Controles de segurança de infraestrutura de Hub Azure StackAzure Stack Hub infrastructure security controls

Considerações de segurança e regulamentos de conformidade estão entre os principais drivers para usar nuvens híbridas.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. O Hub de Azure Stack foi projetado para esses cenários.Azure Stack Hub is designed for these scenarios. Este artigo explica os controles de segurança em vigor para Azure Stack Hub.This article explains the security controls in place for Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Hub Azure Stack.Two security posture layers coexist in Azure Stack Hub. A primeira camada é a infraestrutura de Hub de Azure Stack, que inclui os componentes de hardware até o Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. A primeira camada inclui o administrador e os portais de usuário.The first layer includes the administrator and the user portals. A segunda camada consiste nas cargas de trabalho criadas, implantadas e gerenciadas por locatários.The second layer consists of the workloads created, deployed, and managed by tenants. A segunda camada inclui itens como máquinas virtuais e sites de serviços de aplicativos.The second layer includes items like virtual machines and App Services web sites.

Abordagem de segurançaSecurity approach

A postura de segurança para Azure Stack Hub foi projetada para se defender das ameaças modernas e foi criada para atender aos requisitos dos principais padrões de conformidade.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. Como resultado, a postura de segurança da infraestrutura de Hub de Azure Stack é criada em dois pilares:As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Assumir violaçãoAssume Breach
    A partir da suposição de que o sistema já foi violado, concentre-se na detecção e limitação do impacto de violações em comparação apenas à tentativa de evitar ataques.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Protegido por padrãoHardened by Default
    Como a infraestrutura é executada em hardware e software bem definidos, Azure Stack Hub habilita, configura e valida todos os recursos de segurança por padrão.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Como o Hub de Azure Stack é fornecido como um sistema integrado, a postura de segurança da infraestrutura de Azure Stack Hub é definida pela Microsoft.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Assim como no Azure, os locatários são responsáveis por definir a postura de segurança de suas cargas de trabalho de locatário.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Este documento fornece conhecimento básico sobre a postura de segurança da infraestrutura de Hub de Azure Stack.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Criptografia de dados em repousoData at rest encryption

Todos os dados de locatário e de infraestrutura de Hub do Azure Stack são criptografados em repouso usando o BitLocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. Essa criptografia protege contra perda física ou roubo de componentes de armazenamento de Azure Stack Hub.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Para obter mais informações, consulte criptografia de dados em repouso no Hub de Azure Stack.For more information, see data at rest encryption in Azure Stack Hub.

Criptografia de dados em trânsitoData in transit encryption

Os componentes de infraestrutura de Hub Azure Stack se comunicam usando canais criptografados com o TLS 1,2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. Os certificados de criptografia são gerenciados automaticamente pela infraestrutura.Encryption certificates are self-managed by the infrastructure.

Todos os pontos de extremidade de infraestrutura externa, como os pontos de extremidade REST ou o Azure Stack portal do Hub, dão suporte a TLS 1,2 para comunicações seguras.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Os certificados de criptografia, de terceiros ou de sua autoridade de certificação corporativa, devem ser fornecidos para esses pontos de extremidade.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

Embora os certificados autoassinados possam ser usados para esses pontos de extremidade externos, a Microsoft aconselha fortemente usá-los.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Para obter mais informações sobre como impor o TLS 1,2 nos pontos de extremidade externos do Hub Azure Stack, consulte configurar os controles de segurança do hub Azure Stack.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Gerenciamento de segredosSecret management

Azure Stack infraestrutura de Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. A maioria das senhas associadas às contas de serviço internas são automaticamente giradas a cada 24 horas, pois são contas de serviço gerenciado de grupo (gMSA), um tipo de conta de domínio gerenciada diretamente pelo controlador de domínio interno.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

Azure Stack infraestrutura de Hub usa chaves RSA de 4096 bits para todos os seus certificados internos.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. Os mesmos certificados de comprimento de chave também podem ser usados para os pontos de extremidade externos.Same key-length certificates can also be used for the external endpoints. Para obter mais informações sobre segredos e rotação de certificado, consulte girar segredos no Hub Azure Stack.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Controle de Aplicativos do Windows DefenderWindows Defender Application Control

O Azure Stack Hub utiliza as últimas funções de segurança do Windows Server.Azure Stack Hub makes use of the latest Windows Server security features. Um deles é o controle de aplicativos do Windows Defender (WDAC, anteriormente conhecido como integridade de código), que fornece a filtragem de executáveis e garante que apenas códigos autorizados sejam executados dentro da infraestrutura de Hub de Azure Stack.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM.Authorized code is signed by either Microsoft or the OEM partner. O código autorizado assinado é incluído na lista de softwares permitidos especificados em uma política definida pela Microsoft.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. Em outras palavras, somente o software que foi aprovado para execução na infraestrutura do hub de Azure Stack pode ser executado.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Qualquer tentativa de executar código não autorizado é bloqueada, e um alerta é gerado.Any attempt to execute unauthorized code is blocked and an alert is generated. O Azure Stack Hub impõe a integridade de código de modo de usuário (UMCI) e a integridade de código do hipervisor (política HVAC).Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

A política WDAC também impede que os agentes ou software de terceiros sejam executados na infraestrutura de Hub de Azure Stack.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Para obter mais informações sobre o WDAC, consulte o controle de aplicativos do Windows Defender e a proteção baseada em virtualização de integridade de código.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Outro recurso de segurança do Windows Server no Hub Azure Stack é o Windows Defender Credential Guard, que é usado para proteger Azure Stack credenciais de infraestrutura de Hub de ataques Pass-the-hash e Pass-the-ticket.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

AntimalwareAntimalware

Cada componente no Hub de Azure Stack (hosts Hyper-V e máquinas virtuais) é protegido com o Windows Defender antivírus.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

Em cenários conectados, a definição de antivírus e as atualizações de mecanismo são aplicadas várias vezes por dia.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. Em cenários desconectados, as atualizações Antimalware são aplicadas como parte das atualizações de Hub de Azure Stack mensais.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. Caso uma atualização mais frequente nas definições do Windows Defender seja necessária em cenários desconectados, Azure Stack Hub também dá suporte à importação de atualizações do Windows Defender.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. Para obter mais informações, consulte atualizar o Windows Defender antivírus no Hub Azure Stack.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Inicialização SeguraSecure Boot

Azure Stack Hub impõe a inicialização segura em todos os hosts e máquinas virtuais de infraestrutura do Hyper-V.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Modelo de administração restritaConstrained administration model

A administração no Hub Azure Stack é controlada por três pontos de entrada, cada um com uma finalidade específica:Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • O portal do administrador fornece uma experiência de apontar e clicar para operações diárias de gerenciamento.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager expõe todas as operações de gerenciamento do portal do administrador por meio de uma API REST, usada pelo PowerShell e CLI do Azure.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • Para operações específicas de nível baixo (por exemplo, integração do Datacenter ou cenários de suporte), o Hub Azure Stack expõe um ponto de extremidade do PowerShell chamado ponto de extremidade privilegiado.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Esse ponto de extremidade expõe apenas um conjunto permitido de cmdlets e é muito auditado.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Controles de redeNetwork controls

Azure Stack infraestrutura de Hub vem com várias camadas de ACL (lista de controle de acesso) de rede.Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). As ACLs impedem o acesso não autorizado aos componentes de infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para seu funcionamento.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

As ACLs de rede são impostas em três camadas:Network ACLs are enforced in three layers:

  • Camada 1: topo dos comutadores do rackLayer 1: Top of Rack switches
  • Camada 2: rede definida pelo softwareLayer 2: Software Defined Network
  • Camada 3: firewalls do sistema operacional de host e VMLayer 3: Host and VM operating system firewalls

Conformidade normativaRegulatory compliance

O Hub de Azure Stack passou por uma avaliação de capacidade formal por uma empresa de auditoria independente de terceiros.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. Como resultado, a documentação sobre como a infraestrutura de Hub de Azure Stack atende aos controles aplicáveis de vários padrões de conformidade principais está disponível.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. A documentação não é uma certificação do hub de Azure Stack porque os padrões incluem vários controles relacionados à equipe e ao processo.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. Em vez disso, os clientes podem usar esta documentação para iniciar seu processo de certificação.Rather, customers can use this documentation to jump-start their certification process.

As avaliações incluem os seguintes padrões:The assessments include the following standards:

  • PCI-DSS aborda o setor de cartão de pagamento.PCI-DSS addresses the payment card industry.
  • A matriz de controle de nuvem CSA é um mapeamento abrangente entre vários padrões, incluindo FedRAMP moderado, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 e outros.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP alto para clientes do governo.FedRAMP High for government customers.

A documentação de conformidade pode ser encontrada no portal de confiança do serviço da Microsoft.The compliance documentation can be found on the Microsoft Service Trust Portal. Os guias de conformidade são um recurso protegido e exigem que você entre com suas credenciais de serviço de nuvem do Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Próximas etapasNext steps