Azure Stack HCI 安全性考量

適用於:Azure Stack HCI 21H2 和 20H2 版、Windows Server 2022、Windows Server 2019

本主題提供 Azure Stack HCI 作業系統的相關安全性考量和建議:

  • 第 1 部分涵蓋基本的安全性工具和技術,用於強化作業系統及保護資料和身分識別,以有效率地為您的組織打造安全的基礎。
  • 第 2 部分涵蓋可透過 Azure 資訊安全中心取得的資源。
  • 第 3 部分涵蓋更進階的安全性考量,用於進一步強化您組織在這些領域中的安全性狀態。

為什麼安全性考量很重要?

安全性會影響您組織中的所有人,從上層管理到資訊工作者都會受到影響。 安全性不足對組織來說是真正的風險,因為安全性缺口可能會中斷所有正常業務,並讓您的組織停止運作。 您可以更快地偵測到潛在攻擊,就能更快降低安全性的危害。

在研究環境的弱點並加以利用之後,攻擊者通常會在第一次入侵後的 24 至 48 小時內提升權限,以控制網路上的系統。 良好的安全性措施可強化環境中的系統,藉由封鎖攻擊者的行動,將攻擊者可能掌控系統的時間延長到數小時、數週甚至是數個月。 實作本主題中的安全性建議,可讓您的組織儘快偵測和回應這類攻擊。

第 1 部分:打造安全的基礎

下列各節會提供安全性工具和技術建議,為您環境中執行 Azure Stack HCI 作業系統的伺服器建立安全的基礎。

強化環境

本節討論如何保護在作業系統上執行的服務和虛擬機器 (VM):

  • Azure Stack HCI 認證的硬體可提供一致的安全開機、UEFI 和 TPM 設定。 結合以虛擬化為基礎的安全性和認證硬體,協助保護要求高安全性的工作負載。 您也可以將此受信任的基礎結構連線到 Azure 資訊安全中心,以啟用行為分析和報告來快速變更工作負載和威脅。

    • 安全開機是由電腦產業開發的安全性標準,可協助確保裝置只會使用原始設備製造商 (OEM) 所信任的軟體來開機。 若要深入了解,請參閱安全開機
    • 整合可延伸韌體介面 (UEFI) 可控制伺服器的開機程序,然後將控制權傳遞給 Windows 或另一個作業系統。 若要深入了解,請參閱 UEFI 韌體需求
    • 信賴平台模組 (TPM) 技術可提供硬體式的安全性相關功能。 TPM 晶片是安全的密碼編譯處理器,可產生、儲存和限制密碼編譯金鑰的使用。 若要深入了解,請參閱信賴平台模組技術概觀

    若要深入了解 Azure Stack HCI 認證的硬體提供者,請參閱 Azure Stack HCI 解決方案網站。

  • 安全性工具是 Windows Admin Center 中以原生方式為單一伺服器和 Azure Stack HCI 叢集提供的工具,可讓您更輕鬆地進行安全性管理和控制。 此工具會集中部分伺服器和叢集的重要安全性設定,包括能夠檢視系統的安全核心狀態。

    若要深入了解,請參閱安全核心伺服器

  • Device GuardCredential Guard。 Device Guard 可抵禦沒有已知簽章的惡意程式碼、未簽署的程式碼,以及取得核心存取權來擷取機密資訊或損毀系統的惡意程式碼。 Windows Defender Credential Guard 使用以虛擬化為基礎的安全性來隔離祕密,只有具特殊權限的系統軟體才能進行存取。

    若要深入了解,請參閱管理 Windows Defender Credential Guard 和下載 Device Guard 與 Credential Guard 硬體整備工具

  • Windows韌體更新在叢集、伺服器 (包括客體 VM) 和電腦上相當重要,可協助確保作業系統和系統硬體免於遭到攻擊者的入侵。 您可以使用 Windows Admin Center 更新工具,將更新套用至個別系統。 如果您的硬體提供者包含取得驅動程式、韌體和解決方案更新的 Windows Admin Center 支援,您可以在 Windows 更新時同時取得這些更新,否則請直接向您的廠商索取這些更新。

    若要深入了解,請參閱更新叢集

    若要一次管理多個叢集和伺服器上的更新,請考慮訂閱與 Windows Admin Center 整合的選用 Azure 更新管理服務。 如需詳細資訊,請參閱使用 Windows Admin Center 的 Azure 更新管理

保護資料

本節討論如何使用 Windows Admin Center 來保護作業系統上的資料和工作負載:

  • 適用於儲存空間的 BitLocker 可保護待用資料。 您可以使用 BitLocker 來加密作業系統上的儲存空間資料磁碟區內容。 使用 BitLocker 保護資料可協助組織遵循政府、區域及業界特定標準 (例如 FIPS 140-2 和 HIPAA) 的規範。

    若要深入了解如何在 Windows Admin Center 中使用 BitLocker,請參閱啟用磁碟區加密、重復資料刪除和壓縮

  • 適用於 Windows 網路的 SMB 加密可保護傳輸中的資料。 伺服器訊息區 (SMB) 是網路檔案共用通訊協定,允許電腦上的應用程式讀取和寫入檔案,以及要求來自電腦網路中伺服器程式的服務。

    若要啟用 SMB 加密,請參閱 SMB 安全性增強功能

  • Windows Admin Center 中的 Windows Defender 防毒軟體可協助用戶端和伺服器上的作業系統抵禦病毒、惡意程式碼、間諜軟體和其他威脅。 若要深入了解,請參閱 Windows Server 2016 和 2019 上的 Microsoft Defender 防毒軟體

保護身分識別

本節討論如何使用 Windows Admin Center 來保護具特殊權限的身分識別:

  • 存取控制可以改善管理環境的安全性。 如果您使用 Windows Admin Center 伺服器 (與在 Windows 10 電腦上執行相比),您可以控制 Windows Admin Center 本身的兩種存取層級:閘道使用者和閘道管理員。 閘道管理員識別提供者的選項包括:

    • Active Directory 或本機電腦群組,可強制執行智慧卡驗證。
    • Azure Active Directory,可強制執行條件式存取和多重要素驗證。

    若要深入了解,請參閱 Windows Admin Center 的使用者存取選項設定使用者存取控制和權限

  • 指向 Windows Admin Center 的瀏覽器流量會使用 HTTPS。 從 Windows Admin Center 到受控伺服器的流量會透過 Windows 遠端管理 (WinRM) 使用標準的 PowerShell 和 Windows Management Instrumentation (WMI)。 Windows Admin Center 支援以本機管理員密碼解決方案 (LAPS)、資源型限制委派、使用 Active Directory (AD) 或 Microsoft Azure Active Directory (Azure AD) 的閘道存取控制,以及角色型存取控制 (RBAC) 來管理 Windows Admin Center 閘道。

    Windows Admin Center 支援 Microsoft Edge (Windows 10 1709 版或更新版本)、Google Chrome,以及 Windows 10 上的 Microsoft Edge Insider。 您可以在 Windows 10 電腦或 Windows 伺服器上安裝 Windows Admin Center。

    如果您在伺服器上安裝 Windows Admin Center,其會以閘道的形式執行,且主機伺服器上不會有 UI。 在此情況下,管理員可以透過 HTTPS 工作階段來登入伺服器 (可受到主機上自我簽署安全性憑證的保護)。 不過,最佳做法是使用來自受信任憑證授權單位的適當 SSL 憑證來完成登入程序,因為支援的瀏覽器會將自我簽署連線視為不安全,即使是透過受信任的 VPN 連線至本機 IP 位址也是如此。

    若要深入了解您組織的安裝選項,請參閱何種安裝類型最適合您?

  • CredSSP 是驗證提供者,在少數情況下,Windows Admin Center 會使用此提供者來將認證傳遞給所要管理特定伺服器以外的機器。 Windows Admin Center 目前需要 CredSSP 來執行下列動作:

    • 建立新叢集。
    • 存取更新工具,以使用容錯移轉叢集或叢集感知更新功能。
    • 管理 VM 中的分類式 SMB 儲存體。

    若要深入了解,請參閱 Windows Admin Center 是否使用 CredSSP?

  • Windows Admin Center 中的安全性工具,可用來管理及保護身分識別,包括 Active Directory、憑證、防火牆、本機使用者和群組等等。

    若要深入了解,請參閱使用 Windows Admin Center 管理伺服器

第 2 部分:使用 Azure 資訊安全中心

Azure 資訊安全中心是統一的基礎結構安全性管理系統,可鞏固您資料中心的安全性狀態,並在雲端和內部部署環境中為混合式工作負載提供進階威脅防護。 資訊安全中心提供您工具來評估網路安全性狀態、保護工作負載、引發安全性警示及遵循特定建議來補救攻擊,並解決未來的威脅。 透過 Azure 服務的自動佈建和保護,資訊安全中心可以在雲端中快速執行所有這些服務,而不會產生額外的部署負擔。

資訊安全中心會在 Windows 伺服器和 Linux 伺服器的 VM 上安裝 Log Analytics 代理程式,以保護這些資源。 Azure 會讓代理程式所收集的事件與用於讓工作負載更安全的建議 (強化工作) 相互關聯。 以安全性最佳做法為基礎的強化工作包括管理和強制執行安全性原則。 然後,您可以透過資訊安全中心監視來追蹤一段時間的結果及管理合規性和治理作業,同時減少所有資源的受攻擊面。

管理哪些人員可以存取 Azure 資源和訂用帳戶是 Azure 控管策略中很重要的一環。 Azure RBAC 是在 Azure 中管理存取權的主要方法。 若要深入了解,請參閱透過角色型存取控制來管理對 Azure 環境的存取

透過 Windows Admin Center 使用資訊安全中心需要 Azure 訂用帳戶。 若要開始使用,請參閱整合 Azure 資訊安全中心與 Windows Admin Center

註冊之後,請存取 Windows Admin Center 中的資訊安全中心:在 [所有連線] 頁面上選取伺服器或 VM,並在 [工具] 底下選取 [Azure 資訊安全中心],然後選取 [登入 Azure]。

若要深入了解,請參閱什麼是 Azure 資訊安全中心?

第 3 部分:新增進階安全性

下列各節會提供進階的安全性工具和技術建議,進一步強化您環境中執行 Azure Stack HCI 作業系統的伺服器。

強化環境

  • Microsoft 安全性基準是以 Microsoft 的安全性建議為基礎,這些建議是透過與商業組織及美國政府 (例如美國國防部) 合作而取得。 安全性基準包含 Windows 防火牆、Windows Defender 和其他許多項目的建議安全性設定。

    安全性基準是以群組原則物件 (GPO) 備份的形式提供,您可以將其匯入 Active Directory Domain Services (AD DS),然後部署至已加入網域的伺服器來強化環境。 您也可以使用本機指令碼工具,設定獨立 (未加入網域) 且具有安全性基準的伺服器。 若要開始使用安全性基準,請下載 Microsoft 安全合規性工具組 1.0

    若要深入了解,請參閱 Microsoft 安全性基準

保護資料

  • 強化 Hyper-V 環境需要強化在 VM 上執行的 Windows Server,就像強化實體伺服器上執行的作業系統一樣。 由於虛擬環境通常有多個共用相同實體主機的 VM,因此務必要保護實體主機和其中執行的 VM。 入侵主機的攻擊者可能會影響多個 VM,並對工作負載和服務產生更大的影響。 本節將討論您可以用來在 Hyper-V 環境中強化 Windows Server 的下列方法:

    • Windows Server 中的虛擬信賴平台模組 (vTPM) 支援適用於 VM 的 TPM,可讓您使用進階的安全性技術,例如 VM 中的 BitLocker。 您可以使用 Hyper-V 管理員或 Enable-VMTPM Windows PowerShell Cmdlet,在任何第 2 代 Hyper-V VM 上啟用 TPM 支援。

      若要深入了解,請參閱 Enable-VMTPM

    • 軟體定義網路 (SDN) 會在 Azure Stack HCI 和 Windows Server 中集中設定及管理虛擬網路裝置,例如基礎結構中的軟體負載平衡器、資料中心防火牆、閘道和虛擬交換器。 虛擬網路元素 (例如 Hyper-V 虛擬交換器、Hyper-V 網路虛擬化和 RAS 閘道) 會設計為 SDN 基礎結構的組成元素。

      若要深入了解,請參閱軟體定義網路 (SDN)

      注意

      Azure Stack HCI 中不支援受防護的 VM。

保護身分識別

  • 本機管理員密碼解決方案 (LAPS) 是一種輕量機制,適用於加入 Active Directory 網域的系統,這些系統會定期將每部電腦的本機管理員帳戶密碼設定為新的唯一亂數值。 密碼會儲存在 Active Directory 中對應電腦物件上的安全機密屬性中,只有明確授權的使用者可以擷取這些密碼。 LAPS 使用本機帳戶進行遠端電腦管理,其具有一些勝過使用網域帳戶的優勢。 若要深入了解,請參閱本機帳戶的遠端使用:LAPS 改變了一切

    若要開始使用 LAPS,請下載本機管理員密碼解決方案 (LAPS)

  • Microsoft Advanced Threat Analytics (ATA) 是內部部署產品,可讓您用來協助偵測試圖危害特殊權限身分識別的攻擊者。 ATA 會剖析驗證、授權和資訊收集通訊協定 (例如 Kerberos 和 DNS) 的網路流量。 ATA 會使用這些資料來建立使用者的行為設定檔,以及網路上的其他實體,以偵測異常和已知的攻擊模式。

    若要深入了解,請參閱什麼是 Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard 會藉由將 Kerberos 要求重新導回要求連線的裝置,以透過遠端桌面連線來保護認證。 也會為遠端桌面工作階段提供單一登入 (SSO)。 在遠端桌面工作階段中,如果目標裝置遭到入侵,則不會公開您的認證,因為認證和認證衍生項目都不會透過網路傳遞到目標裝置。

    若要深入了解,請參閱管理 Windows Defender Credential Guard

後續步驟

如需有關安全性和法規合規性的詳細資訊,請參閱: