ใช้การรักษาความปลอดภัยสําหรับเซิร์ฟเวอร์และเครื่องเสมือน
สรุปย่อ
-
ระดับ
-
ทักษะ
-
บทบาท
-
Subject
ใช้การควบคุมความปลอดภัยแบบเลเยอร์ในเครื่องเสมือน Azure และเซิร์ฟเวอร์ไฮบริดที่เปิดใช้งาน Arc กําหนดค่าตัวเลือกการเข้ารหัสดิสก์ รวมถึงการเข้ารหัสที่โฮสต์ด้วยคีย์ที่จัดการโดยลูกค้าและการเข้ารหัสลับดิสก์ เปิดใช้งานคุณสมบัติการรักษาความปลอดภัย Trusted Launch เช่น Secure Boot, vTPM และการตรวจสอบความสมบูรณ์ เพื่อป้องกันภัยคุกคามระดับการบูต กําจัดความเสี่ยง RDP และ SSH สาธารณะด้วย Azure Bastion ขยายการกํากับดูแลความปลอดภัยของ Azure ไปยังเซิร์ฟเวอร์ภายในองค์กรและเซิร์ฟเวอร์มัลติคลาวด์โดยใช้ Azure Arc ปรับใช้ Microsoft Defender for Servers สําหรับการสแกนช่องโหว่ การตรวจหาปลายทาง การสแกนเครื่องแบบไม่ใช้เอเจนต์ และการตรวจสอบความสมบูรณ์ของไฟล์ บังคับใช้การเข้าถึง VM แบบทันเวลาเพื่อกําจัดพอร์ตการจัดการที่เปิดอยู่อย่างถาวร ใช้การกําหนดค่าเครื่อง Azure เพื่อตรวจสอบและบังคับใช้พื้นฐานความปลอดภัยของระบบปฏิบัติการทั่วทั้งทรัพย์สินเซิร์ฟเวอร์ของคุณ
สิ่งที่จำเป็นต้องมี
- ความรู้ในการทํางานเกี่ยวกับ Azure Virtual Machines รวมถึงการปรับใช้และการจัดการ VM
- ความคุ้นเคยกับ Microsoft Defender for Cloud ในระดับพื้นฐาน
- ความเข้าใจเกี่ยวกับการควบคุมการเข้าถึงตามบทบาท (RBAC) ของ Azure และพื้นฐานของ Azure Policy
- ความคุ้นเคยกับการเชื่อมต่อเซิร์ฟเวอร์ Azure Arc
- เสร็จสิ้น (หรือความรู้เทียบเท่ากับ) เชื่อมต่อสภาพแวดล้อมแบบไฮบริดและมัลติคลาวด์กับ Microsoft Defender for Cloud
- เสร็จสิ้น (หรือความรู้เทียบเท่ากับ) เปิดใช้งานและกําหนดค่าแผนการป้องกันปริมาณงานใน Microsoft Defender for Cloud
เริ่มต้นใช้งานด้วย Azure
เลือกบัญชี Azure ที่เหมาะกับคุณ ชำระค่าบริการแบบเติมเงินหรือลองใช้ Azure ฟรีสูงสุด 30 วัน ลงทะเบียน
รหัสความสำเร็จ
คุณต้องการร้องขอรหัสความสำเร็จหรือไม่
โมดูลในพาธการเรียนรู้นี้
เลือกและกําหนดค่าแนวทางการเข้ารหัสลับดิสก์ที่เหมาะสมสําหรับเครื่องเสมือน Azure เปรียบเทียบตัวเลือกการเข้ารหัสลับดิสก์ที่มีการจัดการกําหนดค่าการเข้ารหัสลับที่โฮสต์ด้วยคีย์ที่จัดการโดยลูกค้าโดยใช้ชุดการเข้ารหัสลับดิสก์ใช้การเข้ารหัสลับดิสก์กับเครื่องเสมือนที่เป็นความลับและบังคับใช้การปฏิบัติตามข้อกําหนดการเข้ารหัสลับดิสก์โดยใช้ Azure Policy
กําหนดค่าคุณลักษณะความปลอดภัย Trusted Launch สําหรับเครื่องเสมือน Azure เปิดใช้งาน Secure Boot, vTPM และการตรวจสอบความสมบูรณ์เพื่อป้องกันมัลแวร์และรูทคิทระดับบูต อัปเกรด VM Gen1 และ Gen2 ที่มีอยู่เป็นชนิดความปลอดภัย Trusted Launch และบังคับใช้การนําไปใช้ตามขนาดโดยใช้ Azure Policy
วางแผนและปรับใช้ Azure Bastion เพื่อให้การเข้าถึง RDP และ SSH บนเบราว์เซอร์ที่ปลอดภัยไปยังเครื่องเสมือนโดยไม่เปิดเผยที่อยู่ IP สาธารณะหรือพอร์ตการจัดการ เลือก SKU ที่เหมาะสมตามข้อกําหนดของขนาดและคุณลักษณะ ปรับใช้และกําหนดค่า Bastion ในเครือข่ายเสมือน Azure และเชื่อมต่อกับ VM โดยใช้ทั้งพอร์ทัลและวิธีการไคลเอ็นต์ดั้งเดิม
จัดการการควบคุมความปลอดภัยสําหรับเซิร์ฟเวอร์ไฮบริดที่เปิดใช้งาน Azure Arc กําหนดค่า RBAC และความปลอดภัยของส่วนขยายเพื่อป้องกันการแก้ไขตัวแทนที่ไม่ได้รับอนุญาต จากนั้นใช้ Azure Policy เพื่อบังคับใช้พื้นฐานความปลอดภัยบนเครื่องที่ลงทะเบียน Arc สุดท้าย ให้ตรวจสอบเสถียรภาพการรักษาความปลอดภัยของเซิร์ฟเวอร์แบบไฮบริดใน Microsoft Defender for Cloud
เตรียมความพร้อมเครื่องเสมือน Azure และเซิร์ฟเวอร์ไฮบริดที่เชื่อมต่อ Arc ไปยัง Microsoft Defender for Servers เลือกแผน 1 หรือแผน 2 ตามข้อกําหนดความสามารถ กําหนดค่าการสแกนช่องโหว่โดยใช้ การจัดการช่องโหว่ของ Defender แบบไม่ใช้เอเจนต์และตามเอเจนต์ จากนั้นรวม Microsoft Defender for Endpoint และจัดการความสามารถในการสแกนแบบไม่ใช้เอเจนต์สําหรับสินค้าคงคลังซอฟต์แวร์ ข้อมูลลับ การตรวจหามัลแวร์ และการตรวจสอบความสมบูรณ์ของไฟล์
เปิดใช้งานและกําหนดค่าการเข้าถึง VM แบบทันเวลาใน Microsoft Defender for Cloud เพื่อกําจัดพอร์ต RDP และ SSH ที่เปิดอยู่อย่างถาวร กําหนดค่านโยบายการเข้าถึงต่อพอร์ต ร้องขอการเข้าถึง VM ที่มีกําหนดเวลา ตรวจสอบกิจกรรมการเข้าถึง และบังคับใช้ JIT ทั่วทั้งทรัพย์สิน VM ของคุณโดยใช้ Azure Policy
ตรวจสอบและบังคับใช้การกําหนดค่าความปลอดภัยของระบบปฏิบัติการบนเครื่องเสมือน Azure และเซิร์ฟเวอร์ที่เปิดใช้งาน Arc โดยใช้การกําหนดค่าเครื่อง Azure ใช้นโยบายพื้นฐานด้านความปลอดภัยของ Windows และ Linux ในตัว กําหนดค่าโหมดการตรวจสอบและบังคับใช้ และเขียนการกําหนดค่าเครื่องแบบกําหนดเองสําหรับข้อกําหนดด้านความปลอดภัยเฉพาะองค์กร