Controlos de segurança da infraestrutura Azure Stack HubAzure Stack Hub infrastructure security controls

As considerações de segurança e os regulamentos de conformidade estão entre os fatores motivos para a utilização de clouds híbridas.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. O Azure Stack Hub foi concebido para estes cenários.Azure Stack Hub is designed for these scenarios. Este artigo explica os controlos de segurança em vigor para o Azure Stack Hub.This article explains the security controls in place for Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Azure Stack Hub.Two security posture layers coexist in Azure Stack Hub. A primeira camada é a infraestrutura Azure Stack Hub, que inclui os componentes de hardware até ao Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. A primeira camada inclui o administrador e os portais do utilizador.The first layer includes the administrator and the user portals. A segunda camada consiste nas cargas de trabalho criadas, implantadas e geridas pelos inquilinos.The second layer consists of the workloads created, deployed, and managed by tenants. A segunda camada inclui itens como máquinas virtuais e sites de Serviços de Aplicações.The second layer includes items like virtual machines and App Services web sites.

Abordagem de segurançaSecurity approach

A postura de segurança do Azure Stack Hub foi concebida para se defender contra ameaças modernas e foi construída para satisfazer os requisitos dos principais padrões de conformidade.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. Como resultado, a postura de segurança da infraestrutura Azure Stack Hub é construída sobre dois pilares:As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Assuma a violaçãoAssume Breach
    Partindo do pressuposto de que o sistema já foi violado, o foco na deteção e limitação do impacto das violações em vez de apenas tentar prevenir ataques.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Endurecido por PadrãoHardened by Default
    Uma vez que a infraestrutura funciona em hardware e software bem definidos, o Azure Stack Hub permite, configura e valida todas as funcionalidades de segurança por padrão.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Como o Azure Stack Hub é entregue como um sistema integrado, a postura de segurança da infraestrutura Azure Stack Hub é definida pela Microsoft.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Tal como em Azure, os inquilinos são responsáveis por definir a postura de segurança das cargas de trabalho dos seus inquilinos.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Este documento fornece conhecimentos fundamentais sobre a postura de segurança da infraestrutura Azure Stack Hub.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Encriptação de dados em repousoData at rest encryption

Todas as infraestruturas do Azure Stack Hub e os dados do inquilino são encriptados em repouso usando o BitLocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. Esta encriptação protege contra perda física ou roubo de componentes de armazenamento Azure Stack Hub.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Para obter mais informações, consulte os dados em repouso encriptação no Azure Stack Hub.For more information, see data at rest encryption in Azure Stack Hub.

Dados em encriptação de trânsitoData in transit encryption

Os componentes da infraestrutura Azure Stack Hub comunicam utilizando canais encriptados com TLS 1.2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. Os certificados de encriptação são auto-geridos pela infraestrutura.Encryption certificates are self-managed by the infrastructure.

Todos os pontos finais de infraestrutura externa, como os pontos finais REST ou o portal Azure Stack Hub, suportam o TLS 1.2 para comunicações seguras.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Os certificados de encriptação, quer de terceiros, quer da autoridade de certificados da sua empresa, devem ser fornecidos para esses pontos finais.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

Embora os certificados auto-assinados possam ser utilizados para estes pontos finais externos, a Microsoft aconselha vivamente a não os utilizar.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Para obter mais informações sobre como impor o TLS 1.2 nos pontos finais externos do Azure Stack Hub, consulte os controlos de segurança Configure Azure Stack Hub.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Gestão de segredosSecret management

A infraestrutura Azure Stack Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. A maioria das palavras-passe associadas às contas de serviço interno são automaticamente giradas a cada 24 horas porque são contas de serviço geridas do grupo (gMSA),um tipo de conta de domínio gerida diretamente pelo controlador de domínio interno.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

A infraestrutura Azure Stack Hub utiliza chaves RSA de 4096 bits para todos os seus certificados internos.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. Os mesmos certificados de comprimento-chave também podem ser utilizados para os pontos finais externos.Same key-length certificates can also be used for the external endpoints. Para obter mais informações sobre segredos e rotação de certificados, consulte os segredos rotativos no Azure Stack Hub.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Controlo de Aplicações do Windows DefenderWindows Defender Application Control

O Azure Stack Hub utiliza as mais recentes funcionalidades de segurança do Windows Server.Azure Stack Hub makes use of the latest Windows Server security features. Um deles é o Windows Defender Application Control (WDAC, anteriormente conhecido como Code Integrity), que fornece filtragem executável e garante que apenas o código autorizado funciona dentro da infraestrutura Azure Stack Hub.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM.Authorized code is signed by either Microsoft or the OEM partner. O código autorizado assinado está incluído na lista de software permitido especificado numa política definida pela Microsoft.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. Por outras palavras, apenas o software aprovado para funcionar na infraestrutura Azure Stack Hub pode ser executado.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Qualquer tentativa de execução de código não autorizado é bloqueada e um alerta é gerado.Any attempt to execute unauthorized code is blocked and an alert is generated. O Azure Stack Hub aplica tanto a Integridade do Código do Modo de Utilizador (UMCI) como a Integridade do Código do Hipervisor (HVCI).Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

A política do WDAC também impede que agentes ou software de terceiros sejam geridos na infraestrutura Azure Stack Hub.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Para obter mais informações sobre o WDAC, consulte o Controlo de Aplicações do Windows Defender e a proteção da integridade do código baseada na virtualização.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Outra funcionalidade de segurança do Windows Server no Azure Stack Hub é a Guarda Credencial do Windows Defender, que é usada para proteger as credenciais de infraestrutura do Azure Stack Hub dos ataques Pass-the-Hash e Pass-the-Ticket.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

AntimalwareAntimalware

Todos os componentes do Azure Stack Hub (ambos anfitriões Hiper-V e máquinas virtuais) estão protegidos com Antivírus do Windows Defender.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

Em cenários conectados, a definição antivírus e as atualizações do motor são aplicadas várias vezes por dia.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. Em cenários desligados, as atualizações antimalware são aplicadas como parte das atualizações mensais do Azure Stack Hub.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. Caso seja necessária uma atualização mais frequente das definições do Windows Defender em cenários desligados, o Azure Stack Hub também suporta a importação de atualizações do Windows Defender.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. Para obter mais informações, consulte a atualização do Windows Defender Antivírus no Azure Stack Hub.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Arranque SeguroSecure Boot

O Azure Stack Hub impõe o Secure Boot em todos os anfitriões Hiper-V e máquinas virtuais de infraestrutura.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Modelo de administração constrangidoConstrained administration model

A administração em Azure Stack Hub é controlada através de três pontos de entrada, cada um com um propósito específico:Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • O portal do administrador proporciona uma experiência de ponto e clique para operações de gestão diárias.The administrator portal provides a point-and-click experience for daily management operations.
  • O Azure Resource Manager expõe todas as operações de gestão do portal do administrador através de uma API REST, utilizada pela PowerShell e pela Azure CLI.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • Para operações específicas de baixo nível (por exemplo, cenários de integração ou suporte do datacenter), o Azure Stack Hub expõe um ponto final powerShell chamado ponto final privilegiado.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Este ponto final expõe apenas um conjunto permitido de cmdlets e é fortemente auditado.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Controlos de redeNetwork controls

A infraestrutura Azure Stack Hub vem com várias camadas da Lista de Controlo de Acesso à Rede (ACL).Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Os ACLs impedem o acesso não autorizado aos componentes da infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para o seu funcionamento.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

Os ACLs de rede são aplicados em três camadas:Network ACLs are enforced in three layers:

  • Camada 1: Topo dos interruptores de cremalheiraLayer 1: Top of Rack switches
  • Camada 2: Rede definida por softwareLayer 2: Software Defined Network
  • Camada 3: Firewalls do sistema operativo host e VMLayer 3: Host and VM operating system firewalls

Conformidade regulamentarRegulatory compliance

O Azure Stack Hub passou por uma avaliação formal de capacidade por uma empresa de auditoria independente de terceiros.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. Como resultado, documentação sobre como a infraestrutura Azure Stack Hub cumpre os controlos aplicáveis de várias normas de conformidade principais está disponível.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. A documentação não é uma certificação do Azure Stack Hub porque os padrões incluem vários controlos relacionados com o pessoal e relacionados com o processo.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. Em vez disso, os clientes podem usar esta documentação para iniciar o seu processo de certificação.Rather, customers can use this documentation to jump-start their certification process.

As avaliações incluem as seguintes normas:The assessments include the following standards:

  • O PCI-DSS dirige-se à indústria de cartões de pagamento.PCI-DSS addresses the payment card industry.
  • CSA Cloud Control Matrix é um mapeamento abrangente em vários padrões, incluindo FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, entre outros.CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP High para clientes do governo.FedRAMP High for government customers.

A documentação de conformidade pode ser encontrada no Portal do Microsoft Service Trust.The compliance documentation can be found on the Microsoft Service Trust Portal. Os guias de conformidade são um recurso protegido e exigem que você assine com as suas credenciais de serviço em nuvem Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Passos seguintesNext steps