Azure Stack HCI beveiligingsoverwegingen

  • Artikel
  • 11 minuten om te lezen

Van toepassing op: Azure Stack HCI, versies 21H2 en 20H2; Windows Server 2022, Windows Server 2019

Dit onderwerp bevat beveiligingsoverwegingen en aanbevelingen met betrekking tot Azure Stack HCI besturingssysteem:

  • Deel 1 bevat informatie over eenvoudige beveiligingshulpprogramma's en -technologieën om het besturingssysteem te beveiligen en gegevens en identiteiten te beveiligen om efficiënt een veilige basis voor uw organisatie te bouwen.
  • Deel 2 bevat informatiebronnen die beschikbaar zijn via Azure Security Center.
  • Deel 3 bevat geavanceerdere beveiligingsoverwegingen om de beveiligingsstatus van uw organisatie op deze gebieden verder te versterken.

Waarom zijn beveiligingsoverwegingen belangrijk?

Beveiliging is van invloed op iedereen in uw organisatie, van beheer op het hoogste niveau tot de informatiemedewerker. Onvoldoende beveiliging is een reëel risico voor organisaties, omdat een beveiligingsschending mogelijk alle normale activiteiten kan verstoren en uw organisatie tot stilstand kan brengen. Hoe eerder u een mogelijke aanval kunt detecteren, hoe sneller u eventuele beveiligingsrisico's kunt beperken.

Nadat de zwakke punten van een omgeving zijn onderzocht om ze te misbruiken, kan een aanvaller doorgaans binnen 24 tot 48 uur na de eerste aanval de bevoegdheden verhogen om de controle over systemen in het netwerk over te nemen. Goede beveiligingsmaatregelen harden de systemen in de omgeving om de tijd te verlengen die een aanvaller nodig heeft om de controle te krijgen van uren tot weken of zelfs maanden door de verplaatsingen van de aanvaller te blokkeren. Door de beveiligingsaanbevelingen in dit onderwerp te implementeren, kan uw organisatie dergelijke aanvallen zo snel mogelijk detecteren en daarop reageren.

Deel 1: Een veilige basis bouwen

In de volgende secties worden beveiligingshulpprogramma's en -technologieën aanbevolen om een veilige basis te bouwen voor de servers waarop het Azure Stack HCI-besturingssysteem in uw omgeving wordt uitgevoerd.

De omgeving verbeteren

In deze sectie wordt besproken hoe u services en virtuele machines (VM's) die op het besturingssysteem worden uitgevoerd, kunt beveiligen:

  • Azure Stack HCI gecertificeerde hardware biedt standaard consistente instellingen voor beveiligd opstarten, UEFI en TPM. Door beveiliging op basis van virtualisatie en gecertificeerde hardware te combineren, kunt u beveiligingsgevoelige werkbelastingen beschermen. U kunt deze vertrouwde infrastructuur ook verbinden met Azure Security Center om gedragsanalyses en -rapportage te activeren om rekening te houden met snel veranderende workloads en bedreigingen.

    • Beveiligd opstarten is een beveiligingsstandaard die is ontwikkeld door de pc-industrie om ervoor te zorgen dat een apparaat wordt opgestart met alleen software die wordt vertrouwd door de Oem (Original Equipment Manufacturer). Zie Beveiligd opstarten voor meer informatie.
    • United Extensible Firmware Interface (UEFI) beheert het opstartproces van de server en geeft vervolgens het besturingselement door aan Windows of een ander besturingssysteem. Zie UEFI-firmwarevereisten voor meer informatie.
    • Trusted Platform Module technologie (TPM) biedt hardwarefuncties die betrekking hebben op beveiliging. Een TPM-chip is een beveiligde cryptoprocessor die het gebruik van cryptografische sleutels genereert, op bewaart en beperkt. Zie overzicht van Trusted Platform Module technologie voor meer informatie.

    Zie de website Azure Stack HCI-Azure Stack HCI oplossingen voor meer informatie over gecertificeerde hardwareproviders.

  • Het beveiligingshulpprogramma is systeemeigen beschikbaar in Windows-beheercentrum voor clusters met zowel één server als Azure Stack HCI om beveiligingsbeheer en beheer eenvoudiger te maken. Het hulpprogramma centraliseert enkele belangrijke beveiligingsinstellingen voor servers en clusters, waaronder de mogelijkheid om de status beveiligd kern van systemen weer te geven.

    Zie Beveiligde kernserver voor meer informatie.

  • Device Guard en Credential Guard. Device Guard beschermt tegen malware zonder bekende handtekening, niet-ondertekende code en malware die toegang krijgt tot de kernel om gevoelige informatie vast te leggen of het systeem te beschadigen. Windows Defender Credential Guard maakt gebruik van op virtualisatie gebaseerde beveiliging om geheime gegevens te isoleren. Zo hebt u er alleen met bevoegde systeemsoftware toegang toe.

    Zie Voor meer informatie Manage Windows Defender Credential Guard (Credential Guard beheren) en downloadt u het hulpprogramma Device Guard and Credential Guard hardware readiness ( Gereedheidshulpprogrammavoor Device Guard en Credential Guard).

  • Windows en firmware-updates zijn essentieel op clusters, servers (inclusief gast-VM's) en pc's om ervoor te zorgen dat zowel het besturingssysteem als de systeemhardware zijn beveiligd tegen aanvallers. U kunt het hulpprogramma Windows Admin Center Updates gebruiken om updates toe te passen op afzonderlijke systemen. Als uw hardwareprovider ondersteuning Windows-beheercentrum bevat voor het verkrijgen van stuurprogramma-, firmware- en oplossingsupdates, kunt u deze updates tegelijkertijd met Windows-updates downloaden, anders rechtstreeks van uw leverancier.

    Zie Het cluster bijwerken voor meer informatie.

    Als u updates op meerdere clusters en servers tegelijk wilt beheren, kunt u zich abonneren op de optionele Azure Updatebeheer-service, die is geïntegreerd met Windows-beheercentrum. Zie Azure Updatebeheer using Windows Admin Center (Azure Windows-beheercentrum) voor meer informatie.

Gegevens beveiligen

In deze sectie wordt besproken hoe u Windows-beheercentrum gebruikt om gegevens en workloads op het besturingssysteem te beveiligen:

  • BitLocker voor Opslagruimten bebeveiligen data-at-rest. U kunt BitLocker gebruiken om de inhoud van de Opslagruimten op het besturingssysteem te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan overheids-, regionale en branchespecifieke standaarden, zoals FIPS 140-2 en HIPAA.

    Zie Volumeversleuteling, ontdubbeling en compressie inschakelen voor meer informatie over het gebruik van BitLocker in Windows-beheercentrum

  • SMB-versleuteling voor Windows netwerken beschermt gegevens die onderweg zijn. Server Message Block (SMB) is een protocol voor het delen van netwerkbestanden waarmee toepassingen op een computer bestanden kunnen lezen en schrijven en services kunnen aanvragen bij serverprogramma's in een computernetwerk.

    Zie SMB-beveiligingsverbeteringen als u SMB-versleuteling wilt inschakelen.

  • Windows Defender Antivirus in Windows-beheercentrum beschermt het besturingssysteem op clients en servers tegen virussen, malware, spyware en andere bedreigingen. Zie voor meer informatie Microsoft Defender Antivirus over Windows Server 2016 en 2019.

Identiteiten beveiligen

In deze sectie wordt besproken hoe u het beheercentrum Windows bevoorrechte identiteiten kunt beveiligen:

  • Toegangsbeheer kan de beveiliging van uw beheerlandschap verbeteren. Als u een Windows Admin Center-server gebruikt (in plaats van op een Windows 10-pc), kunt u twee toegangsniveaus voor Windows Admin Center zelf beheren: gatewaygebruikers en gatewaybeheerders. Opties voor gatewaybeheerdersidentiteitsproviders zijn onder andere:

    • Active Directory of lokale computergroepen om smartcardverificatie af te dwingen.
    • Azure Active Directory voor het afdwingen van voorwaardelijke toegang en meervoudige verificatie.

    Zie Opties voor gebruikerstoegang met het Windows-beheercentrum en Configure User Access Control and Permissions voor meer informatie.

  • Browserverkeer naar Windows-beheercentrum maakt gebruik van HTTPS. Verkeer van Windows-beheercentrum naar beheerde servers maakt gebruik van standaard PowerShell en Windows Management Instrumentation (WMI) via Windows Remote Management (WinRM). Windows-beheercentrum ondersteunt de Oplossing voor wachtwoorden voor lokale beheerder (LAPS), beperkte delegatie op basis van resources, gatewaytoegangsbeheer met Active Directory (AD) of Microsoft Azure Active Directory (Azure AD) en op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van doelservers.

    Windows-beheercentrum ondersteunt Microsoft Edge (Windows 10, versie 1709 of hoger), Google Chrome en Microsoft Edge Insider op Windows 10. U kunt Windows-beheercentrum installeren op een Windows 10-pc of een Windows server.

    Als u een Windows op een server installeert, wordt het uitgevoerd als een gateway, zonder gebruikersinterface op de hostserver. In dit scenario kunnen beheerders zich aanmelden bij de server via een HTTPS-sessie, beveiligd door een zelf-ondertekend beveiligingscertificaat op de host. Het is echter beter om een geschikt SSL-certificaat van een vertrouwde certificeringsinstantie te gebruiken voor het aanmeldingsproces, omdat ondersteunde browsers een zelf-ondertekende verbinding als onbeveiligd behandelen, zelfs als de verbinding met een lokaal IP-adres via een vertrouwd VPN is.

    Zie Welk type installatie is het juiste voor u? voor meer informatie over installatieopties voor uw organisatie.

  • CredSSP is een verificatieprovider die Windows-beheercentrum in enkele gevallen gebruikt om referenties door te geven aan computers buiten de specifieke server die u wilt beheren. Windows-beheercentrum is credSSP momenteel vereist voor het volgende:

    • Een nieuw cluster maken.
    • Toegang tot het hulpprogramma Updates voor het gebruik van failoverclustering of Cluster-Aware updatefuncties.
    • Niet-geaggregeerde SMB-opslag in VM's beheren.

    Zie Maakt het beheercentrum gebruik Windows CredSSP voor meer informatie.

  • Met op rollen gebaseerd toegangsbeheer (RBAC) in Windows-beheercentrum hebben gebruikers beperkte toegang tot de servers die ze moeten beheren in plaats van dat ze volledige lokale beheerders worden. Als u RBAC wilt gebruiken in Windows-beheercentrum, configureert u elke beheerde server met een PowerShell Just Enough Administration-eindpunt.

    Zie Op rollen gebaseerd toegangsbeheer enJust Enough Administration voor meer informatie.

  • Beveiligingshulpprogramma's in Windows-beheercentrum waarmee u identiteiten kunt beheren en beveiligen, zijn onder andere Active Directory, certificaten, firewall, lokale gebruikers en groepen.

    Zie Manage Servers with Windows Admin Center (Servers beheren met Windows-beheercentrum) voor meer informatie.

Deel 2: Azure Security Center

Azure Security Center is een geïntegreerd beveiligingsbeheersysteem voor infrastructuur dat de beveiligingsstatus van uw datacenters verbetert en geavanceerde beveiliging tegen bedreigingen biedt voor uw hybride workloads in de cloud en on-premises. Security Center biedt u hulpprogramma's om de beveiligingsstatus van uw netwerk te beoordelen, workloads te beveiligen, beveiligingswaarschuwingen te geven en specifieke aanbevelingen te volgen voor het herstellen van aanvallen en het aanpakken van toekomstige bedreigingen. Security Center voert al deze services op hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services.

Security Center bebeveiligen VM's voor zowel Windows- als Linux-servers door de Log Analytics-agent op deze resources te installeren. Azure correleert gebeurtenissen die de agents verzamelen in aanbevelingen (beveiliging van taken) die u uitvoert om uw workloads veilig te maken. De beveiligingstaken op basis van best practices voor beveiliging omvatten het beheren en afdwingen van beveiligingsbeleid. Vervolgens kunt u de resultaten bijhouden en naleving en governance gedurende een periode beheren via Security Center bewaking en tegelijkertijd het aanvalsoppervlak voor al uw resources verminderen.

Beheren wie toegang heeft tot uw Azure-resources en -abonnementen is een belangrijk onderdeel van uw Azure-governancestrategie. Op rollen gebaseerd toegangsbeheer (RBAC) is de primaire methode voor toegangsbeheer in Azure. Zie Toegang tot uw Azure-omgeving beheren met op rollen gebaseerd toegangsbeheer voor meer informatie.

Voor het Security Center via Windows-beheercentrum is een Azure-abonnement vereist. Zie Integrate Azure Security Center with Windows Admin Center (Een Azure Security Center integreren met Windows-beheercentrum) om aan de slag te gaan.

Nadat u zich hebt geregistreerd, Security Center toegang tot Windows-beheercentrum: selecteer op de pagina Alle verbindingen een server of VM, selecteeronder Extra de optie Azure Security Centeren selecteer vervolgens Aanmelden bij Azure.

Zie Wat is Azure Security Center? voor meer Azure Security Center.

Deel 3: Geavanceerde beveiliging toevoegen

In de volgende secties worden geavanceerde beveiligingshulpprogramma's en -technologieën aanbevolen om servers waarop het Azure Stack HCI in uw omgeving wordt uitgevoerd, verder te harden.

De omgeving verbeteren

  • Microsoft-beveiligingsbasislijnen zijn gebaseerd op beveiligingsaanbevelingen van Microsoft die zijn verkregen via samenwerking met commerciële organisaties en de Amerikaanse overheid, zoals het Ministerie van Defensie. De beveiligingsbasislijnen bevatten aanbevolen beveiligingsinstellingen voor Windows Firewall, Windows Defender en vele andere.

    De beveiligingsbasislijnen worden geleverd als back-ups van groepsbeleid Object (GPO) die u in Active Directory Domain Services (AD DS) kunt importeren en vervolgens kunt implementeren op servers die lid zijn van een domein om de omgeving te harden. U kunt ook lokale scripthulpprogramma's gebruiken om zelfstandige (niet-domein-lid) servers met beveiligingsbasislijnen te configureren. Download microsoft Security Compliance Toolkit 1.0om aan de slag te gaan met de beveiligingsbasislijnen.

    Zie Microsoft-beveiligingsbasislijnen voor meer informatie.

Gegevens beveiligen

  • Voor het beperken van de Hyper-V-omgeving moet de Windows-server die wordt uitgevoerd op een VM worden gehard, net zoals u het besturingssysteem dat op een fysieke server wordt uitgevoerd, beperken. Omdat virtuele omgevingen doorgaans meerdere VM's hebben die dezelfde fysieke host delen, is het belangrijk om zowel de fysieke host als de VM's die op de host worden uitgevoerd te beveiligen. Een aanvaller die een host aanvalt, kan invloed hebben op meerdere VM's met een grotere invloed op workloads en services. In deze sectie worden de volgende methoden besproken die u kunt gebruiken om de Windows in een Hyper-V-omgeving te beperken:

    • Virtual Trusted Platform Module (vTPM) in Windows Server ondersteunt TPM voor VM's, waarmee u geavanceerde beveiligingstechnologieën, zoals BitLocker, kunt gebruiken in VM's. U kunt TPM-ondersteuning inschakelen op elke Hyper-V-VM van de tweede generatie met behulp van Hyper-V-manager of de Enable-VMTPM cmdlet Windows PowerShell virtuele VM.

      Zie Enable-VMTPM voor meer informatie.

    • Software Defined Networking (SDN) in Azure Stack HCI en Windows Server configureert en beheert centraal virtuele netwerkapparaten, zoals de software-load balancer, datacenterfirewall, gateways en virtuele switches in uw infrastructuur. Virtuele netwerkelementen, zoals Hyper-V Virtuele Switch, Hyper-V-netwerkvirtualisatie en RAS-gateway zijn ontworpen als integrale elementen van uw SDN-infrastructuur.

      Zie Software Defined Networking (SDN) voor meer informatie.

      Notitie

      Afgeschermde VM's worden niet ondersteund in Azure Stack HCI.

Identiteiten beveiligen

  • Oplossing voor wachtwoorden voor lokale beheerder (LAPS) is een lichtgewicht mechanisme voor Active Directory-systemen die lid zijn van een domein waarmee het wachtwoord van het lokale beheerdersaccount van elke computer periodiek wordt ingesteld op een nieuwe willekeurige en unieke waarde. Wachtwoorden worden opgeslagen in een beveiligd vertrouwelijk kenmerk op het bijbehorende computerobject in Active Directory, waar alleen specifiek geautoriseerde gebruikers ze kunnen ophalen. LAPS maakt gebruik van lokale accounts voor extern computerbeheer op een manier die enkele voordelen biedt ten opzichte van het gebruik van domeinaccounts. Zie Remote Use of Local Accounts: LAPS Changes Everything (Extern gebruik van lokale accounts: LAPS wijzigt alles) voor meer informatie.

    Download de Oplossing voor wachtwoorden voor lokale beheerder (LAPS) omaan de slag te gaan met LAPS.

  • Microsoft Advanced Threat Analytics (ATA) is een on-premises product dat u kunt gebruiken om aanvallers te detecteren die proberen gecompromitteerd te maken van bevoegde identiteiten. ATA parseert netwerkverkeer voor verificatie, autorisatie en gegevensverzamelingsprotocollen, zoals Kerberos en DNS. ATA gebruikt de gegevens om gedragsprofielen van gebruikers en andere entiteiten in het netwerk te maken om afwijkingen en bekende aanvalspatronen te detecteren.

    Zie Wat is Advanced Threat Analytics? voor meer informatie.

  • Windows Defender Remote Credential Guard beveiligt referenties via een Extern bureaublad-verbinding door Kerberos-aanvragen terug te leiden naar het apparaat dat de verbinding aanvraagt. Het biedt ook eenmalige aanmelding (SSO) voor Extern bureaublad sessies. Als tijdens Extern bureaublad sessie het doelapparaat is aangetast, worden uw referenties niet blootgesteld omdat afgeleide referenties en referenties nooit via het netwerk worden doorgegeven aan het doelapparaat.

    Zie Credential Guard beheren Windows Defender meer informatie.

Volgende stappen

Zie voor meer informatie over beveiliging en naleving van regelgeving ook: