Controles de segurança de infraestrutura do Azure Stack Hub

Artigo
03/29/2024

Considerações de segurança e regulamentos de conformidade estão entre os principais drivers para usar nuvens híbridas. O Azure Stack Hub foi projetado para esses cenários. Este artigo explica os controles de segurança em vigor para o Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Azure Stack Hub. A primeira camada é a infraestrutura do Azure Stack Hub, que inclui os componentes de hardware até o Resource Manager do Azure. A primeira camada inclui o administrador e os portais do usuário. A segunda camada consiste nas cargas de trabalho criadas, implantadas e gerenciadas por locatários. A segunda camada inclui itens como máquinas virtuais e sites dos Serviços de Aplicativos.

Abordagem de segurança

A postura de segurança do Azure Stack Hub foi projetada para se defender contra ameaças modernas e foi criada para atender aos requisitos dos principais padrões de conformidade. Como resultado, a postura de segurança da infraestrutura do Azure Stack Hub é criada com base em dois pilares:

Assumir violação
A partir da suposição de que o sistema já foi violado, concentre-se em detectar e limitar o impacto das violações em vez de apenas tentar evitar ataques.
Endurecido por padrão
Como a infraestrutura é executada em hardware e software bem definidos, o Azure Stack Hub habilita, configura e valida todos os recursos de segurança por padrão.

Como o Azure Stack Hub é entregue como um sistema integrado, a postura de segurança da infraestrutura do Azure Stack Hub é definida pela Microsoft. Assim como no Azure, os locatários são responsáveis por definir a postura de segurança de suas cargas de trabalho de locatário. Este documento fornece conhecimento básico sobre a postura de segurança da infraestrutura do Azure Stack Hub.

Criptografia de dados inativos

Todos os dados de infraestrutura e locatário do Azure Stack Hub são criptografados em repouso usando o BitLocker. Essa criptografia protege contra perda física ou roubo de componentes de armazenamento do Azure Stack Hub. Para obter mais informações, consulte criptografia de dados inativos no Azure Stack Hub.

Criptografia de dados em trânsito

Os componentes de infraestrutura do Azure Stack Hub se comunicam usando canais criptografados com o TLS 1.2. Os certificados de criptografia são autogerenciados pela infraestrutura.

Todos os pontos de extremidade de infraestrutura externa, como os pontos de extremidade REST ou o portal do Azure Stack Hub, dão suporte ao TLS 1.2 para comunicações seguras. Certificados de criptografia, de terceiros ou de sua autoridade de certificação corporativa, devem ser fornecidos para esses pontos de extremidade.

Embora os certificados autoassinados possam ser usados para esses pontos de extremidade externos, a Microsoft aconselha fortemente não usá-los. Para obter mais informações sobre como impor o TLS 1.2 nos pontos de extremidade externos do Azure Stack Hub, consulte Configurar controles de segurança do Azure Stack Hub.

Gerenciamento de segredos

A infraestrutura do Azure Stack Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar. A maioria das senhas associadas às contas de serviço internas é girada automaticamente a cada 24 horas porque são gMSA (Contas de Serviço Gerenciado) do grupo, um tipo de conta de domínio gerenciada diretamente pelo controlador de domínio interno.

A infraestrutura do Azure Stack Hub usa chaves RSA de 4096 bits para todos os seus certificados internos. Os mesmos certificados de comprimento de chave também podem ser usados para os pontos de extremidade externos. Para obter mais informações sobre segredos e rotação de certificados, consulte Girar segredos no Azure Stack Hub.

Controle de Aplicativos do Windows Defender

O Azure Stack Hub utiliza as últimas funções de segurança do Windows Server. Um deles é o WDAC (Controle de Aplicativos do Windows Defender, anteriormente conhecido como Integridade de Código), que fornece filtragem de executáveis e garante que apenas o código autorizado seja executado na infraestrutura do Azure Stack Hub.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM. O código autorizado assinado está incluído na lista de software permitido especificado em uma política definida pela Microsoft. Em outras palavras, somente softwares aprovados para execução na infraestrutura do Azure Stack Hub podem ser executados. Qualquer tentativa de executar código não autorizado é bloqueada, e um alerta é gerado. O Azure Stack Hub impõe a integridade de código de modo de usuário (UMCI) e a integridade de código do hipervisor (política HVAC).

A política do WDAC também impede que agentes ou softwares de terceiros sejam executados na infraestrutura do Azure Stack Hub. Para obter mais informações sobre o WDAC, consulte Controle de Aplicativos do Windows Defender e proteção baseada em virtualização da integridade do código.

Antimalware

Todos os componentes do Azure Stack Hub (hosts Hyper-V e máquinas virtuais) são protegidos com o Windows Defender Antivírus.

Em cenários conectados, a definição de antivírus e as atualizações do mecanismo são aplicadas várias vezes por dia. Em cenários desconectados, as atualizações antimalware são aplicadas como parte das atualizações mensais do Azure Stack Hub. Caso seja necessária uma atualização mais frequente para as definições do Windows Defender em cenários desconectados, o Azure Stack Hub também dá suporte à importação de atualizações do Windows Defender. Para obter mais informações, consulte atualizar o Windows Defender Antivírus no Azure Stack Hub.

Inicialização Segura

O Azure Stack Hub impõe a Inicialização Segura em todos os hosts Hyper-V e máquinas virtuais de infraestrutura.

Modelo de administração restrita

A administração no Azure Stack Hub é controlada por meio de três pontos de entrada, cada um com uma finalidade específica:

O portal do administrador fornece uma experiência de ponto e clique para operações diárias de gerenciamento.
O Azure Resource Manager expõe todas as operações de gerenciamento do portal do administrador por meio de uma API REST, usada pelo PowerShell e pela CLI do Azure.
Para operações específicas de baixo nível (por exemplo, integração de datacenter ou cenários de suporte), o Azure Stack Hub expõe um ponto de extremidade do PowerShell chamado ponto de extremidade privilegiado. Esse ponto de extremidade expõe apenas um conjunto permitido de cmdlets e é fortemente auditado.

Controles de rede

A infraestrutura do Azure Stack Hub vem com várias camadas de ACL (lista de Controle de Acesso de rede). As ACLs impedem o acesso não autorizado aos componentes de infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para seu funcionamento.

As ACLs de rede são impostas em três camadas:

Camada 1: Topo dos comutadores rack
Camada 2: rede definida pelo software
Camada 3: Firewalls do sistema operacional host e VM

Conformidade normativa

O Azure Stack Hub passou por uma avaliação formal de capacidade por uma empresa de auditoria independente de terceiros. Como resultado, a documentação sobre como a infraestrutura do Azure Stack Hub atende aos controles aplicáveis de vários padrões principais de conformidade está disponível. A documentação não é uma certificação do Azure Stack Hub porque os padrões incluem vários controles relacionados à equipe e ao processo. Em vez disso, os clientes podem usar essa documentação para iniciar o processo de certificação.

As avaliações incluem os seguintes padrões:

O PCI-DSS aborda o setor de cartão de pagamento.
A Matriz de Controle de Nuvem do CSA é um mapeamento abrangente entre vários padrões, incluindo FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 e outros.
FedRAMP High para clientes do governo.

A documentação de conformidade pode ser encontrada no Portal de Confiança do Serviço da Microsoft. Os guias de conformidade são um recurso protegido e exigem que você entre com suas credenciais de serviço de nuvem do Azure.

Iniciativa da UE Schrems II para o Azure Stack Hub

A Microsoft anunciou sua intenção de superar os compromissos de armazenamento de dados existentes, permitindo que os clientes baseados na UE processem e armazenem todos os seus dados na UE; você não precisará mais armazenar dados fora da UE. Esse compromisso aprimorado inclui clientes do Azure Stack Hub. Consulte Respondendo ao chamado da Europa: Armazenando e processando dados da UE na UE para obter mais informações.

A partir da versão 2206, você pode selecionar sua preferência geográfica para processamento de dados em implantações existentes do Azure Stack Hub. Depois de baixar o hotfix, você receberá o alerta a seguir.

Observação

Ambientes desconectados também podem ser necessários para selecionar uma geolocalização de dados. Essa é uma configuração única que afeta o local de residência de dados se o operador estiver fornecendo dados de diagnóstico para a Microsoft. Se o operador não fornecer dados de diagnóstico à Microsoft, essa configuração não terá nenhuma ramificação.

Você pode resolve esse alerta para sua implantação existente do Azure Stack Hub de uma das duas maneiras, dependendo da sua preferência geográfica para armazenar e processar seus dados.

Se você optar por ter seus dados armazenados e processados dentro da UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. O local de residência dos dados será atualizado e todos os dados serão armazenados e processados na UE.
```
Set-DataResidencyLocation -Europe
```
Se você optar por ter seus dados armazenados e processados fora da UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. O local de residência dos dados será atualizado e todos os dados serão processados fora da UE.
```
Set-DataResidencyLocation -Europe:$false
```

Depois de resolve esse alerta, você pode verificar sua preferência de região geográfica no portal Administração janela Propriedades.

Novas implantações do Hub do Azure Stack podem definir a região geográfica durante a configuração e a implantação.