Partilhar via


Configurar controlos de segurança do Azure Stack Hub

Este artigo explica os controlos de segurança que podem ser alterados no Azure Stack Hub e realça as desvantagens quando aplicável.

A arquitetura do Azure Stack Hub baseia-se em dois pilares de princípios de segurança: assumir a violação e ser protegido por predefinição. Para obter mais informações sobre a segurança do Azure Stack Hub, veja Postura de segurança da infraestrutura do Azure Stack Hub. Embora a postura de segurança predefinida do Azure Stack Hub esteja pronta para produção, existem alguns cenários de implementação que requerem proteção adicional.

Política de versões do TLS

O protocolo TLS (Transport Layer Security) é um protocolo criptográfico amplamente adotado para estabelecer comunicação encriptada através da rede. O TLS evoluiu ao longo do tempo e foram lançadas várias versões. A infraestrutura do Azure Stack Hub utiliza exclusivamente o TLS 1.2 para todas as suas comunicações. Para interfaces externas, atualmente, o Azure Stack Hub utiliza o TLS 1.2 por predefinição. No entanto, para retrocompatibilidade, também apoia a negociação para o TLS 1.1. e 1.0. Quando um cliente TLS pede para comunicar através do TLS 1.1 ou TLS 1.0, o Azure Stack Hub respeita o pedido ao negociar para uma versão TLS inferior. Se o cliente pedir o TLS 1.2, o Azure Stack Hub estabelecerá uma ligação TLS com o TLS 1.2.

Uma vez que o TLS 1.0 e 1.1 estão a ser preteridos ou proibidos incrementalmente pelas organizações e pelos padrões de conformidade, pode agora configurar a política TLS no Azure Stack Hub. Só pode impor uma política TLS 1.2 em que qualquer tentativa de estabelecer uma sessão TLS com uma versão inferior a 1.2 não é permitida e é rejeitada.

Importante

A Microsoft recomenda a utilização da política apenas do TLS 1.2 para ambientes de produção do Azure Stack Hub.

Obter política TLS

Utilize o ponto final privilegiado (PEP) para ver a política TLS para todos os pontos finais do Azure Stack Hub:

Get-TLSPolicy

Exemplo de saída:

TLS_1.2

Definir política TLS

Utilize o ponto final privilegiado (PEP) para definir a política TLS para todos os pontos finais do Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parâmetros para o cmdlet Set-TLSPolicy :

Parâmetro Descrição Tipo Necessário
Versão Versões permitidas do TLS no Azure Stack Hub String sim

Utilize um dos seguintes valores para configurar as versões do TLS permitidas para todos os pontos finais do Azure Stack Hub:

Valor da versão Descrição
TLS_All Os pontos finais TLS do Azure Stack Hub suportam o TLS 1.2, mas a negociação para o TLS 1.1 e o TLS 1.0 é permitida.
TLS_1.2 Os pontos finais TLS do Azure Stack Hub suportam apenas O TLS 1.2.

A atualização da política TLS demora alguns minutos a ser concluída.

Exemplo de configuração Do TLS 1.2

Este exemplo define a política TLS para impor apenas o TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Exemplo de saída:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Exemplo de configuração permitir todas as versões do TLS (1.2, 1.1 e 1.0)

Este exemplo define a política TLS para permitir todas as versões do TLS (1.2, 1.1 e 1.0).

Set-TLSPolicy -Version TLS_All

Exemplo de saída:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Existem cenários em que é útil apresentar um aviso legal, após iniciar sessão numa sessão de ponto final privilegiado (PEP). Os cmdlets Set-AzSLegalNotice e Get-AzSLegalNotice são utilizados para gerir a legenda e o corpo desse texto de aviso legal.

Para definir o aviso legal legenda e texto, consulte o cmdlet Set-AzSLegalNotice. Se a notificação legal legenda e o texto tiverem sido definidos anteriormente, pode revê-los utilizando o cmdlet Get-AzSLegalNotice.

Passos seguintes