Azure VM 防止被入侵

时间:2020-11-30 16:45:23

伴随着开源Linux系统的逐渐盛行,在机器上线之前配置好安全策略至关重要,分享几点有关Azure Linux VM机器的安全建议如下:

1.禁止root账号登录虚拟机,并增加密码的复杂度(大小写字母,数字,特殊字符的组合)

2.修改虚拟机对外的ssh端口为高位端口,不要使用默认的22端口

3.可以在虚拟机内部配置系统级别的防火墙策略

4.如果环境允许,针对ssh服务设置nsg访问控制,指定某个IP或某些IP地址段访问虚拟机

5.如果环境允许,禁止用户通过密码登录,改用ssh key方式来登录访问

6.如果环境允许,可以在Azure中配置一台堡垒机作为跳板,堡垒机通过内网IP到连接到关键业务的生产VM(生产VM不需要开放ssh公共端口,Internet无法连接)

如果确定虚拟机已经被恶意攻击了,建议不要在继续使用这台虚拟机,新建虚拟机恢复服务后,从平台层面建议从以下方面加固安全性:

1.在系统架构设计上,将不同功能放置在不同的虚拟机上。按功能对虚拟机划分安全组,设置访问控制规则。对不需要外网访问的端口或虚拟机,如后端数据库,不开放外网访问端口。或者对所有内部虚拟机的访问,都通过跳板机发方式进行,将重要功能虚拟机被直接入侵的几率降低为零。

2.在创建管理系统时,严格设置和管理用户密码,如复杂度,有效期,离职人员账号及时删除,admin权限赋予等。

3.在系统层面,通过开启防火墙,设置服务允许拒绝规则等,防止非法的访问。同时,根据最少服务原则,在安装配置系统时,安装应用需要的最少的包,开启最少的服务,达到让黑客无法通过不在控制范围内的端口入侵。并定期更新系统,打补丁,减少安全隐患。

4.在应用层面,相关的应用管理人员,如数据库管理员,应该具有强烈的安全意识,在配置应用时,开启相关的安全规则。安装软件时,应该从官方渠道下载,避免受到带毒安装包的影响。

5.在新建虚拟机的时候建议安装杀毒软件以增强对虚拟机的保护。

6.定期备份数据或虚拟机,防止数据一旦损坏或丢失,造成数据不可用。这里附上Azure备份的相关连接,请参考: https://www.azure.cn/documentation/articles/backup-azure-manage-windows-server-classic/