Configure controlos de segurança do Hub de Stack AzureConfigure Azure Stack Hub security controls

Este artigo explica os controlos de segurança que podem ser alterados no Azure Stack Hub e destaca as trocas quando aplicável.This article explains the security controls that can be changed in Azure Stack Hub and highlights the tradeoffs where applicable.

A arquitetura Azure Stack Hub baseia-se em dois pilares de princípio de segurança: assumir a violação e endurecido por defeito.Azure Stack Hub architecture is built on two security principle pillars: assume breach and hardened by default. Para obter mais informações sobre a segurança do Azure Stack Hub, consulte a postura de segurança da infraestrutura Do Azure Stack Hub.For more information on Azure Stack Hub security, see Azure Stack Hub infrastructure security posture. Embora a postura de segurança padrão do Azure Stack Hub esteja pronta para a produção, existem alguns cenários de implementação que requerem endurecimento adicional.While the default security posture of Azure Stack Hub is production-ready, there are some deployment scenarios that require additional hardening.

Política de versão TLSTLS version policy

O protocolo Transport Layer Security (TLS) é um protocolo criptográfico amplamente adotado para estabelecer uma comunicação encriptada sobre a rede.The Transport Layer Security (TLS) protocol is a widely adopted cryptographic protocol to establish encrypted communication over the network. O TLS evoluiu ao longo do tempo e várias versões foram lançadas.TLS has evolved over time and multiple versions have been released. A infraestrutura Azure Stack Hub utiliza exclusivamente TLS 1.2 para todas as suas comunicações.Azure Stack Hub infrastructure exclusively uses TLS 1.2 for all its communications. Para interfaces externas, o Azure Stack Hub falha atualmente a utilização de TLS 1.2.For external interfaces, Azure Stack Hub currently defaults to use TLS 1.2. No entanto, para retroceder a compatibilidade, também apoia a negociação até ao TLS 1.1.However, for backwards compatibility, it also supports negotiating down to TLS 1.1. e 1.0.and 1.0. Quando um cliente TLS solicita a comunicação através de TLS 1.1 ou TLS 1.0, o Azure Stack Hub honra o pedido negociando para uma versão TLS mais baixa.When a TLS client requests to communicate over TLS 1.1 or TLS 1.0, Azure Stack Hub honors the request by negotiating to a lower TLS version. Se o cliente solicitar TLS 1.2, o Azure Stack Hub estabelecerá uma ligação TLS utilizando TLS 1.2.If the client requests TLS 1.2, Azure Stack Hub will establish a TLS connection using TLS 1.2.

Uma vez que o TLS 1.0 e o 1.1 estão a ser gradualmente depreciados ou banidos pelas organizações e padrões de conformidade, a começar pela atualização de 1906, pode agora configurar a política de TLS no Azure Stack Hub.Since TLS 1.0 and 1.1 are incrementally being deprecated or banned by organizations and compliance standards, beginning with the 1906 update, you can now configure the TLS policy in Azure Stack Hub. Pode impor uma política tLS 1.2 apenas quando qualquer tentativa de estabelecer uma sessão de TLS com uma versão inferior a 1.2 não é permitida e é rejeitada.You can enforce a TLS 1.2 only policy where any attempt of establishing a TLS session with a version lower than 1.2 isn't permitted and is rejected.

Importante

A Microsoft recomenda a utilização da política apenas tLS 1.2 para ambientes de produção do Azure Stack Hub.Microsoft recommends using TLS 1.2 only policy for Azure Stack Hub production environments.

Obter política de TLSGet TLS policy

Utilize o ponto final privilegiado (PEP) para ver a política tLS para todos os pontos finais do Azure Stack Hub:Use the privileged endpoint (PEP) to view the TLS policy for all Azure Stack Hub endpoints:

Get-TLSPolicy

Exemplo de saída:Example output:

TLS_1.2

Definir a política de TLSSet TLS policy

Utilize o ponto final privilegiado (PEP) para definir a política TLS para todos os pontos finais do Azure Stack Hub:Use the privileged endpoint (PEP) to set the TLS policy for all Azure Stack Hub endpoints:

Set-TLSPolicy -Version <String>

Parâmetros para set-TLSPolicy cmdlet:Parameters for Set-TLSPolicy cmdlet:

ParâmetroParameter DescriçãoDescription TipoType NecessárioRequired
VersãoVersion Versão(s) permitida de TLS no Azure Stack HubAllowed version(s) of TLS in Azure Stack Hub StringString simyes

Utilize um dos seguintes valores para configurar as versões TLS permitidas para todos os pontos finais do Azure Stack Hub:Use one of the following values to configure the permitted TLS versions for all Azure Stack Hub endpoints:

Valor da versãoVersion value DescriçãoDescription
TLS_AllTLS_All Os pontos finais do Azure Stack Hub TLS suportam o TLS 1.2, mas é permitida a negociação para TLS 1.1 e TLS 1.0.Azure Stack Hub TLS endpoints support TLS 1.2, but down negotiation to TLS 1.1 and TLS 1.0 is allowed.
TLS_1.2TLS_1.2 Os pontos finais do Azure Stack Hub TLS suportam apenas TLS 1.2.Azure Stack Hub TLS endpoints support TLS 1.2 only.

A atualização da política de TLS leva alguns minutos para ser concluída.Updating the TLS policy takes a few minutes to complete.

Impor o exemplo de configuração TLS 1.2Enforce TLS 1.2 configuration example

Este exemplo define a sua política de TLS para impor apenas TLS 1.2.This example sets your TLS policy to enforce TLS 1.2 only.

Set-TLSPolicy -Version TLS_1.2

Exemplo de saída:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Permitir todas as versões de TLS (1.2, 1.1 e 1.0) exemplo de configuraçãoAllow all versions of TLS (1.2, 1.1, and 1.0) configuration example

Este exemplo define a sua política de TLS para permitir todas as versões de TLS (1.2, 1.1 e 1.0).This example sets your TLS policy to allow all versions of TLS (1.2, 1.1, and 1.0).

Set-TLSPolicy -Version TLS_All

Exemplo de saída:Example output:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Próximos passosNext steps