Beveiligingsfuncties voor Azure Stack HCI, versie 23H2
Van toepassing op: Azure Stack HCI, versie 23H2
Azure Stack HCI is een standaard beveiligd product waarvoor meer dan 300 beveiligingsinstellingen vanaf het begin zijn ingeschakeld. Standaardbeveiligingsinstellingen bieden een consistente beveiligingsbasislijn om ervoor te zorgen dat apparaten in een bekende goede status worden gestart.
Dit artikel bevat een kort conceptueel overzicht van de verschillende beveiligingsfuncties die zijn gekoppeld aan uw Azure Stack HCI-cluster. Functies zijn onder andere standaardinstellingen voor beveiliging, Windows Defender voor toepassingsbeheer (WDAC), volumeversleuteling via BitLocker, rotatie van geheimen, lokale ingebouwde gebruikersaccounts, Microsoft Defender voor cloud en meer.
Standaardinstellingen voor de beveiliging
Voor uw Azure Stack HCI zijn standaard beveiligingsinstellingen ingeschakeld die een consistente beveiligingsbasislijn, een basislijnbeheersysteem en een mechanisme voor driftcontrole bieden.
U kunt de instellingen voor de beveiligingsbasislijn en de beveiligde kern controleren tijdens zowel implementatie als runtime. U kunt driftbeheer ook uitschakelen tijdens de implementatie wanneer u beveiligingsinstellingen configureert.
Als driftbeheer is toegepast, worden de beveiligingsinstellingen elke 90 minuten vernieuwd. Dit vernieuwingsinterval zorgt ervoor dat eventuele wijzigingen van de gewenste status worden hersteld. Continue bewaking en automatisch herstel zorgen voor een consistente en betrouwbare beveiligingspostuur gedurende de levenscyclus van het apparaat.
Beveiligde basislijn in Azure Stack HCI:
- Verbetert de beveiligingspostuur door verouderde protocollen en coderingen uit te schakelen.
- Vermindert OPEX met een ingebouwd mechanisme voor driftbeveiliging dat consistente bewaking op schaal mogelijk maakt via de Azure Arc Hybrid Edge-basislijn.
- Hiermee kunt u voldoen aan de vereisten van de Center for Internet Security (CIS) benchmark en DEFENSE Information System Agency (DISA) Security Technical Implementation Guide (STIG) voor het besturingssysteem en de aanbevolen beveiligingsbasislijn.
Zie Standaardinstellingen voor beveiliging beheren in Azure Stack HCI voor meer informatie.
Windows Defender Application Control
WDAC is een op software gebaseerde beveiligingslaag die de kwetsbaarheid voor aanvallen vermindert door een expliciete lijst met software af te dwingen die mag worden uitgevoerd. WDAC is standaard ingeschakeld en beperkt de toepassingen en code die u kunt uitvoeren op het kernplatform. Zie Manage Windows Defender Application Control for Azure Stack HCI versie 23H2 (Toepassingsbeheer beheren voor Azure Stack HCI, versie 23H2) voor meer informatie.
WDAC biedt twee hoofdbewerkingsmodi: afdwingingsmodus en controlemodus. In de afdwingingsmodus wordt niet-vertrouwde code geblokkeerd en worden gebeurtenissen vastgelegd. In de controlemodus mag niet-vertrouwde code worden uitgevoerd en worden gebeurtenissen vastgelegd. Zie Lijst met gebeurtenissen voor meer informatie over WDAC-gerelateerde gebeurtenissen.
Belangrijk
Voer WDAC altijd uit in de afdwingingsmodus om beveiligingsrisico's te minimaliseren.
Over WDAC-beleidsontwerp
Microsoft biedt ondertekend basisbeleid op Azure Stack HCI voor zowel de afdwingingsmodus als de controlemodus. Daarnaast bevat beleidsregels een vooraf gedefinieerde set regels voor platformgedrag en blokkeringsregels die moeten worden toegepast op de toepassingsbeheerlaag.
Samenstelling van basisbeleid
Basisbeleid voor Azure Stack HCI omvat de volgende secties:
- Metagegevens: de metagegevens definiëren unieke eigenschappen van het beleid, zoals de beleidsnaam, versie, GUID en meer.
- Optieregels: met deze regels wordt het gedrag van het beleid gedefinieerd. Aanvullende beleidsregels kunnen slechts verschillen van een kleine set van de optieregels die zijn gekoppeld aan hun basisbeleid.
- Regels voor toestaan en weigeren: met deze regels worden de grenzen van codevertrouwen gedefinieerd. Regels kunnen worden gebaseerd op uitgevers, ondertekenaars, bestands-hash en meer.
Optieregels
In deze sectie zijn de optieregels besproken die worden ingeschakeld door het basisbeleid.
Voor het afgedwongen beleid zijn de volgende optieregels standaard ingeschakeld:
| Optieregel | Waarde |
|---|---|
| Ingeschakeld | UMCI |
| Vereist | WHQL |
| Ingeschakeld | Aanvullend beleid toestaan |
| Ingeschakeld | Ingetrokken verlopen als niet-ondertekend |
| Uitgeschakeld | Vluchtondertekening |
| Ingeschakeld | Niet-ondertekend systeemintegriteitsbeleid (standaard) |
| Ingeschakeld | Beveiliging van dynamische code |
| Ingeschakeld | Menu Geavanceerde opstartopties |
| Uitgeschakeld | Script afdwingen |
| Ingeschakeld | Beheerd installatieprogramma |
| Ingeschakeld | Updatebeleid niet opnieuw opstarten |
Controlebeleid voegt de volgende optieregels toe aan het basisbeleid:
| Optieregel | Waarde |
|---|---|
| Ingeschakeld | Controlemodus (standaard) |
Zie de volledige lijst met optieregels voor meer informatie.
Regels voor toestaan en weigeren
Regels voor toestaan in het basisbeleid staan toe dat alle Microsoft-onderdelen die door het besturingssysteem en de cloudimplementaties worden geleverd, worden vertrouwd. Regels voor weigeren blokkeren toepassingen in de gebruikersmodus en kernelonderdelen die als onveilig worden beschouwd voor de beveiligingspostuur van de oplossing.
Notitie
De regels voor toestaan en weigeren in het basisbeleid worden regelmatig bijgewerkt om de productfunctionaliteit te verbeteren en de beveiliging van uw oplossing te maximaliseren.
Zie voor meer informatie over regels voor weigeren:
BitLocker-versleuteling
Data-at-rest-versleuteling is ingeschakeld voor gegevensvolumes die tijdens de implementatie zijn gemaakt. Deze gegevensvolumes omvatten zowel infrastructuurvolumes als workloadvolumes. Wanneer u uw cluster implementeert, kunt u beveiligingsinstellingen wijzigen.
Versleuteling van data-at-rest is standaard ingeschakeld tijdens de implementatie. U wordt aangeraden de standaardinstelling te accepteren.
Zodra Azure Stack HCI is geïmplementeerd, kunt u BitLocker-herstelsleutels ophalen. U moet BitLocker-herstelsleutels opslaan op een veilige locatie buiten het systeem.
Zie voor meer informatie over BitLocker-versleuteling:
- BitLocker gebruiken met gedeelde clustervolumes (CSV).
- BitLocker-versleuteling beheren in Azure Stack HCI.
Lokale ingebouwde gebruikersaccounts
In deze release zijn de volgende lokale ingebouwde gebruikers die zijn gekoppeld aan RID 500 en RID 501 beschikbaar op uw Azure Stack HCI-systeem:
| Naam in eerste installatiekopieën van het besturingssysteem | Naam na implementatie | Standaard ingeschakeld | Description |
|---|---|---|---|
| Beheerder | ASBuiltInAdmin | Waar | Ingebouwd account voor het beheren van de computer/het domein. |
| Gast | ASBuiltInGuest | False | Ingebouwd account voor gasttoegang tot de computer/het domein, beveiligd door het driftcontrolemechanisme van de beveiligingsbasislijn. |
Belangrijk
U wordt aangeraden uw eigen lokale beheerdersaccount te maken en het bekende RID 500 gebruikersaccount uit te schakelen.
Geheim maken en draaien
De orchestrator in Azure Stack HCI vereist meerdere onderdelen om veilige communicatie met andere infrastructuurresources en -services te onderhouden. Aan alle services die op het cluster worden uitgevoerd, zijn verificatie- en versleutelingscertificaten gekoppeld.
Om de beveiliging te garanderen, implementeren we mogelijkheden voor het maken en rouleren van interne geheimen. Wanneer u uw clusterknooppunten controleert, ziet u dat er verschillende certificaten zijn gemaakt onder het pad LocalMachine/Persoonlijk certificaatarchief (Cert:\LocalMachine\My).
In deze release zijn de volgende mogelijkheden ingeschakeld:
- De mogelijkheid om certificaten te maken tijdens de implementatie en na het schalen van clusters.
- Automatische automatische rotatie voordat certificaten verlopen en een optie om certificaten te roteren tijdens de levensduur van het cluster.
- De mogelijkheid om te controleren en te waarschuwen of certificaten nog geldig zijn.
Notitie
Het maken en rouleren van geheimen duurt ongeveer tien minuten, afhankelijk van de grootte van het cluster.
Zie Rotatie van geheimen beheren voor meer informatie.
Syslog doorsturen van beveiligingsevenementen
Voor klanten en organisaties die hun eigen siem-systeem (Security Information and Event Management) nodig hebben, bevat Azure Stack HCI versie 23H2 een geïntegreerd mechanisme waarmee u beveiligingsgebeurtenissen kunt doorsturen naar een SIEM.
Azure Stack HCI heeft een geïntegreerde syslog-doorstuurserver die, zodra deze is geconfigureerd, syslog-berichten genereert die zijn gedefinieerd in RFC3164, met de nettolading in Common Event Format (CEF).
Het volgende diagram illustreert de integratie van Azure Stack HCI met een SIEM. Alle controles, beveiligingslogboeken en waarschuwingen worden verzameld op elke host en weergegeven via syslog met de CEF-nettolading.
Syslog-doorstuuragents worden geïmplementeerd op elke Azure Stack HCI-host om Syslog-berichten door te sturen naar de door de klant geconfigureerde Syslog-server. Syslog-doorstuuragents werken onafhankelijk van elkaar, maar kunnen samen worden beheerd op een van de hosts.
De syslog-doorstuurserver in Azure Stack HCI ondersteunt verschillende configuraties, afhankelijk van het feit of syslog doorsturen is met TCP of UDP, of de versleuteling is ingeschakeld of niet en of er eenrichtings- of bidirectionele verificatie is.
Zie Syslog-doorsturen beheren voor meer informatie.
Microsoft Defender for Cloud (preview)
Microsoft Defender for Cloud is een oplossing voor het beheer van beveiligingspostuur met geavanceerde mogelijkheden voor beveiliging tegen bedreigingen. Het biedt hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het instellen van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het aanpakken van toekomstige bedreigingen. Al deze services worden met hoge snelheid in de cloud uitgevoerd via automatische inrichting en beveiliging met Azure-services, zonder implementatieoverhead.
Met het standaard Defender for Cloud-abonnement krijgt u aanbevelingen voor het verbeteren van de beveiligingspostuur van uw Azure Stack HCI-systeem zonder extra kosten. Met het betaalde Defender for Servers-abonnement krijgt u verbeterde beveiligingsfuncties, waaronder beveiligingswaarschuwingen voor afzonderlijke servers en Arc-VM's.
Zie Systeembeveiliging beheren met Microsoft Defender voor Cloud (preview) voor meer informatie.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor