Controlli di sicurezza dell'infrastruttura dell'hub Azure StackAzure Stack Hub infrastructure security controls

Le considerazioni sulla sicurezza e i regolamenti sulla conformità sono gli argomenti principali quando si tratta di usare i cloud ibridi.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. Azure Stack Hub è progettato per questi scenari.Azure Stack Hub is designed for these scenarios. Questo articolo illustra i controlli di sicurezza sul posto per Azure Stack Hub.This article explains the security controls in place for Azure Stack Hub.

In Azure Stack Hub è coesistente due livelli di postura di sicurezza.Two security posture layers coexist in Azure Stack Hub. Il primo livello è l'infrastruttura dell'hub Azure Stack, che include i componenti hardware fino al Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. Il primo livello include i portali dell'amministratore e dell'utente.The first layer includes the administrator and the user portals. Il secondo livello è costituito dai carichi di lavoro creati, distribuiti e gestiti dai tenant.The second layer consists of the workloads created, deployed, and managed by tenants. Il secondo livello include elementi quali macchine virtuali e siti Web di servizi app.The second layer includes items like virtual machines and App Services web sites.

Approccio alla sicurezzaSecurity approach

Il comportamento di sicurezza per Azure Stack Hub è progettato per difendersi dalle minacce moderne ed è stato creato per soddisfare i requisiti degli standard di conformità principali.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. Di conseguenza, il comportamento di sicurezza dell'infrastruttura dell'hub Azure Stack si basa su due pilastri:As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Presume violazioneAssume Breach
    A partire dal presupposto che il sistema sia già stato violato, concentrarsi sul rilevamento e la limitazione dell'effetto delle violazioni rispetto al solo tentativo di impedire gli attacchi.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Protezione avanzata per impostazione predefinitaHardened by Default
    Poiché l'infrastruttura viene eseguita su hardware e software ben definiti, Azure Stack Hub Abilita, configura e convalida tutte le funzionalità di sicurezza per impostazione predefinita.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Poiché Azure Stack Hub viene distribuito come sistema integrato, il comportamento di sicurezza dell'infrastruttura Azure Stack Hub è definito da Microsoft.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Proprio come in Azure, i tenant sono responsabili della definizione del comportamento di sicurezza dei carichi di lavoro del tenant.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Questo documento fornisce informazioni di base sul comportamento di sicurezza dell'infrastruttura dell'hub Azure Stack.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Crittografia dei dati inattiviData at rest encryption

Tutti i dati del tenant e dell'infrastruttura dell'hub Azure Stack vengono crittografati a riposo tramite BitLocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. Questa crittografia protegge dalla perdita fisica o dal furto dei componenti di archiviazione dell'hub Azure Stack.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Per altre informazioni, vedere crittografia dei dati inattivi nell'Hub Azure stack.For more information, see data at rest encryption in Azure Stack Hub.

Dati nella crittografia di transitoData in transit encryption

I componenti dell'infrastruttura dell'hub Azure Stack comunicano usando i canali crittografati con TLS 1,2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. I certificati di crittografia sono gestiti autonomamente dall'infrastruttura.Encryption certificates are self-managed by the infrastructure.

Tutti gli endpoint dell'infrastruttura esterna, ad esempio gli endpoint REST o il portale dell'hub Azure Stack, supportano TLS 1,2 per le comunicazioni sicure.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Per tali endpoint è necessario fornire i certificati di crittografia, da terze parti o da un'autorità di certificazione aziendale.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

Sebbene sia possibile utilizzare i certificati autofirmati per questi endpoint esterni, Microsoft consiglia vivamente di utilizzarli.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Per altre informazioni su come applicare TLS 1,2 negli endpoint esterni dell'hub Azure Stack, vedere configurare i controlli di sicurezza dell'hub Azure stack.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Gestione dei segretiSecret management

Azure Stack infrastruttura dell'hub usa una vasta gamma di segreti, ad esempio password e certificati, per funzionare.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. La maggior parte delle password associate agli account del servizio interno viene ruotata automaticamente ogni 24 ore, perché si tratta di account del servizio gestiti del gruppo (gMSA), un tipo di account di dominio gestito direttamente dal controller di dominio interno.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

Azure Stack infrastruttura dell'Hub USA chiavi RSA a 4096 bit per tutti i relativi certificati interni.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. È anche possibile usare gli stessi certificati di lunghezza chiave per gli endpoint esterni.Same key-length certificates can also be used for the external endpoints. Per altre informazioni sui segreti e la rotazione dei certificati, fare riferimento a ruotare i segreti nell'Hub Azure stack.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Controllo delle applicazioni di Windows DefenderWindows Defender Application Control

L’hub di Azure Stack usa le funzionalità di sicurezza di Windows Server più recenti.Azure Stack Hub makes use of the latest Windows Server security features. Uno di essi è il controllo delle applicazioni di Windows Defender (WDAC, noto in precedenza come integrità del codice), che fornisce i filtri per i file eseguibili e garantisce che solo il codice autorizzato venga eseguito all'interno dell'infrastruttura dell'hub Azure Stack.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

Il codice autorizzato è firmato da Microsoft o dal partner OEM.Authorized code is signed by either Microsoft or the OEM partner. Il codice autorizzato firmato è incluso nell'elenco dei software consentiti specificati in un criterio definito da Microsoft.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. In altre parole, può essere eseguito solo il software approvato per l'esecuzione nell'infrastruttura dell'hub Azure Stack.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Qualunque tentativo di esecuzione di codice non autorizzato viene bloccato e viene generato un avviso.Any attempt to execute unauthorized code is blocked and an alert is generated. L’hub di Azure Stack applica sia User Mode Code Integrity (UMCI) sia Hypervisor Code Integrity (HVCI).Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

Il criterio WDAC impedisce inoltre l'esecuzione di agenti o software di terze parti nell'infrastruttura dell'hub Azure Stack.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Per altre informazioni su WDAC, vedere controllo delle applicazioni di Windows Defender e protezione basata sulla virtualizzazione dell'integrità del codice.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Un'altra funzionalità di sicurezza di Windows Server nell'hub Azure Stack è Windows Defender Credential Guard, che viene usato per proteggere le credenziali dell'infrastruttura dell'hub Azure Stack dagli attacchi pass-the-hash e pass-the-ticket.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

AntimalwareAntimalware

Ogni componente nell'hub Azure Stack (host e macchine virtuali Hyper-V) è protetto con Windows Defender Antivirus.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

Negli scenari connessi gli aggiornamenti del motore e delle definizioni di antivirus vengono applicati più volte al giorno.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. Negli scenari disconnessi, gli aggiornamenti antimalware vengono applicati come parte degli aggiornamenti mensili dell'hub Azure Stack.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. Nel caso in cui sia necessario un aggiornamento più frequente delle definizioni di Windows Defender in scenari disconnessi, Azure Stack Hub supporta anche l'importazione di aggiornamenti di Windows Defender.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. Per ulteriori informazioni, vedere l' aggiornamento di Windows Defender antivirus nell'Hub Azure stack.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Avvio protettoSecure Boot

Azure Stack Hub impone l'avvio protetto in tutti gli host Hyper-V e le macchine virtuali di infrastruttura.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Modello di amministrazione vincolataConstrained administration model

L'amministrazione nell'hub Azure Stack viene controllata tramite tre punti di ingresso, ciascuno con uno scopo specifico:Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • Il portale per gli amministratori offre un'esperienza di gestione e clic per le operazioni di gestione giornaliere.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager espone tutte le operazioni di gestione del portale di amministrazione tramite un'API REST, usata da PowerShell e dall'interfaccia della riga di comando di Azure.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • Per operazioni specifiche di basso livello (ad esempio, l'integrazione dei data center o gli scenari di supporto), Azure Stack Hub espone un endpoint di PowerShell denominato endpoint con privilegi.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Questo endpoint espone solo un set di cmdlet consentito ed è ampiamente controllato.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Controlli di reteNetwork controls

Azure Stack infrastruttura dell'hub è dotato di più livelli di elenco di controllo di accesso (ACL) di rete.Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Gli ACL impediscono l'accesso non autorizzato ai componenti dell'infrastruttura e limitano le comunicazioni dell'infrastruttura solo ai percorsi necessari per il suo funzionamento.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

Gli ACL di rete vengono applicati in tre livelli:Network ACLs are enforced in three layers:

  • Livello 1: primi commutatori rackLayer 1: Top of Rack switches
  • Livello 2: Software Defined NetworkLayer 2: Software Defined Network
  • Livello 3: host e firewall del sistema operativo della macchina virtualeLayer 3: Host and VM operating system firewalls

Conformità alle normativeRegulatory compliance

Azure Stack Hub ha attraversato una valutazione formale della funzionalità da parte di una società di controllo indipendente da terze parti.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. Di conseguenza, la documentazione relativa al modo in cui l'infrastruttura di Azure Stack Hub soddisfa i controlli applicabili da diversi standard di conformità sono disponibili.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. La documentazione non è una certificazione dell'hub Azure Stack perché gli standard includono diversi controlli correlati al personale e ai processi.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. I clienti possono invece usare questa documentazione per avviare il processo di certificazione.Rather, customers can use this documentation to jump-start their certification process.

Le valutazioni includono gli standard seguenti:The assessments include the following standards:

  • PCI-DSS risolve il settore delle carte di pagamento.PCI-DSS addresses the payment card industry.
  • La matrice di controllo cloud CSA è un mapping completo tra più standard, tra cui FedRAMP moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 e altre ancora.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP High per i clienti governativi.FedRAMP High for government customers.

La documentazione sulla conformità è reperibile nel portale di attendibilità dei servizi Microsoft.The compliance documentation can be found on the Microsoft Service Trust Portal. Le guide alla conformità sono una risorsa protetta e richiedono l'accesso con le credenziali del servizio cloud di Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Passaggi successiviNext steps