Kontrolní mechanismy zabezpečení infrastruktury služby Azure Stack Hub

  • Článek

Mezi hlavní faktory ovlivňující výběr hybridních cloudů patří aspekty zabezpečení a požadavky na dodržování předpisů. Azure Stack Hub je určený pro tyto scénáře. Tento článek vysvětluje kontrolní mechanismy zabezpečení pro službu Azure Stack Hub.

Ve službě Azure Stack Hub existují společně dvě vrstvy stavu zabezpečení. První vrstvou je infrastruktura služby Azure Stack Hub, která zahrnuje hardwarové komponenty až do azure Resource Manager. První vrstva zahrnuje správce a uživatelské portály. Druhá vrstva se skládá z úloh vytvořených, nasazených a spravovaných tenanty. Druhá vrstva zahrnuje položky, jako jsou virtuální počítače a weby app services.

Přístup k zabezpečení

Stav zabezpečení služby Azure Stack Hub je navržený tak, aby se chránil před moderními hrozbami, a byl sestaven tak, aby splňoval požadavky hlavních standardů dodržování předpisů. V důsledku toho je stav zabezpečení infrastruktury služby Azure Stack Hub postaven na dvou pilířích:

  • Předpokládat porušení zabezpečení
    Od předpokladu, že už došlo k porušení zabezpečení systému, se zaměřte na detekci a omezení dopadu porušení zabezpečení v porovnání s tím, že se snažíte útokům zabránit.

  • Posílené ve výchozím nastavení
    Vzhledem k tomu, že infrastruktura běží na dobře definovaném hardwaru a softwaru, Azure Stack Hub ve výchozím nastavení povoluje, konfiguruje a ověřuje všechny funkce zabezpečení .

Vzhledem k tomu, že služba Azure Stack Hub je dodávána jako integrovaný systém, stav zabezpečení infrastruktury služby Azure Stack Hub definuje Microsoft. Stejně jako v Azure jsou tenanti zodpovědní za definování stavu zabezpečení svých úloh tenanta. Tento dokument poskytuje základní znalosti o stavu zabezpečení infrastruktury služby Azure Stack Hub.

Šifrování neaktivních uložených dat

Veškerá neaktivní uložená data infrastruktury a tenanta služby Azure Stack Hub se šifrují pomocí Nástroje BitLocker. Toto šifrování chrání před fyzickou ztrátou nebo odcizení součástí úložiště služby Azure Stack Hub. Další informace najdete v tématu Šifrování neaktivních uložených dat ve službě Azure Stack Hub.

Šifrování přenášených dat

Komponenty infrastruktury služby Azure Stack Hub komunikují pomocí kanálů šifrovaných protokolem TLS 1.2. Šifrovací certifikáty spravuje infrastruktura sama.

Všechny externí koncové body infrastruktury, jako jsou koncové body REST nebo portál Azure Stack Hub, podporují protokol TLS 1.2 pro zabezpečenou komunikaci. Pro tyto koncové body musí být poskytnuty šifrovací certifikáty od třetí strany nebo od vaší podnikové certifikační autority.

I když je možné pro tyto externí koncové body použít certifikáty podepsané svým držitelem, Microsoft důrazně doporučuje je nepoužít. Další informace o tom, jak vynutit protokol TLS 1.2 na externích koncových bodech služby Azure Stack Hub, najdete v tématu Konfigurace ovládacích prvků zabezpečení služby Azure Stack Hub.

Správa tajných kódů

Infrastruktura služby Azure Stack Hub používá k fungování velké množství tajných kódů, jako jsou hesla a certifikáty. Většina hesel přidružených k interním účtům služeb se automaticky obměňuje každých 24 hodin, protože se jedná o skupinové účty spravované služby (gMSA), typ účtu domény spravovaného přímo interním řadičem domény.

Infrastruktura služby Azure Stack Hub používá pro všechny své interní certifikáty 4096bitové klíče RSA. Pro externí koncové body je také možné použít stejné certifikáty délky klíčů. Další informace o obměně tajných klíčů a certifikátů najdete v tématu Obměna tajných klíčů ve službě Azure Stack Hub.

Řízení aplikací programu Windows Defender

Azure Stack Hub využívá nejnovější funkce zabezpečení Windows Serveru. Jedním z nich je Windows Defender Application Control (WDAC, dříve označovaná jako integrita kódu), která poskytuje filtrování spustitelných souborů a zajišťuje, že v infrastruktuře služby Azure Stack Hub běží jenom autorizovaný kód.

Autorizovaný kód je podepsaný microsoftem nebo partnerem OEM. Podepsaný autorizovaný kód je uvedený v seznamu povoleného softwaru určeného v zásadách definovaných Microsoftem. Jinými slovy je možné spouštět pouze software, který byl schválen pro spuštění v infrastruktuře služby Azure Stack Hub. Jakýkoli pokus o spuštění neautorizovaného kódu se zablokuje a vygeneruje se upozornění. Azure Stack Hub vynucuje integritu kódu v uživatelském režimu (UMCI) i integritu kódu na úrovni hypervisoru (HVCI).

Zásady WDAC také brání spuštění agentů nebo softwaru třetích stran v infrastruktuře služby Azure Stack Hub. Další informace o WDAC najdete v tématu Windows Defender Řízení aplikací a ochrana integrity kódu na základě virtualizace.

antimalware

Každá komponenta ve službě Azure Stack Hub (hostitelé Hyper-V i virtuální počítače) jsou chráněná antivirovou ochranou Windows Defender.

V připojených scénářích se definice antivirového softwaru a aktualizace modulu použijí několikrát denně. V odpojených scénářích se antimalwarové aktualizace použijí jako součást měsíčních aktualizací služby Azure Stack Hub. V případě, že se v odpojených scénářích vyžaduje častější aktualizace definic Windows Defender, podporuje služba Azure Stack Hub také import Windows Defender aktualizací. Další informace najdete v tématu aktualizace antivirové Windows Defender ve službě Azure Stack Hub.

Zabezpečené spouštění

Azure Stack Hub vynucuje zabezpečené spouštění na všech hostitelích Hyper-V a virtuálních počítačích infrastruktury.

Model omezené správy

Správa ve službě Azure Stack Hub se řídí prostřednictvím tří vstupních bodů, z nichž každý má konkrétní účel:

  • Portál pro správu poskytuje prostředí pro každodenní operace správy pomocí myši a kliknutí.
  • Azure Resource Manager zveřejňuje všechny operace správy portálu pro správu prostřednictvím rozhraní REST API, které používá PowerShell a Azure CLI.
  • Pro konkrétní operace nízké úrovně (například integrace datacentra nebo scénáře podpory) Azure Stack Hub zpřístupňuje koncový bod PowerShellu označovaný jako privilegovaný koncový bod. Tento koncový bod zveřejňuje jenom povolenou sadu rutin a je velmi auditovaný.

Správa sítě

Infrastruktura služby Azure Stack Hub se dodává s několika vrstvami seznamu Access Control (ACL). Seznamy ACL brání neoprávněnému přístupu ke komponentám infrastruktury a omezují komunikaci infrastruktury pouze na cesty, které jsou nezbytné pro jejich fungování.

Síťové seznamy ACL se vynucují ve třech vrstvách:

  • Vrstva 1: Přepínače top-of-racku
  • Vrstva 2: Softwarově definovaná síť
  • Vrstva 3: Brány firewall operačního systému hostitele a virtuálního počítače

Dodržování legislativní předpisů

Azure Stack Hub prošla formálním posouzením schopností nezávislou auditní firmou třetí strany. V důsledku toho je k dispozici dokumentace k tomu, jak infrastruktura služby Azure Stack Hub splňuje příslušné kontroly z několika hlavních standardů dodržování předpisů. Dokumentace není certifikací služby Azure Stack Hub, protože standardy zahrnují několik ovládacích prvků souvisejících s pracovníky a procesy. Zákazníci můžou místo toho využít tuto dokumentaci k rychlému zahájení procesu certifikace.

Hodnocení zahrnují následující standardy:

  • PCI-DSS se zabývá odvětvím platebních karet.
  • CSA Cloud Control Matrix je komplexní mapování napříč několika standardy, včetně FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 a dalších.
  • FedRAMP High pro státní správu.

Dokumentaci k dodržování předpisů najdete na portálu Microsoft Service Trust Portal. Průvodci dodržováním předpisů jsou chráněným prostředkem a vyžadují, abyste se přihlásili pomocí přihlašovacích údajů ke cloudové službě Azure.

Iniciativa EU Schrems II pro službu Azure Stack Hub

Společnost Microsoft oznámila svůj záměr překročit stávající závazky týkající se ukládání dat tím, že zákazníkům se sídlem v EU umožní zpracovávat a ukládat veškerá data v EU; již nebudete muset ukládat údaje mimo EU. Tento vylepšený závazek zahrnuje zákazníky služby Azure Stack Hub. Další informace najdete v odpovědi na výzvu Evropa: Ukládání a zpracování dat EU v EU .

Počínaje verzí 2206 můžete vybrat zeměpisné preference pro zpracování dat v existujících nasazeních služby Azure Stack Hub. Po stažení opravy hotfix se zobrazí následující upozornění.

Snímek obrazovky znázorňující okno Upozornění řídicího panelu na portálu Azure Stack Hub Správa s upozorněním Na geografickou oblast není uvedená

Poznámka

K výběru geografické polohy dat může být potřeba také odpojená prostředí. Jedná se o jednorázové nastavení, které má vliv na umístění rezidence dat, pokud operátor poskytuje Microsoftu diagnostická data. Pokud operátor neposkytuje microsoftu žádná diagnostická data, nemá toto nastavení žádné důsledky.

Toto upozornění pro stávající nasazení služby Azure Stack Hub můžete vyřešit jedním ze dvou způsobů v závislosti na zeměpisné preferenci ukládání a zpracování dat.

  • Pokud se rozhodnete data ukládat a zpracovávat v rámci EU, spuštěním následující rutiny PowerShellu nastavte zeměpisné předvolby. Umístění rezidence pro data bude aktualizováno a všechna data budou uložena a zpracována v EU.

    Set-DataResidencyLocation -Europe

  • Pokud se rozhodnete data ukládat a zpracovávat mimo EU, nastavte geografickou předvolbu spuštěním následující rutiny PowerShellu. Umístění rezidence pro data bude aktualizováno a všechny údaje budou zpracovány mimo EU.

    Set-DataResidencyLocation -Europe:$false

Po vyřešení tohoto upozornění můžete v okno Vlastnosti portálu Správa ověřit předvolbu geografické oblasti.

Snímek obrazovky znázorňující Správa portál Azure Stack Hub, okno Vlastnosti s vlastností Geolocation (Geografická poloha dat) nastavenou na Hodnotu Evropa

Nová nasazení služby Azure Stack Hub mohou během nastavování a nasazení nastavit geografickou oblast.

Další kroky