Controles de segurança de infraestrutura de Hub Azure Stack

Considerações de segurança e regulamentos de conformidade estão entre os principais drivers para usar nuvens híbridas. O Hub de Azure Stack foi projetado para esses cenários. Este artigo explica os controles de segurança em vigor para Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Hub Azure Stack. A primeira camada é a infraestrutura de Hub de Azure Stack, que inclui os componentes de hardware até o Azure Resource Manager. A primeira camada inclui o administrador e os portais de usuário. A segunda camada consiste nas cargas de trabalho criadas, implantadas e gerenciadas por locatários. A segunda camada inclui itens como máquinas virtuais e sites de serviços de aplicativos.

Abordagem de segurança

A postura de segurança para Azure Stack Hub foi projetada para se defender das ameaças modernas e foi criada para atender aos requisitos dos principais padrões de conformidade. Como resultado, a postura de segurança da infraestrutura de Hub de Azure Stack é criada em dois pilares:

  • Assumir violação
    A partir da suposição de que o sistema já foi violado, concentre-se na detecção e limitação do impacto de violações em comparação apenas à tentativa de evitar ataques.

  • Protegido por padrão
    Como a infraestrutura é executada em hardware e software bem definidos, Azure Stack Hub habilita, configura e valida todos os recursos de segurança por padrão.

Como o Hub de Azure Stack é fornecido como um sistema integrado, a postura de segurança da infraestrutura de Azure Stack Hub é definida pela Microsoft. Assim como no Azure, os locatários são responsáveis por definir a postura de segurança de suas cargas de trabalho de locatário. Este documento fornece conhecimento básico sobre a postura de segurança da infraestrutura de Hub de Azure Stack.

Criptografia de dados em repouso

Todos os dados de locatário e de infraestrutura de Hub do Azure Stack são criptografados em repouso usando o BitLocker. Essa criptografia protege contra perda física ou roubo de componentes de armazenamento de Azure Stack Hub. Para obter mais informações, consulte criptografia de dados em repouso no Hub de Azure Stack.

Criptografia de dados em trânsito

Os componentes de infraestrutura de Hub Azure Stack se comunicam usando canais criptografados com o TLS 1,2. Os certificados de criptografia são gerenciados automaticamente pela infraestrutura.

Todos os pontos de extremidade de infraestrutura externa, como os pontos de extremidade REST ou o Azure Stack portal do Hub, dão suporte a TLS 1,2 para comunicações seguras. Os certificados de criptografia, de terceiros ou de sua autoridade de certificação corporativa, devem ser fornecidos para esses pontos de extremidade.

Embora os certificados autoassinados possam ser usados para esses pontos de extremidade externos, a Microsoft aconselha fortemente usá-los. Para obter mais informações sobre como impor o TLS 1,2 nos pontos de extremidade externos do Hub Azure Stack, consulte configurar os controles de segurança do hub Azure Stack.

Gerenciamento de segredos

Azure Stack infraestrutura de Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar. A maioria das senhas associadas às contas de serviço internas são automaticamente giradas a cada 24 horas, pois são contas de serviço gerenciado de grupo (gMSA), um tipo de conta de domínio gerenciada diretamente pelo controlador de domínio interno.

Azure Stack infraestrutura de Hub usa chaves RSA de 4096 bits para todos os seus certificados internos. Os mesmos certificados de comprimento de chave também podem ser usados para os pontos de extremidade externos. Para obter mais informações sobre segredos e rotação de certificado, consulte girar segredos no Hub Azure Stack.

Controle de Aplicativos do Windows Defender

O Azure Stack Hub utiliza as últimas funções de segurança do Windows Server. um deles é Windows Defender controle de aplicativo (WDAC, anteriormente conhecido como integridade de código), que fornece a filtragem de executáveis e garante que apenas códigos autorizados sejam executados dentro da infraestrutura de Hub de Azure Stack.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM. O código autorizado assinado é incluído na lista de softwares permitidos especificados em uma política definida pela Microsoft. Em outras palavras, somente o software que foi aprovado para execução na infraestrutura do hub de Azure Stack pode ser executado. Qualquer tentativa de executar código não autorizado é bloqueada, e um alerta é gerado. O Azure Stack Hub impõe a integridade de código de modo de usuário (UMCI) e a integridade de código do hipervisor (política HVAC).

A política WDAC também impede que os agentes ou software de terceiros sejam executados na infraestrutura de Hub de Azure Stack. para obter mais informações sobre o WDAC, consulte Windows Defender controle de aplicativo e proteção baseada em virtualização de integridade de código.

Antimalware

cada componente no Hub de Azure Stack (hosts Hyper-V e máquinas virtuais) é protegido com Windows Defender Antivírus.

Em cenários conectados, a definição de antivírus e as atualizações de mecanismo são aplicadas várias vezes por dia. Em cenários desconectados, as atualizações Antimalware são aplicadas como parte das atualizações de Hub de Azure Stack mensais. caso uma atualização mais frequente nas definições de Windows Defender seja necessária em cenários desconectados, o Hub de Azure Stack também oferece suporte à importação de atualizações Windows Defender. para obter mais informações, consulte update Windows Defender Antivírus on Azure Stack Hub.

Inicialização Segura

Azure Stack Hub impõe a inicialização segura em todos os hosts e máquinas virtuais de infraestrutura do Hyper-V.

Modelo de administração restrita

A administração no Hub Azure Stack é controlada por três pontos de entrada, cada um com uma finalidade específica:

  • O portal do administrador fornece uma experiência de apontar e clicar para operações diárias de gerenciamento.
  • Azure Resource Manager expõe todas as operações de gerenciamento do portal do administrador por meio de uma API REST, usada pelo PowerShell e CLI do Azure.
  • Para operações específicas de nível baixo (por exemplo, integração do Datacenter ou cenários de suporte), o Hub Azure Stack expõe um ponto de extremidade do PowerShell chamado ponto de extremidade privilegiado. Esse ponto de extremidade expõe apenas um conjunto permitido de cmdlets e é muito auditado.

Controles de rede

Azure Stack infraestrutura de Hub vem com várias camadas de ACL (lista de controle de acesso) de rede. As ACLs impedem o acesso não autorizado aos componentes de infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para seu funcionamento.

As ACLs de rede são impostas em três camadas:

  • Camada 1: topo dos comutadores do rack
  • Camada 2: rede definida pelo software
  • Camada 3: firewalls do sistema operacional de host e VM

Conformidade normativa

O Hub de Azure Stack passou por uma avaliação de capacidade formal por uma empresa de auditoria independente de terceiros. Como resultado, a documentação sobre como a infraestrutura de Hub de Azure Stack atende aos controles aplicáveis de vários padrões de conformidade principais está disponível. A documentação não é uma certificação do hub de Azure Stack porque os padrões incluem vários controles relacionados à equipe e ao processo. Em vez disso, os clientes podem usar esta documentação para iniciar seu processo de certificação.

As avaliações incluem os seguintes padrões:

  • PCI-DSS aborda o setor de cartão de pagamento.
  • A matriz de controle de nuvem CSA é um mapeamento abrangente entre vários padrões, incluindo FedRAMP moderado, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 e outros.
  • FedRAMP alto para clientes do governo.

A documentação de conformidade pode ser encontrada no portal de confiança do serviço da Microsoft. Os guias de conformidade são um recurso protegido e exigem que você entre com suas credenciais de serviço de nuvem do Azure.

Próximas etapas