Konfigurieren von Azure Stack Hub-Sicherheitskontrollen
Dieser Artikel beschreibt die Sicherheitskontrollen, die in Azure Stack Hub geändert werden können, und hebt die Vor- und Nachteile hervor, wo zutreffend.
Die Azure Stack Hub-Architektur basiert auf den Säulen zweier Sicherheitsprinzipien: „Annahme einer Sicherheitsverletzung“ und „Standardmäßig verstärkt“. Weitere Informationen zu Sicherheit in Azure Stack Hub finden Sie unter Sicherheitskontrollen der Azure Stack Hub-Infrastruktur. Zwar ist der Standardsicherheitsstatus von Azure Stack Hub produktionsbereit, doch gibt es einige Bereitstellungsszenarien, für die zusätzliche, verstärkende Sicherheitsmaßnahmen erforderlich sind.
TLS-Versionsrichtlinie
Das TLS-Protokoll (Transport Layer Security) ist ein weit verbreitetes Kryptografieprotokoll zur Einrichtung verschlüsselter Kommunikation über das Netzwerk. TLS hat sich im Laufe der Zeit entwickelt, und es wurden mehrere Versionen veröffentlicht. Die Azure Stack Hub-Infrastruktur verwendet ausschließlich TLS 1.2 für die gesamte Kommunikation. Bei externen Schnittstellen verwendet Azure Stack Hub zurzeit standardmäßig TLS 1.2. Aus Gründen der Abwärtskompatibilität unterstützt es aber auch eine Aushandlungen auf das niedrigere TLS 1.1. und 1.0. Wenn ein TLS-Client Kommunikation über TLS 1.1 oder TLS 1.0 anfordert, berücksichtigt Azure Stack Hub die Anforderung, indem es eine niedrigere Version von TLS aushandelt. Wenn der Client TLS 1.2 anfordert, stellt Azure Stack Hub eine TLS-Verbindung mit TLS 1.2 her.
Da TLS 1.0 und 1.1 inkrementell eingestellt oder von Organisationen und Compliancestandards gesperrt werden, können Sie nun die TLS-Richtlinie in Azure Stack Hub konfigurieren. Sie können eine reine TLS 1.2-Richtlinie erzwingen, bei der jeder Versuch zum Einrichten einer TLS-Sitzung mit einer niedrigeren Version als 1.2 nicht zulässig ist und abgelehnt wird.
Wichtig
Microsoft empfiehlt die Verwendung einer reinen TLS 1.2-Richtlinie für Azure Stack Hub-Produktionsumgebungen.
Abrufen der TLS-Richtlinie
Verwenden Sie den privilegierten Endpunkt (PEP), um die TLS-Richtlinie für alle Azure Stack Hub-Endpunkte anzuzeigen:
Get-TLSPolicy
Beispielausgabe:
TLS_1.2
Festlegen der TLS-Richtlinie
Verwenden Sie den privilegierten Endpunkt (PEP), um die TLS-Richtlinie für alle Azure Stack Hub-Endpunkte festzulegen:
Set-TLSPolicy -Version <String>
Parameter für das Cmdlet Set-TLSPolicy:
Parameter | BESCHREIBUNG | Typ | Erforderlich |
---|---|---|---|
Version | Zulässige Versionen von TLS in Azure Stack Hub | String | ja |
Verwenden Sie einen der folgenden Werte, um die zulässigen TLS-Versionen für alle Azure Stack Hub-Endpunkte zu konfigurieren:
Versionswert | BESCHREIBUNG |
---|---|
TLS_All | Azure Stack Hub-TLS-Endpunkte unterstützen TLS 1.2, aber die Aushandlung einer niedrigeren Version auf TLS 1.1 und TLS 1.0 ist zulässig. |
TLS_1.2 | Azure Stack Hub-TLS-Endpunkte unterstützen nur TLS 1.2. |
Die Aktualisierung der TLS-Richtlinie dauert ein paar Minuten.
Konfigurationsbeispiel für das Erzwingen von TLS 1.2
In diesem Beispiel wird Ihre TLS-Richtlinie so festgelegt, dass sie ausschließlich TLS 1.2 erzwingt.
Set-TLSPolicy -Version TLS_1.2
Beispielausgabe:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Konfigurationsbeispiel für das Zulassen aller Versionen von TLS (1.2, 1.1 und 1.0)
In diesem Beispiel wird Ihre TLS-Richtlinie so festgelegt, dass alle Versionen von TLS (1.2, 1.1 und 1.0) zugelassen werden.
Set-TLSPolicy -Version TLS_All
Beispielausgabe:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Rechtliche Hinweise für PEP-Sitzungen
Es gibt Szenarien, in denen es hilfreich ist, bei der Anmeldung bei einer PEP-Sitzung (Privileged Endpoint) einen rechtlichen Hinweis anzuzeigen. Die Cmdlets Set-AzSLegalNotice und Get-AzSLegalNotice werden verwendet, um die Beschriftung und den Text eines solchen rechtlichen Hinweises zu verwalten.
Informationen zum Festlegen der Beschriftung und des Texts des rechtlichen Hinweises finden Sie im Cmdlet Set-AzSLegalNotice. Wenn die Beschriftung und der Text des rechtlichen Hinweises zuvor festgelegt wurden, können Sie diese mithilfe des Cmdlets Get-AzSLegalNotice überprüfen.