Mechanizmy zabezpieczeń infrastruktury usługi Azure Stack Hub

  • Artykuł

Zagadnienia dotyczące zabezpieczeń i zgodności należą do głównych czynników rozważanych w przypadku chmur hybrydowych. Usługa Azure Stack Hub jest przeznaczona dla tych scenariuszy. W tym artykule opisano mechanizmy kontroli zabezpieczeń w usłudze Azure Stack Hub.

Dwie warstwy stanu zabezpieczeń współistnieją w usłudze Azure Stack Hub. Pierwsza warstwa to infrastruktura usługi Azure Stack Hub, która obejmuje składniki sprzętowe do usługi Azure Resource Manager. Pierwsza warstwa obejmuje administratora i portale użytkowników. Druga warstwa składa się z obciążeń utworzonych, wdrożonych i zarządzanych przez dzierżawy. Druga warstwa zawiera elementy, takie jak maszyny wirtualne i witryny internetowe usług App Services.

Podejście do zabezpieczeń

Stan zabezpieczeń usługi Azure Stack Hub został zaprojektowany w celu obrony przed nowoczesnymi zagrożeniami i został zbudowany w celu spełnienia wymagań z głównych standardów zgodności. W związku z tym stan zabezpieczeń infrastruktury usługi Azure Stack Hub jest oparty na dwóch filarach:

  • Przyjmij naruszenie
    Począwszy od założenia, że system został już naruszony, skoncentruj się na wykrywaniu i ograniczaniu wpływu naruszeń w porównaniu tylko do próby zapobiegania atakom.

  • Domyślnie wzmocniono zabezpieczenia
    Ponieważ infrastruktura działa na dobrze zdefiniowanym sprzęcie i oprogramowaniu, usługa Azure Stack Hub domyślnie włącza, konfiguruje i weryfikuje wszystkie funkcje zabezpieczeń .

Ponieważ usługa Azure Stack Hub jest dostarczana jako zintegrowany system, stan zabezpieczeń infrastruktury usługi Azure Stack Hub jest definiowany przez firmę Microsoft. Podobnie jak na platformie Azure dzierżawcy są odpowiedzialni za definiowanie stanu zabezpieczeń obciążeń dzierżawy. Ten dokument zawiera podstawową wiedzę na temat stanu zabezpieczeń infrastruktury usługi Azure Stack Hub.

Szyfrowanie danych magazynowanych

Wszystkie dane infrastruktury i dzierżawy usługi Azure Stack Hub są szyfrowane w spoczynku przy użyciu funkcji BitLocker. To szyfrowanie chroni przed utratą fizyczną lub kradzieżą składników magazynu usługi Azure Stack Hub. Aby uzyskać więcej informacji, zobacz szyfrowanie danych magazynowanych w usłudze Azure Stack Hub.

Dane podczas szyfrowania tranzytowego

Składniki infrastruktury usługi Azure Stack Hub komunikują się przy użyciu kanałów zaszyfrowanych przy użyciu protokołu TLS 1.2. Certyfikaty szyfrowania są zarządzane samodzielnie przez infrastrukturę.

Wszystkie zewnętrzne punkty końcowe infrastruktury, takie jak punkty końcowe REST lub portal usługi Azure Stack Hub, obsługują protokół TLS 1.2 na potrzeby bezpiecznej komunikacji. Dla tych punktów końcowych należy podać certyfikaty szyfrowania pochodzące od innej firmy lub urzędu certyfikacji przedsiębiorstwa.

Chociaż certyfikaty z podpisem własnym mogą być używane dla tych zewnętrznych punktów końcowych, firma Microsoft zdecydowanie zaleca korzystanie z nich. Aby uzyskać więcej informacji na temat wymuszania protokołu TLS 1.2 w zewnętrznych punktach końcowych usługi Azure Stack Hub, zobacz Konfigurowanie kontrolek zabezpieczeń usługi Azure Stack Hub.

Zarządzanie wpisami tajnymi

Infrastruktura usługi Azure Stack Hub używa wielu wpisów tajnych, takich jak hasła i certyfikaty, do działania. Większość haseł skojarzonych z wewnętrznymi kontami usług jest automatycznie obracana co 24 godziny, ponieważ są to konta usług zarządzane przez grupę (gMSA), typ konta domeny zarządzanego bezpośrednio przez wewnętrzny kontroler domeny.

Infrastruktura usługi Azure Stack Hub używa 4096-bitowych kluczy RSA dla wszystkich swoich certyfikatów wewnętrznych. Te same certyfikaty o długości klucza mogą być również używane dla zewnętrznych punktów końcowych. Aby uzyskać więcej informacji na temat wpisów tajnych i rotacji certyfikatów, zobacz Rotacja wpisów tajnych w usłudze Azure Stack Hub.

Kontrola aplikacji usługi Windows Defender

Usługa Azure Stack Hub korzysta z najnowszych funkcji zabezpieczeń systemu Windows Server. Jednym z nich jest kontrola aplikacji w usłudze Windows Defender (WDAC, wcześniej znana jako integralność kodu), która zapewnia filtrowanie plików wykonywalnych i zapewnia, że w infrastrukturze usługi Azure Stack Hub działa tylko autoryzowany kod.

Autoryzowany kod jest podpisany przez firmę Microsoft lub partnera OEM. Podpisany autoryzowany kod znajduje się na liście dozwolonego oprogramowania określonego w zasadach zdefiniowanych przez firmę Microsoft. Innymi słowy, można wykonywać tylko oprogramowanie zatwierdzone do uruchamiania w infrastrukturze usługi Azure Stack Hub. Wszystkie próby wykonania nieautoryzowanego kodu są blokowane i generowany jest alert. Usługa Azure Stack Hub wymusza zarówno integralność kodu trybu użytkownika (UMCI), jak i integralność kodu hypervisora (HVCI).

Zasady WDAC uniemożliwiają również działanie agentów lub oprogramowania innych firm w infrastrukturze usługi Azure Stack Hub. Aby uzyskać więcej informacji na temat usługi WDAC, zapoznaj się z tematem Windows Defender Application Control and virtualization-based protection of code integrity (Kontrola aplikacji w usłudze Windows Defender i ochrona oparta na wirtualizacji integralności kodu).

Oprogramowanie chroniące przed złośliwym kodem

Każdy składnik w usłudze Azure Stack Hub (zarówno hosty funkcji Hyper-V, jak i maszyny wirtualne) jest chroniony za pomocą programu antywirusowego Windows Defender.

W połączonych scenariuszach aktualizacje definicji oprogramowania antywirusowego i aparatu są stosowane wiele razy dziennie. W scenariuszach rozłączonych aktualizacje oprogramowania chroniącego przed złośliwym kodem są stosowane w ramach comiesięcznych aktualizacji usługi Azure Stack Hub. W przypadku częstszej aktualizacji definicji usługi Windows Defender jest wymagana w scenariuszach rozłączonych, usługa Azure Stack Hub obsługuje również importowanie aktualizacji usługi Windows Defender. Aby uzyskać więcej informacji, zobacz aktualizowanie programu antywirusowego Windows Defender w usłudze Azure Stack Hub.

Bezpieczny rozruch

Usługa Azure Stack Hub wymusza bezpieczny rozruch na wszystkich hostach i maszynach wirtualnych infrastruktury funkcji Hyper-V.

Model administracji ograniczonej

Administracja w usłudze Azure Stack Hub jest kontrolowana za pośrednictwem trzech punktów wejścia, z których każdy ma określony cel:

  • Portal administratora zapewnia środowisko typu punkt-i kliknięcie dla codziennych operacji zarządzania.
  • Usługa Azure Resource Manager uwidacznia wszystkie operacje zarządzania portalu administratora za pośrednictwem interfejsu API REST używanego przez program PowerShell i interfejs wiersza polecenia platformy Azure.
  • W przypadku określonych operacji niskiego poziomu (na przykład scenariuszy integracji centrum danych lub obsługi) usługa Azure Stack Hub uwidacznia punkt końcowy programu PowerShell o nazwie uprzywilejowany punkt końcowy. Ten punkt końcowy uwidacznia tylko dozwolony zestaw poleceń cmdlet i jest w dużym stopniu poddawane inspekcji.

Funkcje kontrolne sieci

Infrastruktura usługi Azure Stack Hub zawiera wiele warstw sieci Access Control List (ACL). Listy ACL uniemożliwiają nieautoryzowany dostęp do składników infrastruktury i ograniczają komunikację z infrastrukturą tylko do ścieżek wymaganych do jej działania.

Listy ACL sieci są wymuszane w trzech warstwach:

  • Warstwa 1: Przełączniki w górnej części stojaka
  • Warstwa 2. Sieć zdefiniowana programowo
  • Warstwa 3. Zapory systemu operacyjnego hosta i maszyny wirtualnej

Zgodność z przepisami

Usługa Azure Stack Hub przeszła formalną ocenę możliwości firmy zajmującej się inspekcją niezależną od innej firmy. W związku z tym dostępna jest dokumentacja dotycząca sposobu, w jaki infrastruktura usługi Azure Stack Hub spełnia odpowiednie mechanizmy kontroli z kilku głównych standardów zgodności. Dokumentacja nie jest certyfikacją usługi Azure Stack Hub, ponieważ standardy obejmują kilka mechanizmów kontroli związanych z personelem i procesów. Zamiast tego klienci mogą użyć tej dokumentacji, aby rozpocząć proces certyfikacji.

Oceny obejmują następujące standardy:

  • PCI-DSS odnosi się do branży kart płatniczych.
  • CSA Cloud Control Matrix to kompleksowe mapowanie wielu standardów, w tym FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 i inne.
  • FedRAMP High dla klientów rządowych.

Dokumentację zgodności można znaleźć w portalu zaufania usług firmy Microsoft. Przewodniki dotyczące zgodności są chronionym zasobem i wymagają zalogowania się przy użyciu poświadczeń usługi w chmurze platformy Azure.

Inicjatywa UE Schrems II dotycząca usługi Azure Stack Hub

Firma Microsoft ogłosiła zamiar przekroczenia istniejących zobowiązań dotyczących magazynowania danych, umożliwiając klientom z siedzibą w UE przetwarzanie i przechowywanie wszystkich swoich danych w UE; nie trzeba już przechowywać danych poza UE. To rozszerzone zobowiązanie obejmuje klientów usługi Azure Stack Hub. Aby uzyskać więcej informacji , zobacz Odpowiadanie na wezwanie Europy: przechowywanie i przetwarzanie danych UE w UE .

Począwszy od wersji 2206, możesz wybrać preferencje geograficzne przetwarzania danych w istniejących wdrożeniach usługi Azure Stack Hub. Po pobraniu poprawki otrzymasz następujący alert.

Zrzut ekranu przedstawiający okno Alerty pulpitu nawigacyjnego Administracja portalu usługi Azure Stack Hub z wyświetlonym alertem Nie podano regionu geograficznego.

Uwaga

Środowiska rozłączone mogą być również wymagane do wybrania geolokalizacji danych. Jest to jednorazowa konfiguracja, która ma wpływ na lokalizację przechowywania danych, jeśli operator dostarcza dane diagnostyczne firmie Microsoft. Jeśli operator nie dostarcza żadnych danych diagnostycznych firmie Microsoft, to ustawienie nie ma żadnych konsekwencji.

Ten alert można rozwiązać na potrzeby istniejącego wdrożenia usługi Azure Stack Hub na jeden z dwóch sposobów, w zależności od preferencji geograficznych dotyczących przechowywania i przetwarzania danych.

  • Jeśli zdecydujesz się na przechowywanie i przetwarzanie danych w UE, uruchom następujące polecenie cmdlet programu PowerShell, aby ustawić preferencje geograficzne. Lokalizacja przechowywania danych zostanie zaktualizowana, a wszystkie dane będą przechowywane i przetwarzane w UE.

    Set-DataResidencyLocation -Europe

  • Jeśli zdecydujesz się na przechowywanie i przetwarzanie danych poza UE, uruchom następujące polecenie cmdlet programu PowerShell, aby ustawić preferencje geograficzne. Lokalizacja pobytu danych zostanie zaktualizowana, a wszystkie dane zostaną przetworzone poza UE.

    Set-DataResidencyLocation -Europe:$false

Po rozwiązaniu tego alertu możesz zweryfikować preferencje regionu geograficznego w portalu Administracja okno Właściwości.

Zrzut ekranu przedstawiający portal usługi Azure Stack Hub Administracja okno Właściwości z właściwością Geolocation danych ustawioną teraz na Europę.

Nowe wdrożenia centrum usługi Azure Stack mogą ustawiać region geograficzny podczas konfigurowania i wdrażania.

Następne kroki