Funkcje zabezpieczeń usługi Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
Azure Stack HCI to domyślnie bezpieczny produkt z włączonymi od początku ponad 300 ustawieniami zabezpieczeń. Domyślne ustawienia zabezpieczeń zapewniają spójny punkt odniesienia zabezpieczeń, aby upewnić się, że urządzenia zaczynają się w znanym dobrym stanie.
Ten artykuł zawiera krótkie omówienie pojęć dotyczących różnych funkcji zabezpieczeń skojarzonych z klastrem usługi Azure Stack HCI. Obejmuje to wartości domyślne zabezpieczeń, Windows Defender dla kontroli aplikacji (WDAC), szyfrowanie woluminu za pośrednictwem funkcji BitLocker, rotacja wpisów tajnych, lokalne wbudowane konta użytkowników, Microsoft Defender dla chmury i nie tylko.
Domyślne ustawienia zabezpieczeń
Usługa Azure Stack HCI ma domyślnie włączone ponad 300 ustawień zabezpieczeń, które zapewniają spójny punkt odniesienia zabezpieczeń, system zarządzania punktami odniesienia i skojarzony mechanizm kontroli dryfu.
Podczas wdrażania i środowiska uruchomieniowego można monitorować ustawienia punktu odniesienia zabezpieczeń i zabezpieczonego rdzenia. Podczas wdrażania można również wyłączyć kontrolę dryfu podczas konfigurowania ustawień zabezpieczeń.
Po zastosowaniu kontroli dryfu ustawienia zabezpieczeń są odświeżane co 90 minut. Ten interwał odświeżania zapewnia korygowanie wszelkich zmian z żądanego stanu. Ciągłe monitorowanie i automatyczne korygowanie pozwala zapewnić spójny i niezawodny stan zabezpieczeń w całym cyklu życia urządzenia.
Bezpieczny punkt odniesienia w usłudze Azure Stack HCI:
- Poprawia stan zabezpieczeń, wyłączając starsze protokoły i szyfry.
- Zmniejsza poziom OPEX za pomocą wbudowanego mechanizmu ochrony dryfu i umożliwia spójne monitorowanie na dużą skalę za pośrednictwem punktu odniesienia usługi Azure Arc Hybrid Edge.
- Umożliwia ścisłe spełnienie wymagań dotyczących testów porównawczych zabezpieczeń internetowych (CIS) center for Internet Security Security Agency (DISA) security Technical Implementation Guide (STIG) dla systemu operacyjnego i zalecanych punktów odniesienia zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Zarządzanie wartościami domyślnymi zabezpieczeń w usłudze Azure Stack HCI.
Kontrola aplikacji usługi Windows Defender
Kontrola aplikacji (WDAC) to warstwa zabezpieczeń oparta na oprogramowaniu, która zmniejsza obszar ataków, wymuszając jawną listę oprogramowania, które może być uruchamiane. Funkcja WDAC jest domyślnie włączona i ogranicza aplikacje oraz kod, który można uruchomić na platformie podstawowej. Aby uzyskać więcej informacji, zobacz Zarządzanie kontrolą aplikacji Windows Defender dla usługi Azure Stack HCI w wersji 23H2.
Szyfrowanie funkcją BitLocker
Szyfrowanie danych magazynowanych jest włączone na woluminach danych utworzonych podczas wdrażania. Te woluminy danych obejmują zarówno woluminy infrastruktury, jak i woluminy obciążenia. Podczas wdrażania klastra możesz zmodyfikować ustawienia zabezpieczeń.
Domyślnie szyfrowanie danych magazynowanych jest włączone podczas wdrażania. Zalecamy zaakceptowanie ustawienia domyślnego.
Klucze odzyskiwania funkcji BitLocker należy przechowywać w bezpiecznej lokalizacji poza systemem. Po pomyślnym wdrożeniu rozwiązania Azure Stack HCI można pobrać klucze odzyskiwania funkcji BitLocker.
Aby uzyskać więcej informacji na temat szyfrowania funkcją BitLocker, zobacz:
- Użyj funkcji BitLocker z udostępnionymi woluminami klastra (CSV).
- Zarządzanie szyfrowaniem funkcji BitLocker w usłudze Azure Stack HCI.
Lokalne wbudowane konta użytkowników
W tej wersji w systemie Azure Stack HCI są dostępni następujący lokalni wbudowani użytkownicy skojarzeni z usługami RID 500 i RID 501:
| Nazwa w początkowym obrazie systemu operacyjnego | Nazwa po wdrożeniu | Domyślnie włączone | Opis |
|---|---|---|---|
| Administrator | ASBuiltInAdmin | Prawda | Wbudowane konto do administrowania komputerem/domeną |
| Gość | ASBuiltInGuest | Fałsz | Wbudowane konto dostępu gościa do komputera/domeny chronione przez mechanizm kontroli dryfu linii bazowej zabezpieczeń. |
Ważne
Zalecamy utworzenie własnego konta administratora lokalnego i wyłączenie dobrze znanego RID 500 konta użytkownika.
Tworzenie i rotacja wpisów tajnych
Orkiestrator w usłudze Azure Stack HCI wymaga wielu składników, aby zapewnić bezpieczną komunikację z innymi zasobami i usługami infrastruktury. Wszystkie usługi uruchomione w klastrze mają skojarzone certyfikaty uwierzytelniania i szyfrowania.
Aby zapewnić bezpieczeństwo, zaimplementowaliśmy wewnętrzne możliwości tworzenia i rotacji wpisów tajnych. Podczas przeglądania węzłów klastra zobaczysz kilka certyfikatów utworzonych w ścieżce LocalMachine/Osobisty magazyn certyfikatów (Cert:\LocalMachine\My).
W tej wersji są włączone następujące możliwości:
- Możliwość tworzenia certyfikatów podczas wdrażania i po operacjach skalowania klastra.
- Automatyczny mechanizm automatycznego obracania przed wygaśnięciem certyfikatów i opcja rotacji certyfikatów w okresie istnienia klastra.
- Możliwość monitorowania i powiadamiania o tym, czy certyfikaty są nadal prawidłowe.
Uwaga
Ta akcja trwa około dziesięciu minut, w zależności od rozmiaru klastra.
Aby uzyskać więcej informacji, zobacz Zarządzanie rotacją wpisów tajnych.
Przekazywanie dzienników systemowych zdarzeń zabezpieczeń
W przypadku klientów i organizacji, które wymagają własnego lokalnego rozwiązania SIEM, usługa Azure Stack HCI w wersji 23H2 zawiera zintegrowany mechanizm umożliwiający przekazywanie zdarzeń związanych z zabezpieczeniami do rozwiązania SIEM.
Usługa Azure Stack HCI ma zintegrowany program przesyłania dalej dziennika systemowego, który po skonfigurowaniu generuje komunikaty dziennika syslog zdefiniowane w RFC3164 z ładunkiem w formacie Common Event Format (CEF).
Na poniższym diagramie przedstawiono integrację rozwiązania Azure Stack HCI z rozwiązaniem SIEM. Wszystkie inspekcje, dzienniki zabezpieczeń i alerty są zbierane na każdym hoście i udostępniane za pośrednictwem dziennika syslog z ładunkiem CEF.
Agenci przekazywania dziennika systemowego są wdrażani na każdym hoście usługi Azure Stack HCI w celu przekazywania komunikatów dziennika systemowego do serwera dziennika syslog skonfigurowanego przez klienta. Agenci przekazujący dziennik systemowy działają niezależnie od siebie, ale mogą być zarządzane razem na jednym z hostów.
Usługa przesyłania dalej dziennika systemowego w usłudze Azure Stack HCI obsługuje różne konfiguracje na podstawie tego, czy przekazywanie dziennika systemowego jest z protokołem TCP, czy UDP, czy szyfrowanie jest włączone, czy nie, oraz czy istnieje uwierzytelnianie jednokierunkowe lub dwukierunkowe.
Aby uzyskać więcej informacji, zobacz Zarządzanie przekazywaniem dziennika systemowego.
Microsoft Defender dla chmury (wersja zapoznawcza)
Microsoft Defender for Cloud to rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi możliwościami ochrony przed zagrożeniami. Zapewnia ona narzędzia do oceny stanu zabezpieczeń infrastruktury, ochrony obciążeń, podnoszenia alertów zabezpieczeń i śledzenia określonych zaleceń w celu korygowania ataków i reagowania na przyszłe zagrożenia. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze bez narzutów na wdrażanie dzięki automatycznej aprowizacji i ochronie za pomocą usług platformy Azure.
Dzięki podstawowemu planowi usługi Defender for Cloud uzyskasz zalecenia dotyczące poprawy stanu zabezpieczeń systemu Azure Stack HCI bez dodatkowych kosztów. Dzięki planowi płatnej usługi Defender for Servers można uzyskać ulepszone funkcje zabezpieczeń, w tym alerty zabezpieczeń dla poszczególnych serwerów i maszyn wirtualnych usługi Arc.
Aby uzyskać więcej informacji, zobacz Zarządzanie zabezpieczeniami systemu za pomocą Microsoft Defender for Cloud (wersja zapoznawcza).
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla