Azure Arc säkerhetsöversikt över servrar

  • Artikel
  • 3 minuter för att läsa

Den här artikeln beskriver säkerhetskonfigurationen och överväganden som du bör utvärdera innan du Azure Arc-aktiverade servrar i företaget.

Identitets- och åtkomstkontroll

Varje Azure Arc-aktiverad server har en hanterad identitet som en del av en resursgrupp i en Azure-prenumeration. Den identiteten representerar den server som körs lokalt eller i en annan molnmiljö. Åtkomsten till den här resursen styrs av standardrollbaserad åtkomstkontroll i Azure. På sidan Access Control (IAM) i Azure Portal kan du kontrollera vem som har åtkomst till din Azure Arc-aktiverade server.

Azure Arc-aktiverad serveråtkomstkontroll

Användare och program som beviljas deltagar- eller administratörsrollåtkomst till resursen kan göra ändringar i resursen, inklusive att distribuera eller ta bort tillägg på datorn. Tillägg kan innehålla godtyckliga skript som körs i en privilegierad kontext, så tänk dig att alla deltagare i Azure-resursen är en indirekt administratör för servern.

Den Azure Connected Machine onboarding-rollen är tillgänglig för storskalig onboarding och kan bara läsa eller skapa nya Azure Arc-aktiverade servrar i Azure. Den kan inte användas för att ta bort servrar som redan har registrerats eller hantera tillägg. Vi rekommenderar att du endast tilldelar den här rollen till tjänstens huvudnamn Azure Active Directory (Azure AD) som används för att publicera datorer i stor skala.

Användare som är medlemmar i Azure Connected Machine resursadministratörsrollen kan läsa, ändra, omstyra och ta bort en dator. Den här rollen är utformad för att stödja hantering Azure Arc-aktiverade servrar, men inte andra resurser i resursgruppen eller prenumerationen.

Agentsäkerhet och behörigheter

Om du Azure Connected Machine agenten (azcmagent) Windows måste ditt användarkonto vara medlem i den lokala gruppen Administratörer. I Linux måste du ha rotåtkomstbehörigheter.

Agenten Azure Connected Machine består av tre tjänster som körs på datorn.

  • Tjänsten Hybrid Instance Metadata Service (himds) ansvarar för alla grundläggande funktioner i Arc. Detta omfattar att skicka pulsslag till Azure, exponera en lokal instansmetadatatjänst för andra appar för att lära sig mer om datorns Azure-resurs-ID och hämta Azure AD-token för autentisering mot andra Azure-tjänster. Den här tjänsten körs som ett icke-privilegierat virtuellt tjänstkonto på Windows och som användaren i Linux.

  • Gästkonfigurationstjänsten (GCService) ansvarar för att utvärdera Azure Policy på datorn.

  • Gästkonfigurationstilläggstjänsten (ExtensionService) ansvarar för att installera, uppdatera och ta bort tillägg (agenter, skript eller annan programvara) på datorn.

Gästkonfigurations- och tilläggstjänsterna körs som lokalt system på Windows och som rot på Linux.

Använda en hanterad identitet med Azure Arc-aktiverade servrar

Som standard kan den Azure Active Directory systemidentitet som används av Arc endast användas för att uppdatera statusen för den Azure Arc-aktiverade servern i Azure. Till exempel pulsslagsstatusen som senast sågs. Du kan även tilldela andra roller till identiteten om ett program på servern använder den system tilldelade identiteten för att få åtkomst till andra Azure-tjänster. Mer information om hur du konfigurerar en system tilldelad hanterad identitet för åtkomst till Azure-resurser finns i Autentisera mot Azure-resurser med Azure Arc-aktiverade servrar.

Även om Hybrid Instance Metadata Service kan användas av alla program som körs på datorn, kan endast auktoriserade program begära en Azure AD-token för den systemtilldelade identiteten. Vid det första försöket att komma åt token-URI:n genererar tjänsten en slumpmässigt genererad kryptografisk blob på en plats i filsystemet som endast betrodda anropare kan läsa. Anroparen måste sedan läsa filen (bevisa att den har rätt behörighet) och försöka igen med filinnehållet i auktoriseringshuvudet för att hämta en Azure AD-token.

  • På Windows måste anroparen vara medlem i den lokala gruppen Administratörer eller gruppen Program för hybridagenttillägg för att kunna läsa bloben.

  • I Linux måste anroparen vara medlem i gruppen himds för att kunna läsa bloben.

Mer information om hur du använder en hanterad identitet med Arc-aktiverade servrar för att autentisera och få åtkomst till Azure-resurser finns i följande video.

Använda diskkryptering

Agenten Azure Connected Machine använder autentisering med offentlig nyckel för att kommunicera med Azure-tjänsten. När du har Azure Arc en server sparas en privat nyckel på disken och används när agenten kommunicerar med Azure. Om den blir stulen kan den privata nyckeln användas på en annan server för att kommunicera med tjänsten och fungera som om den vore den ursprungliga servern. Detta omfattar att få åtkomst till den system tilldelade identiteten och alla resurser som identiteten har åtkomst till. Filen med den privata nyckeln skyddas så att endast kontot himds kan läsa den. För att förhindra offlineattacker rekommenderar vi starkt att du använder fullständig diskkryptering (t.ex. BitLocker, dm-crypt osv.) på serverns operativsystemvolym.

Nästa steg

  • Innan du utvärderar eller aktiverar Azure Arc-aktiverade servrar på flera hybriddatorer bör du läsa Översikt över connected machine agent för att förstå krav, teknisk information om agenten och distributionsmetoder.

  • Läs planerings- och distributionsguiden för att planera för distribution Azure Arc-aktiverade servrar i valfri skala och implementera centraliserad hantering och övervakning.