Sdílet prostřednictvím

Řízení zabezpečení infrastruktury služby Azure Stack Hub

  • Článek

Mezi hlavní faktory ovlivňující výběr hybridních cloudů patří aspekty zabezpečení a požadavky na dodržování předpisů. Služba Azure Stack Hub je navržená pro tyto scénáře. Tento článek vysvětluje kontrolní mechanismy zabezpečení pro Azure Stack Hub.

Dvě vrstvy stavu zabezpečení existují společně ve službě Azure Stack Hub. První vrstva je infrastruktura služby Azure Stack Hub, která zahrnuje hardwarové komponenty až do Azure Resource Manageru. První vrstva zahrnuje správce a uživatelské portály. Druhá vrstva se skládá z úloh vytvořených, nasazených a spravovaných tenanty. Druhá vrstva obsahuje položky, jako jsou virtuální počítače a weby služby App Services.

Přístup k zabezpečení

Stav zabezpečení pro službu Azure Stack Hub je navržený tak, aby chránil před moderními hrozbami a byl sestaven tak, aby splňoval požadavky z hlavních standardů dodržování předpisů. V důsledku toho je stav zabezpečení infrastruktury služby Azure Stack Hub postaven na dvou pilířích:

  • Předpokládat porušení zabezpečení
    Počínaje předpokladem, že už došlo k porušení zabezpečení systému, zaměřte se na detekci a omezení dopadu porušení a snažte se zabránit pouze útokům.

  • Posíleno ve výchozím nastavení
    Vzhledem k tomu, že infrastruktura běží na dobře definovaném hardwaru a softwaru, azure Stack Hub ve výchozím nastavení povoluje, konfiguruje a ověřuje všechny funkce zabezpečení.

Vzhledem k tomu, že služba Azure Stack Hub je dodávána jako integrovaný systém, definuje Microsoft stav zabezpečení infrastruktury služby Azure Stack Hub. Stejně jako v Azure jsou tenanti zodpovědní za definování stavu zabezpečení úloh tenanta. Tento dokument poskytuje základní znalosti o stavu zabezpečení infrastruktury služby Azure Stack Hub.

Šifrování neaktivních uložených dat

Všechna neaktivní uložená data a infrastruktury služby Azure Stack Hub se šifrují pomocí BitLockeru. Toto šifrování chrání před fyzickou ztrátou nebo krádeží součástí úložiště služby Azure Stack Hub. Další informace najdete v tématu Šifrování neaktivních uložených dat ve službě Azure Stack Hub.

Šifrování přenášených dat

Komponenty infrastruktury služby Azure Stack Hub komunikují pomocí kanálů šifrovaných protokolem TLS 1.2. Šifrovací certifikáty spravuje infrastruktura sama.

Všechny koncové body externí infrastruktury, jako jsou koncové body REST nebo portál azure Stack Hub, podporují protokol TLS 1.2 pro zabezpečenou komunikaci. Pro tyto koncové body musí být k dispozici šifrovací certifikáty od třetí strany nebo od podnikové certifikační autority.

I když se certifikáty podepsané svým držitelem dají použít pro tyto externí koncové body, Microsoft důrazně doporučuje, aby je nepoužíval. Další informace o vynucení protokolu TLS 1.2 na externích koncových bodech služby Azure Stack Hub najdete v tématu Konfigurace kontrolních mechanismů zabezpečení služby Azure Stack Hub.

Správa tajných kódů

Infrastruktura služby Azure Stack Hub používá k fungování velké množství tajných kódů, jako jsou hesla a certifikáty. Většina hesel přidružených k interním účtům služeb se automaticky obměňuje každých 24 hodin, protože se jedná o skupinové účty spravovaných služeb (gMSA), typ účtu domény spravovaný přímo interním řadičem domény.

Infrastruktura služby Azure Stack Hub používá pro všechny interní certifikáty 4096bitové klíče RSA. Stejné certifikáty délky klíčů je možné použít také pro externí koncové body. Další informace o obměně tajných kódů a certifikátů najdete v tématu Obměna tajných kódů ve službě Azure Stack Hub.

Řízení aplikací programu Windows Defender

Azure Stack Hub využívá nejnovější funkce zabezpečení Windows Serveru. Jedním z nich je řízení aplikací v programu Windows Defender (WDAC, dříve označované jako Integrita kódu), které poskytuje filtrování spustitelných souborů a zajišťuje, aby se v infrastruktuře služby Azure Stack Hub spustil pouze autorizovaný kód.

Autorizovaný kód podepsal microsoft nebo partner OEM. Podepsaný autorizovaný kód je součástí seznamu povoleného softwaru zadaného v zásadách definovaných Microsoftem. Jinými slovy, lze spustit pouze software, který byl schválen ke spuštění v infrastruktuře služby Azure Stack Hub. Jakýkoli pokus o spuštění neautorizovaného kódu se zablokuje a vygeneruje se upozornění. Azure Stack Hub vynucuje integritu kódu v uživatelském režimu (UMCI) i integritu kódu na úrovni hypervisoru (HVCI).

Zásady WDAC také brání spuštění agentů nebo softwaru třetích stran v infrastruktuře služby Azure Stack Hub. Další informace o nástroji WDAC naleznete v tématu Řízení aplikací v programu Windows Defender a ochrana integrity kódu založená na virtualizaci.

antimalware

Každá komponenta ve službě Azure Stack Hub (hostitelé Hyper-V i virtuální počítače) je chráněná antivirovou ochranou v programu Windows Defender.

V připojených scénářích se definice antivirového softwaru a aktualizace modulu používají několikrát denně. V odpojených scénářích se antimalwarové aktualizace použijí jako součást měsíčních aktualizací služby Azure Stack Hub. V případě, že se v odpojených scénářích vyžaduje častější aktualizace definic Programu Windows Defender, podporuje Azure Stack Hub také import aktualizací Windows Defenderu. Další informace najdete v tématu Aktualizace antivirové ochrany v programu Windows Defender ve službě Azure Stack Hub.

Zabezpečené spouštění

Azure Stack Hub vynucuje zabezpečené spouštění na všech hostitelích Hyper-V a virtuálních počítačích infrastruktury.

Model omezené správy

Správa ve službě Azure Stack Hub se řídí třemi vstupními body, z nichž každá má konkrétní účel:

  • Portál pro správu poskytuje prostředí pro každodenní operace správy pomocí point-and-click.
  • Azure Resource Manager zveřejňuje všechny operace správy portálu pro správu prostřednictvím rozhraní REST API, které používá PowerShell a Azure CLI.
  • Pro konkrétní operace nízké úrovně (například integrace datacentra nebo scénáře podpory) azure Stack Hub zveřejňuje koncový bod PowerShellu označovaný jako privilegovaný koncový bod. Tento koncový bod zveřejňuje pouze povolenou sadu rutin a je silně auditovaná.

Síťové ovládací prvky

Infrastruktura služby Azure Stack Hub se dodává s několika vrstvami seznamu řízení přístupu k síti (ACL). Seznamy ACL brání neoprávněnému přístupu k komponentám infrastruktury a omezují komunikaci infrastruktury pouze na cesty potřebné pro jeho fungování.

Seznamy ACL sítě se vynucují ve třech vrstvách:

  • Vrstva 1: Top of Rack spínače
  • Vrstva 2: Softwarově definovaná síť
  • Vrstva 3: Brány firewall operačního systému hostitele a virtuálního počítače

Dodržování legislativní předpisů

Služba Azure Stack Hub prošla formálním posouzením schopností třetí strany nezávislou auditovací firmou. V důsledku toho je k dispozici dokumentace k tomu, jak infrastruktura služby Azure Stack Hub splňuje příslušné kontroly z několika hlavních standardů dodržování předpisů. Dokumentace není certifikací služby Azure Stack Hub, protože standardy zahrnují několik ovládacích prvků souvisejících s pracovníky a procesy. Zákazníci místo toho můžou tuto dokumentaci použít k zahájení procesu certifikace.

Posouzení zahrnují následující standardy:

  • PCI-DSS řeší odvětví platebních karet.
  • CSA Cloud Control Matrix je komplexní mapování napříč několika standardy, včetně FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 a dalších.
  • FedRAMP High pro státní zákazníky.

Dokumentaci k dodržování předpisů najdete na portálu Microsoft Service Trust Portal. Průvodci dodržováním předpisů jsou chráněným prostředkem a vyžadují, abyste se přihlásili pomocí přihlašovacích údajů cloudové služby Azure.

Iniciativa EU Schrems II pro Azure Stack Hub

Společnost Microsoft oznámila svůj záměr překonat stávající závazky týkající se ukládání dat tím, že zákazníkům založeným na EU umožní zpracovávat a ukládat všechna svá data v EU; již nebudete muset ukládat data mimo EU. Tento vylepšený závazek zahrnuje zákazníky služby Azure Stack Hub. Další informace najdete v tématu Odpověď na výzvu Evropy: Ukládání a zpracování údajů EU v EU .

Od verze 2206 můžete vybrat svoji geografickou předvolbu pro zpracování dat v existujících nasazeních služby Azure Stack Hub. Po stažení opravy hotfix se zobrazí následující výstraha.

Snímek obrazovky znázorňující okno Upozornění řídicího panelu portálu pro správu služby Azure Stack Hub s upozorněním na nezadanou geografickou oblast

Poznámka:

Odpojená prostředí mohou být také nutná k výběru geografické polohy dat. Jedná se o jednorázové nastavení, které má vliv na umístění rezidence dat, pokud operátor poskytuje microsoftu diagnostická data. Pokud operátor neposkytuje Microsoftu žádná diagnostická data, toto nastavení nemá žádné důsledky.

Toto upozornění pro vaše stávající nasazení služby Azure Stack Hub můžete vyřešit jedním ze dvou způsobů v závislosti na vaší zeměpisné předvolbě pro ukládání a zpracování dat.

  • Pokud se rozhodnete, že se vaše data ukládají a zpracovávají v rámci EU, spusťte následující rutinu PowerShellu a nastavte geografickou předvolbu. Umístění rezidence dat bude aktualizováno a všechna data budou uložena a zpracována v EU.

    Set-DataResidencyLocation -Europe

  • Pokud se rozhodnete data ukládat a zpracovávat mimo EU, spusťte následující rutinu PowerShellu a nastavte geografickou předvolbu. Umístění rezidence pro data se aktualizuje a všechna data budou zpracována mimo EU.

    Set-DataResidencyLocation -Europe:$false

Po vyřešení tohoto upozornění můžete ověřit svoji předvolbu geografické oblasti na portálu pro správu okno Vlastnosti.

Snímek obrazovky znázorňující portál pro správu služby Azure Stack Hub okno Vlastnosti s vlastností Geografická poloha dat, která je teď nastavená na Evropu

Nová nasazení služby Azure Stack Hub můžou během nastavování a nasazení nastavit geografickou oblast.

Další kroky