Controlos de segurança da infraestrutura do Azure Stack Hub

As considerações de segurança e os regulamentos de conformidade estão entre os fatores motivos para a utilização de clouds híbridas. O Azure Stack Hub foi concebido para estes cenários. Este artigo explica os controlos de segurança em vigor para o Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Azure Stack Hub. A primeira camada é a infraestrutura Azure Stack Hub, que inclui os componentes de hardware até ao Azure Resource Manager. A primeira camada inclui o administrador e os portais do utilizador. A segunda camada consiste nas cargas de trabalho criadas, implantadas e geridas pelos inquilinos. A segunda camada inclui itens como máquinas virtuais e sites de Serviços de Aplicações.

Abordagem de segurança

A postura de segurança do Azure Stack Hub foi concebida para se defender contra ameaças modernas e foi construída para satisfazer os requisitos dos principais padrões de conformidade. Como resultado, a postura de segurança da infraestrutura Azure Stack Hub é construída sobre dois pilares:

  • Assuma a violação
    Partindo do pressuposto de que o sistema já foi violado, o foco na deteção e limitação do impacto das violações em vez de apenas tentar evitar ataques.

  • Endurecido por Padrão
    Uma vez que a infraestrutura funciona em hardware e software bem definidos, o Azure Stack Hub permite, configura e valida todas as funcionalidades de segurança por padrão.

Como o Azure Stack Hub é entregue como um sistema integrado, a postura de segurança da infraestrutura Azure Stack Hub é definida pela Microsoft. Tal como em Azure, os inquilinos são responsáveis por definir a postura de segurança das cargas de trabalho dos seus inquilinos. Este documento fornece conhecimentos fundamentais sobre a postura de segurança da infraestrutura Azure Stack Hub.

Encriptação de dados em repouso

Todas as infraestruturas do Azure Stack Hub e os dados do inquilino são encriptados em repouso usando o BitLocker. Esta encriptação protege contra perda física ou roubo de componentes de armazenamento Azure Stack Hub. Para obter mais informações, consulte os dados em repouso encriptação no Azure Stack Hub.

Dados em encriptação de trânsito

Os componentes de infraestrutura Azure Stack Hub comunicam utilizando canais encriptados com TLS 1.2. Os certificados de encriptação são auto-geridos pela infraestrutura.

Todos os pontos finais de infraestrutura externa, como os pontos finais REST ou o portal Azure Stack Hub, suportam o TLS 1.2 para comunicações seguras. Os certificados de encriptação, quer de terceiros, quer da autoridade de certificados da sua empresa, devem ser fornecidos para esses pontos finais.

Embora os certificados auto-assinados possam ser utilizados para estes pontos finais externos, a Microsoft aconselha fortemente a não os utilizar. Para obter mais informações sobre como impor o TLS 1.2 nos pontos finais externos do Azure Stack Hub, consulte os controlos de segurança Configure Azure Stack Hub.

Gestão de segredos

A infraestrutura Azure Stack Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar. A maioria das palavras-passe associadas às contas de serviço interno são automaticamente giradas a cada 24 horas porque são contas de serviço geridas em grupo (gMSA),um tipo de conta de domínio gerida diretamente pelo controlador de domínio interno.

A infraestrutura Azure Stack Hub utiliza chaves RSA de 4096 bits para todos os seus certificados internos. Os mesmos certificados de comprimento-chave também podem ser utilizados para os pontos finais externos. Para obter mais informações sobre segredos e rotação de certificados, consulte os segredos rotativos no Azure Stack Hub.

Controlo de Aplicações do Windows Defender

O Azure Stack Hub utiliza as mais recentes funcionalidades de segurança do Windows Server. Um deles é Windows Defender Application Control (WDAC, anteriormente conhecido como Code Integrity), que fornece filtragem executável e garante que apenas o código autorizado funciona dentro da infraestrutura Azure Stack Hub.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM. O código autorizado assinado está incluído na lista de software permitido especificado numa política definida pela Microsoft. Por outras palavras, apenas o software aprovado para funcionar na infraestrutura Azure Stack Hub pode ser executado. Qualquer tentativa de execução de código não autorizado é bloqueada e um alerta é gerado. O Azure Stack Hub aplica tanto a Integridade do Código do Modo de Utilizador (UMCI) como a Integridade do Código do Hipervisor (HVCI).

A política do WDAC também impede que agentes ou software de terceiros sejam geridos na infraestrutura Azure Stack Hub. Para obter mais informações sobre o WDAC, consulte Windows Defender Controlo de Aplicações e proteção baseada na virtualização da integridade do código.

Antimalware

Todos os componentes do Azure Stack Hub (ambos anfitriões Hyper-V e máquinas virtuais) estão protegidos com Antivírus do Windows Defender.

Em cenários conectados, a definição antivírus e as atualizações do motor são aplicadas várias vezes por dia. Em cenários desligados, as atualizações antimalware são aplicadas como parte das atualizações mensais do Azure Stack Hub. Caso seja necessária uma atualização mais frequente das definições do Windows Defender em cenários desligados, o Azure Stack Hub também suporta a importação de atualizações Windows Defender. Para mais informações, consulte a Antivírus do Windows Defender de atualização no Azure Stack Hub.

Arranque Seguro

O Azure Stack Hub impõe o Secure Boot em todos os anfitriões Hiper-V e máquinas virtuais de infraestrutura.

Modelo de administração restrita

A administração em Azure Stack Hub é controlada através de três pontos de entrada, cada um com um propósito específico:

  • O portal do administrador proporciona uma experiência de ponto e clique para operações de gestão diárias.
  • O Azure Resource Manager expõe todas as operações de gestão do portal do administrador através de uma API REST, utilizada pela PowerShell e pela Azure CLI.
  • Para operações específicas de baixo nível (por exemplo, cenários de integração ou suporte de datacenter), o Azure Stack Hub expõe um ponto final powerShell chamado ponto final privilegiado. Este ponto final expõe apenas um conjunto permitido de cmdlets e é fortemente auditado.

Controlos de rede

A infraestrutura Azure Stack Hub vem com várias camadas da Lista de Controlo de Acesso à Rede (ACL). Os ACLs impedem o acesso não autorizado aos componentes da infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para o seu funcionamento.

Os ACLs de rede são aplicados em três camadas:

  • Camada 1: Topo dos interruptores de cremalheira
  • Camada 2: Rede definida por software
  • Camada 3: Firewalls do sistema operativo host e VM

Conformidade regulamentar

O Azure Stack Hub passou por uma avaliação formal de capacidade por uma empresa de auditoria independente de terceiros. Como resultado, documentação sobre como a infraestrutura Azure Stack Hub cumpre os controlos aplicáveis de vários padrões de conformidade principais está disponível. A documentação não é uma certificação do Azure Stack Hub porque os padrões incluem vários controlos relacionados com o pessoal e relacionados com o processo. Pelo contrário, os clientes podem usar esta documentação para iniciar o seu processo de certificação.

As avaliações incluem as seguintes normas:

A documentação de conformidade pode ser encontrada no Portal do Microsoft Service Trust. Os guias de conformidade são um recurso protegido e exigem que você assine com as suas credenciais de serviço em nuvem Azure.

Passos seguintes