Azure Stack HCı güvenlik konuları
Uygulama hedefi: Azure Stack HI, sürüm 21H2 ve 20H2; Windows server 2022, Windows server 2019
Bu konuda Azure Stack HCı işletim sistemiyle ilgili güvenlik konuları ve öneriler verilmektedir:
- 1. bölüm, işletim sistemini sağlamlaştırmak için temel güvenlik araçları ve teknolojilerini içerir ve kuruluşunuz için güvenli bir temel oluşturmak üzere veri ve kimlikleri korur.
- 2. bölüm, Azure Güvenlik Merkezi aracılığıyla sunulan kaynakları kapsıyor.
- 3. bölüm, bu alanlardaki kuruluşunuzun güvenlik duruşunu daha da güçlendirin.
Güvenlik konuları neden önemlidir?
Güvenlik, kuruluşunuzdaki herkesi, üst düzey yönetimden bilgi çalışanına etkiler. Güvenlik ihlali, normal işletmeyi kesintiye uğratabilir ve kuruluşunuzu bir durduruma getirebilir. Olası bir saldırıyı tespit etmeniz daha hızlı bir şekilde daha hızlı bir güvenlik sorunu olasılığını ortadan kaldırabilirsiniz.
Bir ortamın bu açıktan yararlanmaya yönelik zayıf noktaları araştırdıktan sonra, bir saldırgan, ağdaki sistemlerin denetimini ele almak için ilk riskli duruma alma ayrıcalıklarına sahip genellikle 24 ile 48 saat arasında olabilir. İyi güvenlik önlemleri, bir saldırganın, saldırganın hareketlerini engelleyerek saat ve hatta aylar arasında denetim sahibi olma süresini uzatmak için ortamdaki sistemleri çok fazla ele alır. Bu konudaki güvenlik önerilerini uygulamak, kuruluşunuzu mümkün olduğunca hızlı tespit etmek ve bunlara yanıt vermek için konumlandırır.
1. Bölüm: güvenli bir temel oluşturma
Aşağıdaki bölümlerde, ortamınızda Azure Stack HCı işletim sistemini çalıştıran sunucular için güvenli bir temel oluşturmaya yönelik güvenlik araçları ve teknolojileri önerilir.
Ortamı sağlamlaştırın
Bu bölümde, işletim sisteminde çalışan hizmetlerin ve sanal makinelerin (VM 'Ler) nasıl korunduğu açıklanmaktadır:
Azure Stack HI sertifikalı donanım , kullanıma hazır olarak güvenli önyükleme, UEFı ve TPM ayarları sağlar. Sanallaştırma tabanlı güvenlik ve sertifikalı donanım birleştirme, güvenliğe duyarlı iş yüklerini korumanıza yardımcı olur. Ayrıca, bu güvenilir altyapıyı Azure Güvenlik Merkezi 'ne bağlanarak davranış analizlerini ve raporlamayı hızla değişen iş yüklerini ve tehditleri hesaba atayabilirsiniz.
- Güvenli önyükleme , bir cihazın yalnızca özgün ekipman ÜRETICISI (OEM) tarafından güvenilen yazılımlar kullanılarak önyüklendiğinden emin olmak için bilgisayar sektörünün geliştirdiği bir güvenlik standardıdır. Daha fazla bilgi için bkz. Güvenli önyükleme.
- birleşik genişletilebilir bellenim arabirimi (uefı) , sunucunun önyükleme işlemini denetler ve ardından denetimi Windows ya da başka bir işletim sistemine geçirir. Daha fazla bilgi için bkz. UEFI üretici yazılımı gereksinimleri.
- Güvenilir Platform Modülü (TPM) teknolojisi, donanım tabanlı ve güvenlikle ilgili işlevler sağlar. TPM yongası, şifreleme anahtarlarının kullanımını oluşturan, depolayan ve sınırlayan güvenli bir şifre işlemcisidir. Daha fazla bilgi için bkz. Güvenilir Platform Modülü teknolojisine genel bakış.
Azure Stack HCı sertifikalı donanım sağlayıcıları hakkında daha fazla bilgi edinmek için Azure Stack HCI çözümleri Web sitesine bakın.
güvenlik aracı , güvenlik yönetimi ve denetimini daha kolay hale getirmek için hem tek sunucu hem de Azure Stack hcı kümeleri için Windows yönetim merkezi 'nde yerel olarak kullanılabilir. Araç, sistemlerin güvenli durumunu görüntüleme özelliği de dahil olmak üzere sunucular ve kümeler için bazı önemli güvenlik ayarlarını merkezileştirir.
Daha fazla bilgi için bkz. güvenli çekirdek sunucu.
Device Guard ve Credential Guard. Device Guard, gizli olmayan imza, imzasız kod ve kötü amaçlı yazılım olmadan kötü amaçlı yazılımlara karşı koruma sağlar. Bu, hassas bilgileri yakalamak veya sisteme zarar vermek için çekirdeğe erişim sağlar. Windows Defender Credential Guard, yalnızca ayrıcalıklı sistem yazılımlarının erişebilmesi için gizli dizileri yalıtmak üzere sanallaştırma tabanlı güvenlik kullanır.
daha fazla bilgi edinmek için bkz. Windows Defender Credential guard 'ı yönetme ve Device guard ve Credential guard donanım hazırlığı aracı'nı indirme.
Windows ve bellenim güncelleştirmeleri, kümeler, sunucular (konuk vm 'ler dahil) ve bilgisayarların her ikisinin de işletim sisteminin ve sistem donanımının saldırganlar tarafından korunduğundan emin olmaya yardımcı olmak için gereklidir. her bir sisteme güncelleştirmeleri uygulamak için Windows yönetim merkezi güncelleştirmeleri aracını kullanabilirsiniz. donanım sağlayıcınız sürücü, bellenim ve çözüm güncelleştirmelerini almak için Windows yönetim merkezi desteği içeriyorsa, bu güncelleştirmeleri Windows güncelleştirmeleriyle aynı anda alabilir, aksi takdirde doğrudan satıcınızdan alabilirsiniz.
Daha fazla bilgi için bkz. kümeyi güncelleştirme.
aynı anda birden çok küme ve sunucuda güncelleştirmeleri yönetmek için, Windows yönetim merkezi ile tümleştirilmiş isteğe bağlı Azure Güncelleştirme Yönetimi hizmetine abone olmayı göz önünde bulundurun. daha fazla bilgi için bkz. Azure Güncelleştirme Yönetimi Windows yönetim merkezi 'ni kullanma.
Veri koruma
bu bölümde, işletim sistemindeki verileri ve iş yüklerini korumak için Windows yönetim merkezi 'nin nasıl kullanılacağı açıklanmaktadır:
Depolama Alanları için BitLocker , bekleyen verileri korur. işletim sistemindeki Depolama Alanları veri birimlerinin içeriğini şifrelemek için BitLocker 'ı kullanabilirsiniz. Verileri korumak için BitLocker kullanmak, kuruluşların FIPS 140-2 ve HIPAA gibi kamu, bölgesel ve sektöre özgü standartlarla uyumlu kalmasına yardımcı olabilir.
Windows yönetim merkezi 'nde BitLocker 'ı kullanma hakkında daha fazla bilgi için bkz. birim şifrelemeyi, yinelenenleri kaldırmayı ve sıkıştırmayı etkinleştirme
Windows ağ için SMB şifrelemesi, yoldaki verileri korur. Sunucu Ileti bloğu (SMB) , bir bilgisayardaki uygulamaların dosya okuyup yazmasına ve bir bilgisayar ağındaki sunucu programlarından hizmetler istemesine izin veren bir ağ dosya paylaşım protokolüdür.
SMB şifrelemesini etkinleştirmek için bkz. SMB güvenlik geliştirmeleri.
Windows yönetim merkezi 'nde Windows Defender Virüsten Koruma , istemcilerde ve sunuculardaki işletim sistemini virüsler, kötü amaçlı yazılım, casus yazılım ve diğer tehditlere karşı korur. daha fazla bilgi edinmek için Windows Server 2016 ve 2019 Microsoft Defender Virüsten Korumabakın.
Kimlikleri koruma
bu bölümde, ayrıcalıklı kimlikleri korumak için Windows yönetim merkezi 'nin nasıl kullanılacağı açıklanmaktadır:
Erişim denetimi , yönetim Yatayı güvenlik altına alabilir. Windows bir yönetim merkezi sunucusu (bir Windows 10 bilgisayarında çalışan) kullanıyorsanız, Windows yönetim merkezi 'ne iki erişim düzeyini denetleyebilirsiniz: ağ geçidi kullanıcıları ve ağ geçidi yöneticileri. Ağ Geçidi Yöneticisi kimlik sağlayıcısı seçenekleri şunlardır:
- Akıllı kart kimlik doğrulamasını zorlamak için Active Directory veya yerel makine grupları.
- koşullu erişim ve çok faktörlü kimlik doğrulamasını zorlamak için Azure Active Directory.
daha fazla bilgi edinmek için bkz. Windows yönetim merkezi ile kullanıcı erişimi seçenekleri ve kullanıcı Access Control ve izinlerini yapılandırma.
Windows yönetim merkezine tarayıcı trafiği HTTPS kullanır. Windows yönetim merkezinden yönetilen sunuculara giden trafik, Windows Uzaktan Yönetimi (WinRM) üzerinden standart PowerShell ve Windows Yönetim Araçları (wmı) kullanır. Windows yönetim merkezi, yerel yönetici parolası çözümünü (laps), kaynak tabanlı kısıtlanmış temsilciyi, Active Directory (AD) veya Microsoft Azure Active Directory (Azure AD) kullanarak ağ geçidi erişim denetimini ve hedef sunucuları yönetmek için rol tabanlı erişim denetimi 'ni (RBAC) destekler.
Windows yönetim merkezi Microsoft Edge (Windows 10, sürüm 1709 veya üzeri), Google Chrome ve Microsoft Edge ınsider 'u Windows 10 destekler. Windows yönetim merkezini Windows 10 bir bilgisayara veya Windows sunucusuna yükleyebilirsiniz.
Windows yönetici merkezini, ana bilgisayar sunucusu üzerinde kullanıcı arabirimi olmadan, ağ geçidi olarak çalıştıran bir sunucuya yüklerseniz. Bu senaryoda Yöneticiler, konakta otomatik olarak imzalanan bir güvenlik sertifikasıyla güvenliği sağlanmış bir HTTPS oturumu aracılığıyla sunucuda oturum açabilir. Ancak, bağlantı, güvenilen bir VPN üzerinden yerel bir IP adresine olsa bile, desteklenen tarayıcılar otomatik olarak imzalanan bir bağlantıyı güvenli olmayan olarak kabul ettiğinden, oturum açma işlemi için güvenilir bir sertifika yetkilisinden uygun bir SSL sertifikası kullanmak daha iyidir.
Kuruluşunuzun yükleme seçenekleri hakkında daha fazla bilgi edinmek için bkz. ne tür yükleme?.
CredSSP , yönetim merkezi Windows, yönetmek üzere hedeflediğiniz belirli bir sunucunun dışındaki makinelere kimlik bilgilerini geçirmek için birkaç durumda kullandığı bir kimlik doğrulama sağlayıcısıdır. Windows yönetim merkezi şu anda CredSSP 'yi gerektirir:
- Yeni bir küme oluşturun.
- Yük Devretme Kümelemesi veya Cluster-Aware güncelleştirme özelliklerini kullanmak için güncelleştirmeler aracına erişin.
- VM 'lerde toplanmış SMB depolamayı yönetin.
daha fazla bilgi edinmek için bkz. yönetim merkezi Windows CredSSP 'yi kullanma .
Windows yönetim merkezi 'ndeki rol tabanlı erişim denetimi (RBAC) , kullanıcıların tam yerel yöneticiler yapmak yerine, yönetmesi gereken sunuculara sınırlı erişimi sağlar. Windows yönetim merkezi 'nde RBAC 'yi kullanmak için, her bir yönetilen sunucuyu yeterli yönetim uç noktası ile bir PowerShell ile yapılandırırsınız.
Daha fazla bilgi için bkz. rol tabanlı erişim denetimi ve yeterli yönetim.
Windows yönetim merkezi 'nde kimlikleri yönetmek ve korumak için kullanabileceğiniz güvenlik araçları , Active Directory, sertifikalar, güvenlik duvarı, yerel kullanıcılar ve gruplar ve daha fazlasını içerir.
daha fazla bilgi edinmek için bkz. Windows Admin Center ile sunucuları yönetme.
2. Bölüm: Azure Güvenlik Merkezi 'Ni kullanma
Azure Güvenlik Merkezi , veri merkezlerinizin güvenlik duruşunu güçlendirir ve bulutta ve şirket içinde hibrit iş yükleriniz genelinde gelişmiş tehdit koruması sağlayan Birleşik bir altyapı güvenliği yönetim sistemidir. Güvenlik Merkezi, ağınızın güvenlik durumunu değerlendirmek, iş yüklerini korumak, güvenlik uyarıları yükseltmek ve saldırıları düzeltmek ve gelecekteki tehditleri çözmek için belirli önerileri izlemek üzere araçlar sağlar. Güvenlik Merkezi, Azure hizmetleriyle otomatik sağlama ve koruma aracılığıyla dağıtım yükü olmadan bu hizmetlerin tümünü bulutta yüksek hızda gerçekleştirir.
güvenlik merkezi, bu kaynaklara Log Analytics aracısını yükleyerek hem Windows sunucuları hem de Linux sunucuları için sanal makineleri korur. Azure, aracıların iş yüklerinizi güvenli hale getirmek için gerçekleştirdiğiniz öneriler (görevleri sağlamlaştırma) halinde toplar. En iyi güvenlik uygulamalarına göre sağlamlaştırma görevleri, güvenlik ilkelerini yönetmeyi ve zorlamayı içerir. Böylece sonuçları izleyebilir ve uyumluluk ve idare düzeyini Güvenlik Merkezi izleme aracılığıyla zaman içinde yönetebilir ve tüm kaynaklarınızın içindeki saldırı yüzeyini azaltabilirsiniz.
Azure kaynaklarınıza ve aboneliklerinize kimlerin erişebileceğini yönetmek, Azure yönetim stratejinizin önemli bir parçasını oluşturur. Azure rol temelli erişim denetimi (RBAC), Azure’da erişimi yönetmenin birincil yöntemidir. Daha fazla bilgi edinmek için bkz. rol tabanlı erişim denetimi Ile Azure ortamınıza erişimi yönetme.
Windows yönetim merkezi aracılığıyla güvenlik merkezi ile çalışma, bir Azure aboneliği gerektirir. başlamak için bkz. Azure güvenlik merkezi 'ni Windows yönetim merkezi ile tümleştirme.
kaydolduktan sonra, Windows yönetim merkezi 'nde güvenlik merkezi 'ne erişin: tüm bağlantılar sayfasında bir sunucu veya VM seçin, araçlaraltında azure güvenlik merkezi' ni seçin ve ardından azure 'da oturum aç' ı seçin.
Daha fazla bilgi edinmek için bkz. Azure Güvenlik Merkezi nedir?
3. kısım: Gelişmiş güvenlik ekleme
Aşağıdaki bölümlerde, ortamınızda Azure Stack HCı işletim sistemini çalıştıran sunucuların daha fazla güvenliğini sağlamak için gelişmiş güvenlik araçları ve teknolojileri önerilir.
Ortamı sağlamlaştırın
Microsoft güvenlik temelleri , Microsoft 'un ticari kuruluşlar ve ABD devlet, Savunma Bakanlığı gibi iş ortaklığı aracılığıyla elde edilen güvenlik önerilerini temel alır. güvenlik temelleri Windows güvenlik duvarı, Windows Defender ve diğer birçok güvenlik ayarlarını içerir.
Güvenlik temelleri, Active Directory Domain Services (AD DS) içeri aktarabileceğiniz grup ilkesi nesne (GPO) yedeklemeleri olarak sağlanır ve sonra ortama zarar vermek için etki alanına katılmış sunuculara dağıtabilirsiniz. Ayrıca, güvenlik temellerine sahip tek başına (etki alanına katılmış olmayan) sunucular yapılandırmak için yerel betik araçları 'nı kullanabilirsiniz. Güvenlik temellerini kullanmaya başlamak için Microsoft Güvenlik uyumluluk araç seti 1,0' i indirin.
Daha fazla bilgi için bkz. Microsoft güvenlik temelleri.
Veri koruma
Hyper-V ortamının sağlamlaştırma, fiziksel bir sunucuda çalışan işletim sistemini çok fazla olduğu gibi, bir VM üzerinde çalışan Windows sağlamlaştırma gerektirir. Sanal ortamlar genellikle aynı fiziksel ana bilgisayarı paylaşan birden çok VM 'ye sahip olduğu için, hem fiziksel konağın hem de üzerinde çalışan VM 'Lerin korunması zorunludur. Bir konağı kapatan bir saldırgan, iş yükleri ve hizmetler üzerinde daha fazla etkisi olan birden çok VM 'yi etkileyebilir. bu bölümde, bir Hyper-V ortamında Windows sunucusu kullanmak için kullanabileceğiniz aşağıdaki yöntemler açıklanmaktadır:
Windows Server 'daki sanal Güvenilir Platform Modülü (vtpm) vm 'ler için TPM 'yi destekler, bu da vm 'lerde BitLocker gibi gelişmiş güvenlik teknolojilerini kullanmanıza olanak sağlar. hyper-v yöneticisi 'ni veya Windows PowerShell cmdlet 'ini kullanarak herhangi bir 2. nesil hyper-v sanal makinesinde TPM desteğini etkinleştirebilirsiniz
Enable-VMTPM.Daha fazla bilgi için bkz. Enable-VMTPM.
Azure Stack hı ve Windows sunucusu 'ndaki yazılım tanımlı ağ (sdn) , altyapınızdaki yazılım yük dengeleyici, veri merkezi güvenlik duvarı, ağ geçitleri ve sanal anahtarlar gibi sanal ağ cihazlarını merkezi olarak yapılandırır ve yönetir. Hyper-V sanal anahtarı, Hyper-V ağ sanallaştırma ve RAS ağ geçidi gibi sanal ağ öğeleri, SDN altyapınızın tamsayı öğeleri olacak şekilde tasarlanmıştır.
Daha fazla bilgi için bkz. yazılım tanımlı ağ (SDN).
Not
Korumalı VM 'Ler Azure Stack HCı 'da desteklenmez.
Kimlikleri koruma
Yerel yönetici parolası çözümü (LAPS) , her bilgisayarın yerel yönetici hesabı parolasını yeni bir rastgele ve benzersiz bir değere düzenli olarak ayarlayan Active Directory etki alanına katılmış sistemler için hafif bir mekanizmadır. Parolalar, yalnızca özellikle yetkili kullanıcıların bunları alabileceği Active Directory ilgili bilgisayar nesnesi üzerinde güvenli bir gizli bir öznitelikte saklanır. LAPS, uzak bilgisayar yönetimi için yerel hesapları, etki alanı hesaplarının kullanılmasıyla ilgili bazı avantajlar sunan bir şekilde kullanır. Daha fazla bilgi edinmek için bkz. yerel hesapların uzak kullanımı: LAPS her şeyi değiştiriyor.
LAPS 'yi kullanmaya başlamak için, yerel yönetici parolası çözümünü (LAPS)indirin.
Microsoft Advanced Threat Analytics (ata) , saldırganların ayrıcalıklı kimlikleri tehlikeye almaya çalışan saldırganların algılanmasına yardımcı olmak için kullanabileceğiniz şirket içi bir üründür. ATA, Kerberos ve DNS gibi kimlik doğrulama, yetkilendirme ve bilgi toplama protokolleri için ağ trafiğini ayrıştırır. ATA, anomali ve bilinen saldırı düzenlerini algılamak için ağ üzerindeki kullanıcı ve diğer varlıkların davranış profillerini oluşturmak üzere verileri kullanır.
Daha fazla bilgi edinmek için bkz. Advanced Threat Analytics nedir?.
Windows Defender uzak Credential Guard , Kerberos isteklerini bağlantı isteyen cihaza yeniden yönlendirerek uzak masaüstü bağlantısı üzerinden kimlik bilgilerini korur. Ayrıca, uzak masaüstü oturumları için çoklu oturum açma (SSO) sağlar. Uzak Masaüstü oturumu sırasında, hedef cihazın güvenliği tehlikeye geçtiğinde kimlik bilgileriniz gösterilmez çünkü hem kimlik bilgileri hem de kimlik bilgisi açıklatlar hiçbir şekilde ağ üzerinden hedef cihaza geçirilmez.
daha fazla bilgi için bkz. Manage Windows Defender Credential Guard.
Sonraki adımlar
Güvenlik ve mevzuat uyumluluğu hakkında daha fazla bilgi için Ayrıca bkz: