Configurer les contrôles de sécurité d’Azure Stack Hub
Cet article décrit les contrôles de sécurité qui peuvent être modifiés dans Azure Stack Hub et met en évidence les compromis éventuels.
L’architecture d’Azure Stack Hub repose sur deux principes de sécurité de base : violations présumées et renforcement par défaut. Pour plus d’informations sur la sécurité d’Azure Stack Hub, consultez Situation de sécurité de l’infrastructure Azure Stack Hub. Si la situation de sécurité par défaut d’Azure Stack Hub est « prêt pour la production », certains scénarios de déploiement nécessitent un renforcement supplémentaire.
Stratégie de version du protocole TLS
Le protocole TLS est un protocole de chiffrement largement utilisé pour établir des communications chiffrées sur le réseau. Le protocole TLS a évolué au fil du temps et plusieurs versions ont été publiées. L’infrastructure Azure Stack Hub utilise exclusivement le protocole TLS 1.2 pour toutes les communications. Pour les interfaces externes, Azure Stack Hub utilise actuellement par défaut le protocole TLS 1.2. Toutefois, pour assurer la compatibilité descendante, il prend également en charge la négociation via les protocoles TLS 1.1 et 1.0. Lorsqu'un client TLS demande à communiquer via le protocole TLS 1.1 ou TLS 1.0, Azure Stack Hub satisfait la demande en négociant avec une version antérieure du protocole TLS. Si le client demande à utiliser le protocole TLS 1.2, Azure Stack Hub établit une connexion TLS à l’aide du protocole TLS 1.2.
Comme les protocoles TLS 1.0 et 1.1 sont progressivement dépréciés ou interdits par les organisations et les normes de conformité, vous pouvez maintenant configurer la stratégie TLS dans Azure Stack Hub. Vous pouvez appliquer une stratégie de protocole exclusivement TLS 1.2, où toute tentative d’établissement d’une session TLS avec une version antérieure à la version 1.2 n’est pas autorisée et est rejetée.
Important
Microsoft recommande d’utiliser une stratégie de protocole exclusivement TLS 1.2 pour les environnements de production d'Azure Stack Hub.
Obtenir la stratégie de protocole TLS
Utilisez le point de terminaison privilégié (PEP) pour afficher la stratégie de protocole TLS pour tous les points de terminaison Azure Stack Hub :
Get-TLSPolicy
Exemple de sortie :
TLS_1.2
Définir une stratégie de protocole TLS
Utilisez le point de terminaison privilégié (PEP) pour définir la stratégie de protocole TLS pour tous les points de terminaison Azure Stack Hub :
Set-TLSPolicy -Version <String>
Paramètres pour la cmdlet Set-TLSPolicy :
| Paramètre | Description | Type | Obligatoire |
|---|---|---|---|
| Version | Version(s) autorisée(s) du protocole TLS dans Azure Stack Hub | String | Oui |
Utilisez l’une des valeurs suivantes pour configurer les versions de protocole TLS autorisées pour tous les points de terminaison Azure Stack Hub :
| Valeur de la version | Description |
|---|---|
| TLS_All | Les points de terminaison de protocole TLS Azure Stack Hub prennent en charge le protocole TLS 1.2, mais la négociation via les protocoles TLS 1.1 et TLS 1.0 est autorisée. |
| TLS_1.2 | Les points de terminaison de protocole TLS Azure Stack Hub prennent uniquement en charge le protocole TLS 1.2. |
La mise à jour de la stratégie de protocole TLS prend quelques minutes.
Exemple de configuration Appliquer le protocole TLS 1.2
Cet exemple définit votre stratégie de protocole TLS de façon à appliquer uniquement le protocole TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Exemple de sortie :
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Exemple de configuration Autoriser toutes les versions du protocole TLS (1.2, 1.1 et 1.0)
Cet exemple définit votre stratégie de protocole TLS pour autoriser toutes les versions du protocole TLS (1.2, 1.1 et 1.0).
Set-TLSPolicy -Version TLS_All
Exemple de sortie :
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Mention légale pour les sessions PEP
Il existe des scénarios dans lesquels il est utile d’afficher une mention légale lors de l’ouverture d’une session de point de terminaison privilégié (PEP). Les cmdlets Set-AzSLegalNotice et Get-AzSLegalNotice permettent de gérer la légende et le corps du texte d’une telle mention légale.
Pour définir la légende et le texte de la mention légale, consultez Cmdlet Set-AzSLegalNotice. Si la légende et le texte de la mention légale ont été définis précédemment, vous pouvez les réviser à l’aide de la Cmdlet Get-AzSLegalNotice.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour