Ovládací prvky zabezpečení infrastruktury centra Azure StackAzure Stack Hub infrastructure security controls

Mezi hlavní faktory ovlivňující výběr hybridních cloudů patří aspekty zabezpečení a požadavky na dodržování předpisů.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. Azure Stack centrum je navrženo pro tyto scénáře.Azure Stack Hub is designed for these scenarios. Tento článek vysvětluje ovládací prvky zabezpečení, které jsou na místě pro centrum Azure Stack.This article explains the security controls in place for Azure Stack Hub.

Dvě vrstvy zabezpečení stav koexistovat v Azure Stack hub.Two security posture layers coexist in Azure Stack Hub. První vrstvou je Azure Stack infrastruktura centra, která zahrnuje hardwarové součásti až do Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. První vrstva zahrnuje správce a uživatelské portály.The first layer includes the administrator and the user portals. Druhá vrstva se skládá z úloh vytvořených, nasazených a spravovaných klienty.The second layer consists of the workloads created, deployed, and managed by tenants. Druhá vrstva zahrnuje položky, jako jsou virtuální počítače a App Services weby.The second layer includes items like virtual machines and App Services web sites.

Bezpečnostní přístupSecurity approach

Stav zabezpečení pro centrum Azure Stack je navržená tak, aby se zabránilo moderním hrozbám a byla vytvořená tak, aby splňovala požadavky na hlavní standardy dodržování předpisů.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. V důsledku toho je stav zabezpečení infrastruktury centra Azure Stack postavená na dvou pilířích:As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Předpokládat porušeníAssume Breach
    Počínaje předpokladem, že již došlo k porušení systému, se zaměřte na zjištění a omezení dopadu porušení a pokusu o předcházení útokům.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Zpřísněno standardněHardened by Default
    Vzhledem k tomu, že infrastruktura běží na dobře definovaném hardwaru a softwaru, Azure Stack centrum povoluje, konfiguruje a ověřuje všechny funkce zabezpečení ve výchozím nastavení.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Vzhledem k tomu, že centrum Azure Stack se doručuje jako integrovaný systém, je stav zabezpečení infrastruktury centra Azure Stack definované Microsoftem.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Stejně jako v Azure jsou klienti zodpovědní za definování stav zabezpečení svých úloh klientů.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Tento dokument poskytuje základní znalosti o stav zabezpečení infrastruktury centra Azure Stack.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Šifrování dat v klidovém umístěníData at rest encryption

Veškerá infrastruktura centra Azure Stack a data tenanta jsou v klidovém stavu zašifrovaná pomocí nástroje BitLocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. Toto šifrování chrání před fyzickou ztrátou nebo krádeží komponent úložiště centra Azure Stack.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Další informace najdete v tématu šifrování dat v klidovém umístění v Azure Stackovém centru.For more information, see data at rest encryption in Azure Stack Hub.

Data při přenosu – šifrováníData in transit encryption

Komponenty infrastruktury centra Azure Stack komunikují pomocí kanálů šifrovaných pomocí TLS 1,2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. Šifrovací certifikáty jsou samy spravované infrastrukturou.Encryption certificates are self-managed by the infrastructure.

Všechny koncové body externí infrastruktury, jako jsou koncové body REST nebo portál centra Azure Stack, podporují protokol TLS 1,2 pro zabezpečenou komunikaci.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Pro tyto koncové body musí být k dispozici šifrovací certifikáty, buď od třetí strany, nebo z certifikační autority rozlehlé sítě.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

I když se certifikáty podepsané svým držitelem dají použít pro tyto externí koncové body, Microsoft je při jejich používání důrazně doporučuje.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Další informace o tom, jak vynutilit TLS 1,2 na vnějších koncových bodech centra Azure Stack, najdete v tématu Konfigurace řízení Azure Stack zabezpečení centra.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Správa tajných kódůSecret management

Infrastruktura centra Azure Stack používá k fungování velké množství tajných kódů, jako jsou hesla a certifikáty.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. Většina hesel přidružených k interním účtům služeb je automaticky otočená každých 24 hodin, protože seskupují účty spravované služby (gMSA), což je typ účtu domény, který je spravovaný přímo interním řadičem domény.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

Infrastruktura centra Azure Stack používá pro všechny své interní certifikáty 4096 klíčů RSA.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. Pro externí koncové body lze také použít stejné certifikáty klíčů.Same key-length certificates can also be used for the external endpoints. Další informace o tajných klíčích a rotaci certifikátů najdete v tématu otočení tajných kódů v centru Azure Stack.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Řízení aplikací programu Windows DefenderWindows Defender Application Control

Azure Stack Hub využívá nejnovější funkce zabezpečení Windows Serveru.Azure Stack Hub makes use of the latest Windows Server security features. Jedním z nich je ovládací prvek aplikace v programu Windows Defender (WDAC, dříve označovaný jako integrita kódu), který poskytuje filtrování spustitelných souborů a zajišťuje, že v infrastruktuře centra Azure Stack běží pouze ověřený kód.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

Autorizovaný kód je podepsaný Microsoftem nebo partnerem OEM.Authorized code is signed by either Microsoft or the OEM partner. Podepsaný autorizovaný kód je zahrnutý v seznamu povoleného softwaru zadaného v zásadě definované Microsoftem.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. Jinými slovy, lze spustit pouze software, který byl schválen ke spuštění v infrastruktuře centra Azure Stack.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Jakýkoli pokus o spuštění neautorizovaného kódu se zablokuje a vygeneruje se upozornění.Any attempt to execute unauthorized code is blocked and an alert is generated. Azure Stack Hub vynucuje integritu kódu v uživatelském režimu (UMCI) i integritu kódu na úrovni hypervisoru (HVCI).Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

Zásady WDAC také zabrání spuštění agentů nebo softwaru třetích stran v infrastruktuře centra Azure Stack.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Další informace o WDAC najdete v tématu řízení aplikací v programu Windows Defender a ochrana integrity kódu na základě virtualizace.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Ochrana přihlašovacích údajů Credential GuardCredential Guard

Další funkcí zabezpečení Windows serveru v centru Azure Stack je ochrana Credential Guard v programu Windows Defender, která se používá k ochraně přihlašovacích údajů infrastruktury centra Azure Stack z útoků pass-the-hash a Pass-The-Ticket.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

antimalwareAntimalware

Každá součást centra Azure Stack (hostitelé Hyper-V a virtuální počítače) je chráněná pomocí antivirové ochrany v programu Windows Defender.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

V propojených scénářích se definice antivirového programu a aktualizace stroje používají několikrát denně.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. V odpojených scénářích se antimalwarové aktualizace používají jako součást měsíčních aktualizací centra Azure Stack.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. V případě, že se v odpojených scénářích vyžaduje častější aktualizace definic programu Windows Defender, Azure Stack centrum taky podporuje import aktualizací v programu Windows Defender.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. Další informace najdete v tématu aktualizace antivirové ochrany v programu Windows Defender v centru Azure Stack.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Zabezpečené spouštěníSecure Boot

Centrum Azure Stack vynutilo zabezpečené spouštění na všech hostitelích Hyper-V a virtuálních počítačích infrastruktury.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Model omezené správyConstrained administration model

Správa v centru Azure Stack se řídí třemi vstupními body, z nichž každý má určitý účel:Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • Portál pro správu nabízí možnosti každodenních operací správy a kliknutí na něj.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager zveřejňuje všechny operace správy portálu pro správu prostřednictvím REST API používaného prostředím PowerShell a Azure CLI.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • Pro konkrétní operace nízké úrovně (například scénáře integrace Datacenter nebo podpory) zpřístupňuje služba Azure Stack hub koncový bod PowerShellu s názvem privilegovaného koncového bodu.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Tento koncový bod zpřístupňuje jenom povolenou sadu rutin a je silně auditovaný.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Správa sítěNetwork controls

Infrastruktura centra Azure Stack přichází s více vrstvami seznam Access Control sítě (ACL).Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Seznamy řízení přístupu brání neoprávněnému přístupu k součástem infrastruktury a omezují komunikaci infrastruktury jenom na cesty, které jsou pro její fungování nutné.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

Seznamy ACL sítě se vysazují ve třech vrstvách:Network ACLs are enforced in three layers:

  • Vrstva 1: horní části přepínačů stojanuLayer 1: Top of Rack switches
  • Vrstva 2: softwarově definovaná síťLayer 2: Software Defined Network
  • Vrstva 3: brány firewall pro operační systémy hostitele a virtuálního počítačeLayer 3: Host and VM operating system firewalls

Dodržování legislativní předpisůRegulatory compliance

Centrum Azure Stack prošlo formálním posouzením schopností, které nezávisle na třetí straně auditně nezávisle na sobě.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. V důsledku toho je k dispozici dokumentace k tomu, jak infrastruktura centra Azure Stack splňuje příslušné ovládací prvky z několika hlavních standardů dodržování předpisů.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. Tato dokumentace není certifikací centra Azure Stack, protože standardy zahrnují několik ovládacích prvků souvisejících s pracovníky a procesy.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. Zákazníci můžou místo toho použít tuto dokumentaci k tomu, abyste mohli začít se svým certifikačním procesem.Rather, customers can use this documentation to jump-start their certification process.

Posouzení zahrnuje následující standardy:The assessments include the following standards:

  • PCI-DSS adresuje odvětví platební karty.PCI-DSS addresses the payment card industry.
  • Aplikace CSA Cloud Control Matrix je komplexní mapování mezi několika standardy, včetně FedRAMP střední, ISO27001, HIPAA, HiTRUST, ITAR, NIST SP800-53 a dalších.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP vysoká pro zákazníky ze státní správy.FedRAMP High for government customers.

Dokumentaci k dodržování předpisů najdete na portálu Microsoft Trust Service.The compliance documentation can be found on the Microsoft Service Trust Portal. Příručky dodržování předpisů jsou chráněné prostředky a vyžadují, abyste se přihlásili pomocí svých přihlašovacích údajů ke cloudové službě Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Další krokyNext steps