Azure Stack HCI biztonsági szempontok

A következőkre vonatkozik: Azure Stack HCI 21H2 és 20H2; Windows Server 2022, Windows Server 2019

Ez a témakör az operációs rendszerrel kapcsolatos biztonsági Azure Stack HCI és javaslatokat tartalmaz:

  • Az 1. rész olyan alapvető biztonsági eszközöket és technológiákat tartalmaz, amelyek az operációs rendszer biztonságát, valamint az adatok és identitások védelmét biztosítják a szervezet biztonságos alapjainak hatékony kiépítése érdekében.
  • A 2. rész a Azure Security Center.
  • A 3. rész fejlettebb biztonsági szempontokat is figyelembe vesz, amelyek tovább erősítik a szervezet biztonságát ezeken a területeken.

Miért fontosak a biztonsági szempontok?

A biztonság a szervezet minden tagja számára hatással van a felső szintű felügyelettől az információ-feldolgozóig. A nem megfelelő biztonság valós kockázatot jelent a szervezetek számára, mivel a biztonsági incidensek megzavarhatják a normál üzleteket, és a szervezetet leállíthatják. Minél hamarabb észlelni tudja a potenciális támadásokat, annál gyorsabban mérsékelheti a biztonság biztonságának esetleges biztonságát.

A környezet gyenge pontjainak kivédése után a támadó általában 24–48 órán belül eszkalálhatja a jogosultságokat a hálózati rendszerek vezérlésének eszkalálása érdekében. A jó biztonsági intézkedések megsokosítják a környezet rendszereit, hogy hosszabbítsa meg azt az időt, amely alatt a támadók akár óráktól hetekig vagy akár hónapokig is átveheti az irányítást a támadó mozgásának blokkolásával. Az ebben a témakörben található biztonsági javaslatok megvalósítása lehetővé teszi, hogy a szervezet a lehető leghamarabb észlelje az ilyen támadásokat, és reagáljon ezekre.

1. rész: Biztonságos alap kiépítése

A következő szakaszok biztonsági eszközöket és technológiákat javasolnak, hogy biztonságos alapot építsenek ki a környezetében Azure Stack HCI operációs rendszert futtató kiszolgálók számára.

A környezet megsokosodása

Ez a szakasz az operációs rendszeren futó szolgáltatások és virtuális gépek védelmét ismerteti:

  • Azure Stack HCI hardver egységes biztonságos rendszerindítási, UEFI- és TPM-beállításokat biztosít. A virtualizálás-alapú biztonság és a tanúsított hardverek kombinálásával védheti a biztonságra érzékeny számítási feladatokat. Ezt a megbízható infrastruktúrát csatlakoztathatja a Azure Security Center a viselkedéselemzés és jelentéskészítés aktiválásához, hogy figyelembe tudja venni a gyorsan változó számítási feladatokat és fenyegetéseket.

    • A biztonságos rendszerindítás a pc-iparág által kifejlesztett biztonsági szabvány, amely segít biztosítani, hogy az eszközök kizárólag az eredeti hardvergyártó (OEM) által megbízhatónak hitt szoftverek használatával induljon el. További információ: Biztonságos rendszerindítás.
    • A United Extensible Firmware Interface (UEFI) vezérli a kiszolgáló rendszerindítási folyamatát, majd átadja a vezérlést Windows operációs rendszernek. További információ: Az UEFI belső vezérlőprogramjának követelményei.
    • platformmegbízhatósági modul (TPM) technológia hardveralapú, biztonsággal kapcsolatos funkciókat biztosít. A TPM-lapka egy biztonságos kriptográfiai processzor, amely kriptográfiai kulcsokat hoz létre, tárol és korlátozza. További tudnivalókért lásd a platformmegbízhatósági modul áttekintését ismertető témakört.

    A minősített hardverszolgáltatókról Azure Stack HCI további információért tekintse meg a Azure Stack HCI megoldások webhelyét.

  • A Security eszköz natív módon érhető el az Windows Felügyeleti központban az egykiszolgálós és Azure Stack HCI fürtök számára a biztonságkezelés és a felügyelet egyszerűbbé válta érdekében. Az eszköz központosítja a kiszolgálók és fürtök néhány kulcsfontosságú biztonsági beállítását, beleértve a rendszerek védett magos állapotának megtekintésének képességét.

    További tudnivalókért lásd: Secured-core server.

  • Device Guard ésCredential Guard. A Device Guard ismert aláírás, aláíratlan kód és olyan kártevők ellen nyújt védelmet, amelyek hozzáférést nyernek a kernelhez a bizalmas adatok rögzítéséhez vagy a rendszer sérüléséhez. Windows Defender Credential Guard virtualizálás-alapú biztonsági beállításokat használ a titkos kulcsok elkülönítéséhez, hogy csak az emelt szintű rendszerszoftverek férnek hozzájuk.

    További információ: Manage Windows Defender Credential Guard and download the Device Guard and Credential Guard hardware readiness tool.

  • Windows és belsővezérlőprogram-frissítések elengedhetetlenek a fürtökön, kiszolgálókon (beleértve a vendég virtuális gépeket is) és számítógépeken, hogy az operációs rendszer és a rendszer hardvere is védve legyen a támadóktól. A felügyeleti központ frissítéseinek Windows segítségével frissítéseket alkalmazhat az egyes rendszerekre. Ha Windows hardverszolgáltatója támogatja az illesztőprogramok, a belső vezérlőprogram és a megoldás frissítését, ezeket Windows frissítésekkel egyidejűleg is le tudja szerezni, egyébként közvetlenül a gyártótól kaphatja meg őket.

    További információ: A fürt frissítése.

    Ha egyszerre több fürtön és kiszolgálón is kezelni tudja a frissítéseket, fontolja meg a választható Azure Update Management szolgáltatásra való feliratkozást, amely integrálva van Windows Felügyeleti központtal. További információ: Azure Update Management using Windows Admin Center..

Adatok védelme

Ez a szakasz azt ismerteti, hogyan használható Windows Felügyeleti központ az operációs rendszeren található adatok és számítási feladatok védelmére:

  • A BitLocker Tárolóhelyek az adatok védelmét. A BitLocker használatával titkosíthatja az operációs Tárolóhelyek kötetek tartalmát. A BitLocker adatok védelme segít a szervezeteknek abban, hogy megfeleljenek a kormányzati, regionális és iparág-specifikus szabványoknak, például a FIPS 140-2-nek és a HIPAA-nak.

    További információ a BitLocker felügyeleti Windows való használatával kapcsolatban: Kötettitkosítás, deduplikáció és tömörítés engedélyezése

  • A hálózati Windows SMB-titkosítása védi az átvitel közbeni adatokat. A Server Message Block (SMB) egy hálózati fájlmegosztási protokoll, amely lehetővé teszi, hogy a számítógépeken lévő alkalmazások fájlokat olvassanak és írjanak, valamint szolgáltatásokat kérjenek a számítógépes hálózaton található kiszolgálói programoktól.

    Az SMB-titkosítás engedélyezéséhez lásd: Az SMB biztonsági fejlesztései.

  • Windows Defender víruskereső felügyeleti Windows az ügyfeleken és kiszolgálókon lévő operációs rendszert a vírusok, kártevők, kémprogramok és egyéb fenyegetések ellen. További tudnivalókért lásd: Microsoft Defender víruskereső 2019 Windows Server 2016 és a 2019.

Identitások védelme

Ez a szakasz azt ismerteti, hogyan használhatja Windows Felügyeleti központot az emelt szintű identitások védelmére:

  • A hozzáférés-vezérlés javíthatja a felügyeleti környezet biztonságát. Ha a Windows Felügyeleti központ kiszolgálóját használja (és nem egy Windows 10-számítógépen fut Windows), akkor a felügyeleti központhoz való hozzáférés két szintjét szabályozhatja: az átjáró felhasználóit és az átjáró rendszergazdáját. Az átjáró-rendszergazda identitásszolgáltatói lehetőségei a következők:

    • Active Directory vagy helyi számítógépcsoportok használatával kényszeríti ki az intelligens kártyás hitelesítést.
    • Azure Active Directory kényszeríti a feltételes hozzáférést és a többtényezős hitelesítést.

    További tudnivalókért lásd: Felhasználói hozzáférési beállítások a felügyeleti Windows és a Felhasználói fiókok és Access Control konfigurálása.

  • A Felügyeleti központba Windows böngészőforgalom HTTPS-t használ. Az Windows Felügyeleti központból a felügyelt kiszolgálókra történő forgalom szabványos PowerShellt és Windows Management Instrumentationt (WMI) használ a WinRM Windows keresztül. Windows Felügyeleti központ támogatja az Helyi rendszergazda-jelszó megoldás (LAPS), az erőforrás-alapú korlátozott delegálást, az átjáró hozzáférés-vezérlését az Active Directory (AD) vagy az Microsoft Azure Active Directory (Azure AD) használatával, valamint a szerepköralapú hozzáférés-vezérlést (RBAC) a célkiszolgálók kezeléséhez.

    Windows Felügyeleti központ a Microsoft Edge (Windows 10, 1709-es vagy újabb verzió), a Google Chrome és az Microsoft Edge Insider Windows 10. A Felügyeleti Windows felügyeleti központot telepítheti egy Windows 10 számítógépen vagy egy Windows kiszolgálón.

    Ha a felügyeleti Windows telepít egy olyan kiszolgálóra, amely átjáróként fut, és nincs felhasználói felület a gazdakiszolgálón. Ebben a forgatókönyvben a rendszergazdák EGY HTTPS-munkameneten keresztül jelentkezhetnek be a kiszolgálóra, amelyet a gazdagépen egy önaírt biztonsági tanúsítvány biztosít. Jobb azonban megbízható hitelesítésszolgáltatótól származó megfelelő SSL-tanúsítványt használni a bejelentkezési folyamathoz, mert a támogatott böngészők nem biztonságosként kezelik az önaírt kapcsolatokat, még akkor is, ha a kapcsolat egy helyi IP-címhez csatlakozik megbízható VPN-en keresztül.

    További információ a szervezet telepítési lehetőségeiről: Milyen típusú telepítés a megfelelő az Ön számára?.

  • A CredSSP egy olyan hitelesítésszolgáltató, Windows a Felügyeleti központ néhány esetben a hitelesítő adatokat a felügyelni célként megadott kiszolgálón túli gépeknek adja át. Windows Felügyeleti központnak jelenleg CredSSP-t kell igényele a következő hez:

    • Hozzon létre egy új fürtöt.
    • A Frissítések eszköz eléréséhez használhatja a Feladatátvételi fürtszolgáltatást vagy a Cluster-Aware funkciókat.
    • Nem aggregált SMB-tároló kezelése virtuális gépeken.

    További információ: A felügyeleti központ Windows CredSSP-t használ?

  • Az Windows Felügyeleti központban elérhető szerepköralapú hozzáférés-vezérlés (RBAC) korlátozott hozzáférést biztosít a felhasználóknak a felügyelni szükséges kiszolgálókhoz ahelyett, hogy teljes körű helyi rendszergazdákat hoznak számukra. Ha az RBAC-t Windows Felügyeleti központban, minden felügyelt kiszolgálót konfigurálnia kell egy PowerShell Just Enough Administration végponttal.

    További információ: Szerepköralapú hozzáférés-vezérlés és Just Enough Administration.

  • A Felügyeleti Windows biztonsági eszközei, amelyek identitások kezelésére és védelmére használhatók, többek között Active Directory, a tanúsítványok, a tűzfal, a helyi felhasználók és csoportok.

    További információ: Manage Servers with Windows Admin Center (Kiszolgálók kezelése Windows Felügyeleti központtal).

2. rész: A Azure Security Center

Azure Security Center egy egységes infrastruktúrabiztonsági felügyeleti rendszer, amely megerősíti az adatközpontok biztonsági biztonságát, és fejlett fenyegetésvédelmet biztosít a hibrid felhőbeli és helyszíni számítási feladatokhoz. Security Center eszközekkel felmérheti a hálózat biztonsági állapotát, megvédheti a számítási feladatokat, biztonsági riasztásokat tehet fel, és konkrét javaslatokat tehet a támadások kezelésére és a jövőbeli fenyegetések kezelésére. Security Center szolgáltatás nagy sebességgel, üzembe helyezési többletterhelés nélkül végzi el ezeket a szolgáltatásokat a felhőben az Azure-szolgáltatásokkal való automatikus kiépítés és védelem révén.

Security Center a virtuális gépeket mind a Windows, mind a Linux-kiszolgálók számára úgy védi, hogy telepíti a Log Analytics-ügynököt ezekre az erőforrásokra. Az Azure az ügynökök által gyűjtött eseményeket a számítási feladatok biztonságának biztosítása érdekében ön által tett javaslatokban (a tevékenységeket megsokszorító feladatokban) korrelál. Az ajánlott biztonsági eljárásokon alapuló, a biztonsági szabályzatok felügyeletét és érvényesítését szolgáló feladatok közé tartozik a biztonsági szabályzatok érvényesítése. Ezután nyomon követheti az eredményeket, és az idő alatt kezelheti a megfelelőséget és a szabályozást Security Center monitorozással, és csökkentve az összes erőforrás támadási felületét.

Annak kezelése, hogy ki férhet hozzá az Azure-erőforrásokhoz és -előfizetésekhez, az Azure-szabályozási stratégia fontos részét képezi. Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) az Azure-beli hozzáférések kezelésének első számú módja. További információ: Az Azure-környezethez való hozzáférés kezelése szerepköralapú hozzáférés-vezérléssel.

A felügyeleti Security Center való Windows használatához Azure-előfizetés szükséges. Első lépések: Integráció Azure Security Center a Windows Felügyeleti központtal.

A regisztrációt követően Security Center felügyeleti Windows: A Minden kapcsolat lapon válasszon ki egy kiszolgálót vagy virtuális gépet, az Eszközök területen válassza a Azure Security Centerlehetőséget, majd válassza a Bejelentkezés az Azure-balehetőséget.

További információ: Mi az a Azure Security Center?

3. rész: Speciális biztonság hozzáadása

A következő szakaszok speciális biztonsági eszközöket és technológiákat javasolnak, amelyek további Azure Stack HCI operációs rendszert futtató kiszolgálókat.

A környezet megsokosodása

  • A Microsoft biztonsági alapkonfigurációi a Microsoft kereskedelmi vállalatokkal és az EGYESÜLT Államok kormányával, például a Védelmi Minisztériumtal való együttműködésen keresztül kapott biztonsági javaslatokon alapulnak. A biztonsági alapkonfigurációk között javasolt biztonsági beállítások is Windows tűzfalhoz, Windows Defender és sok máshoz.

    A biztonsági alapkonfigurációk objektum Csoportházirend- (GPO-) biztonsági másolatokként biztosítanak, amelyek importálhatóak az Active Directory Domain Services-ba (AD DS), majd a környezet biztonságának javítása érdekében tartományhoz csatlakozott kiszolgálókra telepíthetők. A helyi szkripteszközökkel önálló (tartományhoz nem csatlakozott) kiszolgálókat is konfigurálhat biztonsági alapkonfigurációkkal. A biztonsági alapkonfigurációk használatának elkezdéséhez töltse le a Microsoft Security Compliance Toolkit 1.0 eszközt.

    További információ: Microsoft biztonsági alapkonfigurációk.

Adatok védelme

  • A Hyper-V-környezet meg kell Windows a virtuális gépen futó kiszolgálót, ahogyan a fizikai kiszolgálókon futó operációs rendszerét is. Mivel a virtuális környezetekben általában több virtuális gép osztozik ugyanazon a fizikai gazdagépen, elengedhetetlen a fizikai gazdagép és a rajta futó virtuális gépek védelme is. Ha egy támadó feltör egy gazdagépet, az több virtuális gépre is hatással lehet, ami nagyobb hatással van a számítási feladatokra és szolgáltatásokra. Ez a szakasz a következő módszereket ismerteti, amelyek segítségével a Windows a Hyper-V környezetben:

    • A Windows Server virtual platformmegbízhatósági modul (vTPM) szolgáltatása támogatja a TPM-et a virtuális gépekhez, ami fejlett biztonsági technológiák, például a BitLocker használatát teszi lehetővé a virtuális gépeken. A TPM-támogatást bármely 2. generációs Hyper-V virtuális gépen engedélyezheti a Hyper-V kezelője vagy a Windows PowerShell Enable-VMTPM parancsmag használatával.

      További információ: Enable-VMTPM.

    • Az Azure Stack HCI és Windows Server szoftveres hálózatai (Software Defined Networking, SDN) központilag konfigurálják és kezelik a virtuális hálózati eszközöket, például a szoftveres terheléselosztást, az adatközponti tűzfalat, az átjárókat és az infrastruktúra virtuális kapcsolóit. A virtuális hálózati elemek, például a Hyper-V virtuális kapcsoló, a Hyper-V hálózat virtualizálása és a RAS-átjáró az SDN-infrastruktúra szerves elemeiként vannak kialakítva.

      További információ: Szoftveres hálózat (SDN).

      Megjegyzés

      A védett virtuális gépek nem támogatottak a Azure Stack HCI.

Identitások védelme

  • Helyi rendszergazda-jelszó megoldás (LAPS) egy egyszerű mechanizmus Active Directory tartományhoz csatlakozott rendszerekhez, amely rendszeres időközönként új véletlenszerű és egyedi értékre állítja be az egyes számítógépek helyi rendszergazdai fiókjának jelszavát. A jelszavakat a rendszer egy biztonságos bizalmas attribútumban tárolja a megfelelő számítógép-objektumon a Active Directory, ahol csak az arra jogosult felhasználók kaphatják meg őket. Az LAPS helyi fiókokat használ a távoli számítógép-kezeléshez, ami néhány előnnyel jár a tartományi fiókokhoz való hozzáféréshez. További információ: Helyi fiókok távoli használata: LAPS Changes Everything.

    Az LAPS használatának elkezdéséhez töltse le a Helyi rendszergazda-jelszó megoldás (LAPS) stb.

  • A Microsoft Advanced Threat Analytics (ATA) egy helyszíni termék, amely segítségével észlelheti a rendszer-jogosultságú identitásokat feltörni próbáló támadókat. Az ATA a hálózati forgalmat hitelesítési, engedélyezési és információgyűjtési protokollok, például Kerberos és DNS alapján elemezi. Az ATA az adatok alapján hoz létre viselkedési profilokat a felhasználókról és a hálózaton más entitásokról a rendellenességek és az ismert támadási minták észleléséhez.

    További információ: Mi az az Advanced Threat Analytics?.

  • Windows Defender Remote Credential Guard úgy védi a hitelesítő adatokat egy Távoli asztal-kapcsolaton keresztül, hogy visszairányítsa a Kerberos-kérelmeket a kapcsolatot kérő eszközre. Egyszeri bejelentkezést (SSO) is biztosít a Távoli asztal számára. A Távoli asztal során, ha a céleszköz biztonsága sérül, a hitelesítő adatok nem osodnak meg, mert a hitelesítő adatok és a származtatott hitelesítő adatok soha nem kerülnek át a céleszközre a hálózaton.

    További információ: Manage Windows Defender Credential Guard.

Következő lépések

További információ a biztonsági és jogszabályi megfelelőségről: