Azure Arc s povolenými servery – přehled

  • Článek
  • 3 min ke čtení

Tento článek popisuje konfiguraci zabezpečení a důležité informace, které byste měli vyhodnotit před nasazením Azure Arc s povolenými servery ve vašem podniku.

Identita a řízení přístupu

Každý Azure Arc s povolenou identitou má spravovanou identitu jako součást skupiny prostředků v rámci předplatného Azure. Tato identita představuje server běžící v místním prostředí nebo jiném cloudovém prostředí. Přístup k tomuto prostředku řídí standardní řízení přístupu na základě role v Azure. Na stránce Access Control (IAM) v Azure Portal můžete ověřit, kdo má přístup k vašemu Azure Arc serveru s povoleným přístupem.

Azure Arc s povoleným řízením přístupu k serveru

Uživatelé a aplikace, které mají k prostředku udělený přístup role přispěvatele nebo správce, mohou provádět změny prostředku, včetně nasazení nebo odstranění rozšíření na počítači. Rozšíření mohou zahrnovat libovolné skripty, které se spouštěly v privilegovaného kontextu, takže všechny přispěvatele prostředků Azure můžete považovat za nepřímého správce serveru.

Role Azure Connected Machine onboardingu je dostupná pro nasazení ve velkém měřítku a může v Azure číst nebo vytvářet nové Azure Arc s podporou připojení. Nelze ho použít k odstranění již zaregistrovaných nebo správy rozšíření. Osvědčeným postupem je přiřadit tuto roli pouze objektu služby Azure Active Directory (Azure AD), který se používá k nasazení počítačů ve velkém měřítku.

Uživatelé, kteří jsou členem Azure Connected Machine správce prostředků, mohou počítač číst, upravovat, znovu zonboardovat a odstraňovat. Tato role je navržená tak, aby podporovala Azure Arc s povolenými servery, ale ne jinými prostředky ve skupině prostředků nebo předplatném.

Zabezpečení a oprávnění agenta

Pokud chcete spravovat Azure Connected Machine agent (azcmagent) v Windows, musí být váš uživatelský účet členem místní skupiny Administrators. V Linuxu musíte mít oprávnění ke kořenovému přístupu.

Agent Azure Connected Machine se skládá ze tří služeb, které běží na vašem počítači.

  • Služba Hybrid Instance Metadata Service (himds) zodpovídá za všechny základní funkce arc. To zahrnuje odesílání heartbeatů do Azure, vystavení místní služby metadat instance pro jiné aplikace, aby se dozvěděly o ID prostředku Azure počítače, a načtení tokenů Azure AD pro ověření v jiných službách Azure. Tato služba běží jako neprivilegovaný účet virtuální služby na Windows a jako uživatel himds v Linuxu.

  • Služba konfigurace hosta (GCService) zodpovídá za vyhodnocení Azure Policy na počítači.

  • Služba rozšíření konfigurace hosta (ExtensionService) zodpovídá za instalaci, aktualizaci a odstranění rozšíření (agenti, skripty nebo jiný software) na počítači.

Služby konfigurace hosta a rozšíření běží jako místní systém v Windows a jako root v Linuxu.

Použití spravované identity se Azure Arc servery s podporou

Ve výchozím nastavení Azure Active Directory identitu přiřazenou systémem, kterou používá Arc, použít pouze k aktualizaci stavu serveru s podporou Azure Arc v Azure. Například poslední vidět stav heartbeatu. Volitelně můžete identitě přiřadit další role, pokud aplikace na vašem serveru používá identitu přiřazenou systémem pro přístup k jiným službám Azure. Další informace o konfiguraci spravované identity přiřazené systémem pro přístup k prostředkům Azure najdete v tématu Ověřování u prostředků Azure Azure Arc servery s povolenými servery.

I když Hybrid Instance Metadata Service přístup libovolná aplikace spuštěná na počítači, mohou o token Azure AD pro identitu přiřazenou systémem požádat jenom autorizované aplikace. Při prvním pokusu o přístup k identifikátoru URI tokenu služba vygeneruje náhodně vygenerovaný kryptografický objekt blob v umístění v systému souborů, který mohou číst pouze důvěryhodní volající. Volající pak musí soubor přečíst (prokažte, že má odpovídající oprávnění) a opakovat požadavek s obsahem souboru v autorizační hlavičce, aby se úspěšně načetl token Azure AD.

  • V Windows musí být volající členem místní skupiny Administrators nebo skupiny Aplikace rozšíření hybridního agenta, aby bylo možné číst objekt blob.

  • V Linuxu musí být volající členem skupiny himds, aby bylo možné číst objekt blob.

Další informace o použití spravované identity se servery s podporou Arc k ověřování a přístupu k prostředkům Azure najdete v následujícím videu.

Použití šifrování disku

Agent Azure Connected Machine používá ověřování pomocí veřejného klíče ke komunikaci se službou Azure. Po připojení serveru k Azure Arc se na disk uloží privátní klíč a použije se pokaždé, když agent komunikuje s Azure. V případě odcizení je možné privátní klíč použít na jiném serveru ke komunikaci se službou a fungovat tak, jako by se jednala o původní server. To zahrnuje získání přístupu k identitě přiřazené systémem a všem prostředkům, ke které má identita přístup. Soubor s privátním klíčem je chráněný, aby ho účet himds jenom četl. Pokud chcete zabránit offline útokům, důrazně doporučujeme použít úplné šifrování disku (například BitLocker, dm-crypt atd.) na svazku operačního systému vašeho serveru.

Další kroky

  • Před vyhodnocením nebo povolením Azure Arc napříč několika hybridními počítači si prohlédněte přehled agenta Connected Machine, abyste porozuměli požadavkům, technickým podrobnostem o agentovi a metodám nasazení.

  • V průvodci plánováním a nasazením si můžete naplánovat nasazení Azure Arc s povolenými servery v libovolném měřítku a implementovat centralizovanou správu a monitorování.