Freigeben über

Baseline für Governance, Sicherheit und Compliance für Server mit Azure Arc-Unterstützung

  • Artikel

Dieser Artikel behandelt die wichtigsten Entwurfsaspekte und bewährten Methoden bei der Implementierung von Sicherheit, Governance und Compliance für Serverbereitstellungen mit Azure Arc-Unterstützung. Während die Dokumentation der Zielzone auf Unternehmensniveau die Themen „Governance“ und „Sicherheit“ als separate Themen behandelt, sind diese kritischen Entwurfsbereiche für Server mit Azure Arc-Unterstützung in einem einzelnen Thema zusammengefasst.

Die Definition und Anwendung geeigneter Kontrollmechanismen ist bei jeder Cloudimplementierung von entscheidender Bedeutung, da sie das grundlegende Element für die Sicherheit und die Einhaltung von Vorschriften ist. In einer herkömmlichen Umgebung umfassen diese Mechanismen in der Regel Überprüfungsprozesse und manuelle Kontrollen. Die Cloud hat jedoch einen neuen Ansatz für die IT-Governance mit automatisierten Schutzmaßnahmen und Prüfungen eingeführt. Azure Policy und Microsoft Defender für Cloud sind cloudnative Tools, die eine automatisierte Implementierung dieser Kontrollen, Berichte und Wartungstasks ermöglichen. Durch die Kombination mit Azure Arc, können Sie Ihre Governancerichtlinien und Sicherheitsüberprüfungen auf jede Ressource in öffentlichen oder privaten Clouds ausweiten.

Am Ende dieses Artikels werden Sie die kritischen Entwurfsbereiche für Sicherheit, Governance und Compliance durch eindeutige Microsoft-Anleitungen verstehen.

Architektur

Die folgende Abbildung zeigt eine konzeptionelle Referenzarchitektur, die die Entwurfsbereiche „Sicherheit“, „Compliance“ und „Governance“ für Server mit Azure Arc-Unterstützung veranschaulicht:

Diagramm: Sicherheitsgovernance und Compliance auf Unternehmensebene für Server mit Azure Arc-Unterstützung in der konzeptionellen Azure-Referenzarchitektur

Überlegungen zum Entwurf

Wenn Ihre Hybridressourcen und Ressourcen für mehrere Clouds Teil von Azure Resource Manager werden, können sie wie native Azure-VMs mit Azure-Tools verwaltet und gesteuert werden.

Identitäts- und Zugriffsverwaltung

  • Agent-Sicherheitsberechtigungen: Sichern Sie den Zugriff auf den mit Azure verbundenen Computer-Agent durch die Überprüfung von Benutzern mit lokalen Administratorrechten auf dem Server.
  • Verwaltete Identität: Verwenden Sie verwaltete Identitäten mit Servern mit Azure Arc-Unterstützung. Definieren Sie eine Strategie zur Identifizierung der Anwendungen, die auf Servern mit Azure Arc-Unterstützung ausgeführt werden und ein Microsoft Entra-Token verwenden können.
  • Rollenbasierte Zugriffssteuerung (RBAC) in Azure: Definieren Sie administrative, operative und technische Rollen innerhalb des Unternehmens. Dies wird Ihnen bei der Zuordnung der täglichen Vorgänge in der Hybridumgebung helfen. Die Zuordnung der einzelnen Teams zu Aktionen und Verantwortlichkeiten bestimmt die Azure RBAC-Rollen und -Konfiguration. Ziehen Sie in Erwägung, eine RACI-Matrix zu verwenden, um diese Bemühungen zu unterstützen und Kontrollen in der von Ihnen definierten Verwaltungsbereichshierarchie zu erstellen, während Sie die Richtlinien zur Ressourcenkonsistenz und Bestandsverwaltung befolgen. Weitere Informationen finden Sie unter Identitäts- und Zugriffsverwaltung für Server mit Azure Arc-Unterstützung.

Ressourcenorganisation

  • Änderungsnachverfolgung und Bestand: Verfolgen Sie Änderungen am Betriebssystem, den Anwendungsdateien und der Registrierung nach, um Betriebs- und Sicherheitsprobleme in Ihren lokalen und anderen Cloudumgebungen zu erkennen.

Disziplinen der Governance

  • Bedrohungsschutz und Cloud Security Posture Management: Führen Sie Kontrollen ein, um sicherheitsbezogene Fehlkonfigurationen zu erkennen und die Compliance nachzuverfolgen. Verwenden Sie außerdem die Intelligenz von Azure, um Ihre Hybridworkloads vor Bedrohungen zu schützen. Aktivieren Sie Microsoft Defender für Server für alle Abonnements, die Server mit Azure Arc-Unterstützung zur Überwachung der Sicherheitsbaseline, für Security Posture Management und zum Schutz vor Bedrohungen enthalten.
  • Geheimnis- und Zertifikatverwaltung: Aktivieren Sie Azure Key Vault zum Schutz der Anmeldeinformationen des Dienstprinzipals. Erwägen Sie, Azure Key Vault für die Zertifikatverwaltung auf Ihren Servern mit Azure Arc-Unterstützung zu verwenden.
  • Richtlinienverwaltung und Berichterstellung: Definieren Sie einen Governanceplan für Ihre Hybridserver und -computer, der in Azure-Richtlinien und -Wartungstasks umgesetzt wird.
  • Datenresidenz: Überlegen Sie, in welcher Azure-Region Sie Ihre Server mit Azure Arc-Unterstützung bereitstellen möchten, und versuchen Sie, die von diesen Computern gesammelten Metadaten zu verstehen.
  • Sicherer öffentlicher Schlüssel: Sichern Sie die Authentifizierung mit öffentlichem Schlüssel des Azure Connected Machine-Agents, um mit dem Azure-Dienst zu kommunizieren.
  • Business Continuity & Disaster Recovery: Prüfen Sie den Leitfaden für Business Continuity & Disaster Recovery für Zielzonen auf Unternehmensniveau, um festzustellen, ob Ihre Unternehmensanforderungen erfüllt sind.
  • Überprüfen Sie den Entwurfsbereich Sicherheit, Governance und Compliance der Azure-Zielzone auf Unternehmensniveau, um die Auswirkungen von Servern mit Azure Arc-Unterstützung auf Ihr gesamtes Sicherheits- und Governancemodell zu bewerten.

Verwaltungstechniken

  • Agent-Verwaltung: Der Azure Connected Machine-Agent spielt eine entscheidende Rolle bei Ihren Hybridvorgängen. Sie ermöglicht Ihnen die Verwaltung Ihrer Windows- und Linux-Computer, die außerhalb von Azure gehostet werden, und die Durchsetzung von Governancerichtlinien. Es ist wichtig, Lösungen zu implementieren, die nicht reagierende Agents nachverfolgen.
  • Protokollverwaltungsstrategie: Planen Sie die Erfassung von Metriken und Protokollen Ihrer Hybridressourcen in einem Log Analytics-Arbeitsbereich für weitere Analysen und Überwachungen.

Plattformautomatisierung

  • Agent-Bereitstellung: Definieren Sie eine Strategie für die Bereitstellung der Server mit Azure Arc-Unterstützung und den Schutz des Zugriffs auf die Anmeldeinformationen für das Onboarding. Betrachten Sie den Grad und die Methode der Automatisierung für die Massenregistrierung. Überlegen Sie, wie Sie die Pilot- und Produktionsbereitstellungen strukturieren und einen formalen Plan aufstellen. Der Umfang und Plan einer Bereitstellung sollte Ziele, Auswahlkriterien, Erfolgskriterien, Trainingspläne, Rollback und Risiken berücksichtigen.
  • Softwareupdates:
    • Definieren Sie eine Strategie zur Bewertung des Status verfügbarer Updates, um die Sicherheitskonformität mit kritischen und sicherheitsrelevanten Updates Ihrer Betriebssysteme zu verwalten.
    • Definieren Sie eine Strategie, um die Windows-Betriebssystemversionen zu inventarisieren und die Fristen für das Ende des Supports zu überwachen. Planen Sie für Server, die nicht zu Azure migriert oder aktualisiert werden können, erweiterte Sicherheitsupdates (ESUs) über Azure Arc.

Entwurfsempfehlungen

Agent-Bereitstellung

Wenn Sie einen Dienstprinzipal für die Bereitstellung von Servern mit Azure Arc-Unterstützung verwenden, überlegen Sie, wie Sie das Kennwort des Dienstprinzipals sicher speichern und weitergeben können.

Agentverwaltung

Der Azure Connected Machine-Agent ist die Schlüsselkomponente für Server mit Azure Arc-Unterstützung. Er enthält mehrere logische Komponenten, die eine Rolle bei Sicherheit, Governance und Verwaltungsvorgängen spielen. Wenn der Azure Connected Machine-Agent keine Heartbeats mehr an Azure sendet oder offline geht, können Sie keine operativen Aufgaben für ihn durchführen. Daher ist es notwendig, einen Plan für Benachrichtigungen und Antworten zu entwickeln.

Das Azure-Aktivitätsprotokoll kann verwendet werden, um Benachrichtigungen über die Integrität von Ressourcen festzulegen. Bleiben Sie durch die Implementierung einer Abfrage über den aktuellen und historischen Integritätsstatus des Azure Connected Computer-Agents informiert.

Agent-Sicherheitsberechtigungen

Steuern Sie, wer Zugriff auf den Azure Connected Machine-Agent auf Servern mit Azure Arc-Unterstützung hat. Die Dienste, aus denen dieser Agent besteht, steuern die gesamte Kommunikation und Interaktion der Server mit Azure Arc-Unterstützung mit Azure. Mitglieder der lokalen Administratorgruppe unter Windows und Benutzer mit Stammberechtigungen unter Linux haben die Berechtigung, den Agent zu verwalten.

Bewerten Sie das Einschränken der Erweiterungen und der Maschinenkonfigurationsfunktionen mit Sicherheitskontrollen für lokale Agents, um nur die erforderlichen Verwaltungsaktionen insbesondere für gesperrte oder sensible Computer zuzulassen.

Verwaltete Identität

Bei der Erstellung kann die vom Microsoft Entra-System zugewiesene Identität nur verwendet werden, um den Status der Server mit Azure Arc-Unterstützung zu aktualisieren (z. B. den zuletzt angezeigten Heartbeat). Wenn Sie dieser vom System zugewiesenen Identität zusätzlichen Zugriff auf Azure-Ressourcen gewähren, können Sie einer Anwendung auf Ihrem Server erlauben, die systemseitige Identität zu verwenden, um auf Azure-Ressourcen zuzugreifen (z. B. zum Anfordern von Geheimnissen aus einem Schlüsseltresor). Gehen Sie wie folgt vor:

  • Überlegen Sie, welche legitimen Anwendungsfälle es für Serveranwendungen gibt, um Zugriffstoken zu erhalten und auf Azure-Ressourcen zuzugreifen, und planen Sie gleichzeitig die Zugriffssteuerung für diese Ressourcen.
  • Steuern Sie privilegierte Benutzerrollen auf Servern mit Azure Arc-Unterstützung (Mitglieder der Anwendungsgruppe „Lokale Administratoren“ oder Hybrid-Agent-Erweiterungen unter Windows und Mitglieder der Gruppe himds unter Linux), um zu verhindern, dass systemseitig verwaltete Identitäten missbräuchlich verwendet werden, um unberechtigten Zugriff auf Azure-Ressourcen zu erhalten.
  • Verwenden Sie Azure RBAC, um die Berechtigungen für die von Servern mit Azure Arc-Unterstützung verwalteten Identitäten zu kontrollieren und zu verwalten und regelmäßige Zugriffsüberprüfungen für diese Identitäten durchzuführen.

Verwaltung von Geheimnissen und Zertifikaten

Ziehen Sie in Erwägung, Azure Key Vault zur Verwaltung von Zertifikaten auf Ihren Servern mit Azure Arc-Unterstützung zu verwenden. Server mit Azure Arc-Unterstützung verfügen über eine verwaltete Identität, die von dem verbundenen Computer und anderen Azure-Agents verwendet wird, um sich bei ihren jeweiligen Diensten zu authentifizieren. Mit der VM-Erweiterung des Schlüsseltresors können Sie den Lebenszyklus von Zertifikaten auf Windows- und Linux-Computern verwalten.

Die folgende Abbildung zeigt eine konzeptionelle Referenzarchitektur, die die Azure Key Vault-Integration für Server mit Azure Arc-Unterstützung demonstriert:

Diagramm: Azure Key Vault-Integration für Server mit Azure Arc-Unterstützung

Tipp

Erfahren Sie im Projekt Einstieg in Azure Arc, wie Sie von Key Vault verwaltete Zertifikate mit Linux-Servern mit Azure Arc-Unterstützung verwenden.

Richtlinienverwaltung und Berichterstellung

Richtliniengesteuerte Governance ist ein grundlegendes Prinzip cloudnativer Vorgänge und des Cloud Adoption Frameworks. Azure Policy bietet den Mechanismus zur Durchsetzung von Unternehmensstandards und zur Bewertung der Compliance im großen Stil. Sie können Governance implementieren, um die Konsistenz von Bereitstellung und Compliance sicherzustellen, die Kosten zu kontrollieren und Ihren Sicherheitsstatus zu verbessern. Mit dem Compliance-Dashboard erhalten Sie eine aggregierte Ansicht zum Gesamtzustand und zu Abhilfemaßnahmen.

Server mit Azure Arc-Unterstützung unterstützen Azure Policy auf der Ebene der Azure-Ressourcenverwaltung und auch innerhalb des Betriebssystems des Computers mithilfe von Computerkonfigurationsrichtlinien.

Verstehen Sie den Umfang von Azure Policy und wo es angewendet werden kann (Verwaltungsgruppe, Abonnement, Ressourcengruppe oder individuelle Ressourcenebene). Erstellen Sie einen Entwurf für die Verwaltungsgruppe gemäß den empfohlenen Methoden, die im Cloud Adoption Framework auf Unternehmensniveau beschrieben sind.

Die folgende Abbildung zeigt eine konzeptionelle Referenzarchitektur, die die Entwurfsbereiche für die Berichterstellung für Richtlinien und Compliance für Server mit Azure Arc-Unterstützung veranschaulicht:

Diagramm: Azure Policy für Server mit Azure Arc-Unterstützung in der konzeptionellen Azure-Referenzarchitektur

Strategie zur Protokollverwaltung

Entwerfen und planen Sie die Bereitstellung Ihres Log Analytics-Arbeitsbereichs. Es wird der Container sein, in dem die Daten gesammelt, aggregiert und später analysiert werden. Ein Log Analytics-Arbeitsbereich repräsentiert den geografischen Standort Ihrer Daten, die Datenisolation und den Umfang von Konfigurationen wie der Datenaufbewahrung. Sie müssen ermitteln, wie viele Arbeitsbereiche Sie benötigen und wie sich diese in Ihre Organisationsstruktur einfügen. Es wird empfohlen, einen einzelnen Azure Monitor Log Analytics-Arbeitsbereich zu verwenden, um RBAC zentral zu verwalten, für Transparenz zu sorgen und Berichte zu erstellen, wie in den bewährten Methoden zur Verwaltung und Überwachung des Cloud Adoption Frameworks beschrieben.

Überprüfen Sie die bewährten Methoden unter Entwerfen der Bereitstellung Ihrer Azure Monitor-Protokolle.

Schutz vor Bedrohungen und Cloud Security Posture Management

Microsoft Defender für Cloud bietet eine einheitliche Plattform für die Sicherheitsverwaltung, die in eine Cloud Security Posture Management (CSPM) und eine Cloud Workload Protection Platform (CWPP) unterteilt ist. Um die Sicherheit in Ihrer Hybridzielzone zu erhöhen, ist es wichtig, die in Azure und anderswo gehosteten Daten und Ressourcen zu schützen. Microsoft Defender für Server erweitert diese Funktionen auf Server mit Azure Arc-Unterstützung und Microsoft Defender für Endpunkt bietet Endpoint Detection and Response (EDR, Endpunkterkennung und Reaktion). Um die Sicherheit Ihrer Hybridzielzone zu erhöhen, sollten Sie Folgendes beachten:

  • Verwenden Sie Server mit Azure Arc-Unterstützung zum Onboarding von Hybridressourcen in Microsoft Defender für Cloud.
  • Implementieren Sie eine Azure Policy-Computerkonfiguration, um sicherzustellen, dass alle Ressourcen konform sind und die zugehörigen Sicherheitsdaten in den Log Analytics-Arbeitsbereichen gesammelt werden.
  • Aktivieren Sie Microsoft Defender für alle Abonnements und verwenden Sie Azure Policy, um die Compliance sicherzustellen.
  • Verwenden Sie die Integration von Sicherheitsinformationen und Ereignisverwaltung mit Microsoft Defender für Cloud und Microsoft Sentinel.
  • Schützen Sie Ihre Endpunkte mit der Integration von Microsoft Defender für Cloud mit Microsoft Defender für Endpunkt.
  • Zur Sicherung der Netzwerkkonnektivität zwischen Servern mit Azure Arc-Unterstützung und Azure lesen Sie den Abschnitt Netzwerkkonnektivität für Server mit Azure Arc-Unterstützung in diesem Leitfaden.

Änderungsnachverfolgung und Bestand

Die Zentralisierung von Protokollen führt zu Berichten, die als zusätzliche Ebenen der Sicherheit verwendet werden können und das Risiko von Beobachtungslücken verringern. Änderungsnachverfolgung und Bestand in Azure Automation leitet die Daten weiter und sammelt sie in einem Log Analytics-Arbeitsbereich. Wenn Sie Microsoft Defender für Server verwenden, erhalten Sie die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM), um Softwareänderungen für Windows-Dienste und Linux-Dämonen auf Ihren Servern mit Azure Arc-Unterstützung zu untersuchen und nachzuverfolgen.

Softwareupdates

Mit Servern mit Azure Arc-Unterstützung können Sie Ihren Unternehmensbestand mit zentraler Verwaltung und Überwachung im großen Stil verwalten. Genauer gesagt, werden Warnungen und Empfehlungen für IT-Teams bereitgestellt, mit voller operativer Transparenz, die auch die Verwaltung der Updates Ihrer Windows- und Linux-VMs umfasst.

Die Bewertung und Aktualisierung Ihrer Betriebssysteme sollte ein Teil Ihrer allgemeinen Verwaltungsstrategie sein, um die sicherheitsbezogene Compliance mit kritischen und sicherheitsrelevanten Updates zu gewährleisten, sobald diese veröffentlicht werden. Verwenden Sie Azure Update Manager als langfristigen Patching-Mechanismus für Azure- und Hybridressourcen. Verwenden Sie Azure Policy, um sicherzustellen, dass die Wartungskonfigurationen für alle VMs, einschließlich Ihrer Server mit Azure Arc-Unterstützung und der Bereitstellung von erweiterten Sicherheitsupdates (Extended Security Updates, ESUs) auf Servern mit Azure Arc-Unterstützung, deren Windows-Versionen das Ende des Supports erreicht haben, durchgeführt wurden. Weitere Informationen finden Sie unter Übersicht über den Azure Update Manager.

Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

Nach dem Prinzip der geringsten Rechte können Benutzer, Gruppen oder Anwendungen, die mit Rollen wie „Mitwirkender“ oder „Eigentümer“ oder „Ressourcenadministrator für Azure Connected Machine“ ausgestattet sind, Vorgänge wie die Bereitstellung von Erweiterungen ausführen, die grundsätzlich Root-Zugriff auf Server mit Azure Arc-Unterstützung haben. Diese Rollen sollten mit Vorsicht verwendet werden, um den möglichen Auswirkungsgrad zu begrenzen oder eventuell durch benutzerdefinierte Rollen ersetzt werden.

Um die Berechtigung eines Benutzers einzuschränken und ihm nur das Onboarding von Servern in Azure zu gestatten, ist die Rolle „Onboarding von Azure Connected Machine“ geeignet. Diese Rolle kann nur für das Onboarding von Servern verwendet werden. Sie kann für die Serverressource kein erneutes Onboarding durchführen und sie auch nicht löschen. Weitere Informationen zu Zugriffssteuerungen finden Sie unter Sicherheitsübersicht für Azure Arc-fähige Server.

Lesen Sie den Abschnitt Identitäts- und Zugriffsverwaltung für Server mit Azure Arc-Unterstützung in diesem Leitfaden, um weitere identitäts- und zugriffsbezogene Inhalte zu erhalten.

Denken Sie auch an die vertraulichen Daten, die an den Arbeitsbereich von Azure Monitor Log Analytics gesendet werden. Das gleiche RBAC-Prinzip sollte auch auf die Daten selbst angewendet werden. Server mit Azure Arc-Unterstützung bieten RBAC-Zugriff auf die vom Log Analytics-Agent gesammelten Protokolldaten, die in dem Log Analytics-Arbeitsbereich gespeichert sind, in dem der Computer registriert ist. Lesen Sie in der Dokumentation Entwerfen Ihrer Azure Monitor-Protokollbereitstellung nach, wie Sie einen präzisen Zugriff auf den Log Analytics-Arbeitsbereich implementieren.

Sicherer öffentlicher Schlüssel

Der Azure Connected Machine-Agent verwendet die Authentifizierung mit öffentlichem Schlüssel für die Kommunikation mit dem Azure-Dienst. Nachdem Sie einen Server in Azure Arc integriert haben, wird ein privater Schlüssel auf dem Datenträger gespeichert und immer dann verwendet, wenn der Agent mit Azure kommuniziert.

Bei Diebstahl kann der private Schlüssel auf einem anderen Server verwendet werden, um mit dem Dienst zu kommunizieren, und so agieren, als ob es sich um den ursprünglichen Server handelt. Dies umfasst das Erhalten des Zugriffs auf die systemseitig zugewiesene Identität sowie auf alle Ressourcen, auf die diese Identität Zugriff hat.

Die Datei mit dem privaten Schlüssel ist so geschützt, dass nur das Hybrid Instance Metadata Service-Konto (himds) Zugriff darauf hat. Um Offlineangriffe zu verhindern, wird dringend empfohlen, die vollständige Datenträgerverschlüsselung (z. B. BitLocker, dm-crypt usw.) auf dem Betriebssystemvolume Ihres Servers zu verwenden. Es wird empfohlen, die Azure Policy-Computerkonfiguration zu verwenden, um Windows- oder Linux-Computer zu überwachen, auf denen die angegebenen (genannten) Anwendungen installiert sind.

Nächste Schritte

Weitere Hinweise zur Einführung der Hybrid Cloud finden Sie in den folgenden Abschnitten: