Azure Arc etkin sunucular güvenliğine genel bakış

  • Makale
  • Okumak için 3 dakika

Bu makalede, işletmenize etkin sunucular dağıtmadan önce değerlendirmeniz gereken Azure Arc yapılandırması ve dikkat edilmesi gerekenler açıklanmıştır.

Kimlik ve erişim denetimi

Her Azure Arc sunucu, Azure aboneliği içindeki bir kaynak grubunun parçası olarak yönetilen bir kimliğe sahip olur. Bu kimlik, şirket içinde veya başka bir bulut ortamında çalışan sunucuyu temsil eder. Bu kaynağa erişim standart Azure rol tabanlı erişim denetimi tarafından denetlenr. Access Control (IAM) sayfasından, Azure portal etkin sunucunuza kimin erişe Azure Arc doğruleyebilirsiniz.

Azure Arc etkin sunucu erişim denetimi

Kaynağa katkıda bulunan veya yönetici rolü erişimi verilen kullanıcılar ve uygulamalar, makinede uzantı dağıtma veya silme de dahil olmak üzere kaynak üzerinde değişiklik yapabilirsiniz. Uzantılar ayrıcalıklı bağlamda çalıştıran rastgele betikler içerebilir, bu nedenle Azure kaynağında katkıda bulunanları sunucunun dolaylı yöneticisi olarak kabul edin.

Azure Connected Machine Ekleme rolü, büyük ölçekli ekleme için kullanılabilir ve yalnızca Azure'da yeni Azure Arc sunucuları okuyabilir veya oluşturabilir. Önceden kaydedilmiş sunucuları silmek veya uzantıları yönetmek için kullanılamaz. En iyi uygulama olarak, bu rolü yalnızca makineleri büyük ölçekte Azure Active Directory için kullanılan Azure Active Directory (Azure AD) hizmet sorumlusuna atamanız önerilir.

Azure Connected Machine Kaynak Yöneticisi rolünün üyesi olan kullanıcılar bir makineyi okuyabilir, değiştirebilir, yeniden kullanılabilir ve silebilir. Bu rol, kaynak grubu veya Azure Arc diğer kaynakların değil, sunucu etkinleştirilmiş sunucuların yönetimini destekleyecek şekilde tasarlanmıştır.

Aracı güvenliği ve izinleri

Azure Connected Machine aracısını (azcmagent) Windows kullanıcı hesabınız yerel Administrators grubunun bir üyesi olması gerekir. Linux'ta kök erişim izinlerine sahipsiniz.

Azure Connected Machine aracı, makineniz üzerinde çalıştıran üç hizmetlerden oluşur.

  • Arc Hybrid Instance Metadata Service temel işlevlerinden sorumlu olan Hybrid Instance Metadata Service (himds) hizmetidir. Buna sinyal gönderme, makinenin Azure kaynak kimliği hakkında bilgi edinmek ve diğer Azure hizmetlerinde kimlik doğrulaması yapmak için Azure AD belirteçlerini almak için diğer uygulamalar için yerel bir örnek meta veri hizmetinin açığa çıkarımı dahildir. Bu hizmet, Windows'de ayrıcalıksız bir sanal hizmet hesabı olarak ve Linux'ta onund kullanıcısı olarak çalışır.

  • Konuk Yapılandırma hizmeti (GCService), makinede Azure İlkesi değerlendirmekle sorumludur.

  • Konuk Yapılandırma Uzantısı hizmeti (ExtensionService), makinede uzantıları (aracılar, betikler veya diğer yazılımlar) yüklemek, güncelleştirmek ve silmekle sorumludur.

Konuk yapılandırma ve uzantı hizmetleri, Yerel Sistem olarak Windows linux üzerinde kök olarak çalışır.

Etkin sunucularla yönetilen Azure Arc kullanma

Varsayılan olarak, Azure Active Directory tarafından kullanılan sistem tarafından atanan kimlik yalnızca Azure'daki Azure Arc sunucusunun durumunu güncelleştirmek için kullanılabilir. Örneğin, en son görülen sinyal durumu. Sunucunuzda bir uygulama diğer Azure hizmetlerine erişmek için sistem tarafından atanan kimliği kullanıyorsa isteğe bağlı olarak kimliğe başka roller atabilirsiniz. Sistem tarafından atanan yönetilen kimliği Azure kaynaklarına erişmek için yapılandırma hakkında daha fazla bilgi edinmek için bkz. Etkin sunucularla Azure Azure Arc kimlik doğrulaması yapma.

Bu Hybrid Instance Metadata Service makinede çalışan herhangi bir uygulama tarafından erişilebilir ancak yalnızca yetkili uygulamalar sistem tarafından atanan kimlik için bir Azure AD belirteci talep eder. Belirteç URI'sini erişmeye çalışan ilk denemede hizmet, dosya sistemi üzerinde yalnızca güvenilen çağıranların okuyabildiği bir konumda rastgele oluşturulmuş bir şifreleme blobu oluşturmuştur. Ardından çağıranın dosyayı okuması (uygun izinlere sahip olduğunu kanıtlaması) ve azure AD belirteci başarıyla almak için isteği yetkilendirme üst bilgisinde dosya içeriğiyle yeniden denemesi gerekir.

  • Bu Windows, blobu okumak için çağıranın yerel Administrators grubunun veya Karma Aracı Uzantısı Uygulamaları grubunun bir üyesi olması gerekir.

  • Linux'ta çağıranın blobu okumak için himds grubunun bir üyesi olması gerekir.

Azure kaynaklarının kimliğini doğrulamak ve bu kaynaklara erişmek için Arc özellikli sunucularla yönetilen kimlik kullanma hakkında daha fazla bilgi edinmek için aşağıdaki videoya bakın.

Disk şifrelemeyi kullanma

Azure Connected Machine aracısı, Azure hizmetiyle iletişim kurmak için ortak anahtar kimlik doğrulamasını kullanır. Sunucuyu sunucuya Azure Arc, diske bir özel anahtar kaydedilir ve aracı Azure ile her iletişim kurarken kullanılır. Çalınırsa, özel anahtar başka bir sunucuda hizmetle iletişim kurmak ve özgün sunucu gibi hareket etmek için kullanılabilir. Bu, sistem tarafından atanan kimliğe ve kimliğin erişimi olan tüm kaynaklara erişim elde etmektir. Özel anahtar dosyası yalnızca himds hesabının okumasına izin verecek şekilde korunur. Çevrimdışı saldırıları önlemek için, tam disk şifrelemesi (örneğin, BitLocker, dm-crypt vb.) sunucu işletim sistemi birimi üzerinde kullanılması kesinlikle önerilir.

Sonraki adımlar

  • Birden çok karma makinede Azure Arc sunucuları değerlendirmeden veya etkinleştirmeden önce gereksinimleri, aracıyla ilgili teknik ayrıntıları ve dağıtım yöntemlerini anlamak için Bağlı Makine aracılarına genel bakış'a bakın.

  • Her ölçekte etkin sunucu dağıtmayı planlamak ve merkezi yönetim Azure Arc uygulamak için Planlama ve dağıtım kılavuzunu gözden geçirebilirsiniz.