Přehled zabezpečení serverů s podporou Služby Azure Arc
Tento článek popisuje konfiguraci zabezpečení a aspekty, které byste měli vyhodnotit před nasazením serverů s podporou Azure Arc ve vašem podniku.
Identita a řízení přístupu
Řízení přístupu na základě role v Azure slouží k řízení toho, které účty můžou zobrazit a spravovat váš server s podporou Azure Arc. Na stránce Řízení přístupu (IAM) na webu Azure Portal můžete ověřit, kdo má přístup k vašemu serveru s podporou Služby Azure Arc.
Uživatelé a aplikace, kterým byl udělen přístup role přispěvatele nebo správce k prostředku, můžou provádět změny prostředku, včetně nasazení nebo odstranění rozšíření na počítači. Rozšíření můžou zahrnovat libovolné skripty, které běží v privilegovaném kontextu, takže zvažte, jestli je jakýkoli přispěvatel prostředku Azure nepřímým správcem serveru.
Role onboardingu počítačů Azure Připojení je dostupná pro onboarding ve velkém měřítku a může číst nebo vytvářet nové servery s podporou Azure Arc v Azure. Nejde ho použít k odstranění již registrovaných serverů nebo správy rozšíření. Osvědčeným postupem je přiřadit tuto roli pouze instančnímu objektu Microsoft Entra používanému k onboardingu počítačů ve velkém měřítku.
Uživatelé jako člen azure Připojení ed Machine Resource Správa istrator role mohou číst, upravovat, znovu připojit a odstraňovat počítač. Tato role je navržená tak, aby podporovala správu serverů s podporou služby Azure Arc, ale ne jiných prostředků ve skupině prostředků nebo předplatném.
Zabezpečení a oprávnění agenta
Pokud chcete spravovat agenta Azure Připojení ed Machine (azcmagent) ve Windows, musí být uživatelský účet členem místní skupiny Správa istrators. V Linuxu musíte mít oprávnění ke kořenovému přístupu.
Agent Azure Připojení ed Machine se skládá ze tří služeb, které běží na vašem počítači.
Služba Hybrid Instance Metadata Service (himds) zodpovídá za všechny základní funkce služby Arc. To zahrnuje odesílání prezenčních signálů do Azure, vystavení služby metadat místní instance pro jiné aplikace, aby se dozvěděly o ID prostředku Azure počítače, a načíst tokeny Microsoft Entra pro ověření v jiných službách Azure. Tato služba běží ve Windows jako neprivilegovaný virtuální účet služby (NT SERVICE\himds) a jako uživatel se systémem Linux. Účet virtuální služby vyžaduje přihlášení jako službu přímo ve Windows.
Služba konfigurace hosta (GCService) zodpovídá za vyhodnocení služby Azure Policy na počítači.
Služba Rozšíření konfigurace hosta (ExtensionService) zodpovídá za instalaci, upgrade a odstranění rozšíření (agentů, skriptů nebo jiného softwaru) na počítači.
Služby konfigurace hosta a rozšíření běží jako Místní systém ve Windows a jako root v Linuxu.
Řízení zabezpečení místního agenta
Počínaje verzí agenta 1.16 můžete volitelně omezit rozšíření, která lze nainstalovat na server, a zakázat konfiguraci hosta. Tyto ovládací prvky můžou být užitečné při připojování serverů k Azure pro jeden účel, například shromažďování protokolů událostí, aniž by bylo možné na serveru používat další možnosti správy.
Tyto kontrolní mechanismy zabezpečení je možné nakonfigurovat pouze spuštěním příkazu na samotném serveru a nelze je změnit z Azure. Tento přístup zachovává záměr správce serveru při povolování scénářů vzdálené správy ve službě Azure Arc, ale také to znamená, že změna nastavení je obtížnější, pokud se později rozhodnete změnit. Tato funkce je určená pro citlivé servery (například Doména služby Active Directory Kontrolery, servery, které zpracovávají platební data, a servery, na které se vztahují přísné míry kontroly změn). Ve většině ostatních případů není nutné tato nastavení upravovat.
Seznamy povolených rozšíření a seznamy blokovaných položek
Pokud chcete omezit, která rozšíření se dají nainstalovat na váš server, můžete nakonfigurovat seznamy rozšíření, která chcete povolit a blokovat na serveru. Správce rozšíření vyhodnocuje všechny požadavky na instalaci, aktualizaci nebo upgrade rozšíření na seznam povolených a blokovaných, aby určil, jestli je možné rozšíření nainstalovat na server. Žádosti o odstranění jsou vždy povolené.
Nejbezpečnější možností je explicitně povolit instalaci rozšíření, která očekáváte. Jakékoli rozšíření, které není v seznamu povolených, se automaticky zablokuje. Pokud chcete nakonfigurovat agenta Azure Připojení ed Machine tak, aby umožňoval pouze agenta Azure Monitoru pro Linux, spusťte na každém serveru následující příkaz:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
Jedno nebo více rozšíření můžete zablokovat jejich přidáním do seznamu blokovaných. Pokud je rozšíření v seznamu povolených i blokovaných, je zablokované. Pokud chcete blokovat rozšíření vlastních skriptů pro Linux, spusťte následující příkaz:
azcmagent config set extensions.blocklist "Microsoft.Azure.Extensions/CustomScript"
Zadejte přípony s jejich vydavatelem a typem odděleným lomítkem /. Podívejte se na seznam nejběžnějších rozšíření v dokumentaci nebo seznam rozšíření virtuálních počítačů, které už jsou na vašem serveru nainstalované na portálu, v Azure PowerShellu nebo v Azure CLI.
Tabulka popisuje chování při provádění operace rozšíření s agentem, který má nakonfigurovaný seznam povolených nebo blokových seznamů.
| Operace | V seznamu povolených | V seznamu blokovaných položek | V seznamu povolených i blokovaných | Není v žádném seznamu, ale je nakonfigurovaný seznam povolených |
|---|---|---|---|---|
| Instalace rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Aktualizace (změna konfigurace) rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Upgrade rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Odstranění rozšíření | Povoleno | Povoleno | Povoleno | Povoleno |
Důležité
Pokud už je na vašem serveru nainstalované rozšíření před konfigurací seznamu povolených nebo blokovaných, automaticky se neodebere. Je vaší zodpovědností odstranit rozšíření z Azure, aby ho úplně odebral z počítače. Žádosti o odstranění se vždy přijímají, aby tento scénář vyhovovaly. Po odstranění určí seznam povolených a blokovaných položek, jestli chcete povolit budoucí pokusy o instalaci.
Počínaje agentem verze 1.35 existuje speciální hodnota Allow/Noneseznamu povolených , která dává správci rozšíření pokyn ke spuštění, ale neumožňuje instalaci žádných rozšíření. Toto je doporučená konfigurace při použití služby Azure Arc k doručování rozšířeného Aktualizace zabezpečení Windows Serveru 2012 (ESU), aniž byste chtěli použít další rozšíření.
azcmagent config set extensions.allowlist "Allow/None"
Povolení nebo zakázání konfigurace hosta
Funkce Konfigurace hosta služby Azure Policy umožňuje auditovat a konfigurovat nastavení na serveru z Azure. Konfiguraci hosta můžete na serveru zakázat, pokud nechcete tuto funkci povolit spuštěním následujícího příkazu:
azcmagent config set guestconfiguration.enabled false
Pokud je konfigurace hosta zakázaná, všechny zásady konfigurace hosta přiřazené k počítači v Azure se zobrazí jako nevyhovující předpisům. Pokud nechcete, aby se tyto počítače zobrazovaly jako nevyhovující, zvažte vytvoření výjimky pro tyto počítače nebo změnu rozsahu přiřazení zásad.
Povolení nebo zakázání správce rozšíření
Správce rozšíření zodpovídá za instalaci, aktualizaci a odebírání rozšíření virtuálních počítačů na vašem serveru. Správce rozšíření můžete zakázat, abyste zabránili správě všech rozšíření na vašem serveru, ale doporučujeme místo toho použít seznam povolených a blokovaných položek , abyste měli podrobnější kontrolu.
azcmagent config set extensions.enabled false
Zakázání správce rozšíření neodebere žádná rozšíření, která už jsou na vašem serveru nainstalovaná. Rozšíření hostovaná ve vlastních službách windows nebo Linuxu, jako je agent Log Analytics, můžou dál běžet i v případě, že je správce rozšíření zakázaný. Další rozšíření hostovaná samotným správcem rozšíření, jako je agent Azure Monitor, se nespustí, pokud je správce rozšíření zakázaný. Před zakázáním správce rozšíření byste měli odebrat všechna rozšíření , abyste zajistili, že na serveru nebudou nadále spuštěná žádná rozšíření.
Osvědčené postupy pro uzamčení počítače
Při konfiguraci agenta Azure Připojení ed Machine s omezenou sadou funkcí je důležité zvážit mechanismy, které by někdo mohl použít k odebrání těchto omezení a implementaci vhodných ovládacích prvků. Kdokoli, kdo může spouštět příkazy jako správce nebo uživatel root na serveru, může změnit konfiguraci agenta počítače Azure Připojení. Rozšíření a zásady konfigurace hosta se spouštějí v privilegovaných kontextech na vašem serveru a například mohou být schopny změnit konfiguraci agenta. Pokud k uzamčení agenta použijete ovládací prvky zabezpečení místního agenta, společnost Microsoft doporučuje následující osvědčené postupy, které zajistí, aby konfiguraci agenta mohli aktualizovat jenom místní správci serveru:
- Pokud je to možné, používejte seznamy povolených pro rozšíření místo seznamů blokovaných položek.
- Nezahrnujte rozšíření vlastních skriptů do seznamu povolených rozšíření, aby se zabránilo spuštění libovolných skriptů, které by mohly změnit konfiguraci agenta.
- Zakažte konfiguraci hosta, abyste zabránili použití vlastních zásad konfigurace hosta, které by mohly změnit konfiguraci agenta.
Příklad konfigurace pro scénáře monitorování a zabezpečení
Azure Arc se běžně používá k monitorování serverů pomocí služby Azure Monitor a Microsoft Sentinelu a jejich zabezpečení pomocí Microsoft Defenderu pro cloud. Tato část obsahuje příklady, jak uzamknout agenta, aby podporoval pouze scénáře monitorování a zabezpečení.
Pouze agent Azure Monitoru
Na serverech s Windows spusťte v konzole příkazového řádku se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorWindowsAgent"
azcmagent config set guestconfiguration.enabled false
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
sudo azcmagent config set guestconfiguration.enabled false
Log Analytics a závislost (pouze Přehledy virtuálního počítače Azure Monitoru)
Tato konfigurace je určená pro starší agenty Log Analytics a agenta závislostí.
Na serverech s Windows spusťte v konzole se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentWindows"
azcmagent config set guestconfiguration.enabled false
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentLinux"
sudo azcmagent config set guestconfiguration.enabled false
Monitorování a zabezpečení
Microsoft Defender for Cloud nasadí rozšíření na váš server, aby identifikoval ohrožený software na vašem serveru a povolil Microsoft Defender for Endpoint (pokud je nakonfigurovaný). Microsoft Defender pro cloud také používá konfiguraci hosta pro svou funkci dodržování právních předpisů. Vzhledem k tomu, že k vrácení omezení agenta je možné použít vlastní přiřazení konfigurace hosta, měli byste pečlivě vyhodnotit, jestli potřebujete funkci dodržování právních předpisů a v důsledku toho je na počítači povolená konfigurace hosta.
Na serverech s Windows spusťte v konzole příkazového řádku se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Qualys/WindowsAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Windows,Microsoft.Azure.AzureDefenderForSQL/AdvancedThreatProtection.Windows"
azcmagent config set guestconfiguration.enabled true
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Qualys/LinuxAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Linux"
sudo azcmagent config set guestconfiguration.enabled true
Režimy agenta
Jednodušší způsob konfigurace místních bezpečnostních prvků pro scénáře monitorování a zabezpečení je použití režimu monitorování, který je k dispozici s agentem verze 1.18 a novějším. Režimy jsou předem definované konfigurace seznamu povolených rozšíření a agenta konfigurace hosta spravovaného Microsoftem. Jakmile budou k dispozici nová rozšíření, která umožňují scénáře monitorování, Microsoft podle potřeby aktualizuje konfiguraci seznamu povolených a agentů tak, aby zahrnovala nebo vyloučila nové funkce.
Můžete si vybrat ze dvou režimů:
- full – výchozí režim. To umožňuje všechny funkce agenta.
- monitor – omezený režim, který zakáže agenta zásad konfigurace hosta a umožňuje pouze použití rozšíření souvisejících s monitorováním a zabezpečením.
Pokud chcete povolit režim monitorování, spusťte následující příkaz:
azcmagent config set config.mode monitor
Aktuální režim agenta a povolené rozšíření můžete zkontrolovat pomocí následujícího příkazu:
azcmagent config list
V režimu monitorování nemůžete změnit seznam povolených nebo blokovaných rozšíření. Pokud potřebujete změnit některý ze seznamů, změňte agenta zpět do úplného režimu a zadejte vlastní seznam povolených položek a seznam blokovaných položek.
Pokud chcete agenta změnit zpět do režimu plného, spusťte následující příkaz:
azcmagent config set config.mode full
Použití spravované identity se servery s podporou Azure Arc
Ve výchozím nastavení je možné použít identitu přiřazenou systémem Microsoft Entra používanou službou Arc pouze k aktualizaci stavu serveru s podporou Azure Arc v Azure. Například poslední výskyt stavu prezenčních signálů. Volitelně můžete identitě přiřadit další role, pokud aplikace na vašem serveru používá identitu přiřazenou systémem pro přístup k jiným službám Azure. Další informace o konfiguraci spravované identity přiřazené systémem pro přístup k prostředkům Azure najdete v tématu Ověřování prostředků Azure pomocí serverů s podporou Azure Arc.
Služba metadat hybridní instance je přístupná libovolnou aplikací spuštěnou na počítači, ale pouze autorizované aplikace si mohou vyžádat token Microsoft Entra pro identitu přiřazenou systémem. Při prvním pokusu o přístup k identifikátoru URI tokenu služba vygeneruje náhodně vygenerovaný kryptografický objekt blob v umístění v systému souborů, který mohou číst pouze důvěryhodní volající. Volající pak musí přečíst soubor (prokázat, že má odpovídající oprávnění) a zkusit znovu požadavek s obsahem souboru v autorizační hlavičce, aby úspěšně načetl token Microsoft Entra.
Ve Windows musí být volající členem místní skupiny Správa istrators nebo skupiny aplikací rozšíření hybridního agenta, aby bylo možné číst objekt blob.
Volající v Linuxu musí být členem skupiny himds ke čtení objektu blob.
Další informace o použití spravované identity se servery s podporou Arc k ověřování a přístupu k prostředkům Azure najdete v následujícím videu.
Použití šifrování disků
Agent Azure Připojení ed Machine používá ověřování pomocí veřejného klíče ke komunikaci se službou Azure. Po připojení serveru k Azure Arc se privátní klíč uloží na disk a použije se při každé komunikaci agenta s Azure. Pokud dojde k odcizení, privátní klíč lze použít na jiném serveru ke komunikaci se službou a chovat se jako původní server. To zahrnuje získání přístupu k identitě přiřazené systémem a všem prostředkům, ke kterým má identita přístup. Soubor privátního klíče je chráněný tak, aby ho mohl číst jenom účet himds . Pokud chcete zabránit útokům offline, důrazně doporučujeme používat úplné šifrování disků (například BitLocker, dm-crypt atd.) na svazku operačního systému vašeho serveru.
Další kroky
Než začnete vyhodnocovat nebo povolovat servery s podporou Služby Azure Arc na více hybridních počítačích, projděte si přehled agenta Připojení počítačů a seznamte se s požadavky, technickými podrobnostmi o agentech a metodami nasazení.
Projděte si průvodce plánováním a nasazením a naplánujte nasazení serverů s podporou Služby Azure Arc v libovolném měřítku a implementujte centralizovanou správu a monitorování.