Элементы управления безопасностью для инфраструктуры Azure Stack Hub

Статья
04/25/2024

Вопросы, связанные с обеспечением безопасности и соответствия, для многих являются основным аргументом при выборе гибридного облака. Для решения этих задач предназначена Azure Stack Hub. В этой статье описываются элементы управления безопасностью в Azure Stack Hub.

В Azure Stack Hub параллельно реализованы два уровня защиты. Первый уровень — это инфраструктура Azure Stack Hub, к которой относятся все компоненты оборудования вплоть до Azure Resource Manager. На первом уровне располагаются порталы администратора и пользователя. Второй уровень состоит из рабочих нагрузок, создаваемых, развертываемых и управляемых клиентами. Второй уровень содержит такие элементы, как виртуальные машины и веб-сайты Службы приложений.

Подход к обеспечению безопасности

Инфраструктура Azure Stack Hub разрабатывалась так, чтобы система безопасности обеспечивала защиту от современных угроз и учитывала требования всех основных стандартов соответствия. Система безопасности для инфраструктуры Azure Stack Hub разработана с учетом двух предположений.

Допущение нарушения
Исходя из предположения, что нарушение безопасности уже произошло, внимание уделяется не только предотвращению атак, но и обнаружению нарушений, а также ограничению их последствий.
Защищенный режим по умолчанию
Так как инфраструктура использует строго определенные виды оборудования и программного обеспечения, функции обеспечения безопасности включаются, настраиваются и проверяются в Azure Stack Hub автоматически.

Azure Stack Hub предоставляется в формате интегрированной системы, поэтому безопасность в инфраструктуре Azure Stack Hub обеспечивается корпорацией Майкрософт. Как и в Azure, клиенты сами определяют уровень защиты своих рабочих нагрузок. Этот документ содержит базовые сведения о состоянии безопасности в инфраструктуре Azure Stack Hub.

Шифрование неактивных данных

Все неактивные данные инфраструктуры и клиентов Azure Stack Hub шифруются с помощью Bitlocker. Это шифрование обеспечивает защиту на случай физической потери или кражи компонентов из хранилища Azure Stack Hub. Дополнительные сведения см. в статье Шифрование неактивных данных в Azure Stack Hub.

Шифрование данных при передаче

Компоненты инфраструктуры Azure Stack Hub обмениваются данными по каналам, зашифрованным с помощью TLS 1.2. Управление сертификатами шифрования выполняется полностью автоматически.

Все внешние конечные точки инфраструктуры, такие как конечные точки REST и портал Azure Stack Hub, поддерживают TLS 1.2 для защиты обмена данными. Для этих конечных точек необходимо предоставить сертификаты шифрования, предоставленные сторонними поставщиками или корпоративным центром сертификации.

Для этих внешних конечных точек допустимо использовать самозаверяющие сертификаты, но корпорация Майкрософт настоятельно рекомендует избегать этого. Дополнительные сведения о принудительном применении TLS 1.2 на внешних конечных точках Azure Stack Hub см. в статье Настройка элементов управления безопасностью в Azure Stack Hub.

Управление секретами

Инфраструктура Azure Stack Hub использует в работе много секретов, например пароли и сертификаты. Большинство паролей, связанных с внутренними учетными записями служб, автоматически сменяются каждые 24 часа, так как это групповые управляемые учетные записи службы (gMSA). Это тип учетной записи домена, которой управляет непосредственно внутренний контроллер домена.

В инфраструктуре Azure Stack Hub теперь будут использоваться 4096-битные ключи RSA для внутренних сертификатов. Для внешних конечных точек также можно использовать сертификаты с такой длиной ключа. Дополнительные сведения о секретах и смене сертификатов в Azure Stack Hub см. в этой статье.

Управление приложениями в Защитнике Windows

Azure Stack Hub использует новейшие функции безопасности Windows Server. Одним из них является управление приложениями Защитник Windows (WDAC, прежнее название — целостность кода), которая обеспечивает фильтрацию исполняемых файлов и гарантирует, что в инфраструктуре Azure Stack Hub выполняется только авторизованный код.

Авторизованный код подписан корпорацией Майкрософт или партнером OEM. Подписанный авторизированный код включен в список разрешенных программ, указанных в политике, определенной корпорацией Майкрософт. Другими словами, в инфраструктуре Azure Stack Hub можно выполнить только специально одобренное программное обеспечение. Любая попытка выполнить неавторизованный код блокируется, и по ней создается оповещение. Azure Stack Hub применяет целостность кода как в пользовательском режиме, так и для гипервизора.

Также политика управления приложениями в Microsoft Defender не позволяет запускать в инфраструктуре Azure Stack Hub агенты или программное обеспечение третьих сторон. Дополнительные сведения об управлении приложениями в Защитнике Windows и защите целостности кода на основе виртуализации см. в этой статье.

Защита от вредоносных программ;

Каждый компонент в Azure Stack Hub (как узлы Hyper-V, так и виртуальные машины) защищен антивирусной программой — Microsoft Defender.

В сценариях с подключением определение для антивирусного ПО и антивирусное ядро обновляются несколько раз в день. В сценариях без подключения к сети обновления антивредоносного ПО выполняются в составе ежемесячных обновлений Azure Stack Hub. Если в отключенных сценариях требуется более частое обновление определений Защитник Windows, Azure Stack Hub также поддерживает импорт обновлений Защитник Windows. См. сведения об обновлении антивирусной программы Windows Defender в Azure Stack Hub.

Безопасная загрузка

Azure Stack Hub обеспечивает безопасную загрузку на всех узлах Hyper-V и виртуальных машинах инфраструктуры.

Модель ограниченного администрирования

Администрирование в Azure Stack Hub осуществляется через три точки входа, каждая из которых используется с определенной целью.

Портал администрирования позволяет щелчком мыши выполнять рутинные операции по обслуживанию.
Azure Resource Manager позволяет выполнять все функции портала администрирования через REST API, который доступен из интерфейса командной строки Azure и PowerShell.
Для некоторых низкоуровневых операций, таких как интеграция центра обработки данных или процессы поддержки, в Azure Stack Hub предлагается конечная точка PowerShell, которая называется привилегированной конечной точкой. Эта конечная точка предоставляет только разрешенный набор командлетов, и она подвергается интенсивному аудиту.

Элементы управления сетью

Инфраструктура Azure Stack Hub включает несколько уровней списков управления доступом к сети. Списки ACL запрещают несанкционированный доступ к компонентам инфраструктуры и ограничивают для инфраструктуры возможность взаимодействия только теми элементами, которые необходимы для ее функционирования.

Списки ACL применяются на трех уровнях:

Уровень 1: стоечные коммутаторы;
Уровень 2: программно-конфигурируемая сеть;
Уровень 3: брандмауэры операционной системы на узлах и виртуальных машинах.

Соблюдение нормативных требований

Azure Stack Hub прошла официальную оценку возможностей независимой аудиторской фирмой. Результатом оценки стала документация о том, как инфраструктура Azure Stack Hub соотносится с применимыми элементами управления из нескольких основных стандартов соответствия. Эта документация не считается сертификацией Azure Stack Hub, поскольку в стандарты включены дополнительные элементы управления, относящиеся к персоналу и процессам. Вместо этого клиенты могут использовать эту документацию, чтобы начать процесс сертификации.

Оценки включают следующие стандарты:

PCI-DSS обращается к отрасли платежных карт;
CSA Cloud Control Matrix — это комплексное сопоставление по нескольким стандартам, включая FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 и другие;
FedRAMP High для государственных организаций.

Документация по соответствию можно найти на портале служб защиты данных (Майкрософт). Руководства по соблюдению являются защищенным ресурсом и требуют, чтобы вы вошли в систему с вашими учетными данными облачной службы Azure.

Инициатива ЕС Schrems II для Azure Stack Hub

Корпорация Майкрософт объявила о своем намерении превзойти существующие обязательства по хранению данных, предоставив клиентам из ЕС возможность обрабатывать и хранить все свои данные в ЕС; вам больше не придется хранить данные за пределами ЕС. Это расширенное обязательство распространяется на клиентов Azure Stack Hub. Дополнительные сведения см . в разделе Ответы на вызов Европы: хранение и обработка данных ЕС в ЕС .

Начиная с версии 2206 вы можете выбрать географические параметры для обработки данных в существующих развертываниях Azure Stack Hub. После скачивания исправления вы получите следующее оповещение.

Примечание

Для выбора географического расположения данных также может потребоваться отключенная среда. Это одноразовая настройка, которая влияет на расположение данных, если оператор предоставляет диагностические данные корпорации Майкрософт. Если оператор не предоставляет никакие диагностические данные корпорации Майкрософт, этот параметр не имеет никаких последствий.

Это оповещение можно разрешить для существующего развертывания Azure Stack Hub одним из двух способов в зависимости от географического предпочтения для хранения и обработки данных.

Если вы решили хранить и обрабатывать данные в ПРЕДЕЛАХ ЕС, выполните следующий командлет PowerShell, чтобы задать географические предпочтения. Расположение для данных будет обновлено, а все данные будут храниться и обрабатываться в ЕС.
```
Set-DataResidencyLocation -Europe
```
Если вы решили хранить и обрабатывать данные за пределами ЕС, выполните следующий командлет PowerShell, чтобы задать географические предпочтения. Расположение для данных будет обновлено, и все данные будут обрабатываться за пределами ЕС.
```
Set-DataResidencyLocation -Europe:$false
```

После устранения этого оповещения вы можете проверить предпочитаемый географический регион на портале Администратор окно свойств.

Новые развертывания Azure Stack Hub могут задавать географический регион во время настройки и развертывания.