Configurare i controlli di sicurezza dell'hub di Azure Stack
Questo articolo illustra i controlli di sicurezza che possono essere modificati nell'hub di Azure Stack e evidenzia i compromessi, se applicabile.
L'architettura dell'hub di Azure Stack è basata su due pilastri di sicurezza: presupporre la violazione e la protezione avanzata per impostazione predefinita. Per altre informazioni sulla sicurezza dell'hub di Azure Stack, vedere Comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack. Sebbene il comportamento di sicurezza predefinito dell'hub di Azure Stack sia pronto per l'ambiente di produzione, esistono alcuni scenari di distribuzione che richiedono una protezione avanzata aggiuntiva.
Criteri di versione TLS
Il protocollo Transport Layer Security (TLS) è un protocollo crittografico ampiamente adottato per stabilire la comunicazione crittografata sulla rete. TLS si è evoluto nel tempo e sono state rilasciate più versioni. L'infrastruttura dell'hub di Azure Stack usa esclusivamente TLS 1.2 per tutte le comunicazioni. Per le interfacce esterne, l'hub di Azure Stack è attualmente predefinito per l'uso di TLS 1.2. Tuttavia, per la compatibilità con le versioni precedenti, supporta anche la negoziazione verso TLS 1.1. e 1,0. Quando un client TLS richiede di comunicare tramite TLS 1.1 o TLS 1.0, l'hub di Azure Stack rispetta la richiesta negoziando una versione TLS inferiore. Se il client richiede TLS 1.2, l'hub di Azure Stack stabilirà una connessione TLS usando TLS 1.2.
Poiché TLS 1.0 e 1.1 vengono deprecati o vietati da organizzazioni e standard di conformità, è ora possibile configurare i criteri TLS nell'hub di Azure Stack. È possibile applicare un criterio TLS 1.2 solo in cui qualsiasi tentativo di stabilire una sessione TLS con una versione inferiore a 1.2 non è consentita e viene rifiutata.
Importante
Microsoft consiglia di usare solo i criteri TLS 1.2 per gli ambienti di produzione dell'hub di Azure Stack.
Ottenere i criteri TLS
Usare l'endpoint con privilegi (PEP) per visualizzare i criteri TLS per tutti gli endpoint dell'hub di Azure Stack:
Get-TLSPolicy
Output di esempio:
TLS_1.2
Impostare i criteri TLS
Usare l'endpoint con privilegi (PEP) per impostare i criteri TLS per tutti gli endpoint dell'hub di Azure Stack:
Set-TLSPolicy -Version <String>
Parametri per il cmdlet Set-TLSPolicy :
| Parametro | Descrizione | Tipo | Necessario |
|---|---|---|---|
| Versione | Versioni consentite di TLS nell'hub di Azure Stack | string | sì |
Usare uno dei valori seguenti per configurare le versioni TLS consentite per tutti gli endpoint dell'hub di Azure Stack:
| Valore della versione | Descrizione |
|---|---|
| TLS_All | Gli endpoint TLS dell'hub di Azure Stack supportano TLS 1.2, ma la negoziazione con TLS 1.1 e TLS 1.0 è consentita. |
| TLS_1.2 | Gli endpoint TLS dell'hub di Azure Stack supportano solo TLS 1.2. |
L'aggiornamento dei criteri TLS richiede alcuni minuti per completare.
Applicare l'esempio di configurazione tls 1.2
In questo esempio i criteri TLS vengono impostati solo per applicare TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Output di esempio:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Consenti tutte le versioni di TLS (1.2, 1.1 e 1.0) esempio di configurazione
Questo esempio imposta i criteri TLS per consentire tutte le versioni di TLS (1.2, 1.1 e 1.0).
Set-TLSPolicy -Version TLS_All
Output di esempio:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Avviso legale per le sessioni PEP
Esistono scenari in cui è utile visualizzare un avviso legale, al momento dell'accesso a una sessione di endpoint con privilegi (PEP). I cmdlet Set-AzSLegalNotice e Get-AzSLegalNotice vengono usati per gestire il didascalia e il corpo di tali note legali.
Per impostare l'avviso legale didascalia e il testo, vedere il cmdlet Set-AzSLegalNotice. Se l'avviso legale didascalia e il testo sono stati impostati in precedenza, è possibile esaminarli usando il cmdlet Get-AzSLegalNotice.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per