Beveiligingsmaatregelen Azure Stack Hub configureren
In dit artikel worden de beveiligingscontroles beschreven die kunnen worden gewijzigd in Azure Stack Hub en worden de afwegingen beschreven, indien van toepassing.
Azure Stack Hub architectuur is gebouwd op twee pijlers van het beveiligingsprincipe: ga uit van een schending en standaard gehard. Zie beveiligingsstatus van Azure Stack Hub infrastructuur voor Azure Stack Hub meer informatie over de beveiliging van uw infrastructuur. Hoewel het standaardbeveiligingsstatus van Azure Stack Hub productie gereed is, zijn er enkele implementatiescenario's waarvoor extra beveiliging is vereist.
TLS-versiebeleid
Het Transport Layer Security (TLS)-protocol is een algemeen gebruikt cryptografisch protocol om versleutelde communicatie via het netwerk tot stand te brengen. TLS is in de loop der tijd ontwikkeld en er zijn meerdere versies uitgebracht. Azure Stack Hub infrastructuur gebruikt uitsluitend TLS 1.2 voor alle communicatie. Voor externe interfaces wordt Azure Stack Hub standaard TLS 1.2 gebruikt. Voor achterwaartse compatibiliteit biedt het echter ook ondersteuning voor het onderhandelen tot en met TLS 1.1. en 1.0. Wanneer een TLS-client om communicatie via TLS 1.1 of TLS 1.0 vraagt, respecteert Azure Stack Hub de aanvraag door te onderhandelen over een lagere TLS-versie. Als de client TLS 1.2 aanvraagt, Azure Stack Hub een TLS-verbinding tot stand met TLS 1.2.
Omdat TLS 1.0 en 1.1 incrementeel worden afgeschaft of verboden door organisaties en nalevingsstandaarden, kunt u het TLS-beleid nu configureren in Azure Stack Hub. U kunt alleen een TLS 1.2-beleid afdwingen wanneer een poging om een TLS-sessie tot stand te stellen met een versie lager dan 1.2 niet is toegestaan en wordt geweigerd.
Belangrijk
Microsoft raadt aan om alleen TLS 1.2-beleid te gebruiken voor Azure Stack Hub productieomgevingen.
TLS-beleid op halen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid weer te geven voor Azure Stack Hub eindpunten:
Get-TLSPolicy
Voorbeelduitvoer:
TLS_1.2
TLS-beleid instellen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid in te stellen voor Azure Stack Hub eindpunten:
Set-TLSPolicy -Version <String>
Parameters voor de cmdlet Set-TLSPolicy :
| Parameter | Beschrijving | Type | Vereist |
|---|---|---|---|
| Versie | Toegestane versies van TLS in Azure Stack Hub | Tekenreeks | ja |
Gebruik een van de volgende waarden om de toegestane TLS-versies voor alle Azure Stack Hub configureren:
| Versiewaarde | Description |
|---|---|
| TLS_All | Azure Stack Hub TLS-eindpunten ondersteunen TLS 1.2, maar down-onderhandeling naar TLS 1.1 en TLS 1.0 is toegestaan. |
| TLS_1.2 | Azure Stack Hub TLS-eindpunten ondersteunen alleen TLS 1.2. |
Het bijwerken van het TLS-beleid duurt enkele minuten.
Voorbeeld van TLS 1.2-configuratie afdwingen
In dit voorbeeld stelt u uw TLS-beleid in om alleen TLS 1.2 af te dwingen.
Set-TLSPolicy -Version TLS_1.2
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Het configuratievoorbeeld alle versies van TLS (1.2, 1.1 en 1.0) toestaan
In dit voorbeeld wordt uw TLS-beleid zo dat alle versies van TLS (1.2, 1.1 en 1.0) zijn toegestaan.
Set-TLSPolicy -Version TLS_All
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Juridische kennisgeving voor PEP-sessies
Er zijn scenario's waarin het handig is om een juridische kennisgeving weer te geven wanneer u zich bij een bevoegde eindpuntsessie (PEP) aanmeldt . De cmdlets Set-AzSLegalNotice en Get-AzSLegalNotice worden gebruikt voor het beheren van het bijschrift en de tekst van dergelijke juridische kennisgevingen.
Zie de cmdlet Set-AzSLegalNotice om het bijschrift en de tekst van de juridische kennisgeving in te stellen. Als het bijschrift en de tekst van de juridische kennisgeving eerder zijn ingesteld, kunt u deze controleren met behulp van de cmdlet Get-AzSLegalNotice.