Элементы управления безопасностью для инфраструктуры Azure Stack HubAzure Stack Hub infrastructure security controls

Вопросы, связанные с обеспечением безопасности и соответствия, для многих являются основным аргументом при выборе гибридного облака.Security considerations and compliance regulations are among the main drivers for using hybrid clouds. Для решения этих задач предназначена Azure Stack Hub.Azure Stack Hub is designed for these scenarios. В этой статье описываются элементы управления безопасностью в Azure Stack Hub.This article explains the security controls in place for Azure Stack Hub.

В Azure Stack Hub параллельно реализованы два уровня защиты.Two security posture layers coexist in Azure Stack Hub. Первый уровень — это инфраструктура Azure Stack Hub, к которой относятся все компоненты оборудования вплоть до Azure Resource Manager.The first layer is the Azure Stack Hub infrastructure, which includes the hardware components up to the Azure Resource Manager. На первом уровне располагаются порталы администратора и пользователя.The first layer includes the administrator and the user portals. Второй уровень состоит из рабочих нагрузок, создаваемых, развертываемых и управляемых клиентами.The second layer consists of the workloads created, deployed, and managed by tenants. Второй уровень содержит такие элементы, как виртуальные машины и веб-сайты Службы приложений.The second layer includes items like virtual machines and App Services web sites.

Подход к обеспечению безопасностиSecurity approach

Инфраструктура Azure Stack Hub разрабатывалась так, чтобы система безопасности обеспечивала защиту от современных угроз и учитывала требования всех основных стандартов соответствия.The security posture for Azure Stack Hub is designed to defend against modern threats and was built to meet the requirements from the major compliance standards. Система безопасности для инфраструктуры Azure Stack Hub разработана с учетом двух предположений.As a result, the security posture of the Azure Stack Hub infrastructure is built on two pillars:

  • Допущение нарушенияAssume Breach
    Исходя из предположения, что нарушение безопасности уже произошло, внимание уделяется не только предотвращению атак, но и обнаружению нарушений, а также ограничению их последствий.Starting from the assumption that the system has already been breached, focus on detecting and limiting the impact of breaches versus only trying to prevent attacks.

  • Защищенный режим по умолчаниюHardened by Default
    Так как инфраструктура использует строго определенные виды оборудования и программного обеспечения, функции обеспечения безопасности включаются, настраиваются и проверяются в Azure Stack Hub автоматически.Since the infrastructure runs on well-defined hardware and software, Azure Stack Hub enables, configures, and validates all the security features by default.

Azure Stack Hub предоставляется в формате интегрированной системы, поэтому безопасность в инфраструктуре Azure Stack Hub обеспечивается корпорацией Майкрософт.Because Azure Stack Hub is delivered as an integrated system, the security posture of the Azure Stack Hub infrastructure is defined by Microsoft. Как и в Azure, клиенты сами определяют уровень защиты своих рабочих нагрузок.Just like in Azure, tenants are responsible for defining the security posture of their tenant workloads. Этот документ содержит базовые сведения о состоянии безопасности в инфраструктуре Azure Stack Hub.This document provides foundational knowledge on the security posture of the Azure Stack Hub infrastructure.

Шифрование неактивных данныхData at rest encryption

Все неактивные данные инфраструктуры и клиентов Azure Stack Hub шифруются с помощью Bitlocker.All Azure Stack Hub infrastructure and tenant data are encrypted at rest using BitLocker. Это шифрование обеспечивает защиту на случай физической потери или кражи компонентов из хранилища Azure Stack Hub.This encryption protects against physical loss or theft of Azure Stack Hub storage components. Дополнительные сведения см. в статье Шифрование неактивных данных в Azure Stack Hub.For more information, see data at rest encryption in Azure Stack Hub.

Шифрование данных при передачеData in transit encryption

Компоненты инфраструктуры Azure Stack Hub обмениваются данными по каналам, зашифрованным с помощью TLS 1.2.The Azure Stack Hub infrastructure components communicate using channels encrypted with TLS 1.2. Управление сертификатами шифрования выполняется полностью автоматически.Encryption certificates are self-managed by the infrastructure.

Все внешние конечные точки инфраструктуры, такие как конечные точки REST и портал Azure Stack Hub, поддерживают TLS 1.2 для защиты обмена данными.All external infrastructure endpoints, like the REST endpoints or the Azure Stack Hub portal, support TLS 1.2 for secure communications. Для этих конечных точек необходимо предоставить сертификаты шифрования, предоставленные сторонними поставщиками или корпоративным центром сертификации.Encryption certificates, either from a third party or your enterprise Certificate Authority, must be provided for those endpoints.

Для этих внешних конечных точек допустимо использовать самозаверяющие сертификаты, но корпорация Майкрософт настоятельно рекомендует избегать этого.While self-signed certificates can be used for these external endpoints, Microsoft strongly advises against using them. Дополнительные сведения о принудительном применении TLS 1.2 на внешних конечных точках Azure Stack Hub см. в статье Настройка элементов управления безопасностью в Azure Stack Hub.For more information on how to enforce TLS 1.2 on the external endpoints of Azure Stack Hub, see Configure Azure Stack Hub security controls.

Управление секретамиSecret management

Инфраструктура Azure Stack Hub использует в работе много секретов, например пароли и сертификаты.Azure Stack Hub infrastructure uses a multitude of secrets, like passwords and certificates, to function. Большинство паролей, связанных с внутренними учетными записями служб, автоматически сменяются каждые 24 часа, так как это групповые управляемые учетные записи службы (gMSA). Это тип учетной записи домена, которой управляет непосредственно внутренний контроллер домена.Most of the passwords associated with the internal service accounts are automatically rotated every 24 hours because they're group Managed Service Accounts (gMSA), a type of domain account managed directly by the internal domain controller.

В инфраструктуре Azure Stack Hub теперь будут использоваться 4096-битные ключи RSA для внутренних сертификатов.Azure Stack Hub infrastructure uses 4096-bit RSA keys for all its internal certificates. Для внешних конечных точек также можно использовать сертификаты с такой длиной ключа.Same key-length certificates can also be used for the external endpoints. Дополнительные сведения о секретах и смене сертификатов в Azure Stack Hub см. в этой статье.For more information on secrets and certificate rotation, please refer to Rotate secrets in Azure Stack Hub.

Управление приложениями в Защитнике WindowsWindows Defender Application Control

Azure Stack Hub использует новейшие функции безопасности Windows Server.Azure Stack Hub makes use of the latest Windows Server security features. Одним из них является Управление приложениями в Защитнике Windows (WDAC, ранее известное как целостность кода), которое обеспечивает фильтрацию исполняемых файлов и гарантирует, что только разрешенный код выполняется в инфраструктуре концентратора Azure Stack.One of them is Windows Defender Application Control (WDAC, formerly known as Code Integrity), which provides executables filtering and ensures that only authorized code runs within the Azure Stack Hub infrastructure.

Авторизованный код подписан корпорацией Майкрософт или партнером OEM.Authorized code is signed by either Microsoft or the OEM partner. Подписанный авторизированный код включен в список разрешенных программ, указанных в политике, определенной корпорацией Майкрософт.The signed authorized code is included in the list of allowed software specified in a policy defined by Microsoft. Другими словами, в инфраструктуре Azure Stack Hub можно выполнить только специально одобренное программное обеспечение.In other words, only software that has been approved to run in the Azure Stack Hub infrastructure can be executed. Любая попытка выполнить неавторизованный код блокируется, и по ней создается оповещение.Any attempt to execute unauthorized code is blocked and an alert is generated. Azure Stack Hub применяет целостность кода как в пользовательском режиме, так и для гипервизора.Azure Stack Hub enforces both User Mode Code Integrity (UMCI) and Hypervisor Code Integrity (HVCI).

Также политика управления приложениями в Microsoft Defender не позволяет запускать в инфраструктуре Azure Stack Hub агенты или программное обеспечение третьих сторон.The WDAC policy also prevents third-party agents or software from running in the Azure Stack Hub infrastructure. Дополнительные сведения об управлении приложениями в Защитнике Windows и защите целостности кода на основе виртуализации см. в этой статье.For more information on WDAC, please refer to Windows Defender Application Control and virtualization-based protection of code integrity.

Credential GuardCredential Guard

Еще одна важная функция безопасности Windows Server, которую использует Azure Stack Hub, — это Credential Guard в Microsoft Defender. Эта функция защищает учетные данные инфраструктуры Azure Stack Hub от атак типа Pass-the-Hash и Pass-the-Ticket.Another Windows Server security feature in Azure Stack Hub is Windows Defender Credential Guard, which is used to protect Azure Stack Hub infrastructure credentials from Pass-the-Hash and Pass-the-Ticket attacks.

Защита от вредоносных программ;Antimalware

Каждый компонент в Azure Stack Hub (как узлы Hyper-V, так и виртуальные машины) защищен антивирусной программой — Microsoft Defender.Every component in Azure Stack Hub (both Hyper-V hosts and virtual machines) is protected with Windows Defender Antivirus.

В сценариях с подключением определение для антивирусного ПО и антивирусное ядро обновляются несколько раз в день.In connected scenarios, antivirus definition and engine updates are applied multiple times a day. В сценариях без подключения к сети обновления антивредоносного ПО выполняются в составе ежемесячных обновлений Azure Stack Hub.In disconnected scenarios, antimalware updates are applied as part of monthly Azure Stack Hub updates. Если в системах без подключения к Интернету требуется более частое обновление определений Защитника Windows, Azure Stack Hub позволяет выполнять импорт обновлений Защитника Windows.In case a more frequent update to the Windows Defender's definitions is required in disconnected scenarios, Azure Stack Hub also support importing Windows Defender updates. См. сведения об обновлении антивирусной программы Windows Defender в Azure Stack Hub.For more information, see update Windows Defender Antivirus on Azure Stack Hub.

Безопасная загрузкаSecure Boot

Azure Stack Hub обеспечивает безопасную загрузку на всех узлах Hyper-V и виртуальных машинах инфраструктуры.Azure Stack Hub enforces Secure Boot on all the Hyper-V hosts and infrastructure virtual machines.

Модель ограниченного администрированияConstrained administration model

Администрирование в Azure Stack Hub осуществляется через три точки входа, каждая из которых используется с определенной целью.Administration in Azure Stack Hub is controlled through three entry points, each with a specific purpose:

  • Портал администрирования позволяет щелчком мыши выполнять рутинные операции по обслуживанию.The administrator portal provides a point-and-click experience for daily management operations.
  • Azure Resource Manager позволяет выполнять все функции портала администрирования через REST API, который доступен из интерфейса командной строки Azure и PowerShell.Azure Resource Manager exposes all the management operations of the administrator portal via a REST API, used by PowerShell and Azure CLI.
  • Для некоторых низкоуровневых операций, таких как интеграция центра обработки данных или процессы поддержки, в Azure Stack Hub предлагается конечная точка PowerShell, которая называется привилегированной конечной точкой.For specific low-level operations (for example, datacenter integration or support scenarios), Azure Stack Hub exposes a PowerShell endpoint called privileged endpoint. Эта конечная точка предоставляет только допустимый набор командлетов, аудит которых выполняется с большой нагрузкой.This endpoint exposes only an allowed set of cmdlets and it's heavily audited.

Элементы управления сетьюNetwork controls

Инфраструктура Azure Stack Hub включает несколько уровней списков управления доступом к сети.Azure Stack Hub infrastructure comes with multiple layers of network Access Control List (ACL). Списки ACL запрещают несанкционированный доступ к компонентам инфраструктуры и ограничивают для инфраструктуры возможность взаимодействия только теми элементами, которые необходимы для ее функционирования.The ACLs prevent unauthorized access to the infrastructure components and limit infrastructure communications to only the paths that are required for its functioning.

Списки ACL применяются на трех уровнях:Network ACLs are enforced in three layers:

  • Уровень 1: стоечные коммутаторы;Layer 1: Top of Rack switches
  • Уровень 2: программно-конфигурируемая сеть;Layer 2: Software Defined Network
  • Уровень 3: брандмауэры операционной системы на узлах и виртуальных машинах.Layer 3: Host and VM operating system firewalls

Соблюдение нормативных требованийRegulatory compliance

Azure Stack Hub прошла официальную оценку возможностей независимой аудиторской фирмой.Azure Stack Hub has gone through a formal capability assessment by a third party-independent auditing firm. Результатом оценки стала документация о том, как инфраструктура Azure Stack Hub соотносится с применимыми элементами управления из нескольких основных стандартов соответствия.As a result, documentation on how the Azure Stack Hub infrastructure meets the applicable controls from several major compliance standards is available. Эта документация не считается сертификацией Azure Stack Hub, поскольку в стандарты включены дополнительные элементы управления, относящиеся к персоналу и процессам.The documentation isn't a certification of Azure Stack Hub because the standards include several personnel-related and process-related controls. Вместо этого клиенты могут использовать эту документацию, чтобы начать процесс сертификации.Rather, customers can use this documentation to jump-start their certification process.

Оценки включают следующие стандарты:The assessments include the following standards:

  • PCI-DSS обращается к отрасли платежных карт;PCI-DSS addresses the payment card industry.
  • CSA Cloud Control Matrix — это комплексное сопоставление по нескольким стандартам, включая FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 и другие;CSA Cloud Control Matrix is a comprehensive mapping across multiple standards, including FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, and others.
  • FedRAMP High для государственных организаций.FedRAMP High for government customers.

Документация по соответствию можно найти на портале служб защиты данных (Майкрософт).The compliance documentation can be found on the Microsoft Service Trust Portal. Руководства по соблюдению являются защищенным ресурсом и требуют, чтобы вы вошли в систему с вашими учетными данными облачной службы Azure.The compliance guides are a protected resource and require you to sign in with your Azure cloud service credentials.

Дальнейшие действияNext steps