Considerações de segurança Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Windows server 2022, Windows server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas ao sistema operacional Azure Stack HCI:

  • A parte 1 aborda ferramentas e tecnologias básicas de segurança para fortalecer o sistema operacional e proteger dados e identidades para criar com eficiência uma base segura para sua organização.
  • A parte 2 abrange os recursos disponíveis por meio da central de segurança do Azure.
  • A parte 3 aborda considerações de segurança mais avançadas para reforçar ainda mais a postura de segurança de sua organização nessas áreas.

Por que as considerações de segurança são importantes?

A segurança afeta todos em sua organização de gerenciamento de nível superior para o operador de informações. A segurança inadequada é um risco real para as organizações, uma vez que uma violação de segurança pode potencialmente interromper todos os negócios normais e colocar sua organização em uma parada. Quanto mais cedo for possível detectar um ataque potencial, mais rápido você poderá mitigar qualquer comprometimento na segurança.

Depois de Pesquisar os pontos fracos de um ambiente para explorá-los, um invasor pode, em geral, de 24 a 48 horas de privilégios de escalonamento de comprometimento inicial para assumir o controle dos sistemas na rede. Boas medidas de segurança protegem os sistemas no ambiente para estender o tempo que um invasor leva para potencialmente assumir o controle de horas para semanas ou até mesmo meses bloqueando os movimentos do invasor. A implementação das recomendações de segurança neste tópico posiciona sua organização para detectar e responder a tais ataques o mais rápido possível.

Parte 1: criar uma base segura

As seções a seguir recomendam ferramentas e tecnologias de segurança para criar uma base segura para os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

Esta seção discute como proteger serviços e VMs (máquinas virtuais) em execução no sistema operacional:

  • Azure Stack hardware certificado pelo HCI fornece configurações consistentes de inicialização segura, UEFI e TPM. Combinar segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Você também pode conectar essa infraestrutura confiável à central de segurança do Azure para ativar a análise comportamental e os relatórios para considerar a alteração rápida de cargas de trabalho e ameaças.

    • A inicialização segura é um padrão de segurança desenvolvido pelo setor de PCs para ajudar a garantir que um dispositivo seja inicializado usando apenas software que seja confiável para o OEM (fabricante original do equipamento). Para saber mais, confira inicialização segura.
    • a UEFI (Interface de Firmware extensível) dos eua controla o processo de inicialização do servidor e, em seguida, passa o controle para Windows ou outro sistema operacional. Para saber mais, consulte requisitos de firmware UEFI.
    • A tecnologia Trusted Platform Module (TPM) fornece funções relacionadas à segurança e baseadas em hardware. Um chip TPM é um processador de criptografia seguro que gera, armazena e limita o uso de chaves de criptografia. Para saber mais, consulte visão geral da tecnologia de Trusted Platform Module.

    Para saber mais sobre Azure Stack provedores de hardware certificados pelo HCI, consulte o site da Azure Stack soluções do HCI .

  • a ferramenta de segurança está disponível nativamente no centro de administração Windows para clusters de servidor único e Azure Stack de HCI para facilitar o gerenciamento e o controle de segurança. A ferramenta centraliza algumas das principais configurações de segurança para servidores e clusters, incluindo a capacidade de exibir o status de núcleo seguro dos sistemas.

    Para saber mais, consulte servidor de núcleo seguro.

  • Proteção de dispositivo e Credential Guard. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema. O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa acessá-los.

    para saber mais, consulte gerenciar Windows Defender Credential guard e baixar a ferramenta de preparação de hardware do Device guard e Credential guard.

  • as atualizações de Windows e firmware são essenciais em clusters, servidores (incluindo VMs convidadas) e PCs para ajudar a garantir que o sistema operacional e o hardware do sistema sejam protegidos contra invasores. você pode usar a ferramenta Windows Admin Center updates para aplicar atualizações a sistemas individuais. se o seu provedor de hardware inclui Windows suporte do centro de administração para obter atualizações de driver, firmware e solução, você pode obter essas atualizações ao mesmo tempo que Windows atualizações, caso contrário, obtenha-as diretamente do seu fornecedor.

    Para saber mais, consulte atualizar o cluster.

    para gerenciar atualizações em vários clusters e servidores de uma vez, considere assinar o serviço de Gerenciamento de Atualizações do Azure opcional, que é integrado ao centro de administração do Windows. para obter mais informações, consulte Gerenciamento de Atualizações do Azure usando o centro de administração do Windows.

Proteger dados

esta seção discute como usar Windows centro de administração para proteger dados e cargas de trabalho no sistema operacional:

  • o BitLocker para Espaços de Armazenamento protege os dados em repouso. você pode usar o BitLocker para criptografar o conteúdo de Espaços de Armazenamento volumes de dados no sistema operacional. Usar o BitLocker para proteger dados pode ajudar as organizações a se manterem em conformidade com os padrões governamentais, regionais e específicos do setor, como FIPS 140-2 e HIPAA.

    para saber mais sobre como usar o BitLocker no centro de administração Windows, confira habilitar criptografia de volume, eliminação de duplicação e compactação

  • a criptografia SMB para Windows rede protege os dados em trânsito. O SMB é um protocolo de compartilhamento de arquivos de rede que permite que os aplicativos em um computador leiam e gravem em arquivos e solicitem serviços de programas de servidor em uma rede de computador.

    Para habilitar a criptografia SMB, consulte melhorias de segurança SMB.

  • Windows Defender Antivírus no centro de administração do Windows protege o sistema operacional em clientes e servidores contra vírus, malware, spyware e outras ameaças. para saber mais, confira Microsoft Defender Antivírus em Windows Server 2016 e 2019.

Proteger identidades

esta seção discute como usar Windows centro de administração para proteger identidades privilegiadas:

  • O controle de acesso pode melhorar a segurança do seu cenário de gerenciamento. se você estiver usando um servidor Windows Admin center (vs. em execução em um PC Windows 10), poderá controlar dois níveis de acesso para Windows próprio centro de administração: usuários de gateway e administradores de gateway. As opções do provedor de identidade do administrador de gateway incluem:

    • Active Directory ou grupos de computadores locais para impor a autenticação de cartão inteligente.
    • Azure Active Directory para impor o acesso condicional e a autenticação multifator.

    para saber mais, consulte opções de acesso do usuário com Windows centro de administração e configurar o controle de acesso do usuário e as permissões.

  • o tráfego do navegador para Windows centro de administração usa HTTPS. o tráfego de Windows centro de administração para servidores gerenciados usa o PowerShell padrão e o Instrumentação de Gerenciamento do Windows (WMI) sobre Gerenciamento Remoto do Windows (WinRM). Windows centro de administração dá suporte à solução de senha de administrador Local (LAPS), delegação restrita baseada em recursos, controle de acesso do gateway usando Active Directory (ad) ou Microsoft Azure Active Directory (ad do Azure) e controle de acesso baseado em função (RBAC) para gerenciar servidores de destino.

    Windows centro de administração dá suporte a Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge insider no Windows 10. você pode instalar Windows centro de administração em um Windows 10 PC ou um Windows server.

    se você instalar Windows centro de administração em um servidor, ele será executado como um gateway, sem nenhuma interface do usuário no servidor host. Nesse cenário, os administradores podem fazer logon no servidor por meio de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no host. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificação confiável para o processo de logon, porque os navegadores com suporte tratam de uma conexão autoassinada como não segura, mesmo que a conexão seja para um endereço IP local em uma VPN confiável.

    Para saber mais sobre as opções de instalação para sua organização, consulte que tipo de instalação é ideal para você?.

  • o CredSSP é um provedor de autenticação que Windows o centro de administração usa em alguns casos para passar credenciais para computadores além do servidor específico que você está direcionando para gerenciar. o centro de administração do Windows atualmente requer CredSSP para:

    • Crie um novo cluster.
    • Acesse a ferramenta de atualizações para usar os recursos de clustering de Failover ou Cluster-Aware atualização.
    • Gerencie o armazenamento SMB desagregado em VMs.

    para saber mais, veja Windows centro de administração usa CredSSP?

  • o RBAC (controle de acesso baseado em função) no centro de administração Windows permite que os usuários tenham acesso limitado aos servidores que precisam gerenciar, em vez de torná-los administradores locais completos. para usar o RBAC no centro de administração do Windows, você configura cada servidor gerenciado com um ponto de extremidade de administração suficiente do PowerShell.

    Para saber mais, consulte controle de acesso baseado em função e apenas administração suficiente.

  • as ferramentas de segurança no centro de administração Windows que você pode usar para gerenciar e proteger identidades incluem Active Directory, certificados, Firewall, usuários e grupos locais e muito mais.

    para saber mais, confira gerenciar servidores com o centro de administração do Windows.

Parte 2: usar a central de segurança do Azure

A central de segurança do Azure é um sistema de gerenciamento de segurança de infraestrutura unificado que reforça a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem e localmente. A central de segurança fornece ferramentas para avaliar o status de segurança de sua rede, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e resolver ameaças futuras. A central de segurança executa todos esses serviços em alta velocidade na nuvem sem sobrecarga de implantação por meio de provisionamento e proteção automática com os serviços do Azure.

a central de segurança protege as VMs para servidores Windows e servidores Linux instalando o agente de Log Analytics nesses recursos. O Azure correlaciona eventos que os agentes coletam em recomendações (proteção de tarefas) que você executa para tornar suas cargas de trabalho seguras. As tarefas de proteção com base nas práticas recomendadas de segurança incluem o gerenciamento e a imposição de políticas de segurança. Em seguida, você pode acompanhar os resultados e gerenciar a conformidade e a governança ao longo do tempo por meio do monitoramento da central de segurança, reduzindo a superfície de ataque em todos os seus recursos.

Gerenciar quem pode acessar seus recursos e assinaturas do Azure constitui uma parte importante de sua estratégia de governança do Azure. O RBAC (controle de acesso baseado em função) do Azure é o principal método de gerenciamento de acesso no Azure. Para saber mais, consulte gerenciar o acesso ao seu ambiente do Azure com o controle de acesso baseado em função.

trabalhar com a central de segurança por meio do centro de administração Windows requer uma assinatura do Azure. para começar, consulte integrar a central de segurança do Azure com o centro de administração do Windows.

após o registro, acesse a central de segurança no centro de administração do Windows: na página todas as conexões , selecione um servidor ou VM, em ferramentas, selecione central de segurança do azuree, em seguida, selecione entrar no Azure.

Para saber mais, consulte o que é a central de segurança do Azure?

Parte 3: adicionar segurança avançada

As seções a seguir recomendam ferramentas e tecnologias de segurança avançadas para proteger ainda mais os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

  • As linhas de base de segurança da Microsoft são baseadas nas recomendações de segurança da Microsoft obtidas por meio de parceria com organizações comerciais e o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem as configurações de segurança recomendadas para Windows Firewall, Windows Defender e muitos outros.

    As linhas de base de segurança são fornecidas como backups de GPO (objeto Política de Grupo) que você pode importar para o Active Directory Domain Services (AD DS) e, em seguida, implantar em servidores ingressados no domínio para proteger o ambiente. Você também pode usar ferramentas de Script Local para configurar servidores autônomos (não ingressados no domínio) com linhas de base de segurança. Para começar a usar as linhas de base de segurança, baixe o Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, confira Linhas de base de segurança da Microsoft.

Proteger dados

  • Proteger o ambiente hyper-V requer a Windows servidor em execução em uma VM, assim como você protegeria o sistema operacional em execução em um servidor físico. Como os ambientes virtuais normalmente têm várias VMs compartilhando o mesmo host físico, é fundamental proteger o host físico e as VMs em execução nele. Um invasor que compromete um host pode afetar várias VMs com um maior impacto sobre cargas de trabalho e serviços. Esta seção discute os seguintes métodos que você pode usar para proteger Windows Server em um ambiente Hyper-V:

    • O Trusted Platform Module virtual (vTPM) no Windows Server dá suporte ao TPM para VMs, o que permite usar tecnologias de segurança avançadas, como o BitLocker em VMs. Você pode habilitar o suporte ao TPM em qualquer VM Hyper-V de Geração 2 usando o Gerenciador do Hyper-V ou o Enable-VMTPM cmdlet Windows PowerShell geração.

      Para saber mais, confira Enable-VMTPM.

    • A SDN (Rede Definida pelo Software) no Azure Stack HCI e no Windows Server configura e gerencia centralmente dispositivos de rede virtual, como o balanceador de carga de software, o firewall do data center, gateways e comutadores virtuais em sua infraestrutura. Os elementos de rede virtual, como o Com switch virtual do Hyper-V, a Virtualização de Rede Hyper-V e o Gateway ras são projetados para serem elementos integrais da sua infraestrutura de SDN.

      Para saber mais, confira SDN (RedeDefinida pelo Software).

      Observação

      Não há suporte para VMs blindadas Azure Stack HCI.

Proteger identidades

  • Solução de Senha de Administrador Local (LAPS) é um mecanismo leve para sistemas ingressados no domínio do Active Directory que define periodicamente a senha da conta de administrador local de cada computador para um novo valor aleatório e exclusivo. As senhas são armazenadas em um atributo confidencial seguro no objeto de computador correspondente no Active Directory, em que somente usuários autorizados especificamente podem recuperá-las. O LAPS usa contas locais para gerenciamento de computadores remotos de uma maneira que oferece algumas vantagens em relação ao uso de contas de domínio. Para saber mais, confira Uso remoto de contas locais: LAPS altera tudo.

    Para começar a usar o LAPS, baixe Solução de Senha de Administrador Local (LAPS).

  • O Microsoft ATA (Advanced Threat Analytics) é um produto local que você pode usar para ajudar a detectar invasores que tentam comprometer identidades privilegiadas. O ATA avalia o tráfego de rede para autenticação, autorização e protocolos de coleta de informações, como Kerberos e DNS. O ATA usa os dados para criar perfis comportamentais de usuários e outras entidades na rede para detectar anomalias e padrões de ataque conhecidos.

    Para saber mais, confira O que é a Análise Avançada de Ameaças?.

  • Windows Defender Remote Credential Guard protege as credenciais em uma conexão Área de Trabalho Remota redirecionando solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece SSO (login único) para Área de Trabalho Remota sessão. Durante uma Área de Trabalho Remota, se o dispositivo de destino estiver comprometido, suas credenciais não serão expostas porque os derivativos de credenciais e credenciais nunca são passados pela rede para o dispositivo de destino.

    Para saber mais, confira Gerenciar Windows Defender Credential Guard.

Próximas etapas

Para obter mais informações sobre segurança e conformidade regulatória, confira também: