Recursos de segurança para o Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
O Azure Stack HCI é um produto seguro por padrão que tem mais de 300 configurações de segurança habilitadas desde o início. As configurações de segurança padrão fornecem uma linha de base de segurança consistente para garantir que os dispositivos comecem em um bom estado conhecido.
Este artigo fornece uma breve visão geral conceitual dos vários recursos de segurança associados ao cluster do Azure Stack HCI. Isso inclui padrões de segurança, Windows Defender para WDAC (Controle de Aplicativos), criptografia de volume via BitLocker, rotação de segredo, contas de usuário internas locais, Microsoft Defender para Nuvem e muito mais.
Padrões de segurança
Seu Azure Stack HCI tem mais de 300 configurações de segurança habilitadas por padrão que fornecem uma linha de base de segurança consistente, um sistema de gerenciamento de linha de base e um mecanismo de controle de descompasso associado.
Você pode monitorar as configurações de linha de base de segurança e núcleo protegido durante a implantação e o runtime. Você também pode desabilitar o controle de descompasso durante a implantação ao definir as configurações de segurança.
Com o controle de descompasso aplicado, as configurações de segurança são atualizadas a cada 90 minutos. Esse intervalo de atualização garante a correção de quaisquer alterações do estado desejado. O monitoramento contínuo e a correção automática permitem que você tenha uma postura de segurança consistente e confiável durante todo o ciclo de vida do dispositivo.
Proteger a linha de base no Azure Stack HCI:
- Melhora a postura de segurança desabilitando protocolos herdados e criptografias.
- Reduz o OPEX com um mecanismo de proteção de descompasso interno e permite o monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
- Permite que você atenda de perto aos requisitos de parâmetro de referência do CIS (Center for Internet Security) e do STIG (Guia de Implementação Técnica de Segurança) do DISA (Defense Information System Agency) para o sistema operacional e a linha de base de segurança recomendada.
Para obter mais informações, consulte Gerenciar padrões de segurança no Azure Stack HCI.
Controle de Aplicativos do Windows Defender
O WDAC (controle de aplicativo) é uma camada de segurança baseada em software que reduz a superfície de ataque aplicando uma lista explícita de software que tem permissão para execução. O WDAC é habilitado por padrão e limita os aplicativos e o código que você pode executar na plataforma principal. Para obter mais informações, consulte Gerenciar Windows Defender Controle de Aplicativos para o Azure Stack HCI, versão 23H2.
Criptografia de BitLocker
A criptografia de dados em repouso é habilitada em volumes de dados criados durante a implantação. Esses volumes de dados incluem volumes de infraestrutura e volumes de carga de trabalho. Ao implantar o cluster, você tem a opção de modificar as configurações de segurança.
Por padrão, a criptografia de dados em repouso é habilitada durante a implantação. Recomendamos que você aceite a configuração padrão.
Você deve armazenar chaves de recuperação do BitLocker em um local seguro fora do sistema. Depois que o Azure Stack HCI for implantado com êxito, você poderá recuperar as chaves de recuperação do BitLocker.
Para obter mais informações sobre a criptografia BitLocker, consulte:
- Use o BitLocker com volumes compartilhados de cluster (CSV).
- Gerenciar a criptografia do BitLocker no Azure Stack HCI.
Contas de usuário internas locais
Nesta versão, os seguintes usuários internos locais, associados RID 500 a e RID 501, estão disponíveis em seu sistema Azure Stack HCI:
| Nome na imagem inicial do sistema operacional | Nome após a implantação | Habilitado por padrão | Descrição |
|---|---|---|---|
| Administrador | ASBuiltInAdmin | True | Conta interna para administrar o computador/domínio |
| Convidado | ASBuiltInGuest | Falso | Conta interna para acesso de convidado ao computador/domínio, protegida pelo mecanismo de controle de descompasso da linha de base de segurança. |
Importante
Recomendamos que você crie sua própria conta de administrador local e desabilite a conta de usuário conhecida RID 500 .
Criação e rotação de segredos
O orquestrador no Azure Stack HCI requer vários componentes para manter comunicações seguras com outros recursos e serviços de infraestrutura. Todos os serviços em execução no cluster têm certificados de autenticação e criptografia associados a eles.
Para garantir a segurança, implementamos recursos internos de criação e rotação de segredos. Ao examinar os nós de cluster, você verá vários certificados criados no caminho LocalMachine/Repositório de certificados pessoais (Cert:\LocalMachine\My).
Nesta versão, os seguintes recursos estão habilitados:
- A capacidade de criar certificados durante a implantação e após operações de escala de cluster.
- Mecanismo de rotação automática automatizado antes que os certificados expirem e uma opção para girar certificados durante o tempo de vida do cluster.
- A capacidade de monitorar e alertar se os certificados ainda são válidos.
Observação
Essa ação leva cerca de dez minutos, dependendo do tamanho do cluster.
Para obter mais informações, consulte Gerenciar rotação de segredos.
Encaminhamento Syslog de eventos de segurança
Para clientes e organizações que exigem seu próprio SIEM local, o Azure Stack HCI versão 23H2 inclui um mecanismo integrado que permite encaminhar eventos relacionados à segurança para um SIEM.
O Azure Stack HCI tem um encaminhador de syslog integrado que, uma vez configurado, gera mensagens de syslog definidas em RFC3164, com a carga no CEF (Formato de Evento Comum).
O diagrama a seguir ilustra a integração do Azure Stack HCI com um SIEM. Todas as auditorias, logs de segurança e alertas são coletados em cada host e expostos por meio de syslog com o conteúdo do CEF.
Os agentes de encaminhamento do Syslog são implantados em cada host do Azure Stack HCI para encaminhar mensagens de syslog para o servidor syslog configurado pelo cliente. Os agentes de encaminhamento do Syslog trabalham independentemente uns dos outros, mas podem ser gerenciados juntos em qualquer um dos hosts.
O encaminhador do syslog no Azure Stack HCI dá suporte a várias configurações com base no encaminhamento de syslog com TCP ou UDP, se a criptografia está habilitada ou não e se há autenticação unidirecional ou bidirecional.
Para obter mais informações, consulte Gerenciar encaminhamento de syslog.
Microsoft Defender para Nuvem (versão prévia)
Microsoft Defender para Nuvem é uma solução de gerenciamento de postura de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar a segurança status de sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e resolver ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem sem sobrecarga de implantação por meio de provisionamento automático e proteção com serviços do Azure.
Com o plano básico do Defender para Nuvem, você obtém recomendações sobre como melhorar a postura de segurança do sistema Azure Stack HCI sem custo adicional. Com o plano pago do Defender para Servidores, você obtém recursos de segurança aprimorados, incluindo alertas de segurança para servidores individuais e VMs arc.
Para obter mais informações, consulte Gerenciar a segurança do sistema com Microsoft Defender para Nuvem (versão prévia).
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de