Configurar controlos de segurança do Azure Stack HubConfigure Azure Stack Hub security controls

Este artigo explica os controlos de segurança que podem ser alterados no Azure Stack Hub e destaca as compensações quando aplicável.This article explains the security controls that can be changed in Azure Stack Hub and highlights the tradeoffs where applicable.

A arquitetura Azure Stack Hub é construída sobre dois pilares de princípio de segurança: assumir a violação e endurecer por defeito.Azure Stack Hub architecture is built on two security principle pillars: assume breach and hardened by default. Para obter mais informações sobre a segurança do Azure Stack Hub, consulte a postura de segurança da infraestrutura do Azure Stack Hub.For more information on Azure Stack Hub security, see Azure Stack Hub infrastructure security posture. Embora a postura de segurança padrão do Azure Stack Hub esteja pronta para a produção, existem alguns cenários de implementação que requerem um endurecimento adicional.While the default security posture of Azure Stack Hub is production-ready, there are some deployment scenarios that require additional hardening.

Política de versão TLSTLS version policy

O protocolo de Segurança da Camada de Transporte (TLS) é um protocolo criptográfico amplamente adotado para estabelecer uma comunicação encriptada sobre a rede.The Transport Layer Security (TLS) protocol is a widely adopted cryptographic protocol to establish encrypted communication over the network. O TLS evoluiu ao longo do tempo e foram lançadas várias versões.TLS has evolved over time and multiple versions have been released. A infraestrutura Azure Stack Hub utiliza exclusivamente TLS 1.2 para todas as suas comunicações.Azure Stack Hub infrastructure exclusively uses TLS 1.2 for all its communications. Para interfaces externas, o Azure Stack Hub não tem atualmente falhas na utilização do TLS 1.2.For external interfaces, Azure Stack Hub currently defaults to use TLS 1.2. No entanto, para retrocompatibilidade, apoia também a negociação até ao TLS 1.1.However, for backwards compatibility, it also supports negotiating down to TLS 1.1. e 1.0.and 1.0. Quando um cliente TLS solicita a comunicação através de TLS 1.1 ou TLS 1.0, a Azure Stack Hub honra o pedido negociando para uma versão TLS mais baixa.When a TLS client requests to communicate over TLS 1.1 or TLS 1.0, Azure Stack Hub honors the request by negotiating to a lower TLS version. Se o cliente solicitar TLS 1.2, o Azure Stack Hub estabelecerá uma ligação TLS utilizando o TLS 1.2.If the client requests TLS 1.2, Azure Stack Hub will establish a TLS connection using TLS 1.2.

Uma vez que os TLS 1.0 e 1.1 estão a ser progressivamente depreciados ou proibidos por organizações e padrões de conformidade, a começar pela atualização de 1906, pode agora configurar a política TLS no Azure Stack Hub.Since TLS 1.0 and 1.1 are incrementally being deprecated or banned by organizations and compliance standards, beginning with the 1906 update, you can now configure the TLS policy in Azure Stack Hub. Pode aplicar uma política TLS 1.2 apenas quando qualquer tentativa de estabelecer uma sessão de TLS com uma versão inferior a 1.2 não é permitida e é rejeitada.You can enforce a TLS 1.2 only policy where any attempt of establishing a TLS session with a version lower than 1.2 isn't permitted and is rejected.

Importante

A Microsoft recomenda a utilização de apenas uma política TLS 1.2 para ambientes de produção do Azure Stack Hub.Microsoft recommends using TLS 1.2 only policy for Azure Stack Hub production environments.

Obtenha a política TLSGet TLS policy

Utilize o ponto final privilegiado (PEP) para ver a política TLS para todos os pontos finais do Azure Stack Hub:Use the privileged endpoint (PEP) to view the TLS policy for all Azure Stack Hub endpoints:

Get-TLSPolicy

Exemplo de saída:Example output:

TLS_1.2

Definir política TLSSet TLS policy

Utilize o ponto final privilegiado (PEP) para definir a política TLS para todos os pontos finais do Azure Stack Hub:Use the privileged endpoint (PEP) to set the TLS policy for all Azure Stack Hub endpoints:

Set-TLSPolicy -Version <String>

Parâmetros para o cmdlet Set-TLSPolicy:Parameters for Set-TLSPolicy cmdlet:

ParâmetroParameter DescriçãoDescription TipoType NecessárioRequired
VersãoVersion Versão(s) permitidas de TLS no Azure Stack HubAllowed version(s) of TLS in Azure Stack Hub StringString simyes

Utilize um dos seguintes valores para configurar as versões TLS permitidas para todos os pontos finais do Azure Stack Hub:Use one of the following values to configure the permitted TLS versions for all Azure Stack Hub endpoints:

Valor da versãoVersion value DescriptionDescription
TLS_AllTLS_All Os pontos finais do Azure Stack Hub TLS suportam o TLS 1.2, mas é permitida a negociação para TLS 1.1 e TLS 1.0.Azure Stack Hub TLS endpoints support TLS 1.2, but down negotiation to TLS 1.1 and TLS 1.0 is allowed.
TLS_1.2TLS_1.2 Os pontos finais do Azure Stack Hub TLS suportam apenas TLS 1.2.Azure Stack Hub TLS endpoints support TLS 1.2 only.

A atualização da política TLS leva alguns minutos a ser concluída.Updating the TLS policy takes a few minutes to complete.

Impor exemplo de configuração TLS 1.2Enforce TLS 1.2 configuration example

Este exemplo define a sua política TLS apenas para impor o TLS 1.2.This example sets your TLS policy to enforce TLS 1.2 only.

Set-TLSPolicy -Version TLS_1.2

Exemplo de saída:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Permitir todas as versões de TLS (1.2, 1.1 e 1.0) exemplo de configuraçãoAllow all versions of TLS (1.2, 1.1, and 1.0) configuration example

Este exemplo define a sua política TLS para permitir todas as versões de TLS (1.2, 1.1 e 1.0).This example sets your TLS policy to allow all versions of TLS (1.2, 1.1, and 1.0).

Set-TLSPolicy -Version TLS_All

Exemplo de saída:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Passos seguintesNext steps