Funkce zabezpečení pro Azure Stack HCI, verze 23H2
Platí pro: Azure Stack HCI verze 23H2
Azure Stack HCI je ve výchozím nastavení zabezpečený produkt, který má od začátku povolených více než 300 nastavení zabezpečení. Výchozí nastavení zabezpečení poskytují konzistentní standardní hodnoty zabezpečení, aby se zajistilo, že se zařízení spustí ve známém dobrém stavu.
Tento článek poskytuje stručný koncepční přehled různých funkcí zabezpečení přidružených ke clusteru Azure Stack HCI. Mezi funkce patří výchozí nastavení zabezpečení, Windows Defender pro řízení aplikací (WDAC), šifrování svazků přes BitLocker, obměně tajných kódů, místní integrované uživatelské účty, Microsoft Defender pro cloud a další.
Výchozí nastavení zabezpečení
Vaše služba Azure Stack HCI má ve výchozím nastavení povolená nastavení zabezpečení, která poskytují konzistentní standardní hodnoty zabezpečení, systém správy směrného plánu a mechanismus řízení posunu.
Standardní hodnoty zabezpečení a nastavení zabezpečených jader můžete monitorovat během nasazování i za běhu. Při konfiguraci nastavení zabezpečení můžete také zakázat řízení posunu během nasazení.
Při použití řízení posunu se nastavení zabezpečení aktualizují každých 90 minut. Tento interval aktualizace zajišťuje nápravu všech změn z požadovaného stavu. Nepřetržité monitorování a autoremediace umožňují konzistentní a spolehlivý stav zabezpečení po celou dobu životního cyklu zařízení.
Standardní hodnoty zabezpečení v Azure Stack HCI:
- Zlepšuje stav zabezpečení zakázáním starších protokolů a šifer.
- Omezuje technologii OPEX s integrovaným mechanismem ochrany proti posunu, který umožňuje konzistentní monitorování ve velkém měřítku prostřednictvím standardních hodnot hybridního hraničního zařízení Azure Arc.
- Umožňuje splnit požadavky srovnávacího testu Cis (Center for Internet Security) a disasního průvodce technickou implementací zabezpečení (STIG) pro operační systém a doporučené standardní hodnoty zabezpečení.
Další informace najdete v tématu Správa výchozích nastavení zabezpečení v Azure Stack HCI.
Řízení aplikací programu Windows Defender
WDAC je softwarová vrstva zabezpečení, která omezuje prostor pro útoky tím, že vynucuje explicitní seznam softwaru, který může běžet. WdAC je ve výchozím nastavení povolené a omezuje aplikace a kód, které můžete spouštět na základní platformě. Další informace najdete v tématu Správa řízení aplikací Windows Defender pro Azure Stack HCI verze 23H2.
WDAC poskytuje dva hlavní režimy operací: režim vynucení a režim auditování. V režimu vynucení se zablokuje nedůvěryhodný kód a zaznamenávají se události. V režimu auditování je možné spustit nedůvěryhodný kód a zaznamenávat události. Další informace o událostech souvisejících s WDAC najdete v seznamu událostí.
Důležité
Pokud chcete minimalizovat bezpečnostní riziko, vždy spusťte WDAC v režimu vynucení.
Návrh zásad WDAC
Microsoft poskytuje základní podepsané zásady na Azure Stack HCI pro režim vynucení i režim auditování. Zásady navíc zahrnují předdefinovanou sadu pravidel chování platformy a pravidla blokování, která se použijí na vrstvu řízení aplikací.
Složení základních zásad
Základní zásady Azure Stack HCI zahrnují následující části:
- Metadata: Metadata definují jedinečné vlastnosti zásad, jako je název zásady, verze, IDENTIFIKÁTOR GUID a další.
- Pravidla možností: Tato pravidla definují chování zásad. Doplňkové zásady se můžou lišit pouze od malé sady pravidel možností svázaných s jejich základními zásadami.
- Pravidla povolit a odepřít: Tato pravidla definují hranice důvěryhodnosti kódu. Pravidla můžou být založená na vydavatelích, podepisujících, hodnotě hash souboru a dalších.
Pravidla možností
Tato část popisuje pravidla možností povolená základní zásadou.
Pro vynucené zásady jsou ve výchozím nastavení povolená následující pravidla možností:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | UMCI |
| Vyžadováno | WHQL |
| Povoleno | Povolit doplňkové zásady |
| Povoleno | Odvolaný konec platnosti jako nepodepsaný |
| Zakázáno | Podepisování letů |
| Povoleno | Nepodepsané zásady integrity systému (výchozí) |
| Povoleno | Dynamické zabezpečení kódu |
| Povoleno | Nabídka rozšířených možností spuštění |
| Zakázáno | Vynucení skriptů |
| Povoleno | Spravovaný instalační program |
| Povoleno | Aktualizace zásad bez restartování |
Zásady auditu přidají do základní zásady následující pravidla možností:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | Režim auditování (výchozí) |
Další informace najdete v úplném seznamu pravidel možností.
Pravidla povolit a odepřít
Povolit pravidla v základních zásadách umožňují, aby byly důvěryhodné všechny komponenty Microsoftu dodávané operačním systémem a cloudovými nasazeními. Pravidla zamítnutí blokují aplikace v uživatelském režimu a komponenty jádra, které jsou z hlediska zabezpečení řešení považovány za nebezpečné.
Poznámka
Pravidla Povolit a Odepřít v základních zásadách se pravidelně aktualizují, aby se zlepšila funkčnost produktu a maximalizovala ochrana vašeho řešení.
Další informace o pravidlech zamítnutí najdete tady:
Šifrování nástrojem BitLocker
Šifrování neaktivních uložených dat je povolené u datových svazků vytvořených během nasazení. Tyto datové svazky zahrnují svazky infrastruktury i svazky úloh. Při nasazování clusteru můžete upravit nastavení zabezpečení.
Ve výchozím nastavení je šifrování neaktivních uložených dat během nasazení povolené. Doporučujeme, abyste přijali výchozí nastavení.
Po úspěšném nasazení Azure Stack HCI můžete načíst obnovovací klíče nástroje BitLocker. Obnovovací klíče nástroje BitLocker je nutné uložit na bezpečném místě mimo systém.
Další informace o šifrování nástrojem BitLocker najdete tady:
- Použití Nástroje BitLocker se sdílenými svazky clusteru (CSV)
- Správa šifrování nástrojem BitLocker v Azure Stack HCI
Místní předdefinované uživatelské účty
V této verzi jsou ve vašem systému Azure Stack HCI k dispozici následující místní předdefinované uživatele přidružené RID 500 k RID 501 a :
| Název v počáteční imagi operačního systému | Název po nasazení | Ve výchozím nastavení povolená | Description |
|---|---|---|---|
| Správce | ASBuiltInAdmin | Ano | Předdefinovaný účet pro správu počítače nebo domény. |
| Host | ASBuiltInGuest | Ne | Integrovaný účet pro přístup hostů k počítači nebo doméně, chráněný mechanismem řízení posunu standardních hodnot zabezpečení. |
Důležité
Doporučujeme, abyste si vytvořili vlastní účet místního správce a tento dobře známý RID 500 uživatelský účet zakázali.
Vytvoření a obměně tajných kódů
Orchestrátor v Azure Stack HCI vyžaduje několik komponent pro zajištění zabezpečené komunikace s dalšími prostředky a službami infrastruktury. Všechny služby spuštěné v clusteru mají přidružené ověřovací a šifrovací certifikáty.
Abychom zajistili zabezpečení, implementujeme možnosti vytváření a obměně interních tajných kódů. Když zkontrolujete uzly clusteru, uvidíte několik certifikátů vytvořených v cestě Úložiště certifikátů LocalMachine/Personal (Cert:\LocalMachine\My).
V této verzi jsou povolené následující funkce:
- Možnost vytvářet certifikáty během nasazení a po operacích škálování clusteru.
- Automatizovaná autorotace před vypršením platnosti certifikátů a možnost obměna certifikátů během doby životnosti clusteru.
- Možnost monitorovat a upozorňovat na to, jestli jsou certifikáty stále platné.
Poznámka
Operace vytvoření a obměně tajných kódů trvá v závislosti na velikosti clusteru přibližně deset minut.
Další informace najdete v tématu Správa obměně tajných kódů.
Předávání událostí zabezpečení v syslogu
Pro zákazníky a organizace, které vyžadují vlastní místní systém pro správu událostí a informací o zabezpečení (SIEM), obsahuje Azure Stack HCI verze 23H2 integrovaný mechanismus, který umožňuje předávat události související se zabezpečením do systému SIEM.
Azure Stack HCI má integrovaný nástroj pro předávání syslogu, který po nakonfigurování generuje zprávy syslogu definované v RFC3164 s datovou částí ve formátu CEF (Common Event Format).
Následující diagram znázorňuje integraci Azure Stack HCI se systémem SIEM. Všechny audity, protokoly zabezpečení a výstrahy se shromažďují na každém hostiteli a zveřejňují se prostřednictvím syslogu s datovou částí CEF.
Agenti předávání syslogu jsou nasazeni na každém hostiteli Azure Stack HCI za účelem předávání zpráv syslogu na server syslog nakonfigurovaný zákazníkem. Agenti předávání Syslog fungují nezávisle na sobě, ale dají se spravovat společně na libovolném z hostitelů.
Nástroj pro předávání syslogu v Azure Stack HCI podporuje různé konfigurace v závislosti na tom, jestli se předávání syslogu provádí pomocí protokolu TCP nebo UDP, jestli je šifrování povolené nebo ne a jestli se používá jednosměrné nebo obousměrné ověřování.
Další informace najdete v tématu Správa předávání syslogu.
Microsoft Defender pro cloud (Preview)
Microsoft Defender for Cloud je řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, generování výstrah zabezpečení a dodržování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokou rychlostí v cloudu prostřednictvím automatického zřizování a ochrany pomocí služeb Azure bez režijních nákladů na nasazení.
Se základním plánem Defenderu for Cloud získáte doporučení, jak bez dalších nákladů zlepšit stav zabezpečení systému Azure Stack HCI. S placeným plánem Defenderu pro servery získáte vylepšené funkce zabezpečení, včetně výstrah zabezpečení pro jednotlivé servery a virtuální počítače Arc.
Další informace najdete v tématu Správa zabezpečení systému pomocí Microsoft Defender for Cloud (Preview).
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro