Ovládací prvky zabezpečení infrastruktury služby Azure Stack Hub

Mezi hlavní faktory ovlivňující výběr hybridních cloudů patří aspekty zabezpečení a požadavky na dodržování předpisů. Azure Stack Hub je navržený pro tyto scénáře. Tento článek vysvětluje kontrolní mechanismy zabezpečení pro Azure Stack Hub.

Ve službě Azure Stack Hub existují dvě vrstvy stavu zabezpečení. První vrstva je infrastruktura služby Azure Stack Hub, která zahrnuje hardwarové komponenty až do azure Resource Manager. První vrstva zahrnuje správce a uživatelské portály. Druhá vrstva se skládá z úloh vytvořených, nasazených a spravovaných tenanty. Druhá vrstva obsahuje položky, jako jsou virtuální počítače a weby služby App Services.

Přístup k zabezpečení

Stav zabezpečení pro Službu Azure Stack Hub je navržený tak, aby chránil před moderními hrozbami a byl sestaven tak, aby splňoval požadavky z hlavních standardů dodržování předpisů. V důsledku toho je stav zabezpečení infrastruktury služby Azure Stack Hub postaven na dvou pilířích:

  • Předpokládat porušení zabezpečení
    Od předpokladu, že systém již byl porušen, se zaměřte na detekci a omezení dopadu porušení a pouze pokusu o zabránění útokům.

  • Posíleno ve výchozím nastavení
    Vzhledem k tomu, že infrastruktura běží na dobře definovaném hardwaru a softwaru, azure Stack Hub ve výchozím nastavení povolí, nakonfiguruje a ověří všechny funkce zabezpečení .

Vzhledem k tomu, že azure Stack Hub je dodáván jako integrovaný systém, je stav zabezpečení infrastruktury služby Azure Stack Hub definovaný Microsoftem. Stejně jako v Azure jsou tenanti zodpovědní za definování stavu zabezpečení úloh tenanta. Tento dokument poskytuje základní znalosti o stavu zabezpečení infrastruktury služby Azure Stack Hub.

Šifrování neaktivních uložených dat

Veškerá neaktivní uložená data infrastruktury a tenanta služby Azure Stack Hub se šifrují pomocí Nástroje BitLocker. Toto šifrování chrání před fyzickou ztrátou nebo krádeží součástí úložiště služby Azure Stack Hub. Další informace najdete v tématu šifrování neaktivních uložených dat ve službě Azure Stack Hub.

Šifrování přenášených dat

Komponenty infrastruktury služby Azure Stack Hub komunikují pomocí kanálů šifrovaných protokolem TLS 1.2. Šifrovací certifikáty jsou samoobslužně spravované infrastrukturou.

Všechny koncové body externí infrastruktury, jako jsou koncové body REST nebo portál služby Azure Stack Hub, podporují protokol TLS 1.2 pro zabezpečenou komunikaci. Pro tyto koncové body musí být k dispozici šifrovací certifikáty od třetí strany nebo od podnikové certifikační autority.

Certifikáty podepsané svým držitelem se dají používat pro tyto externí koncové body, ale Microsoft důrazně doporučuje, aby je používal. Další informace o tom, jak vynutit protokol TLS 1.2 na externích koncových bodech služby Azure Stack Hub, najdete v tématu Konfigurace kontrolních mechanismů zabezpečení služby Azure Stack Hub.

Správa tajných kódů

Infrastruktura služby Azure Stack Hub používá k fungování velké množství tajných kódů, jako jsou hesla a certifikáty. Většina hesel přidružených k interním účtům služeb se automaticky obměňuje každých 24 hodin, protože se jedná o skupinové účty spravované služby (gMSA), typ účtu domény spravovaný přímo interním řadičem domény.

Infrastruktura služby Azure Stack Hub používá pro všechny interní certifikáty 4096bitové klíče RSA. Pro externí koncové body je možné použít také stejné certifikáty délky klíčů. Další informace o obměně tajných kódů a certifikátů najdete v tématu Obměna tajných kódů ve službě Azure Stack Hub.

Řízení aplikací programu Windows Defender

Azure Stack Hub využívá nejnovější funkce zabezpečení Windows Serveru. Jedním z nich je Windows Defender Řízení aplikací (WDAC, dříve označované jako Integrita kódu), které poskytuje filtrování spustitelných souborů a zajišťuje, že se v infrastruktuře Služby Azure Stack Hub spouští jenom autorizovaný kód.

Autorizovaný kód podepsal microsoft nebo partner OEM. Podepsaný autorizovaný kód je součástí seznamu povoleného softwaru zadaného v zásadách definovaných Microsoftem. Jinými slovy je možné spustit pouze software, který byl schválen ke spuštění v infrastruktuře služby Azure Stack Hub. Jakýkoli pokus o spuštění neautorizovaného kódu se zablokuje a vygeneruje se upozornění. Azure Stack Hub vynucuje integritu kódu v uživatelském režimu (UMCI) i integritu kódu na úrovni hypervisoru (HVCI).

Zásady WDAC také brání tomu, aby agenti nebo software třetích stran běželi v infrastruktuře služby Azure Stack Hub. Další informace o nástroji WDAC najdete v tématu Windows Defender Ochrana integrity kódu na základě virtualizace a řízení aplikací.

antimalware

Každá komponenta ve službě Azure Stack Hub (hostitelé Hyper-V i virtuální počítače) jsou chráněná pomocí Antivirová ochrana v programu Windows Defender.

V připojených scénářích se aktualizace definic antivirového softwaru a modulu použijí několikrát denně. V odpojených scénářích se antimalwarové aktualizace použijí jako součást měsíčních aktualizací služby Azure Stack Hub. V případě, že se v odpojených scénářích vyžaduje častější aktualizace definic Windows Defender, podporuje azure Stack Hub také import aktualizací Windows Defender. Další informace najdete v tématu aktualizace Antivirová ochrana v programu Windows Defender ve službě Azure Stack Hub.

Zabezpečené spouštění

Azure Stack Hub vynucuje zabezpečené spouštění na všech hostitelích Hyper-V a virtuálních počítačích infrastruktury.

Model omezené správy

Správa ve službě Azure Stack Hub se řídí třemi vstupními body, z nichž každá má konkrétní účel:

  • Portál pro správu poskytuje prostředí pro každodenní operace správy pomocí point-and-click.
  • Azure Resource Manager zveřejňuje všechny operace správy portálu pro správu prostřednictvím rozhraní REST API, které používá PowerShell a Azure CLI.
  • Pro konkrétní operace nízké úrovně (například integrace datacentra nebo scénáře podpory) azure Stack Hub zveřejňuje koncový bod PowerShellu označovaný jako privilegovaný koncový bod. Tento koncový bod zveřejňuje pouze povolenou sadu rutin a je silně auditovaná.

Správa sítě

Infrastruktura služby Azure Stack Hub obsahuje několik vrstev seznamu ACL (Network Access Control List). Seznamy ACL brání neoprávněnému přístupu ke komponentám infrastruktury a omezují komunikaci infrastruktury pouze na cesty potřebné pro jeho fungování.

Seznamy ACL sítě se vynucují ve třech vrstvách:

  • Vrstva 1: Top of Rack přepínače
  • Vrstva 2: Softwarově definovaná síť
  • Vrstva 3: Brány firewall operačního systému hostitele a virtuálního počítače

Dodržování legislativní předpisů

Azure Stack Hub prošel formálním posouzením schopností nezávislé auditovací firmy třetí strany. V důsledku toho je k dispozici dokumentace k tomu, jak infrastruktura služby Azure Stack Hub splňuje příslušné kontroly z několika hlavních standardů dodržování předpisů. Dokumentace není certifikací služby Azure Stack Hub, protože standardy zahrnují několik ovládacích prvků souvisejících s pracovníky a procesy. Zákazníci můžou místo toho využít tuto dokumentaci k rychlému zahájení procesu certifikace.

Posouzení zahrnují následující standardy:

  • PCI-DSS řeší odvětví platebních karet.
  • CSA Cloud Control Matrix je komplexní mapování napříč několika standardy, včetně FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 a dalších.
  • FedRAMP High pro státní zákazníky.

Dokumentaci k dodržování předpisů najdete na portálu Microsoft Service Trust Portal. Průvodci dodržováním předpisů jsou chráněným prostředkem a vyžadují, abyste se přihlásili pomocí přihlašovacích údajů cloudové služby Azure.

Iniciativa EU Schrems II pro Azure Stack Hub

Společnost Microsoft oznámila svůj záměr překonat stávající závazky k ukládání dat tím, že zákazníkům založeným na EU umožní zpracovávat a ukládat všechna svá data v EU; již nebudete muset ukládat data mimo EU. Tento vylepšený závazek zahrnuje zákazníky služby Azure Stack Hub. Další informace najdete v tématu Odpověď na výzvu Evropy: Ukládání a zpracování údajů EU v EU .

Od verze 2206 můžete vybrat svoji geografickou předvolbu pro zpracování dat u stávajících nasazení služby Azure Stack Hub. Po stažení opravy hotfix se zobrazí následující výstraha.

Snímek obrazovky znázorňující okno Upozornění řídicího panelu portálu služby Azure Stack Hub Správa s uvedenými upozorněními na geografickou oblast, která není k dispozici

Poznámka

Odpojená prostředí můžou být také nutná k výběru geografické polohy dat. Jedná se o jednorázové nastavení, které ovlivňuje umístění rezidence dat, pokud operátor poskytuje diagnostická data Microsoftu. Pokud operátor neposkytuje microsoftu žádná diagnostická data, toto nastavení nemá žádné důsledky.

Toto upozornění můžete vyřešit u stávajícího nasazení služby Azure Stack Hub jedním ze dvou způsobů v závislosti na vaší geografické předvolbě pro ukládání a zpracování dat.

  • Pokud se rozhodnete, že máte data uložená a zpracovávaná v rámci EU, spusťte následující rutinu PowerShellu a nastavte geografickou předvolbu. Umístění rezidence pro data se aktualizuje a všechna data budou uložena a zpracována v EU.

    Set-DataResidencyLocation -Europe
    
  • Pokud se rozhodnete, že máte data uložená a zpracovávaná mimo EU, spusťte následující rutinu PowerShellu a nastavte geografickou předvolbu. Umístění rezidence pro data se aktualizuje a všechna data budou zpracována mimo EU.

    Set-DataResidencyLocation -Europe:$false
    

Po vyřešení tohoto upozornění můžete ověřit předvolby geografické oblasti na portálu Správa okno Vlastnosti.

Snímek obrazovky znázorňující portál služby Azure Stack Hub Správa okno Vlastnosti s vlastností Geografické umístění dat teď nastavenou na Evropu

Nová nasazení služby Azure Stack Hub můžou během nastavování a nasazení nastavit geografickou oblast.

Další kroky