求。

通过安全态势可视化，企业可以更加直观地了解服务器的安全状况，从而做出更加明智的安全决策。

14. 自动化响应与修复

在面对安全威胁时，及时的响应和修复是至关重要的。Microsoft Defender for Cloud 支持自动化响应和修复功能，能够根据预设的规则自动处理安全事件。

自动化响应和修复的流程如下：
1. 规则设置 ：企业可以根据自身的安全需求，设置自动化响应规则。例如，当发现某个服务器的某个端口被异常开放时，自动关闭该端口。
2. 事件触发 ：当系统检测到符合规则的安全事件时，会自动触发相应的响应动作。
3. 修复执行 ：根据规则，系统会自动执行修复操作，例如更新软件、配置防火墙规则等。
4. 结果反馈 ：修复操作完成后，系统会将结果反馈给企业，以便企业了解修复情况。

通过自动化响应和修复，企业可以大大提高应对安全威胁的效率，减少人工干预，降低安全风险。

15. 多租户支持

对于一些大型企业或者云服务提供商，可能需要管理多个租户的服务器。Microsoft Defender for Cloud 支持多租户管理，能够为不同的租户提供独立的安全管理和控制。

多租户支持的主要特点如下：
- 租户隔离 ：不同租户的服务器数据和安全配置是相互隔离的，一个租户的操作不会影响到其他租户。
- 权限管理 ：可以为每个租户分配不同的权限，例如管理员权限、只读权限等，以满足不同租户的管理需求。
- 定制化策略 ：每个租户可以根据自身的需求，定制适合自己的安全策略，例如设置不同的漏洞扫描频率、不同的合规标准等。

通过多租户支持，企业可以更加灵活地管理多个租户的服务器，提高管理效率和安全性。

16. 总结

在当今复杂的网络安全环境中，Azure Arc 服务器的法规与安全合规性至关重要。Microsoft Defender for Cloud 为 Azure Arc 服务器提供了全面的安全保护，包括威胁检测、漏洞评估、智能分析、安全态势可视化、自动化响应和多租户支持等功能。

企业可以通过以下步骤来实现 Azure Arc 服务器的安全合规：
1. 启用 Microsoft Defender for Cloud 工作负载保护，按照前面介绍的步骤进行操作。
2. 合理分配角色和权限，确保团队成员能够正确使用该解决方案。
3. 分配和自定义默认策略，根据企业的实际情况进行调整。
4. 选择合适的行业标准并启用合规性，定期评估法规合规性。
5. 利用集成的漏洞评估功能，及时发现和修复安全漏洞。
6. 借助智能分析和威胁情报，实时监控服务器的安全状况。
7. 通过安全态势可视化，直观了解服务器的安全态势，做出明智的决策。
8. 启用自动化响应和修复功能，提高应对安全威胁的效率。
9. 如果需要，利用多租户支持功能，灵活管理多个租户的服务器。

通过以上措施，企业可以有效提升 Azure Arc 服务器的安全合规性，保护企业的重要数据和业务不受安全威胁的影响。

以下是一个简单的 mermaid 流程图，展示了使用 Microsoft Defender for Cloud 保障 Azure Arc 服务器安全的主要流程：

graph LR
    A[启用 Microsoft Defender for Cloud] --> B[分配角色和权限]
    B --> C[分配和自定义策略]
    C --> D[选择行业标准并启用合规性]
    D --> E[进行漏洞评估]
    E --> F[智能分析与威胁监控]
    F --> G[安全态势可视化]
    G --> H[自动化响应与修复]
    H --> I[多租户管理（可选）]

通过这个流程图，我们可以清晰地看到保障 Azure Arc 服务器安全的主要步骤和流程。企业可以按照这个流程，逐步实现 Azure Arc 服务器的法规与安全合规性。