Configurar controles de segurança de Hub de Azure StackConfigure Azure Stack Hub security controls

Este artigo explica os controles de segurança que podem ser alterados no Hub Azure Stack e realça as compensações quando aplicável.This article explains the security controls that can be changed in Azure Stack Hub and highlights the tradeoffs where applicable.

A arquitetura do hub de Azure Stack baseia-se em dois pilares de princípio de segurança: Suponha a violação e a proteção por padrão.Azure Stack Hub architecture is built on two security principle pillars: assume breach and hardened by default. Para obter mais informações sobre segurança de Hub de Azure Stack, consulte Azure Stack postura de segurança de infraestrutura de Hub.For more information on Azure Stack Hub security, see Azure Stack Hub infrastructure security posture. Embora a postura de segurança padrão do hub de Azure Stack esteja pronta para produção, há alguns cenários de implantação que exigem proteção adicional.While the default security posture of Azure Stack Hub is production-ready, there are some deployment scenarios that require additional hardening.

Política de versão de TLSTLS version policy

O protocolo TLS é um protocolo criptográfico amplamente adotado para estabelecer a comunicação criptografada pela rede.The Transport Layer Security (TLS) protocol is a widely adopted cryptographic protocol to establish encrypted communication over the network. O TLS evoluiu ao longo do tempo e várias versões foram lançadas.TLS has evolved over time and multiple versions have been released. A infraestrutura de Hub de Azure Stack usa exclusivamente o TLS 1,2 para todas as suas comunicações.Azure Stack Hub infrastructure exclusively uses TLS 1.2 for all its communications. Para interfaces externas, o Hub de Azure Stack atualmente usa o TLS 1,2 como padrão.For external interfaces, Azure Stack Hub currently defaults to use TLS 1.2. No entanto, para compatibilidade com versões anteriores, ele também dá suporte à negociação para TLS 1,1.However, for backwards compatibility, it also supports negotiating down to TLS 1.1. e 1,0.and 1.0. Quando um cliente TLS solicita a comunicação por TLS 1,1 ou TLS 1,0, Azure Stack Hub honra a solicitação negociando com uma versão mais baixa do TLS.When a TLS client requests to communicate over TLS 1.1 or TLS 1.0, Azure Stack Hub honors the request by negotiating to a lower TLS version. Se o cliente solicitar o TLS 1,2, Azure Stack Hub estabelecerá uma conexão TLS usando TLS 1,2.If the client requests TLS 1.2, Azure Stack Hub will establish a TLS connection using TLS 1.2.

Como o TLS 1,0 e o 1,1 são reprovados incrementalmente ou proibidos por organizações e padrões de conformidade, começando com a atualização do 1906, agora você pode configurar a política de TLS no Hub Azure Stack.Since TLS 1.0 and 1.1 are incrementally being deprecated or banned by organizations and compliance standards, beginning with the 1906 update, you can now configure the TLS policy in Azure Stack Hub. Você pode impor uma política somente TLS 1,2 em que qualquer tentativa de estabelecer uma sessão TLS com uma versão inferior a 1,2 não é permitida e é rejeitada.You can enforce a TLS 1.2 only policy where any attempt of establishing a TLS session with a version lower than 1.2 isn't permitted and is rejected.

Importante

A Microsoft recomenda usar a política TLS 1,2 somente para ambientes de produção de Hub Azure Stack.Microsoft recommends using TLS 1.2 only policy for Azure Stack Hub production environments.

Obter política de TLSGet TLS policy

Use o ponto de extremidade privilegiado (PEP) para exibir a política de TLS para todos os pontos de extremidade do Hub de Azure Stack:Use the privileged endpoint (PEP) to view the TLS policy for all Azure Stack Hub endpoints:

Get-TLSPolicy

Saída de exemplo:Example output:

TLS_1.2

Definir política TLSSet TLS policy

Use o ponto de extremidade privilegiado (PEP) para definir a política de TLS para todos os pontos de extremidade do Hub de Azure Stack:Use the privileged endpoint (PEP) to set the TLS policy for all Azure Stack Hub endpoints:

Set-TLSPolicy -Version <String>

Parâmetros para o cmdlet set-TLSPolicy :Parameters for Set-TLSPolicy cmdlet:

ParâmetroParameter DescriçãoDescription TypeType ObrigatórioRequired
VersãoVersion Versão (ões) permitida (s) de TLS no Hub de Azure StackAllowed version(s) of TLS in Azure Stack Hub Cadeia de CaracteresString simyes

Use um dos seguintes valores para configurar as versões de TLS permitidas para todos os pontos de extremidade do hub de Azure Stack:Use one of the following values to configure the permitted TLS versions for all Azure Stack Hub endpoints:

Valor da versãoVersion value DescriçãoDescription
TLS_AllTLS_All Os pontos de extremidade TLS do Hub Azure Stack dão suporte a TLS 1,2, mas a negociação para TLS 1,1 e TLS 1,0 é permitida.Azure Stack Hub TLS endpoints support TLS 1.2, but down negotiation to TLS 1.1 and TLS 1.0 is allowed.
TLS_1.2TLS_1.2 Os pontos de extremidade TLS do Hub Azure Stack só dão suporte a TLS 1,2.Azure Stack Hub TLS endpoints support TLS 1.2 only.

A atualização da política TLS leva alguns minutos para ser concluída.Updating the TLS policy takes a few minutes to complete.

Impor exemplo de configuração TLS 1,2Enforce TLS 1.2 configuration example

Este exemplo define sua política TLS para impor somente o TLS 1,2.This example sets your TLS policy to enforce TLS 1.2 only.

Set-TLSPolicy -Version TLS_1.2

Saída de exemplo:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Permitir todas as versões do exemplo de configuração de TLS (1,2, 1,1 e 1,0)Allow all versions of TLS (1.2, 1.1, and 1.0) configuration example

Este exemplo define sua política TLS para permitir todas as versões do TLS (1,2, 1,1 e 1,0).This example sets your TLS policy to allow all versions of TLS (1.2, 1.1, and 1.0).

Set-TLSPolicy -Version TLS_All

Saída de exemplo:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Próximas etapasNext steps