Azure Arc-enabled servers security overview (Overzicht van de beveiliging van servers met ingeschakelde servers)

  • Artikel
  • 4 minuten om te lezen

In dit artikel worden de beveiligingsconfiguratie en overwegingen beschreven die u moet evalueren voordat Azure Arc servers in uw onderneming implementeert.

Identiteits- en toegangsbeheer

Elke Azure Arc server heeft een beheerde identiteit als onderdeel van een resourcegroep binnen een Azure-abonnement. Deze identiteit vertegenwoordigt de server die on-premises of een andere cloudomgeving wordt uitgevoerd. De toegang tot deze resource wordt beheerd door standaard op rollen gebaseerd toegangsbeheer van Azure. Op de pagina Access Control (IAM) in de Azure Portal kunt u controleren wie toegang heeft tot uw Azure Arc server.

Azure Arc voor servertoegangsbeheer

Gebruikers en toepassingen die inzenders- of beheerdersroltoegang tot de resource hebben gekregen, kunnen wijzigingen aanbrengen in de resource, waaronder het implementeren of verwijderen van extensies op de computer. Extensies kunnen willekeurige scripts bevatten die worden uitgevoerd in een geprivilegieerde context. U kunt inzenders van de Azure-resource beschouwen als een indirecte beheerder van de server.

De Azure Connected Machine Onboarding-rol is beschikbaar voor onboarding op schaal en kan alleen nieuwe servers met Azure Arc lezen of maken in Azure. Het kan niet worden gebruikt om servers te verwijderen die al zijn geregistreerd of om extensies te beheren. Als best practice wordt u aangeraden deze rol alleen toe te wijzen aan de service-principal van Azure Active Directory (Azure AD) die wordt gebruikt om machines op schaal te onboarden.

Gebruikers die lid zijn van de Azure Connected Machine resourcebeheerder kunnen een computer lezen, wijzigen, opnieuw toevoegen en verwijderen. Deze rol is ontworpen ter ondersteuning van het beheer Azure Arc servers met ingeschakelde servers, maar niet voor andere resources in de resourcegroep of het abonnement.

Beveiliging en machtigingen van agent

Als u de Azure Connected Machine agent (azcmagent) wilt beheren op Windows, moet uw gebruikersaccount lid zijn van de lokale groep Administrators. In Linux moet u toegangsmachtigingen voor de hoofdmap hebben.

De Azure Connected Machine agent bestaat uit drie services die op uw computer worden uitgevoerd.

  • De Hybrid Instance Metadata Service service (himds) is verantwoordelijk voor alle kernfunctionaliteit van Arc. Dit omvat het verzenden van heartbeats naar Azure, het beschikbaar maken van een metagegevensservice van een lokaal exemplaar voor andere apps voor meer informatie over de Azure-resource-id van de machine en het ophalen van Azure AD-tokens voor verificatie bij andere Azure-services. Deze service wordt uitgevoerd als een niet-geprilegeerd virtueel serviceaccount op Windows en als de himds-gebruiker in Linux.

  • De gastconfiguratieservice (GCService) is verantwoordelijk voor het evalueren van Azure Policy op de machine.

  • De Service voor gastconfiguratie-extensies (ExtensionService) is verantwoordelijk voor het installeren, bijwerken en verwijderen van extensies (agents, scripts of andere software) op de computer.

De services voor gastconfiguratie en extensie worden uitgevoerd als lokaal systeem op Windows en als root op Linux.

Een beheerde identiteit gebruiken met Azure Arc-servers

Standaard kan de door Azure Active Directory door Arc toegewezen identiteit alleen worden gebruikt om de status van de Azure Arc server in Azure bij te werken. Bijvoorbeeld de laatst geziene heartbeat-status. U kunt eventueel andere rollen toewijzen aan de identiteit als een toepassing op uw server de door het systeem toegewezen identiteit gebruikt voor toegang tot andere Azure-services. Zie Verifiëren bij Azure-resources met servers met Azure Arc voor meer informatie over het configureren van een door het systeem toegewezen beheerde identiteit voor toegang tot Azure-resources.

Hoewel de Hybrid Instance Metadata Service toegankelijk is voor elke toepassing die op de computer wordt uitgevoerd, kunnen alleen geautoriseerde toepassingen een Azure AD-token aanvragen voor de door het systeem toegewezen identiteit. Bij de eerste poging om toegang te krijgen tot de token-URI genereert de service een willekeurig gegenereerde cryptografische blob op een locatie in het bestandssysteem die alleen door vertrouwde aanroepers kan worden gelezen. De aanroeper moet vervolgens het bestand lezen (bewijzen dat het de juiste machtiging heeft) en de aanvraag opnieuw proberen met de bestandsinhoud in de autorisatie-header om een Azure AD-token op te halen.

  • Op Windows moet de aanroeper lid zijn van de lokale groep Administrators of de groep Hybrid Agent Extension Applications om de blob te kunnen lezen.

  • In Linux moet de aanroeper lid zijn van de himds-groep om de blob te kunnen lezen.

Zie de volgende video voor meer informatie over het gebruik van een beheerde identiteit met Arc-servers om Azure-resources te verifiëren en te openen.

Schijfversleuteling gebruiken

De Azure Connected Machine gebruikt verificatie met openbare sleutels om te communiceren met de Azure-service. Nadat u de onboarding van een server Azure Arc, wordt er een persoonlijke sleutel opgeslagen op de schijf en gebruikt wanneer de agent met Azure communiceert. Als deze wordt gestolen, kan de persoonlijke sleutel op een andere server worden gebruikt om te communiceren met de service en te fungeren alsof het de oorspronkelijke server is. Dit omvat het verkrijgen van toegang tot de door het systeem toegewezen identiteit en alle resources waar de identiteit toegang toe heeft. Het bestand met de persoonlijke sleutel is beveiligd zodat alleen het himds-account toegang heeft om het te lezen. Om offline-aanvallen te voorkomen, raden we het gebruik van volledige schijfversleuteling (bijvoorbeeld BitLocker, dm-crypt, enzovoort) aan op het besturingssysteemvolume van uw server.

Volgende stappen

  • Voordat u servers met Azure Arc voor meerdere hybride machines evalueert of inschakelen, bekijkt u Overzicht van connected machine-agent voor informatie over vereisten, technische details over de agent en implementatiemethoden.

  • Lees de plannings- en implementatiehandleiding voor het plannen van de implementatie Azure Arc servers op elke schaal en implementeer gecentraliseerd beheer en bewaking.