Konfigurace ovládacích prvků zabezpečení služby Azure Stack Hub
Tento článek vysvětluje ovládací prvky zabezpečení, které je možné změnit ve službě Azure Stack Hub, a zvýrazňuje případné kompromisy.
Architektura služby Azure Stack Hub je postavená na dvou základních pilířích zabezpečení: předpokládat porušení zabezpečení a ve výchozím nastavení posílit zabezpečení. Další informace o zabezpečení služby Azure Stack Hub najdete v tématu Stav zabezpečení infrastruktury služby Azure Stack Hub. I když je výchozí stav zabezpečení služby Azure Stack Hub připravený do produkčního prostředí, existují některé scénáře nasazení, které vyžadují další posílení zabezpečení.
Zásady verze protokolu TLS
Protokol TLS (Transport Layer Security) je široce používaný kryptografický protokol pro navázání šifrované komunikace přes síť. Protokol TLS se v průběhu času vyvíjel a bylo vydáno několik verzí. Infrastruktura služby Azure Stack Hub používá pro veškerou svou komunikaci výhradně protokol TLS 1.2. U externích rozhraní azure Stack Hub v současné době standardně používá protokol TLS 1.2. Z důvodu zpětné kompatibility ale podporuje také vyjednávání až na protokol TLS 1.1. a 1.0. Když klient TLS požádá o komunikaci přes protokol TLS 1.1 nebo TLS 1.0, Služba Azure Stack Hub požadavek vyhodí na nižší verzi protokolu TLS. Pokud klient požaduje protokol TLS 1.2, Azure Stack Hub naváže připojení TLS pomocí protokolu TLS 1.2.
Vzhledem k tomu, že se protokoly TLS 1.0 a 1.1 postupně zastavují nebo zakazují organizace a standardy dodržování předpisů, můžete teď zásady TLS nakonfigurovat ve službě Azure Stack Hub. Můžete vynutit pouze zásadu PROTOKOLU TLS 1.2, kdy jakýkoli pokus o navázání relace PROTOKOLU TLS s verzí nižší než 1.2 není povolený a bude odmítnut.
Důležité
Microsoft doporučuje používat pouze zásady TLS 1.2 pro produkční prostředí Služby Azure Stack Hub.
Získání zásad TLS
Pomocí privilegovaného koncového bodu (PEP) zobrazte zásady TLS pro všechny koncové body služby Azure Stack Hub:
Get-TLSPolicy
Příklad výstupu:
TLS_1.2
Nastavení zásad PROTOKOLU TLS
Pomocí privilegovaného koncového bodu (PEP) nastavte zásady TLS pro všechny koncové body služby Azure Stack Hub:
Set-TLSPolicy -Version <String>
Parametry rutiny Set-TLSPolicy :
Parametr | Popis | Typ | Vyžadováno |
---|---|---|---|
Verze | Povolené verze protokolu TLS ve službě Azure Stack Hub | Řetězec | ano |
Ke konfiguraci povolených verzí protokolu TLS pro všechny koncové body služby Azure Stack Hub použijte jednu z následujících hodnot:
Hodnota verze | Popis |
---|---|
TLS_All | Koncové body TLS služby Azure Stack Hub podporují protokol TLS 1.2, ale je povolené vyjednávání s protokoly TLS 1.1 a TLS 1.0. |
TLS_1.2 | Koncové body TLS služby Azure Stack Hub podporují pouze protokol TLS 1.2. |
Aktualizace zásad TLS trvá několik minut.
Příklad konfigurace vynucení protokolu TLS 1.2
Tento příklad nastaví zásady TLS tak, aby vynucovat pouze protokol TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Příklad výstupu:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Příklad konfigurace povolit všechny verze protokolu TLS (1.2, 1.1 a 1.0)
Tento příklad nastaví zásady TLS tak, aby umožňovaly všechny verze protokolu TLS (1.2, 1.1 a 1.0).
Set-TLSPolicy -Version TLS_All
Příklad výstupu:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Právní upozornění pro relace PEP
Existují scénáře, ve kterých je užitečné zobrazit při přihlášení k relaci privilegovaného koncového bodu (PEP) právní upozornění. Rutiny Set-AzSLegalNotice a Get-AzSLegalNotice slouží ke správě popis a textu takového textu právního oznámení.
Pokud chcete nastavit právní oznámení popis a text, projděte si rutinu Set-AzSLegalNotice. Pokud popis a text právního oznámení byly dříve nastaveny, můžete je zkontrolovat pomocí rutiny Get-AzSLegalNotice.