Considerações de segurança do Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Windows Server 2022, Windows Server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas com o sistema operativo Azure Stack HCI:

  • A Parte 1 abrange ferramentas e tecnologias básicas de segurança para endurecer o sistema operativo e proteger dados e identidades para construir eficientemente uma base segura para a sua organização.
  • A parte 2 abrange os recursos disponíveis através do Centro de Segurança Azure.
  • A parte 3 cobre considerações de segurança mais avançadas para reforçar ainda mais a postura de segurança da sua organização nestas áreas.

Por que as considerações de segurança são importantes?

A segurança afeta todos na sua organização, desde a gestão de alto nível até ao trabalhador da informação. A segurança inadequada é um risco real para as organizações, uma vez que uma falha de segurança pode potencialmente perturbar todos os negócios normais e pôr fim à sua organização. Quanto mais cedo detetares um potencial ataque, mais depressa podes atenuar qualquer compromisso em segurança.

Depois de pesquisar os pontos fracos de um ambiente para explorá-los, um intruso pode tipicamente dentro de 24 a 48 horas do compromisso inicial escalar privilégios para assumir o controlo de sistemas na rede. Boas medidas de segurança endurecem os sistemas no ambiente para prolongar o tempo que um intruso leva para potencialmente assumir o controlo de horas a semanas ou mesmo meses bloqueando os movimentos do atacante. Implementar as recomendações de segurança neste tópico posicione a sua organização para detetar e responder a tais ataques o mais rápido possível.

Parte 1: Construir uma fundação segura

As seguintes secções recomendam ferramentas e tecnologias de segurança para construir uma base segura para os servidores que executam o sistema operativo Azure Stack HCI no seu ambiente.

Endurecer o ambiente

Esta secção discute como proteger os serviços e máquinas virtuais (VMs) em execução no sistema operativo:

  • O hardware certificado Azure Stack HCI fornece configurações consistentes de Secure Boot, UEFI e TPM fora da caixa. Combinar segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Também pode ligar esta infraestrutura fidedigna ao Azure Security Center para ativar análises comportamentais e reportar para responder a uma rápida mudança de cargas de trabalho e ameaças.

    • O boot secure é um padrão de segurança desenvolvido pela indústria de PC para ajudar a garantir que um dispositivo arranque usando apenas software que é confiável pelo Fabricante de Equipamentos Originais (OEM). Para saber mais, consulte a bota Secure.
    • A United Extensible Firmware Interface (UEFI) controla o processo de arranque do servidor e, em seguida, passa o controlo para Windows ou outro sistema operativo. Para saber mais, consulte os requisitos de firmware da UEFI.
    • A tecnologia Trusted Platform Module (TPM) fornece funções baseadas em hardware e relacionadas com a segurança. Um chip TPM é um crypto-processador seguro que gera, armazena e limita o uso de chaves criptográficas. Para saber mais, consulte a Visão Geral da Tecnologia do Módulo de Plataforma Fidedigna.

    Para saber mais sobre os fornecedores de hardware certificados Azure Stack HCI, consulte o site de soluções Azure Stack HCI.

  • A ferramenta Security está disponível nativamente no Windows Centro de Administração para clusters de HCI de servidor único e Azure Stack HCI para facilitar a gestão e controlo de segurança. A ferramenta centraliza algumas definições de segurança chave para servidores e clusters, incluindo a capacidade de visualizar o estado do núcleo secured dos sistemas.

    Para saber mais, consulte o servidor Secured-core.

  • Proteção de Dispositivos e Guarda Credencial. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao núcleo para capturar informações sensíveis ou danificar o sistema. Windows Defender a Credential Guard usa a segurança baseada na virtualização para isolar segredos para que apenas o software privilegiado do sistema possa aceder aos mesmos.

    Para saber mais, consulte Gerir Windows Defender Guarda Credencial e baixar a ferramenta de preparação para hardware da Proteção de Dispositivos e da Guarda Credencial.

  • Windows e atualizações de firmware são essenciais em clusters, servidores (incluindo VMs de hóspedes) e computadores para ajudar a garantir que tanto o sistema operativo como o hardware do sistema estão protegidos contra os atacantes. Pode utilizar a ferramenta Windows Admin Center Updates para aplicar atualizações em sistemas individuais. Se o seu fornecedor de hardware incluir Windows suporte do Admin Center para obter atualizações de controlador, firmware e solução, pode obter estas atualizações ao mesmo tempo que Windows atualizações, caso contrário, obtenha-as diretamente do seu fornecedor.

    Para saber mais, consulte Atualizar o cluster.

    Para gerir atualizações em vários clusters e servidores de cada vez, considere subscrever o serviço opcional de Gestão de Atualização Azure, que está integrado com Windows Centro de Administração. Para obter mais informações, consulte a Azure Update Management utilizando Windows Centro de Administração.

Proteger os dados

Esta secção discute como utilizar Windows Centro de Administração para proteger dados e cargas de trabalho no sistema operativo:

  • BitLocker para Espaços de Armazenamento protege os dados em repouso. Pode utilizar o BitLocker para encriptar o conteúdo de volumes de dados Espaços de Armazenamento no sistema operativo. A utilização do BitLocker para proteger os dados pode ajudar as organizações a manterem-se em conformidade com os padrões governamentais, regionais e específicos da indústria, tais como FIPS 140-2 e HIPAA.

    Para saber mais sobre a utilização do BitLocker no Windows Centro de Administração, consulte Ativar a encriptação de volume, desduplicação e compressão

  • A encriptação SMB para Windows rede protege os dados em trânsito. Server Message Block (SMB) é um protocolo de partilha de ficheiros de rede que permite que aplicações num computador leiam e escrevam para ficheiros e solicitem serviços a partir de programas de servidor numa rede de computador.

    Para ativar a encriptação SMB, consulte melhorias de segurança SMB.

  • Antivírus do Windows Defender em Windows O Admin Center protege o sistema operativo em clientes e servidores contra vírus, malware, spyware e outras ameaças. Para saber mais, consulte Antivírus do Microsoft Defender sobre Windows Server 2016 e 2019.

Proteger identidades

Esta secção discute como usar Windows Centro de Administração para proteger identidades privilegiadas:

  • O controlo de acessos pode melhorar a segurança do seu panorama de gestão. Se estiver a utilizar um servidor Windows Admin Center (vs. em execução num PC Windows 10), pode controlar dois níveis de acesso ao Windows próprio Centro de Administração: utilizadores de gateway e administradores de gateway. As opções de fornecedor de identidade do administrador gateway incluem:

    • Diretório ativo ou grupos de máquinas locais para impor a autenticação do smartcard.
    • Azure Ative Directory para impor o acesso condicional e a autenticação multifactor.

    Para saber mais, consulte as opções de acesso ao Utilizador com Windows Centro de Administração e Configurar controlo e permissões de acesso ao utilizador.

  • O tráfego do navegador para Windows O Centro de Administração utiliza HTTPS. O tráfego de Windows Centro de Administração para servidores geridos utiliza a Instrumentação Padrão de Gestão de Windows (WMI) sobre Windows Gestão Remota (WinRM). Windows Admin Center suporta a Solução de Senha de Administrador Local (LAPS), a delegação restrita baseada em recursos, o controlo de acesso de gateway utilizando o Ative Directory (AD) ou Microsoft Azure Ative Directory (Azure AD) e o controlo de acesso baseado em funções (RBAC) para gerir servidores-alvo.

    Windows Admin Center suporta Microsoft Edge (Windows 10, versão 1709 ou mais tarde), Google Chrome e Microsoft Edge Insider na Windows 10. Pode instalar Windows Centro de Administração num PC Windows 10 ou num servidor Windows.

    Se instalar Windows Admin Center num servidor, funciona como porta de entrada, sem UI no servidor anfitrião. Neste cenário, os administradores podem iniciar sessão no servidor através de uma sessão HTTPS, assegurada por um certificado de segurança auto-assinado no anfitrião. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificado de confiança para o processo de inscrição, porque os navegadores suportados tratam uma ligação auto-assinada como insegura, mesmo que a ligação seja para um endereço IP local sobre uma VPN confiável.

    Para saber mais sobre as opções de instalação para a sua organização, veja que tipo de instalação é a certa para si?

  • O CredSSP é um fornecedor de autenticação que Windows Admin Center utiliza em alguns casos para passar credenciais para máquinas além do servidor específico que está a direcionar. Windows Centro de Administração atualmente requer que o CredSSP:

    • Criar um novo aglomerado.
    • Aceda à ferramenta Atualizações para utilizar o cluster de Failover ou Cluster-Aware funcionalidades de atualização.
    • Gerir o armazenamento SMB desagregado em VMs.

    Para saber mais, veja Windows Centro de Administração usa o CredSSP?

  • O controlo de acesso baseado em funções (RBAC) no Windows Admin Center permite aos utilizadores um acesso limitado aos servidores que precisam de gerir em vez de os tornar administradores locais completos. Para utilizar o RBAC no Windows Admin Center, configura cada servidor gerido com um ponto final da Administração PowerShell Just Enough.

    Para saber mais, consulte o controlo de acesso baseado em funções e a Administração Just Enough.

  • As ferramentas de segurança no Windows Centro de Administração que pode utilizar para gerir e proteger identidades incluem Diretório Ativo, Certificados, Firewall, Utilizadores e Grupos Locais, entre outros.

    Para saber mais, consulte Gerir servidores com Windows Centro de Administração.

Parte 2: Use o Centro de Segurança Azure

O Azure Security Center é um sistema unificado de gestão de segurança de infraestruturas que fortalece a postura de segurança dos seus centros de dados, e fornece uma proteção avançada de ameaças através das suas cargas de trabalho híbridas na nuvem e nas instalações. O Security Center fornece-lhe ferramentas para avaliar o estado de segurança da sua rede, proteger cargas de trabalho, elevar alertas de segurança e seguir recomendações específicas para remediar ataques e enfrentar ameaças futuras. O Security Center realiza todos estes serviços a alta velocidade na nuvem sem implantação aérea através de fornecimento automático e proteção com serviços Azure.

O Security Center protege os VMs tanto para os servidores Windows como para os servidores Linux, instalando o agente Log Analytics nestes recursos. O Azure correlaciona os eventos que os agentes recolhem em recomendações (tarefas de endurecimento) que executa para tornar as suas cargas de trabalho seguras. As tarefas de endurecimento baseadas nas melhores práticas de segurança incluem a gestão e a aplicação das políticas de segurança. Em seguida, pode acompanhar os resultados e gerir a conformidade e a governação ao longo do tempo através da monitorização do Security Center, reduzindo a superfície de ataque em todos os seus recursos.

Gerir quem pode aceder aos seus recursos e subscrições do Azure é uma parte importante da sua estratégia de governação do Azure. O controlo de acesso baseado em funções (RBAC) do Azure é o método principal de gestão de acesso no Azure. Para saber mais, consulte Gerir o acesso ao seu ambiente Azure com controlo de acesso baseado em funções.

Trabalhar com o Security Center através do Windows Admin Center requer uma subscrição do Azure. Para começar, consulte o Integrate Azure Security Center com Windows Centro de Administração.

Depois de se registar, aceda ao Centro de Segurança em Windows Centro de Administração: Na página De Todas as Ligações, selecione um servidor ou VM, em Ferramentas,selecione O Centro de Segurança Azuree, em seguida, selecione Iniciar em Azure.

Para saber mais, veja o que é o Centro de Segurança Azure?

Parte 3: Adicionar segurança avançada

As seguintes secções recomendam ferramentas e tecnologias de segurança avançadas para endurecer ainda mais os servidores que executam o sistema operativo Azure Stack HCI no seu ambiente.

Endurecer o ambiente

  • As linhas de base de segurança da Microsoft baseiam-se em recomendações de segurança da Microsoft obtidas através de parcerias com organizações comerciais e com o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem configurações de segurança recomendadas para Windows Firewall, Windows Defender, e muitas outras.

    As linhas de base de segurança são fornecidas como backups do Group Policy Object (GPO) que pode importar para serviços de domínio de diretório ativo (DS) e, em seguida, implementar para servidores unidos por domínios para endurecer o ambiente. Também pode utilizar ferramentas de Script Local para configurar servidores autónomos (não ligados a domínios) com linhas de base de segurança. Para começar a utilizar as linhas de base de segurança, descarregue o Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, consulte as Linhas de Base de Segurança do Microsoft.

Proteger os dados

  • O endurecimento do ambiente Hiper-V requer um endurecimento Windows Servidor a funcionar num VM tal como endureceria o sistema operativo em funcionamento num servidor físico. Como os ambientes virtuais normalmente têm vários VMs partilhando o mesmo hospedeiro físico, é imperativo proteger tanto o hospedeiro físico como os VMs que o executam. Um intruso que comprometa um hospedeiro pode afetar vários VMs com um maior impacto nas cargas de trabalho e nos serviços. Esta secção discute os seguintes métodos que pode utilizar para endurecer Windows Servidor num ambiente Hiper-V:

    • O Módulo de Plataforma Fidedigna Virtual (vTPM) em Windows Server suporta TPM para VMs, que permite utilizar tecnologias avançadas de segurança, como o BitLocker em VMs. Pode ativar o suporte TPM em qualquer Geração 2 Hyper-V VM utilizando o Hyper-V Manager ou o Enable-VMTPM Windows PowerShell cmdlet.

      Para saber mais, consulte Enable-VMTPM.

    • Software Defined Networking (SDN) in Azure Stack HCI and Windows Server configura e gere centralmente dispositivos de rede virtuais, tais como o equilibrador de carga de software, firewall de data center, gateways e switches virtuais na sua infraestrutura. Elementos de rede virtuais, tais como Hyper-V Virtual Switch, Virtualização de Rede Hiper-V e PORTA DE RAS são projetados para serem elementos integrais da sua infraestrutura SDN.

      Para saber mais, consulte o Software Defined Networking (SDN).

      Nota

      Os VMs blindados não são suportados no Azure Stack HCI.

Proteger identidades

  • A Solução de Senha de Administrador Local (LAPS) é um mecanismo leve para sistemas de ligação ao domínio do Diretório Ativo que define periodicamente a senha de conta de administração local de cada computador para um novo valor aleatório e único. As palavras-passe são armazenadas num atributo confidencial seguro no objeto de computador correspondente no Ative Directory, onde apenas os utilizadores especificamente autorizados podem recuperá-las. O LAPS utiliza contas locais para a gestão remota do computador de uma forma que oferece algumas vantagens ao usar contas de domínio. Para saber mais, consulte a utilização remota de contas locais: LAPS Altera tudo.

    Para começar a utilizar o LAPS, baixe a Solução de Senha do Administrador Local (LAPS).

  • O Microsoft Advanced Threat Analytics (ATA) é um produto no local que pode usar para ajudar a detetar atacantes que tentam comprometer identidades privilegiadas. A ATA analisa o tráfego de rede para protocolos de autenticação, autorização e recolha de informação, como Kerberos e DNS. A ATA utiliza os dados para construir perfis comportamentais de utilizadores e outras entidades na rede para detetar anomalias e padrões de ataque conhecidos.

    Para saber mais, veja o que é Advanced Threat Analytics?

  • Windows Defender Proteção credencial remota protege credenciais sobre uma ligação remote desktop, redirecionando os pedidos de Kerberos de volta para o dispositivo que está solicitando a ligação. Também fornece um único sinal de entrada (SSO) para sessões de Desktop Remoto. Durante uma sessão de Desktop Remoto, se o dispositivo alvo estiver comprometido, as suas credenciais não são expostas porque tanto os derivados credenciais como os derivados credenciais nunca são passados sobre a rede para o dispositivo alvo.

    Para saber mais, consulte Gerir Windows Defender Guarda Credencial.

Passos seguintes

Para obter mais informações sobre segurança e conformidade regulamentar, consulte também: