Considerações de segurança do Azure Stack HCI

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas com o sistema operativo Azure Stack HCI:

  • A parte 1 abrange ferramentas e tecnologias de segurança básicas para proteger o sistema operativo e proteger dados e identidades para criar de forma eficiente uma base segura para a sua organização.
  • A parte 2 abrange os recursos disponíveis através do Microsoft Defender para a Cloud. Veja Microsoft Defender de Introdução à Cloud.
  • A parte 3 abrange considerações de segurança mais avançadas para reforçar ainda mais a postura de segurança da sua organização nestas áreas.

Por que motivo as considerações de segurança são importantes?

A segurança afeta todas as pessoas na sua organização, desde a gestão de nível superior até ao técnico de informação. A segurança inadequada é um risco real para as organizações, uma vez que uma falha de segurança pode potencialmente perturbar todas as empresas normais e parar a sua organização. Quanto mais cedo conseguir detetar um potencial ataque, mais rápido poderá mitigar qualquer compromisso em termos de segurança.

Depois de pesquisar os pontos fracos de um ambiente para explorá-los, um atacante pode normalmente dentro de 24 a 48 horas após o compromisso inicial escalar privilégios para assumir o controlo dos sistemas na rede. As boas medidas de segurança endurecem os sistemas no ambiente para prolongar o tempo que um atacante demora a assumir potencialmente o controlo de horas a semanas ou mesmo meses, bloqueando os movimentos do atacante. Implementar as recomendações de segurança neste tópico posiciona a sua organização para detetar e responder a ataques tão rapidamente quanto possível.

Parte 1: Criar uma base segura

As secções seguintes recomendam ferramentas e tecnologias de segurança para criar uma base segura para os servidores que executam o sistema operativo Azure Stack HCI no seu ambiente.

Proteger o ambiente

Esta secção aborda como proteger serviços e máquinas virtuais (VMs) em execução no sistema operativo:

  • O hardware certificado pelo Azure Stack HCI fornece definições consistentes de Arranque Seguro, UEFI e TPM fora da caixa. Combinar segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Também pode ligar esta infraestrutura fidedigna a Microsoft Defender para a Cloud ativar análises comportamentais e relatórios para contabilizar as cargas de trabalho e ameaças em rápida mudança.

    • O arranque seguro é uma norma de segurança desenvolvida pela indústria de PC para ajudar a garantir que um dispositivo arranca utilizando apenas software fidedigno pelo Fabricante de Equipamento Original (OEM). Para saber mais, veja Arranque seguro.
    • A United Extensible Firmware Interface (UEFI) controla o processo de arranque do servidor e, em seguida, passa o controlo para o Windows ou para outro sistema operativo. Para saber mais, veja Requisitos de firmware UEFI.
    • A tecnologia Trusted Platform Module (TPM) fornece funções relacionadas com segurança e baseadas em hardware. Um chip TPM é um processador criptográfico seguro que gera, armazena e limita a utilização de chaves criptográficas. Para saber mais, veja Descrição Geral da Tecnologia do Módulo de Plataforma Fidedigna.

    Para saber mais sobre os fornecedores de hardware certificados pelo Azure Stack HCI, veja o site de soluções do Azure Stack HCI .

  • A ferramenta segurança está disponível nativamente no Windows Admin Center para clusters do Azure Stack HCI e servidor único para facilitar a gestão e o controlo de segurança. A ferramenta centraliza algumas definições de segurança principais para servidores e clusters, incluindo a capacidade de ver o estado De núcleo seguro dos sistemas.

    Para saber mais, veja Servidor secured-core.

  • Device Guard e Credential Guard. O Device Guard protege contra software maligno sem assinatura conhecida, código não assinado e software maligno que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema. Windows Defender Credential Guard utiliza segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa aceder aos mesmos.

    Para saber mais, veja Gerir Windows Defender Credential Guard e transfira a ferramenta de preparação de hardware do Device Guard e do Credential Guard.

  • As atualizações do Windows e do firmware são essenciais em clusters, servidores (incluindo VMs convidadas) e PCs para ajudar a garantir que tanto o sistema operativo como o hardware do sistema estão protegidos contra atacantes. Pode utilizar a ferramenta Atualizações Windows Admin Center para aplicar atualizações a sistemas individuais. Se o seu fornecedor de hardware incluir Windows Admin Center suporte para obter atualizações de controladores, firmware e soluções, pode obter estas atualizações ao mesmo tempo que as atualizações do Windows; caso contrário, obtenha-as diretamente junto do fornecedor.

    Para saber mais, consulte Atualizar o cluster.

    Para gerir atualizações em vários clusters e servidores de cada vez, considere subscrever o serviço opcional Azure Update Management, que está integrado com Windows Admin Center. Para obter mais informações, veja Azure Update Management using Windows Admin Center (Gestão de Atualizações do Azure com Windows Admin Center).

Proteger os dados

Esta secção aborda como utilizar Windows Admin Center para proteger dados e cargas de trabalho no sistema operativo:

  • O BitLocker para Espaços de Armazenamento protege os dados inativos. Pode utilizar o BitLocker para encriptar o conteúdo de Espaços de Armazenamento volumes de dados no sistema operativo. A utilização do BitLocker para proteger dados pode ajudar as organizações a manterem-se em conformidade com normas específicas do governo, regionais e do setor, como o FIPS 140-2 e o HIPAA.

    Para saber mais sobre como utilizar o BitLocker no Windows Admin Center, veja Ativar encriptação de volume, eliminação de duplicados e compressão

  • A encriptação SMB para redes do Windows protege os dados em trânsito. O Server Message Block (SMB) é um protocolo de partilha de ficheiros de rede que permite que as aplicações num computador leiam e escrevam em ficheiros e solicitem serviços a partir de programas de servidor numa rede de computador.

    Para ativar a encriptação SMB, veja Melhorias de segurança do SMB.

  • Windows Defender Antivírus protege o sistema operativo em clientes e servidores contra vírus, software maligno, spyware e outras ameaças. Para saber mais, veja Antivírus Microsoft Defender no Windows Server.

Proteger identidades

Esta secção aborda como utilizar Windows Admin Center para proteger identidades privilegiadas:

  • O controlo de acesso pode melhorar a segurança do seu panorama de gestão. Se estiver a utilizar um servidor Windows Admin Center (vs. em execução num PC Windows 10), pode controlar dois níveis de acesso ao próprio Windows Admin Center: utilizadores de gateway e administradores de gateway. As opções do fornecedor de identidade do administrador do gateway incluem:

    • Active Directory ou grupos de máquinas locais para impor a autenticação de smartcard.
    • Microsoft Entra ID para impor o acesso condicional e a autenticação multifator.

    Para saber mais, veja Opções de acesso do utilizador com Windows Admin Center e Configurar Controlo de Acesso e Permissões do Utilizador.

  • O tráfego do browser para Windows Admin Center utiliza HTTPS. O tráfego de Windows Admin Center para servidores geridos utiliza o PowerShell padrão e o Windows Management Instrumentation (WMI) através da Gestão Remota do Windows (WinRM). Windows Admin Center suporta a Solução de Palavra-passe de Administrador Local (LAPS), delegação restrita baseada em recursos, controlo de acesso ao gateway com o Active Directory (AD) ou Microsoft Entra ID e controlo de acesso baseado em funções (RBAC) para gerir o gateway de Windows Admin Center.

    Windows Admin Center suporta o Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge Insider no Windows 10. Pode instalar Windows Admin Center num PC Windows 10 ou num servidor Windows.

    Se instalar Windows Admin Center num servidor, este é executado como um gateway, sem IU no servidor anfitrião. Neste cenário, os administradores podem iniciar sessão no servidor através de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no anfitrião. No entanto, é melhor utilizar um certificado SSL adequado de uma autoridade de certificação fidedigna para o processo de início de sessão, uma vez que os browsers suportados tratam uma ligação autoassinada como não sendosecure, mesmo que a ligação seja para um endereço IP local através de uma VPN fidedigna.

    Para saber mais sobre as opções de instalação da sua organização, consulte Que tipo de instalação é adequado para si?.

  • O CredSSP é um fornecedor de autenticação que Windows Admin Center utiliza em alguns casos para transmitir credenciais a máquinas para além do servidor específico que pretende gerir. Windows Admin Center requer atualmente o CredSSP para:

    • Criar um novo cluster.
    • Aceda à ferramenta Atualizações para utilizar o clustering de Ativação pós-falha ou Cluster-Aware Funcionalidades de atualização.
    • Gerir o armazenamento SMB desagregado em VMs.

    Para saber mais, consulte Windows Admin Center utiliza CredSSP?

  • As ferramentas de segurança no Windows Admin Center que pode utilizar para gerir e proteger identidades incluem o Active Directory, Certificados, Firewall, Utilizadores Locais e Grupos, entre outros.

    Para saber mais, veja Gerir Servidores com Windows Admin Center.

Parte 2: Utilizar Microsoft Defender para a Cloud (MDC)

Microsoft Defender para a Cloud é um sistema unificado de gestão de segurança de infraestrutura que reforça a postura de segurança dos seus datacenters e fornece proteção avançada contra ameaças nas cargas de trabalho híbridas na cloud e no local. O Defender para Cloud fornece-lhe ferramentas para avaliar o estado de segurança da sua rede, proteger cargas de trabalho, levantar alertas de segurança e seguir recomendações específicas para remediar ataques e lidar com ameaças futuras. O Defender para a Cloud executa todos estes serviços a alta velocidade na cloud sem sobrecarga de implementação através do aprovisionamento automático e proteção com os serviços do Azure.

O Defender para a Cloud protege as VMs para servidores Windows e servidores Linux ao instalar o agente do Log Analytics nestes recursos. O Azure correlaciona os eventos que os agentes recolhem em recomendações (tarefas de proteção) que executa para tornar as cargas de trabalho seguras. As tarefas de proteção baseadas nas melhores práticas de segurança incluem gerir e impor políticas de segurança. Em seguida, pode controlar os resultados e gerir a conformidade e a governação ao longo do tempo através da monitorização do Defender para a Cloud, ao mesmo tempo que reduz a superfície de ataque em todos os seus recursos.

Gerir quem pode aceder aos seus recursos e subscrições do Azure é uma parte importante da sua estratégia de governação do Azure. O RBAC do Azure é o principal método de gestão do acesso no Azure. Para saber mais, veja Gerir o acesso ao seu ambiente do Azure com controlo de acesso baseado em funções.

Trabalhar com o Defender para a Cloud através de Windows Admin Center requer uma subscrição do Azure. Para começar, veja Proteger recursos de Windows Admin Center com Microsoft Defender para a Cloud. Para começar, consulte Planear a Implementação do Defender para Servidor. Para obter o licenciamento do Defender para Servidores (planos de servidor), veja Selecionar um Plano do Defender para Servidores.

Depois de se registar, aceda ao MDC no Windows Admin Center: na página Todas as Ligações, selecione um servidor ou VM, em Ferramentas, selecione Microsoft Defender para a Cloud e, em seguida, selecione Iniciar sessão no Azure.

Para obter mais informações, consulte O que é Microsoft Defender para a Cloud?.

Parte 3: Adicionar segurança avançada

As secções seguintes recomendam ferramentas e tecnologias de segurança avançadas para proteger ainda mais os servidores que executam o sistema operativo Azure Stack HCI no seu ambiente.

Proteger o ambiente

  • As linhas de base de segurança da Microsoft baseiam-se em recomendações de segurança da Microsoft obtidas através de uma parceria com organizações comerciais e com o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem definições de segurança recomendadas para a Firewall do Windows, Windows Defender e muitas outras.

    As linhas de base de segurança são fornecidas como cópias de segurança Política de Grupo Object (GPO) que pode importar para Active Directory Domain Services (AD DS) e, em seguida, implementar em servidores associados a um domínio para proteger o ambiente. Também pode utilizar ferramentas de Script Local para configurar servidores autónomos (não associados a um domínio) com linhas de base de segurança. Para começar a utilizar as linhas de base de segurança, transfira o Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, consulte Linhas de Base de Segurança da Microsoft.

Proteger os dados

  • A proteção do ambiente Hyper-V requer a proteção do Windows Server em execução numa VM, tal como iria proteger o sistema operativo em execução num servidor físico. Uma vez que os ambientes virtuais normalmente têm várias VMs que partilham o mesmo anfitrião físico, é imperativo proteger o anfitrião físico e as VMs em execução no mesmo. Um atacante que compromete um anfitrião pode afetar várias VMs com um maior impacto nas cargas de trabalho e nos serviços. Esta secção aborda os seguintes métodos que pode utilizar para proteger o Windows Server num ambiente Hyper-V:

    • O Virtual Trusted Platform Module (vTPM) no Windows Server suporta o TPM para VMs, o que lhe permite utilizar tecnologias de segurança avançadas, como o BitLocker em VMs. Pode ativar o suporte do TPM em qualquer VM Hyper-V de Geração 2 com o Gestor de Hyper-V ou o Enable-VMTPM cmdlet Windows PowerShell.

      Nota

      Ativar o vTPM afetará a mobilidade da VM: serão necessárias ações manuais para permitir que a VM comece num Anfitrião diferente do que ativou o vTPM originalmente.

      Para saber mais, veja Enable-VMTPM.

    • A Rede Definida pelo Software (SDN) no Azure Stack HCI e no Windows Server configura e gere centralmente dispositivos de rede virtual, como o balanceador de carga de software, a firewall do datacenter, os gateways e os comutadores virtuais na sua infraestrutura. Os elementos de rede virtual, como o Comutador Virtual do Hyper-V, a Virtualização de Rede Hyper-V e o Gateway RAS, foram concebidos para serem elementos integrais da sua infraestrutura SDN.

      Para saber mais, veja Redes Definidas pelo Software (SDN).

      Nota

      As VMs blindadas protegidas pelo Serviço Guardião do Anfitrião não são suportadas no Azure Stack HCI.

Proteger identidades

  • A Solução de Palavra-passe de Administrador Local (LAPS) é um mecanismo simples para sistemas associados a um domínio do Active Directory que define periodicamente a palavra-passe da conta de administrador local de cada computador para um novo valor aleatório e exclusivo. As palavras-passe são armazenadas num atributo confidencial seguro no objeto de computador correspondente no Active Directory, onde apenas os utilizadores especificamente autorizados podem obtê-las. A LAPS utiliza contas locais para a gestão remota de computadores de uma forma que oferece algumas vantagens sobre a utilização de contas de domínio. Para saber mais, veja Utilização Remota de Contas Locais: LAPS Altera Tudo.

    Para começar a utilizar a LAPS, transfira a Solução de Palavra-passe de Administrador Local (LAPS).

  • O Microsoft Advanced Threat Analytics (ATA) é um produto no local que pode utilizar para ajudar a detetar atacantes que tentam comprometer identidades privilegiadas. O ATA analisa o tráfego de rede para protocolos de autenticação, autorização e recolha de informações, como Kerberos e DNS. O ATA utiliza os dados para criar perfis comportamentais de utilizadores e outras entidades na rede para detetar anomalias e padrões de ataque conhecidos.

    Para saber mais, consulte O que é o Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard protege as credenciais através de uma ligação de Ambiente de Trabalho Remoto ao redirecionar os pedidos Kerberos para o dispositivo que está a pedir a ligação. Também fornece início de sessão único (SSO) para sessões de Ambiente de Trabalho Remoto. Durante uma sessão de Ambiente de Trabalho Remoto, se o dispositivo de destino estiver comprometido, as suas credenciais não serão expostas porque as credenciais e os derivados de credenciais nunca são transmitidos através da rede para o dispositivo de destino.

    Para saber mais, veja Gerir Windows Defender Credential Guard.

  • Microsoft Defender para Identidades ajuda-o a proteger identidades privilegiadas através da monitorização do comportamento e das atividades dos utilizadores, da redução da superfície de ataque, da proteção do Serviço Federal do Active Directory (AD FS) num ambiente híbrido e da identificação de atividades suspeitas e ataques avançados na cadeia de eliminação de ciberataques.

    Para saber mais, consulte O que é Microsoft Defender para Identidade?.

Passos seguintes

Para obter mais informações sobre segurança e conformidade regulamentar, consulte: