Linha de base de governança, segurança e conformidade para servidores habilitados para Azure Arc

Este artigo aborda as principais considerações de design e práticas recomendadas ao implementar segurança, governança e conformidade para implantações de servidores habilitados para Azure Arc. Embora a documentação da zona de aterrissagem em escala empresarial abranja "Governança" e "Segurança" como tópicos separados, para servidores habilitados para Azure Arc, essas áreas críticas de design são consolidadas como um único tópico.

Definir e aplicar os mecanismos de controle adequados é fundamental em qualquer implementação de nuvem, pois é o elemento fundamental para se manter seguro e em conformidade. Em um ambiente tradicional, esses mecanismos geralmente envolvem processos de revisão e controles manuais. No entanto, a nuvem introduziu uma nova abordagem à governança de TI com guarda-corpos e verificações automatizados. O Azure Policy e o Microsoft Defender for Cloud são ferramentas nativas da nuvem que permitem a implementação desses controles, relatórios e tarefas de correção de forma automatizada. Ao combiná-los com o Azure Arc, você pode estender suas políticas de governança e segurança a qualquer recurso em nuvens públicas ou privadas.

Ao final deste artigo, você entenderá as áreas críticas de design para segurança, governança e conformidade com orientações claras da Microsoft.

Arquitetura

A imagem a seguir exibe a arquitetura de referência conceitual que demonstra as áreas de design de segurança, conformidade e governança para servidores habilitados para Azure Arc:

Considerações de design

À medida que seus recursos híbridos e multicloud se tornam parte do Gerenciador de Recursos do Azure, eles podem ser gerenciados e governados com ferramentas do Azure, assim como as VMs nativas do Azure.

Gestão de identidades e acessos

• Permissões de segurança do agente: proteja o acesso ao agente de máquina conectada do Azure examinando os usuários com privilégios de administrador local no servidor.
• Identidade gerenciada: use identidades gerenciadas com servidores habilitados para Azure Arc. Defina uma estratégia para identificar quais aplicativos em execução em servidores habilitados para Azure Arc podem usar um token Microsoft Entra.
• RBAC (controle de acesso baseado em função) do Azure: defina funções administrativas, operacionais e de engenharia dentro da organização. Isso ajudará a alocar operações diárias no ambiente híbrido. O mapeamento de cada equipe para ações e responsabilidades determinará as funções e a configuração do RBAC do Azure. Considere o uso de uma matriz RACI para dar suporte a esse esforço e criar controles na hierarquia de escopo de gerenciamento que você definir, seguindo as diretrizes de consistência de recursos e gerenciamento de estoque. Para obter mais informações, revise o gerenciamento de identidade e acesso para servidores habilitados para Azure Arc.

Organização de recursos

• Controle de alterações e inventário:Rastreie alterações no sistema operacional, arquivos de aplicativos e registro para identificar problemas operacionais e de segurança em seus ambientes locais e em outros ambientes de nuvem.

Disciplinas de governação

• Proteção contra ameaças e gerenciamento de postura de segurança na nuvem: introduza controles para detetar configurações incorretas de segurança e rastrear a conformidade. Além disso, use a inteligência do Azure para proteger suas cargas de trabalho híbridas contra ameaças. Habilite o Microsoft Defender para servidores para todas as assinaturas que contenham servidores habilitados para Azure Arc para monitoramento de linha de base de segurança, gerenciamento de postura de segurança e proteção contra ameaças.
• Gerenciamento de segredos e certificados: habilite o Azure Key Vault para proteger as credenciais da entidade de serviço. Considere usar o Azure Key Vault para gerenciamento de certificados em seus servidores habilitados para Azure Arc.
• Gerenciamento e relatórios de políticas: defina um plano de governança para seus servidores e máquinas híbridos que se traduza em políticas e tarefas de correção do Azure.
• Residência de dados: considere em qual região do Azure você deseja que seus servidores habilitados para Azure Arc sejam provisionados e entenda os metadados coletados dessas máquinas.
• Chave pública segura: proteja a autenticação de chave pública do agente de máquina conectada do Azure para se comunicar com o serviço do Azure.
• Continuidade de negócios e recuperação de desastres: analise as diretrizes de continuidade de negócios e recuperação de desastres para zonas de aterrissagem em escala empresarial para determinar se os requisitos da sua empresa são atendidos.
• Analise a área de design de segurança, governança e conformidade da escala empresarial da zona de aterrissagem do Azure para avaliar o impacto dos servidores habilitados para Azure Arc em seu modelo geral de segurança e governança.

Disciplinas de gestão

• Gerenciamento de agentes: o agente de máquina conectada do Azure desempenha um papel crítico em suas operações híbridas. Ele permite que você gerencie suas máquinas Windows e Linux, hospedadas fora do Azure, e aplique políticas de governança. É importante implementar soluções que acompanhem os agentes que não respondem.
• Estratégia de gerenciamento de logs: planeje métricas e coleta de logs de seus recursos híbridos em um espaço de trabalho do Log Analytics para análise e auditoria adicionais.

Automação da plataforma

• Provisionamento de agente: defina uma estratégia para provisionar os servidores habilitados para Arco do Azure e proteger o acesso às credenciais de integração. Considere o nível e o método de automação para o registro em massa. Considere como estruturar implantações piloto e de produção e estabelecer um plano formal. O âmbito e o plano de uma implantação devem ter em conta os objetivos, os critérios de seleção, os critérios de sucesso, os planos de formação, o desmantelamento e os riscos.
• Atualizações de software:
  • Defina uma estratégia para avaliar o status das atualizações disponíveis para manter a conformidade de segurança, com atualizações críticas e de segurança de seus sistemas operacionais.
  • Defina uma estratégia para inventariar as versões do sistema operacional Windows e monitorar os prazos de fim do suporte. Para servidores que não podem ser migrados para o Azure ou atualizados, planeje as ESUs (Atualizações de Segurança Estendidas ) por meio do Azure Arc.

Recomendações de design

Provisionamento de agentes

Se estiver usando uma entidade de serviço para provisionar servidores habilitados para Azure Arc, considere como armazenar e distribuir com segurança a senha da entidade de serviço.

Gestão de agente

O agente de máquina conectada do Azure é a peça-chave para servidores habilitados para Azure Arc. Ele contém vários componentes lógicos que desempenham um papel nas operações de segurança, governança e gerenciamento. Se o agente de máquina conectada do Azure parar de enviar pulsações para o Azure ou ficar offline, você não poderá executar tarefas operacionais nele. Por isso, é necessário desenvolver um plano de notificações e respostas.

O log de atividades do Azure pode ser usado para configurar notificações de integridade de recursos. Mantenha-se informado sobre o status de integridade atual e histórico do agente de máquina conectada do Azure implementando uma consulta.

Permissões de segurança do agente

Controle quem tem acesso ao agente de máquina conectada do Azure em servidores habilitados para Azure Arc. Os serviços que compõem esse agente controlam toda a comunicação e interação dos servidores habilitados para Arco do Azure para o Azure. Membros do grupo de administradores locais no Windows e usuários com privilégios de raiz no Linux têm permissões para gerenciar o agente.

Avalie a restrição das extensões e dos recursos de configuração da máquina com controles de segurança do agente local para permitir apenas as ações de gerenciamento necessárias, especialmente para máquinas bloqueadas ou confidenciais.

Identidade gerida

Na criação, a identidade atribuída ao sistema Microsoft Entra só pode ser usada para atualizar o status dos servidores habilitados para Azure Arc (por exemplo, a pulsação 'vista por último'). Ao conceder a essa identidade atribuída pelo sistema acesso adicional aos recursos do Azure, torna-se possível permitir que um aplicativo em seu servidor use a identidade atribuída pelo sistema para acessar recursos do Azure (por exemplo, para solicitar segredos de um Cofre de Chaves). Deve:

• Considere quais casos de uso legítimos existem para aplicativos de servidor para obter tokens de acesso e acessar recursos do Azure, ao mesmo tempo em que planeja o controle de acesso desses recursos.
• Controle funções de usuário privilegiadas em servidores habilitados para Azure Arc (membros do grupo de administradores locais ou Aplicativos de Extensões de Agente Híbrido no Windows e membros do grupo himds no Linux) para evitar que identidades gerenciadas pelo sistema sejam usadas indevidamente para obter acesso não autorizado aos recursos do Azure.
• Use o RBAC do Azure para controlar e gerenciar a permissão para identidades gerenciadas de servidores habilitados para Azure Arc e executar revisões periódicas de acesso para essas identidades.

Gestão de segredos e certificados

Considere usar o Azure Key Vault para gerenciar certificados em seus servidores habilitados para Azure Arc. Os servidores habilitados para Arco do Azure têm identidade gerenciada, que é usada pela máquina conectada e outros agentes do Azure para autenticar de volta em seus respetivos serviços. A extensão de VM do cofre de chaves permite gerenciar o ciclo de vida do certificado em máquinas Windows e Linux .

A imagem a seguir exibe a arquitetura de referência conceitual que demonstra a integração do Azure Key Vault para servidores habilitados para Azure Arc:

Gorjeta

Saiba como usar certificados gerenciados do Key Vault com servidores Linux habilitados para Azure Arc no projeto Azure Arc Jumpstart .

Gestão de políticas e relatórios

A governança orientada por políticas é um princípio fundamental das operações nativas da nuvem e do Cloud Adoption Framework. A Política do Azure fornece o mecanismo para impor padrões corporativos e avaliar a conformidade em escala. Você pode implementar governança para consistência de implantações, conformidade, controle de custos e melhorar sua postura de segurança. Com seu painel de conformidade, você terá uma visão agregada do estado geral e dos recursos de correção.

Os servidores habilitados para Azure Arc dão suporte à Política do Azure na camada de gerenciamento de recursos do Azure e também no sistema operacional da máquina usando políticas de configuração da máquina.

Entenda o escopo da Política do Azure e onde ela pode ser aplicada (grupo de gerenciamento, assinatura, grupo de recursos ou nível de recurso individual). Crie um design de grupo de gerenciamento de acordo com as práticas recomendadas descritas no Cloud Adoption Framework em escala empresarial

• Determine quais políticas do Azure são necessárias definindo requisitos de negócios, regulatórios e de segurança para servidores habilitados para Azure Arc.
• Imponha a marcação e implemente tarefas de correção.
• Compreenda e avalie as definições internas da Política do Azure para servidores habilitados para Azure Arc.
• Compreenda e avalie as políticas e iniciativas de configuração de máquinas integradas.
• Avalie a necessidade de criar políticas de configuração de máquina personalizadas.
• Defina uma política de monitoramento e alerta que identifique servidores não íntegros habilitados para o Azure Arc.
• Habilite os alertas do Azure Advisor para identificar servidores habilitados para Azure Arc com agentes desatualizados instalados.
• Aplique os padrões da organização e avalie a conformidade em escala.
• Use a Política do Azure e as tarefas de correção para integrar agentes de serviço de gerenciamento por meio do recurso de gerenciamento de extensão.
• Habilite o Azure Monitor para conformidade e monitoramento operacional de servidores habilitados para Azure Arc.

A imagem a seguir exibe a arquitetura de referência conceitual que demonstra as áreas de design de relatórios de política e conformidade para servidores habilitados para Azure Arc:

Estratégia de gerenciamento de logs

Projete e planeje a implantação do espaço de trabalho do Log Analytics. Será o contentor onde os dados são recolhidos, agregados e posteriormente analisados. Um espaço de trabalho do Log Analytics representa uma localização geográfica dos seus dados, isolamento de dados e escopo para configurações como retenção de dados. Você terá que identificar o número de espaços de trabalho necessários e como ele é mapeado para sua estrutura organizacional. É recomendável usar um único espaço de trabalho do Azure Monitor Log Analytics para gerenciar o RBAC centralmente, para visibilidade e relatórios, conforme descrito nas práticas recomendadas de gerenciamento e monitoramento do Cloud Adoption Framework.

Analise as práticas recomendadas em Projetando sua implantação de Logs do Azure Monitor.

Proteção contra ameaças e gestão da postura de segurança na nuvem

O Microsoft Defender for Cloud fornece uma plataforma unificada de gerenciamento de segurança segmentada como CSPM (gerenciamento de postura de segurança na nuvem) e CWPP (plataforma de proteção de carga de trabalho na nuvem). Para aumentar a segurança em sua zona de aterrissagem híbrida, é importante proteger os dados e ativos hospedados no Azure e em outros lugares. O Microsoft Defender para servidores estende esses recursos para servidores habilitados para Azure Arc e o Microsoft Defender for Endpoint fornece EDR (deteção e resposta de ponto de extremidade). Para reforçar a segurança da sua zona de aterragem híbrida, considere o seguinte:

• Use servidores habilitados para Azure Arc para integrar recursos híbridos no Microsoft Defender for Cloud.
• Implemente uma configuração de máquina de Política do Azure para garantir que todos os recursos estejam em conformidade e que seus dados de segurança sejam coletados nos espaços de trabalho do Log Analytics.
• Habilite o Microsoft Defender para todas as assinaturas e use a Política do Azure para garantir a conformidade.
• Use a integração de gerenciamento de eventos e informações de segurança com o Microsoft Defender for Cloud e o Microsoft Sentinel.
• Proteja seus endpoints com a integração do Microsoft Defender for Cloud com o Microsoft Defender for Endpoint.
• Para proteger a conectividade entre os servidores habilitados para Azure Arc e o Azure, revise a seção Conectividade de rede para servidores habilitados para Azure Arc deste guia.

Controlo de Alterações e Inventário

A centralização de logs gera relatórios que podem ser usados como camadas adicionais de segurança e reduz as chances de lacunas na observabilidade. O Controle de Alterações e o Inventário na Automação do Azure encaminham e coletam os dados em um espaço de trabalho do Log Analytics. Ao usar o Microsoft Defender para servidores, você obtém o Monitoramento de Integridade de Arquivos (FIM) para examinar e rastrear alterações de software, para serviços do Windows e daemons Linux em seus servidores habilitados para Azure Arc.

Atualizações de software

Com os servidores habilitados para Azure Arc, você pode gerenciar seu patrimônio corporativo com gerenciamento centralizado e monitoramento em escala. Mais especificamente, ele fornece alertas e recomendações para equipes de TI, com visibilidade operacional total que inclui o gerenciamento das atualizações de suas VMs Windows e Linux.

Avaliar e atualizar seus sistemas operacionais deve fazer parte de sua estratégia geral de gerenciamento, para manter a conformidade de segurança com atualizações críticas e de segurança à medida que são lançadas. Use o Azure Update Manager como um mecanismo de correção de longo prazo para recursos do Azure e híbridos. Use a Política do Azure para garantir e impor as configurações de manutenção de todas as VMs, incluindo seus servidores habilitados para Arco do Azure e a implantação de Atualizações de Segurança Estendidas (ESUs) para servidores habilitados para Arco do Azure que tenham versões do Windows que atingiram o fim do suporte. Para obter mais informações, consulte Visão geral do Azure Update Manager.

Controlo de acesso baseado em funções (RBAC)

Seguindo o princípio de menor privilégio, usuários, grupos ou aplicativos atribuídos com funções como "colaborador" ou "proprietário" ou "Administrador de Recursos de Máquina Conectada do Azure" são capazes de executar operações como implantar extensões, que basicamente tem acesso raiz em servidores habilitados para Azure Arc. Essas funções devem ser usadas com cuidado, para limitar o possível raio de explosão ou, eventualmente, substituídas por funções personalizadas.

Para limitar o privilégio de um usuário e permitir que ele integre apenas servidores ao Azure, a função de Integração de Máquina Conectada do Azure é adequada. Essa função só pode ser usada para integrar servidores e não pode reintegrar ou excluir o recurso do servidor. Certifique-se de revisar a visão geral de segurança dos servidores habilitados para Arco do Azure para obter mais informações sobre controles de acesso.

Consulte a seção Gerenciamento de identidade e acesso para servidores habilitados para Azure Arc deste guia para obter mais conteúdo relacionado a identidade e acesso.

Considere também os dados confidenciais enviados para o espaço de trabalho do Azure Monitor Log Analytics, o mesmo princípio RBAC deve ser aplicado aos próprios dados. Os servidores habilitados para ArcGIS do Azure fornecem acesso RBAC aos dados de log coletados pelo agente do Log Analytics, armazenados no espaço de trabalho do Log Analytics no qual a máquina está registrada. Analise como implementar o acesso granular ao espaço de trabalho do Log Analytics na documentação de implantação do Azure Monitor Logs.

Chave pública segura

O agente de máquina conectada do Azure usa a autenticação de chave pública para se comunicar com o serviço do Azure. Depois de integrar um servidor ao Azure Arc, uma chave privada é salva no disco e usada sempre que o agente se comunica com o Azure.

Se roubada, a chave privada pode ser usada em outro servidor para se comunicar com o serviço e agir como se fosse o servidor original. Isso inclui obter acesso à identidade atribuída ao sistema e a quaisquer recursos aos quais a identidade tenha acesso.

O arquivo de chave privada é protegido para permitir que apenas o acesso à conta do Hybrid Instance Metadata Service (himds) o leia. Para evitar ataques offline, recomendamos vivamente a utilização de encriptação total do disco (por exemplo, BitLocker, dm-crypt e assim por diante). No volume do sistema operacional do servidor. Recomendamos usar a configuração da máquina do Azure Policy para auditar máquinas Windows ou Linux que tenham os aplicativos especificados instalados, como os mencionados.

Próximos passos

Para obter mais orientações para sua jornada de adoção de nuvem híbrida, analise o seguinte:

• Rever os cenários do Azure Arc Jumpstart
• Revise os pré-requisitos para servidores habilitados para Azure Arc
• Planejar uma implantação em escala de servidores habilitados para o Azure Arc
• Entenda como gerenciar ambientes híbridos e multicloud
• Saiba mais sobre o Azure Arc através do caminho de aprendizagem do Azure Arc.