Partager via


Configurer les contrôles de sécurité d’Azure Stack Hub

Cet article décrit les contrôles de sécurité qui peuvent être modifiés dans Azure Stack Hub et met en évidence les compromis éventuels.

L’architecture d’Azure Stack Hub repose sur deux principes de sécurité de base : violations présumées et renforcement par défaut. Pour plus d’informations sur la sécurité d’Azure Stack Hub, consultez Situation de sécurité de l’infrastructure Azure Stack Hub. Si la situation de sécurité par défaut d’Azure Stack Hub est « prêt pour la production », certains scénarios de déploiement nécessitent un renforcement supplémentaire.

Stratégie de version du protocole TLS

Le protocole TLS est un protocole de chiffrement largement utilisé pour établir des communications chiffrées sur le réseau. Le protocole TLS a évolué au fil du temps et plusieurs versions ont été publiées. L’infrastructure Azure Stack Hub utilise exclusivement le protocole TLS 1.2 pour toutes les communications. Pour les interfaces externes, Azure Stack Hub utilise actuellement par défaut le protocole TLS 1.2. Toutefois, pour assurer la compatibilité descendante, il prend également en charge la négociation via les protocoles TLS 1.1 et 1.0. Lorsqu'un client TLS demande à communiquer via le protocole TLS 1.1 ou TLS 1.0, Azure Stack Hub satisfait la demande en négociant avec une version antérieure du protocole TLS. Si le client demande à utiliser le protocole TLS 1.2, Azure Stack Hub établit une connexion TLS à l’aide du protocole TLS 1.2.

Comme les protocoles TLS 1.0 et 1.1 sont progressivement dépréciés ou interdits par les organisations et les normes de conformité, vous pouvez maintenant configurer la stratégie TLS dans Azure Stack Hub. Vous pouvez appliquer une stratégie de protocole exclusivement TLS 1.2, où toute tentative d’établissement d’une session TLS avec une version antérieure à la version 1.2 n’est pas autorisée et est rejetée.

Important

Microsoft recommande d’utiliser une stratégie de protocole exclusivement TLS 1.2 pour les environnements de production d'Azure Stack Hub.

Obtenir la stratégie de protocole TLS

Utilisez le point de terminaison privilégié (PEP) pour afficher la stratégie de protocole TLS pour tous les points de terminaison Azure Stack Hub :

Get-TLSPolicy

Exemple de sortie :

TLS_1.2

Définir une stratégie de protocole TLS

Utilisez le point de terminaison privilégié (PEP) pour définir la stratégie de protocole TLS pour tous les points de terminaison Azure Stack Hub :

Set-TLSPolicy -Version <String>

Paramètres pour la cmdlet Set-TLSPolicy :

Paramètre Description Type Obligatoire
Version Version(s) autorisée(s) du protocole TLS dans Azure Stack Hub String Oui

Utilisez l’une des valeurs suivantes pour configurer les versions de protocole TLS autorisées pour tous les points de terminaison Azure Stack Hub :

Valeur de la version Description
TLS_All Les points de terminaison de protocole TLS Azure Stack Hub prennent en charge le protocole TLS 1.2, mais la négociation via les protocoles TLS 1.1 et TLS 1.0 est autorisée.
TLS_1.2 Les points de terminaison de protocole TLS Azure Stack Hub prennent uniquement en charge le protocole TLS 1.2.

La mise à jour de la stratégie de protocole TLS prend quelques minutes.

Exemple de configuration Appliquer le protocole TLS 1.2

Cet exemple définit votre stratégie de protocole TLS de façon à appliquer uniquement le protocole TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Exemple de sortie :

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Exemple de configuration Autoriser toutes les versions du protocole TLS (1.2, 1.1 et 1.0)

Cet exemple définit votre stratégie de protocole TLS pour autoriser toutes les versions du protocole TLS (1.2, 1.1 et 1.0).

Set-TLSPolicy -Version TLS_All

Exemple de sortie :

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Il existe des scénarios dans lesquels il est utile d’afficher une mention légale lors de l’ouverture d’une session de point de terminaison privilégié (PEP). Les cmdlets Set-AzSLegalNotice et Get-AzSLegalNotice permettent de gérer la légende et le corps du texte d’une telle mention légale.

Pour définir la légende et le texte de la mention légale, consultez Cmdlet Set-AzSLegalNotice. Si la légende et le texte de la mention légale ont été définis précédemment, vous pouvez les réviser à l’aide de la Cmdlet Get-AzSLegalNotice.

Étapes suivantes