Kontrolki zabezpieczenia infrastruktury centrum Azure StackAzure Stack Hub infrastructure security controls

Zagadnienia dotyczące zabezpieczeń i zgodności należą do głównych czynników rozważanych w przypadku chmur hybrydowych.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. Azure Stack Hub jest zaprojektowana dla tych scenariuszy.Azure Stack Hub is designed for these scenarios. W tym artykule wyjaśniono sposób kontroli zabezpieczeń dla Azure Stack centrum.This article explains the security controls in place for Azure Stack Hub.

Dwie warstwy zabezpieczeń stan współistnieją w centrum Azure Stack.Two security posture layers coexist in Azure Stack Hub. Pierwsza warstwa to infrastruktura Centrum Azure Stack, która obejmuje składniki sprzętowe do Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. Pierwsza warstwa obejmuje administratora i portale użytkowników.The first layer includes the administrator and the user portals. Druga warstwa składa się z obciążeń utworzonych, wdrożonych i zarządzanych przez dzierżawców.The second layer consists of the workloads created, deployed, and managed by tenants. Druga warstwa obejmuje elementy, takie jak maszyny wirtualne i App Services witryny sieci Web.The second layer includes items like virtual machines and App Services web sites.

Podejście zabezpieczeńSecurity approach

Stan zabezpieczeń dla centrum Azure Stack jest przeznaczony do obrony przed nowoczesnymi zagrożeniami i został skompilowany w celu spełnienia wymagań dotyczących głównych standardów zgodności.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. W związku z tym stan zabezpieczeń infrastruktury centrum Azure Stack jest oparty na dwóch filarach:As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Przyjmij naruszenieAssume Breach
    Rozpoczynając od założenia, że system został już naruszony, należy skoncentrować się na wykrywaniu i ograniczaniu wpływu naruszeń, a jedynie próbować zapobiec atakom.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Domyślnie zaostrzoneHardened by Default
    Ponieważ infrastruktura działa na dobrze zdefiniowanym sprzęcie i oprogramowaniu, Azure Stack Hub domyślnie włącza, konfiguruje i sprawdza wszystkie funkcje zabezpieczeń .Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Ponieważ centrum Azure Stack jest dostarczane jako system zintegrowany, stan zabezpieczeń infrastruktury centrum Azure Stack jest definiowana przez firmę Microsoft.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Podobnie jak w przypadku platformy Azure, dzierżawcy są odpowiedzialni za Definiowanie stan zabezpieczeń ich obciążeń dzierżawców.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Ten dokument zawiera podstawowe informacje na temat stan zabezpieczeń infrastruktury centrum Azure Stack.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Szyfrowanie danych w spoczynkuData at rest encryption

Cała infrastruktura Centrum Azure Stack i dane dzierżawy są szyfrowane przy użyciu funkcji BitLocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. To szyfrowanie chroni przed utratą fizyczną lub kradzieżą składników magazynu Azure Stack Hub.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Aby uzyskać więcej informacji, zobacz dane na temat szyfrowania REST w centrum Azure Stack.For more information, see data at rest encryption in Azure Stack Hub.

Szyfrowanie danych podczas przesyłaniaData in transit encryption

Składniki infrastruktury centrum Azure Stack komunikują się przy użyciu kanałów szyfrowanych za pomocą protokołu TLS 1,2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. Certyfikaty szyfrowania są samozarządzane przez infrastrukturę.Encryption certificates are self-managed by the infrastructure.

Wszystkie punkty końcowe infrastruktury zewnętrznej, takie jak punkty końcowe REST lub Portal Azure Stack Hub, obsługują protokół TLS 1,2 na potrzeby bezpiecznej komunikacji.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Dla tych punktów końcowych muszą zostać podane certyfikaty szyfrowania od innej firmy lub urzędu certyfikacji przedsiębiorstwa.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

Gdy certyfikaty z podpisem własnym mogą być używane dla tych zewnętrznych punktów końcowych, firma Microsoft zdecydowanie odradza korzystanie z nich.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Aby uzyskać więcej informacji na temat sposobu wymuszania protokołu TLS 1,2 na zewnętrznych punktach końcowych Azure Stack Hub, zobacz Konfigurowanie kontroli zabezpieczeń centrum Azure Stack.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Zarządzanie wpisami tajnymiSecret management

Infrastruktura Centrum Azure Stack używa wielu wpisów tajnych, takich jak hasła i certyfikaty, do działania.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. Większość haseł skojarzonych z wewnętrznymi kontami usług są automatycznie obracane co 24 godziny, ponieważ są kontami usług zarządzanymi przez grupę (gMSA), typem konta domeny zarządzanym bezpośrednio przez wewnętrzny kontroler domeny.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

Infrastruktura Centrum Azure Stack używa 4096-bitowych kluczy RSA dla wszystkich swoich certyfikatów wewnętrznych.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. Dla zewnętrznych punktów końcowych mogą być również używane certyfikaty klucza o tej samej długości.Same key-length certificates can also be used for the external endpoints. Aby uzyskać więcej informacji na temat wpisów tajnych i rotacji certyfikatów, zobacz obracanie wpisów tajnych w centrum Azure Stack.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Kontrola aplikacji usługi Windows DefenderWindows Defender Application Control

Usługa Azure Stack Hub korzysta z najnowszych funkcji zabezpieczeń systemu Windows Server.Azure Stack Hub makes use of the latest Windows Server security features. Jednym z nich jest kontrola aplikacji w programie Windows Defender (WDAC, znana wcześniej jako integralność kodu), która zapewnia filtrowanie plików wykonywalnych i zapewnia, że tylko autoryzowany kod działa w ramach infrastruktury centrum Azure Stack.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

Autoryzowany kod jest podpisany przez firmę Microsoft lub partnera OEM.Authorized code is signed by either Microsoft or the OEM partner. Podpisany kod autoryzowany znajduje się na liście dozwolonych programów określonych w zasadach zdefiniowanych przez firmę Microsoft.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. Innymi słowy, można wykonać tylko oprogramowanie zatwierdzone do działania w infrastrukturze centrum Azure Stack.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Wszystkie próby wykonania nieautoryzowanego kodu są blokowane i generowany jest alert.Any attempt to execute unauthorized code is blocked and an alert is generated. Usługa Azure Stack Hub wymusza zarówno integralność kodu trybu użytkownika (UMCI), jak i integralność kodu hypervisora (HVCI).Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

Zasady WDAC uniemożliwiają działanie agentów lub oprogramowania innych firm w infrastrukturze centrum Azure Stack.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Aby uzyskać więcej informacji na temat WDAC, zapoznaj się z tematem Kontrola aplikacji w programie Windows Defender i ochrona integralności kodu oparta na wirtualizacji.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Inną funkcją zabezpieczeń systemu Windows Server w Azure Stack Hub jest funkcja Windows Defender Credential Guard, która jest używana do ochrony poświadczeń infrastruktury centrum Azure Stack w przypadku ataków typu Pass-the-hash i Pass-the-bilet.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

Oprogramowanie chroniące przed złośliwym kodemAntimalware

Każdy składnik programu Azure Stack Hub (hosty i maszyny wirtualne z funkcją Hyper-V) jest chroniony za pomocą programu antywirusowego Windows Defender.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

W połączonych scenariuszach definicje oprogramowania antywirusowego i aktualizacje aparatu są stosowane kilka razy dziennie.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. W przypadku scenariuszy rozłączonych aktualizacje oprogramowania chroniącego przed złośliwym kodem są stosowane w ramach comiesięcznych aktualizacji centrum Azure Stack.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. W przypadku, gdy w scenariuszach rozłączonych wymagana jest Aktualizacja definicji programu Windows Defender, usługa Azure Stack Hub obsługuje również Importowanie aktualizacji programu Windows Defender.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. Aby uzyskać więcej informacji, zobacz Aktualizacja programu antywirusowego Windows Defender na Azure Stack Hub.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Bezpieczny rozruchSecure Boot

Azure Stack Hub wymusza bezpieczny rozruch na wszystkich hostach funkcji Hyper-V i maszynach wirtualnych infrastruktury.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Model administracji ograniczonejConstrained administration model

Administracje w centrum Azure Stack są kontrolowane przez trzy punkty wejścia, z których każdy ma określony cel:Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • Portal administratora udostępnia środowisko umożliwiające codzienne operacje zarządzania.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager uwidacznia wszystkie operacje zarządzania w portalu administratora za pośrednictwem interfejsu API REST, używanego przez program PowerShell i interfejs wiersza polecenia platformy Azure.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • W przypadku określonych operacji niskiego poziomu (na przykład integracji z centrum danych lub scenariuszy pomocy technicznej) Azure Stack centrum uwidacznia punkt końcowy programu PowerShell o nazwie uprzywilejowany punkt końcowy.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Ten punkt końcowy uwidacznia tylko dozwolony zestaw poleceń cmdlet i jest w dużym stopniu objęty inspekcją.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Funkcje kontrolne sieciNetwork controls

Infrastruktura Centrum Azure Stack obejmuje wiele warstw listy Access Control sieci (ACL).Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Listy ACL uniemożliwiają nieautoryzowany dostęp do składników infrastruktury i ograniczają komunikację infrastruktury wyłącznie do ścieżek, które są wymagane do jej działania.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

Listy ACL sieci są wymuszane w trzech warstwach:Network ACLs are enforced in three layers:

  • Warstwa 1: górne przełączniki stojakaLayer 1: Top of Rack switches
  • Warstwa 2: sieć zdefiniowana przez oprogramowanieLayer 2: Software Defined Network
  • Warstwa 3: zapory systemu operacyjnego hosta i maszyny wirtualnejLayer 3: Host and VM operating system firewalls

Zgodność z przepisamiRegulatory compliance

Azure Stack centrum przeszło przez formalne oceny możliwości przez niezależne od innej firmy.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. W związku z tym dokumentacja dotycząca sposobu, w jaki infrastruktura centrów Azure Stack jest zgodna z odpowiednimi kontrolkami z kilku głównych standardów zgodności.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. Dokumentacja nie jest certyfikatem centrum Azure Stack, ponieważ standardy obejmują kilka kontrolek związanych z pracownikami i procesami.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. Zamiast tego klienci mogą korzystać z tej dokumentacji w celu przechodzenia przez proces certyfikacji.Rather, customers can use this documentation to jump-start their certification process.

Oceny obejmują następujące standardy:The assessments include the following standards:

  • PCI — DSS dotyczy branży kart płatniczych.PCI-DSS addresses the payment card industry.
  • Csa Cloud Control Matrix to kompleksowe mapowanie wielu standardów, w tym FedRAMP umiarkowane, ISO27001, HIPAA, HiTRUST, ITAR, NIST SP800-53 i inne.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP wysoki dla klientów rządowych.FedRAMP High for government customers.

Dokumentację dotyczącą zgodności można znaleźć w portalu zaufania usługi firmy Microsoft.The compliance documentation can be found on the Microsoft Service Trust Portal. Przewodniki zgodności są chronionym zasobem i wymagają zalogowania się przy użyciu poświadczeń usługi w chmurze platformy Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Następne krokiNext steps