Az Azure Stack HCI biztonsági szempontjai

  • Cikk

A következőkre vonatkozik: Azure Stack HCI, 22H2 és 21H2 verzió; Windows Server 2022, Windows Server 2019

Ez a témakör az Azure Stack HCI operációs rendszerrel kapcsolatos biztonsági szempontokat és javaslatokat tartalmaz:

  • Az 1. rész az operációs rendszer megerősítéséhez szükséges alapvető biztonsági eszközöket és technológiákat, valamint az adatok és identitások védelmét ismerteti, hogy hatékonyan építhesse ki a szervezet biztonságos alapjait.
  • A 2. rész a felhőhöz készült Microsoft Defender keresztül elérhető erőforrásokat ismerteti. Lásd: Microsoft Defender a felhőbevezetéshez.
  • A 3. rész részletesebb biztonsági szempontokat tartalmaz, amelyek tovább erősítik a szervezet biztonsági helyzetét ezeken a területeken.

Miért fontosak a biztonsági szempontok?

A biztonság a szervezet minden tagját érinti a felső szintű felügyelettől az információs feldolgozóig. A nem megfelelő biztonság valós kockázatot jelent a szervezetek számára, mivel a biztonsági incidens potenciálisan megzavarhatja az összes normális vállalkozást, és megállíthatja a szervezetet. Minél hamarabb észlel egy potenciális támadást, annál gyorsabban enyhítheti a biztonsági réseket.

A környezet gyenge pontjainak kiaknázása után a támadók általában a kezdeti biztonsági rést követő 24–48 órán belül eszkalálhatják a jogosultságokat, hogy átvegyék a hálózati rendszerek irányítását. A megfelelő biztonsági intézkedések megkeményítik a környezetben lévő rendszereket, hogy meghosszabbítsa a támadók számára szükséges időt, hogy órákról hetekre vagy akár hónapokra is átvegye az irányítást a támadó mozgásának blokkolásával. Az ebben a témakörben szereplő biztonsági javaslatok megvalósítása arra helyezi a szervezetet, hogy a lehető leggyorsabban észlelje és reagáljon az ilyen támadásokra.

1. rész: Biztonságos alap létrehozása

Az alábbi szakaszok biztonsági eszközöket és technológiákat javasolnak, hogy biztonságos alapot építsenek ki a környezetben az Azure Stack HCI operációs rendszert futtató kiszolgálók számára.

A környezet megerősítése

Ez a szakasz az operációs rendszeren futó szolgáltatások és virtuális gépek védelmét ismerteti:

  • Az Azure Stack HCI-tanúsítvánnyal rendelkező hardver konzisztens Biztonságos rendszerindítási, UEFI- és TPM-beállításokat biztosít. A virtualizáláson alapuló biztonság és a minősített hardver kombinálása segít megvédeni a biztonsági szempontból érzékeny számítási feladatokat. Ezt a megbízható infrastruktúrát csatlakoztathatja a felhőhöz Microsoft Defender is, hogy aktiválja a viselkedéselemzést és a jelentéskészítést a gyorsan változó számítási feladatok és fenyegetések fiókba történő aktiválásához.

    • A biztonságos rendszerindítás a számítógépipar által fejlesztett biztonsági szabvány, amely biztosítja, hogy az eszköz csak az eredeti berendezésgyártó (OEM) által megbízható szoftvereket használjon. További információ: Biztonságos rendszerindítás.
    • A United Extensible Firmware Interface (UEFI) szabályozza a kiszolgáló rendszerindítási folyamatát, majd átadja a vezérlést a Windowsnak vagy egy másik operációs rendszernek. További információ: UEFI belső vezérlőprogram követelményei.
    • A megbízható platformmodulok (TPM) technológiája hardveralapú, biztonsággal kapcsolatos funkciókat biztosít. A TPM-chip egy biztonságos kriptográfiai processzor, amely kriptográfiai kulcsokat generál, tárol és korlátoz. További információ: Megbízható platformmodul-technológia – áttekintés.

    Az Azure Stack HCI-tanúsítvánnyal rendelkező hardverszolgáltatókról további információt az Azure Stack HCI-megoldások webhelyén talál.

  • A Biztonsági eszköz natív módon érhető el az Windows Admin Center egyetlen kiszolgálóhoz és Azure Stack HCI-fürtökhöz is, hogy megkönnyítse a biztonságkezelést és -vezérlést. Az eszköz központosítja a kiszolgálók és fürtök néhány kulcsfontosságú biztonsági beállítását, beleértve a rendszerek biztonságos magos állapotának megtekintését is.

    További információ: Biztonságos magú kiszolgáló.

  • Eszközőr és hitelesítő adatok őre. A Device Guard védelmet nyújt az olyan kártevők ellen, amelyek nem ismerik az aláírást, az aláíratlan kódot és azokat a kártevőket, amelyek hozzáférést kapnak a kernelhez a bizalmas információk rögzítéséhez vagy a rendszer sérüléséhez. Windows Defender Credential Guard virtualizáláson alapuló biztonságot használ a titkos kódok elkülönítéséhez, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá.

    További információ: Windows Defender Credential Guard kezelése, valamint a Device Guard és a Credential Guard hardveres készültségi eszközének letöltése.

  • A windowsos és belső vezérlőprogram-frissítések elengedhetetlenek a fürtök, kiszolgálók (beleértve a vendég virtuális gépeket) és a számítógépeken, hogy az operációs rendszer és a rendszer hardvere is védve legyen a támadóktól. Az Windows Admin Center Frissítések eszközzel frissítéseket alkalmazhat az egyes rendszerekre. Ha a hardverszolgáltató támogatja Windows Admin Center illesztőprogram-, belsővezérlőprogram- és megoldásfrissítések beszerzését, ezeket a frissítéseket a Windows-frissítésekkel egy időben szerezheti be, ellenkező esetben közvetlenül a gyártótól szerezheti be őket.

    További információ: A fürt frissítése.

    Ha egyszerre több fürtön és kiszolgálón szeretné kezelni a frissítéseket, érdemes lehet feliratkozni az opcionális Azure Update Management szolgáltatásra, amely integrálva van a Windows Admin Center. További információ: Azure Update Management a Windows Admin Center használatával.

Adatok védelme

Ez a szakasz azt ismerteti, hogyan használható Windows Admin Center az operációs rendszeren lévő adatok és számítási feladatok védelmére:

  • A BitLocker Tárolóhelyek védi az inaktív adatokat. A BitLocker használatával titkosíthatja Tárolóhelyek adatkötetek tartalmát az operációs rendszeren. A BitLocker használata az adatok védelmére segítheti a szervezeteket abban, hogy megfeleljenek a kormányzati, regionális és iparágspecifikus szabványoknak, például a FIPS 140-2-nek és a HIPAA-nak.

    A BitLocker Windows Admin Center való használatáról további információt a Kötettitkosítás, deduplikáció és tömörítés engedélyezése című témakörben talál.

  • A Windows-hálózat SMB-titkosítása védi az átvitt adatokat. A kiszolgálói üzenetblokk (SMB) egy hálózati fájlmegosztási protokoll, amely lehetővé teszi a számítógépen lévő alkalmazások számára a fájlok olvasását és írását, valamint a számítógép-hálózat kiszolgálói programjaitól való szolgáltatásokat.

    Az SMB-titkosítás engedélyezéséhez tekintse meg az SMB biztonsági fejlesztéseit.

  • Windows Defender Víruskereső megvédi az operációs rendszert az ügyfeleken és a kiszolgálókon a vírusok, kártevők, kémprogramok és egyéb fenyegetések ellen. További információ: Microsoft Defender Víruskereső Windows Serveren.

Identitások védelme

Ez a szakasz a Windows Admin Center a kiemelt identitások védelmére való használatát ismerteti:

  • A hozzáférés-vezérlés javíthatja a felügyeleti környezet biztonságát. Ha Windows Admin Center kiszolgálót használ (és nem Windows 10 számítógépen fut), két hozzáférési szintet szabályozhat magának a Windows Admin Center: az átjárófelhasználóknak és az átjárógazdáknak. Az átjáró-rendszergazdai identitásszolgáltató beállításai a következők:

    • Active Directory- vagy helyi gépcsoportok az intelligenskártya-hitelesítés kényszerítéséhez.
    • Microsoft Entra azonosítót a feltételes hozzáférés és a többtényezős hitelesítés kényszerítéséhez.

    További információ: Felhasználói hozzáférési beállítások Windows Admin Center ésFelhasználói Access Control és engedélyek konfigurálása.

  • A Windows Admin Center felé irányuló böngészőforgalom HTTPS-t használ. A Windows Admin Center és a felügyelt kiszolgálók közötti forgalom szabványos PowerShell- és Windows Management Instrumentation -t (WMI) használ a Windows Remote Management (WinRM) rendszeren keresztül. Windows Admin Center támogatja a helyi rendszergazdai jelszómegoldást (LAPS), az erőforrás-alapú korlátozott delegálást, az átjáró hozzáférés-vezérlését az Active Directory (AD) vagy Microsoft Entra azonosító használatával, valamint szerepköralapú hozzáférés-vezérlést (RBAC) az Windows Admin Center átjáró kezeléséhez.

    Windows Admin Center támogatja a Microsoft Edge (Windows 10, 1709-es vagy újabb verzió), a Google Chrome és a Microsoft Edge Insider Windows 10. A Windows Admin Center Windows 10 pc-n vagy Windows-kiszolgálón is telepítheti.

    Ha Windows Admin Center telepít egy kiszolgálóra, az átjáróként fut, felhasználói felület nélkül a gazdagépkiszolgálón. Ebben a forgatókönyvben a rendszergazdák egy HTTPS-munkameneten keresztül jelentkezhetnek be a kiszolgálóra, amelyet a gazdagép önaláírt biztonsági tanúsítványa véd. Érdemes azonban megbízható hitelesítésszolgáltatótól származó megfelelő SSL-tanúsítványt használni a bejelentkezési folyamathoz, mert a támogatott böngészők nem biztonságosnak tekintik az önaláírt kapcsolatot, még akkor is, ha a kapcsolat egy megbízható VPN-en keresztüli helyi IP-címhez kapcsolódik.

    Ha többet szeretne megtudni a szervezet telepítési lehetőségeiről, olvassa el a Melyik telepítési típus megfelelő az Ön számára? című témakört.

  • A CredSSP egy hitelesítési szolgáltató, amely Windows Admin Center néhány esetben hitelesítő adatokat ad át a kezelni kívánt kiszolgálón túli gépeknek. Windows Admin Center jelenleg a CredSSP-nek a következőre van szüksége:

    • Hozzon létre egy új fürtöt.
    • A feladatátvételi fürtszolgáltatás vagy a Cluster-Aware Frissítés funkció használatához használja a Frissítések eszközt.
    • A nem összesített SMB-tárolók kezelése virtuális gépeken.

    További információ: A CredSSP használata Windows Admin Center?

  • Az identitások kezelésére és védelmére használható Windows Admin Center biztonsági eszközei közé tartoznak többek között az Active Directory, a Tanúsítványok, a Tűzfal, a Helyi felhasználók és csoportok.

    További információ: Kiszolgálók kezelése Windows Admin Center.

2. rész: A Microsoft Defender használata a felhőhöz (MDC)

Microsoft Defender a Felhőhöz egy egységes infrastruktúrabiztonsági felügyeleti rendszer, amely erősíti az adatközpontok biztonsági helyzetét, és fejlett veszélyforrások elleni védelmet nyújt a hibrid számítási feladatok között a felhőben és a helyszínen. A Defender for Cloud olyan eszközöket biztosít, amelyekkel felmérheti a hálózat biztonsági állapotát, megvédheti a számítási feladatokat, biztonsági riasztásokat hozhat létre, és konkrét javaslatokat követhet a támadások elhárításához és a jövőbeli fenyegetések kezeléséhez. A Defender for Cloud ezeket a szolgáltatásokat nagy sebességgel hajtja végre a felhőben, és nincs üzembe helyezési többletterhelés az Azure-szolgáltatások automatikus kiépítésével és védelmével.

A Felhőhöz készült Defender a Log Analytics-ügynök ezen erőforrásokra való telepítésével védi a Windows- és Linux-kiszolgálók virtuális gépeit. Az Azure korrelálja az ügynökök által összegyűjtött eseményeket az Ön által a számítási feladatok biztonságossá tétele érdekében végrehajtott javaslatokba (megkeményítési feladatokba). A biztonsági ajánlott eljárásokon alapuló megkeményítési feladatok közé tartozik a biztonsági szabályzatok kezelése és betartatása. Ezután nyomon követheti az eredményeket, és idővel kezelheti a megfelelőséget és a szabályozást a Defender for Cloud monitorozásával, miközben csökkenti a támadási felületet az összes erőforrásban.

Annak kezelése, hogy ki férhet hozzá az Azure-erőforrásokhoz és -előfizetésekhez, az Azure-szabályozási stratégia fontos részét képezi. Az Azure RBAC az Azure-beli hozzáférés kezelésének elsődleges módja. További információ: Azure-környezethez való hozzáférés kezelése szerepköralapú hozzáférés-vezérléssel.

A Felhőhöz készült Defender Windows Admin Center való használatához Azure-előfizetésre van szükség. Első lépésként lásd: Windows Admin Center erőforrások védelme a felhőhöz készült Microsoft Defender használatával. Az első lépésekért lásd : A Defender for Server üzembe helyezésének megtervezése. A Kiszolgálókhoz készült Defender (kiszolgálócsomagok) licencelésével kapcsolatban lásd: Defender for Servers-csomag kiválasztása.

Regisztráció után lépjen az MDC-hez a Windows Admin Center: A Minden kapcsolat lapon válasszon ki egy kiszolgálót vagy virtuális gépet, az Eszközök területen válassza a Microsoft Defender felhőhöz lehetőséget, majd válassza a Bejelentkezés az Azure-ba lehetőséget.

További információ: Mi Microsoft Defender a felhőhöz? című témakörben.

3. rész: Speciális biztonság hozzáadása

Az alábbi szakaszok speciális biztonsági eszközöket és technológiákat javasolnak az Azure Stack HCI operációs rendszert futtató kiszolgálók további megerősítéséhez a környezetben.

A környezet megerősítése

  • A Microsoft biztonsági alapkonfigurációi a Microsoft által a kereskedelmi szervezetekkel és az egyesült államokbeli kormánysal, például a Védelmi Minisztériummal együttműködésben kapott biztonsági javaslatokon alapulnak. A biztonsági alapkonfigurációk közé tartoznak a Windows tűzfal ajánlott biztonsági beállításai, Windows Defender és sok más.

    A biztonsági alapkonfigurációk Csoportházirend objektum (GPO) biztonsági másolatként vannak megadva, amelyeket importálhat Active Directory tartományi szolgáltatások (AD DS) szolgáltatásba, majd üzembe helyezheti a tartományhoz csatlakoztatott kiszolgálókon a környezet megerősítéséhez. A helyi szkripteszközökkel önálló (tartományhoz nem csatlakozó) kiszolgálókat is konfigurálhat biztonsági alapkonfigurációkkal. A biztonsági alapkonfigurációk használatának megkezdéséhez töltse le a Microsoft Security Compliance Toolkit 1.0-t.

    További információ: A Microsoft biztonsági alapkonfigurációi.

Adatok védelme

  • A Hyper-V környezet megerősítéséhez meg kell edzeni a virtuális gépen futó Windows Servert, ahogyan a fizikai kiszolgálón futó operációs rendszert is. Mivel a virtuális környezetekben általában több virtuális gép osztozik ugyanazon a fizikai gazdagépen, elengedhetetlen a fizikai gazdagép és a rajta futó virtuális gépek védelme is. A gazdagépet feltörő támadók több virtuális gépet is érinthetnek, és nagyobb hatással lehetnek a számítási feladatokra és a szolgáltatásokra. Ez a szakasz az alábbi módszereket ismerteti, amelyekkel megerősítheti a Windows Servert Hyper-V környezetben:

    • A Windows Server virtuális platformmegbízhatósági modulja (vTPM) támogatja a virtuális gépek TPM-ét, amely lehetővé teszi fejlett biztonsági technológiák, például a BitLocker használatát a virtuális gépeken. A TPM-támogatást bármely 2. generációs Hyper-V virtuális gépen engedélyezheti a Hyper-V kezelőjével vagy a Enable-VMTPM Windows PowerShell parancsmaggal.

      Megjegyzés

      A vTPM engedélyezése hatással lesz a virtuális gépek mobilitására: manuális műveletekre lesz szükség ahhoz, hogy a virtuális gép más gazdagépen induljon el, mint amelyiken eredetileg engedélyezte a vTPM-et.

      További információ: Enable-VMTPM.

    • Az Azure Stack HCI és a Windows Server szoftveralapú hálózatkezelése (SDN) központilag konfigurálja és kezeli a virtuális hálózati eszközöket, például a szoftveres terheléselosztót, az adatközpont tűzfalát, az átjárókat és a virtuális kapcsolókat az infrastruktúrában. A virtuális hálózati elemeket, például a Hyper-V virtuális kapcsolót, a Hyper-V hálózatvirtualizálást és a RAS-átjárót úgy tervezték, hogy az SDN-infrastruktúra szerves elemei legyenek.

      További információ: Szoftveralapú hálózatkezelés (SDN).

      Megjegyzés

      A Gazdagépőr szolgáltatás által védett védett virtuális gépek nem támogatottak az Azure Stack HCI-ben.

Identitások védelme

  • A helyi rendszergazdai jelszómegoldás (LAPS) egy egyszerű mechanizmus az Active Directory tartományhoz csatlakoztatott rendszerekhez, amely rendszeres időközönként új véletlenszerű és egyedi értékre állítja az egyes számítógépek helyi rendszergazdai fiókjelszóját. A jelszavakat egy biztonságos bizalmas attribútum tárolja az Active Directory megfelelő számítógép-objektumán, ahol csak a kifejezetten jogosult felhasználók tudják lekérni őket. Az LAPS helyi fiókokat használ a távoli számítógép-felügyelethez oly módon, hogy bizonyos előnyöket nyújt a tartományi fiókok használatával szemben. További információ: A helyi fiókok távoli használata: LAPS – Mindent megváltoztat.

    Az LAPS használatának megkezdéséhez töltse le a helyi rendszergazdai jelszómegoldást (LAPS).

  • A Microsoft Advanced Threat Analytics (ATA) egy helyszíni termék, amellyel észlelheti a kiemelt identitásokat veszélyeztető támadókat. Az ATA elemzi a hálózati forgalmat a hitelesítési, engedélyezési és információgyűjtési protokollokhoz, például a Kerberoshoz és a DNS-hez. Az ATA az adatokat a felhasználók és más entitások viselkedési profiljainak létrehozására használja a hálózaton az anomáliák és az ismert támadási minták észlelésére.

    További információ: Mi az az Advanced Threat Analytics?

  • Windows Defender Remote Credential Guard távoli asztali kapcsolaton keresztül védi a hitelesítő adatokat azáltal, hogy átirányítja a Kerberos-kéréseket a kapcsolatot kérő eszközre. Egyszeri bejelentkezést (SSO) is biztosít a távoli asztali munkamenetekhez. Távoli asztali munkamenet során, ha a céleszköz biztonsága sérül, a hitelesítő adatok nem lesznek közzétéve, mert a hitelesítő adatok és a hitelesítő adatok származékai soha nem kerülnek át a hálózaton a céleszközre.

    További információ: Windows Defender Credential Guard kezelése.

  • Microsoft Defender for Identityes segít megvédeni a kiemelt identitásokat a felhasználói viselkedés és tevékenységek figyelésével, a támadási felület csökkentésével, az Active Directory Federal Service (AD FS) hibrid környezetben történő védelmével, valamint a gyanús tevékenységek és a speciális támadások azonosításával a kibertámadások leölési láncában.

    További információ: Mi az a Microsoft Defender for Identity?.

Következő lépések

További információ a biztonságról és a jogszabályi megfelelőségről: