Características de seguridad de Azure Stack HCI, versión 23H2
Se aplica a: Azure Stack HCI, versión 23H2
Azure Stack HCI es un producto seguro de forma predeterminada que tiene más de 300 configuraciones de seguridad habilitadas desde el principio. La configuración de seguridad predeterminada proporciona una línea de base de seguridad coherente para asegurarse de que los dispositivos se inician en un estado correcto conocido.
En este artículo se proporciona una breve introducción conceptual de las distintas características de seguridad asociadas al clúster de Azure Stack HCI. Las características incluyen valores predeterminados de seguridad, Windows Defender para el Control de aplicaciones (WDAC), cifrado de volúmenes a través de BitLocker, rotación de secretos, cuentas de usuario integradas locales, Microsoft Defender for Cloud, etc.
Valores predeterminados de seguridad
Azure Stack HCI tiene habilitada la configuración de seguridad de forma predeterminada que proporciona una línea de base de seguridad coherente, un sistema de administración de línea de base y un mecanismo de control de desfase.
Puede supervisar la línea de base de seguridad y la configuración de núcleos protegidos durante la implementación y el tiempo de ejecución. También puede deshabilitar el control de desfase durante la implementación al configurar las opciones de seguridad.
Con el control de desfase aplicado, la configuración de seguridad se actualiza cada 90 minutos. Este intervalo de actualización garantiza la corrección de los cambios del estado deseado. La supervisión continua y la corrección automática permiten una posición de seguridad coherente y confiable a lo largo del ciclo de vida del dispositivo.
Línea base segura en Azure Stack HCI:
- Mejora la posición de seguridad deshabilitando los protocolos y cifrados heredados.
- Reduce OPEX con un mecanismo de protección de desfase integrado que permite una supervisión coherente a escala a través de la línea de base de Azure Arc Hybrid Edge.
- Le permite cumplir los requisitos de la Guía de implementación técnica de seguridad (STIG) del Centro para la seguridad de seguridad (CIS) y la guía de implementación técnica del sistema de información de defensa (DISA) para el sistema operativo y la base de referencia de seguridad recomendada.
Para más información, consulte Administración de valores predeterminados de seguridad en Azure Stack HCI.
Control de aplicaciones de Windows Defender
WDAC es una capa de seguridad basada en software que reduce la superficie expuesta a ataques mediante la aplicación de una lista explícita de software que se puede ejecutar. WDAC está habilitado de forma predeterminada y limita las aplicaciones y el código que se pueden ejecutar en la plataforma principal. Para más información, consulte Administración del control de aplicaciones de Windows Defender para Azure Stack HCI, versión 23H2.
WDAC proporciona dos modos de operación principales, modo de cumplimiento y modo auditoría. En el modo de cumplimiento, se bloquea el código que no es de confianza y se registran los eventos. En el modo Auditoría, se permite que el código que no sea de confianza se ejecute y se registren los eventos. Para obtener más información sobre los eventos relacionados con WDAC, consulte Lista de eventos.
Importante
Para minimizar el riesgo de seguridad, ejecute siempre WDAC en modo de cumplimiento.
Acerca del diseño de directivas WDAC
Microsoft proporciona directivas firmadas base en Azure Stack HCI para el modo de cumplimiento y el modo auditoría. Además, las directivas incluyen un conjunto predefinido de reglas de comportamiento de plataforma y reglas de bloqueo que se aplicarán a la capa de control de aplicaciones.
Composición de directivas base
Las directivas base de Azure Stack HCI incluyen las secciones siguientes:
- Metadatos: los metadatos definen propiedades únicas de la directiva, como el nombre de la directiva, la versión, el GUID, etc.
- Reglas de opción: estas reglas definen el comportamiento de la directiva. Las directivas complementarias solo pueden diferir de un pequeño conjunto de reglas de opciones vinculadas a su directiva base.
- Reglas de permiso y denegación: estas reglas definen los límites de confianza del código. Las reglas se pueden basar en publicadores, firmantes, hash de archivos, etc.
Reglas de opciones
En esta sección se describen las reglas de opción habilitadas por la directiva base.
En el caso de la directiva aplicada, las siguientes reglas de opción están habilitadas de forma predeterminada:
Regla de opción | Valor |
---|---|
habilitado | UMCI |
Requerido | WHQL |
habilitado | Permitir directivas complementarias |
habilitado | Revocado expirado como sin firmar |
Disabled | Firma de paquetes piloto |
habilitado | Directiva de integridad del sistema sin firmar (valor predeterminado) |
habilitado | Seguridad de código dinámico |
habilitado | Menú Opciones de arranque avanzadas |
Disabled | Cumplimiento de scripts |
habilitado | Instalador administrado |
habilitado | Actualizar directiva sin reinicio |
La directiva de auditoría agrega las siguientes reglas de opción a la directiva base:
Regla de opción | Valor |
---|---|
habilitado | Modo auditoría (valor predeterminado) |
Para obtener más información, vea la lista completa de reglas de opciones.
Reglas permitir y denegar
Permitir reglas en la directiva base permiten que todos los componentes de Microsoft entregados por el sistema operativo y las implementaciones en la nube sean de confianza. Las reglas de denegación bloquean las aplicaciones de modo de usuario y los componentes de kernel considerados no seguros para la posición de seguridad de la solución.
Nota
Las reglas Permitir y Denegar de la directiva base se actualizan periódicamente para mejorar la diversión del producto y maximizar la protección de la solución.
Para obtener más información sobre las reglas de denegación, consulte:
Cifrado de BitLocker
El cifrado de datos en reposo está habilitado en volúmenes de datos creados durante la implementación. Estos volúmenes de datos incluyen volúmenes de infraestructura y volúmenes de cargas de trabajo. Al implementar el clúster, puede modificar la configuración de seguridad.
De forma predeterminada, el cifrado de datos en reposo se habilita durante la implementación. Se recomienda aceptar la configuración predeterminada.
Una vez que Azure Stack HCI se haya implementado correctamente, puede recuperar las claves de recuperación de BitLocker. Debe almacenar las claves de recuperación de BitLocker en una ubicación segura fuera del sistema.
Para obtener más información sobre el cifrado de BitLocker, consulte:
- Use BitLocker con volúmenes compartidos de clúster (CSV).
- Administrar el cifrado de BitLocker en Azure Stack HCI.
Cuentas de usuario integradas locales
En esta versión, los siguientes usuarios integrados locales asociados a RID 500
y RID 501
están disponibles en el sistema de Azure Stack HCI:
Nombre en la imagen inicial del sistema operativo | Nombre después de la implementación | Habilitado de forma predeterminada | Descripción |
---|---|---|---|
Administrador | ASBuiltInAdmin | True | Cuenta integrada para administrar el equipo o dominio. |
Invitado | ASBuiltInGuest | False | Cuenta integrada para el acceso de invitado al equipo o dominio, protegido por el mecanismo de control de desfase de línea base de seguridad. |
Importante
Se recomienda crear su propia cuenta de administrador local y deshabilitar la cuenta de usuario conocida RID 500
.
Creación y rotación de secretos
El orquestador de Azure Stack HCI requiere varios componentes para mantener comunicaciones seguras con otros recursos y servicios de infraestructura. Todos los servicios que se ejecutan en el clúster tienen certificados de autenticación y cifrado asociados.
Para garantizar la seguridad, implementamos funcionalidades internas de creación y rotación de secretos. Al revisar los nodos del clúster, verá varios certificados creados en la ruta localMachine/Almacén de certificados personal (Cert:\LocalMachine\My
).
En esta versión, se habilitan las siguientes funcionalidades:
- La capacidad de crear certificados durante la implementación y después de las operaciones de escalado del clúster.
- Autoasignación automática antes de que expiren los certificados y una opción para rotar los certificados durante la vigencia del clúster.
- La capacidad de supervisar y alertar si los certificados siguen siendo válidos.
Nota
Las operaciones de creación y rotación de secretos tardan aproximadamente diez minutos en completarse, en función del tamaño del clúster.
Para más información, consulte Administración de la rotación de secretos.
Reenvío de syslog de eventos de seguridad
Para los clientes y organizaciones que requieren su propio sistema de administración de eventos e información de seguridad local (SIEM), la versión 23H2 de Azure Stack HCI incluye un mecanismo integrado que le permite reenviar eventos relacionados con la seguridad a un SIEM.
Azure Stack HCI tiene un reenviador de syslog integrado que, una vez configurado, genera mensajes de syslog definidos en RFC3164, con la carga en Common Event Format (CEF).
En el diagrama siguiente se muestra la integración de Azure Stack HCI con un SIEM. Todas las auditorías, los registros de seguridad y las alertas se recopilan en cada host y se exponen a través de syslog con la carga cef.
Los agentes de reenvío de Syslog se implementan en cada host de Azure Stack HCI para reenviar mensajes de syslog al servidor syslog configurado por el cliente. Los agentes de reenvío de Syslog funcionan de forma independiente entre sí, pero se pueden administrar juntos en cualquiera de los hosts.
El reenviador de syslog en Azure Stack HCI admite varias configuraciones basadas en si el reenvío de syslog está con TCP o UDP, tanto si el cifrado está habilitado como si no, y si hay autenticación unidireccional o bidireccional.
Para más información, consulte Administración del reenvío de syslog.
Microsoft Defender for Cloud (versión preliminar)
Microsoft Defender for Cloud es una solución de administración de posturas de seguridad con funcionalidades avanzadas de protección contra amenazas. Proporciona herramientas para evaluar el estado de seguridad de la infraestructura, proteger las cargas de trabajo, generar alertas de seguridad y seguir recomendaciones específicas para corregir ataques y abordar amenazas futuras. Realiza todos estos servicios a alta velocidad en la nube mediante el aprovisionamiento automático y la protección con servicios de Azure, sin sobrecarga de implementación.
Con el plan básico de Defender for Cloud, obtendrá recomendaciones sobre cómo mejorar la posición de seguridad del sistema de Azure Stack HCI sin costo adicional. Con el plan de pago de Defender para servidores, obtendrá características de seguridad mejoradas, incluidas las alertas de seguridad para servidores individuales y máquinas virtuales de Arc.
Para obtener más información, consulte Administración de la seguridad del sistema con Microsoft Defender for Cloud (versión preliminar).