Az Azure Stack HCI 23H2-es verziójának biztonsági funkciói
A következőre vonatkozik: Azure Stack HCI, 23H2-es verzió
Az Azure Stack HCI egy alapértelmezés szerint biztonságos termék, amely több mint 300 biztonsági beállítást engedélyez a kezdetektől fogva. Az alapértelmezett biztonsági beállítások konzisztens biztonsági alapkonfigurációt biztosítanak, hogy az eszközök ismert jó állapotban induljanak el.
Ez a cikk rövid fogalmi áttekintést nyújt az Azure Stack HCI-fürthöz társított különböző biztonsági funkciókról. A szolgáltatások közé tartoznak többek között a biztonsági alapértelmezett beállítások, az alkalmazásvezérléshez (WDAC) Windows Defender, a BitLockeren keresztüli kötettitkosítás, a titkos kódok rotálása, a helyi beépített felhasználói fiókok, a felhőhöz készült Microsoft Defender stb.
Alapértelmezett biztonsági szabályok
Az Azure Stack HCI-ben alapértelmezés szerint engedélyezve vannak a biztonsági beállítások, amelyek konzisztens biztonsági alapkonfigurációt, alapkonfiguráció-felügyeleti rendszert és sodródás-vezérlési mechanizmust biztosítanak.
A biztonsági alapkonfigurációt és a biztonságos mag beállításait az üzembe helyezés és a futtatókörnyezet során is figyelheti. A biztonsági beállítások konfigurálásakor letilthatja az eltolódás-vezérlést az üzembe helyezés során.
Az eltolódás-vezérlés alkalmazása esetén a biztonsági beállítások 90 percenként frissülnek. Ez a frissítési időköz biztosítja a kívánt állapot módosításainak szervizelését. A folyamatos monitorozás és az automatikus szervizelés egységes és megbízható biztonsági állapotot biztosít az eszköz teljes életciklusa során.
Biztonságos alapkonfiguráció az Azure Stack HCI-ben:
- Javítja a biztonsági állapotot az örökölt protokollok és titkosítások letiltásával.
- Csökkenti az OPEX-et egy beépített sodródásvédelmi mechanizmussal, amely egységes helyszíni monitorozást tesz lehetővé az Azure Arc Hybrid Edge alapkonfigurációján keresztül.
- Lehetővé teszi, hogy megfeleljen a Center for Internet Security (CIS) benchmark and Defense Information System Agency (DISA) Security Technical Implementation Guide (STIG) követelményeinek az operációs rendszerre és az ajánlott biztonsági alapkonfigurációra vonatkozóan.
További információ: Biztonsági alapértelmezett beállítások kezelése az Azure Stack HCI-ben.
Windows Defender Alkalmazásvezérlés
A WDAC egy szoftveralapú biztonsági réteg, amely csökkenti a támadási felületet a futtatható szoftverek explicit listájának kikényszerítésével. A WDAC alapértelmezés szerint engedélyezve van, és korlátozza az alapplatformon futtatható alkalmazásokat és kódot. További információ: Windows Defender Application Control kezelése az Azure Stack HCI 23H2-es verziójához.
A WDAC két fő műveleti módot biztosít, a kényszerítési módot és a naplózási módot. Kényszerítési módban a rendszer letiltja a nem megbízható kódot, és rögzíti az eseményeket. Naplózási módban a nem megbízható kód futtatható, és a rendszer rögzíti az eseményeket. A WDAC-hoz kapcsolódó eseményekről további információt az Események listája című témakörben talál.
Fontos
A biztonsági kockázat minimalizálása érdekében mindig futtassa a WDAC-t kényszerítési módban.
Tudnivalók a WDAC-szabályzatok kialakításáról
A Microsoft alapszintű aláírt szabályzatokat biztosít az Azure Stack HCI-n a kényszerítési módhoz és a naplózási módhoz is. Emellett a szabályzatok tartalmazzák a platform viselkedési szabályainak előre definiált készletét és az alkalmazásvezérlő rétegre alkalmazandó blokkszabályokat.
Az alapszabályzatok összetétele
Az Azure Stack HCI alapszabályzatai a következő szakaszokat tartalmazzák:
- Metaadatok: A metaadatok a szabályzat egyedi tulajdonságait határozzák meg, például a szabályzat nevét, verzióját, GUID azonosítóját és egyebeket.
- Beállítási szabályok: Ezek a szabályok határozzák meg a szabályzat viselkedését. A kiegészítő szabályzatok csak az alapszabályzatukhoz kötött beállítási szabályok egy kis készletétől térhetnek el.
- Engedélyezési és megtagadási szabályok: Ezek a szabályok határozzák meg a kódmegbízhatósági határokat. A szabályok lehetnek közzétevők, aláírók, fájlkivonatok és egyebek.
Beállítási szabályok
Ez a szakasz az alapszabályzat által engedélyezett beállítási szabályokat tárgyalta.
A kényszerített szabályzat esetében alapértelmezés szerint a következő beállítási szabályok vannak engedélyezve:
| Beállítási szabály | Érték |
|---|---|
| Engedélyezve | UMCI |
| Kötelező | WHQL |
| Engedélyezve | Kiegészítő szabályzatok engedélyezése |
| Engedélyezve | Visszavonva lejárt, mint aláíratlan |
| Disabled (Letiltva) | Járataláírás |
| Engedélyezve | Aláíratlan rendszerintegritási szabályzat (alapértelmezett) |
| Engedélyezve | Dinamikus kód biztonsága |
| Engedélyezve | Speciális rendszerindítási beállítások menü |
| Disabled (Letiltva) | Szkript kényszerítése |
| Engedélyezve | Felügyelt telepítő |
| Engedélyezve | Frissítési szabályzat – Nincs újraindítás |
A naplózási szabályzat a következő beállítási szabályokat adja hozzá az alapházirendhez:
| Beállítási szabály | Érték |
|---|---|
| Engedélyezve | Naplózási mód (alapértelmezett) |
További információ: A beállítási szabályok teljes listája.
Engedélyezési és megtagadási szabályok
Az alapszabályzatban szereplő szabályok lehetővé teszik, hogy az operációs rendszer és a felhőbeli üzemelő példányok által szállított összes Microsoft-összetevő megbízható legyen. A megtagadási szabályok blokkolják a felhasználói módú alkalmazásokat és a megoldás biztonsági helyzetére nem biztonságosnak ítélt kernelösszetevőket.
Megjegyzés
Az alapszabályzat Engedélyezési és megtagadási szabályai rendszeresen frissülnek a termék funtionalitásának javítása és a megoldás maximális védelme érdekében.
A Megtagadási szabályokkal kapcsolatos további információkért lásd:
BitLocker-titkosítás
Az üzembe helyezés során létrehozott adatköteteken engedélyezve van az inaktív adatok titkosítása. Ezek az adatkötetek az infrastruktúra- és a számítási feladatok köteteit is tartalmazzák. A fürt üzembe helyezésekor módosíthatja a biztonsági beállításokat.
Alapértelmezés szerint az üzembe helyezés során engedélyezve van az inaktív adatok titkosítása. Javasoljuk, hogy fogadja el az alapértelmezett beállítást.
Az Azure Stack HCI sikeres üzembe helyezése után lekérheti a BitLocker helyreállítási kulcsait. A BitLocker helyreállítási kulcsait a rendszeren kívüli biztonságos helyen kell tárolnia.
További információ a BitLocker titkosításáról:
- A BitLocker használata megosztott fürtkötetekkel (CSV).
- BitLocker-titkosítás kezelése az Azure Stack HCI-n.
Helyi beépített felhasználói fiókok
Ebben a kiadásban a következő helyi beépített felhasználók vannak társítva RID 500 és RID 501 érhetők el az Azure Stack HCI-rendszerben:
| Név a kezdeti operációsrendszer-lemezképben | Név az üzembe helyezés után | Alapértelmezés szerint engedélyezett | Description |
|---|---|---|---|
| Rendszergazda | ASBuiltInAdmin | Igaz | Beépített fiók a számítógép/tartomány felügyeletéhez. |
| Vendég | ASBuiltInGuest | Hamis | Beépített fiók a számítógéphez/tartományhoz való vendéghozzáféréshez, amelyet a biztonsági alapkonfiguráció sodródás-vezérlési mechanizmusa véd. |
Fontos
Javasoljuk, hogy hozzon létre saját helyi rendszergazdai fiókot, és tiltsa le a jól ismert RID 500 felhasználói fiókot.
Titkos kódok létrehozása és rotálása
Az Azure Stack HCI vezénylőjének több összetevőre van szüksége ahhoz, hogy biztonságos kommunikációt tartson fenn más infrastruktúra-erőforrásokkal és szolgáltatásokkal. A fürtön futó összes szolgáltatáshoz hitelesítési és titkosítási tanúsítványok vannak társítva.
A biztonság érdekében belső titkos kódlétrehozási és -rotációs képességeket valósítunk meg. A fürtcsomópontok áttekintésekor több tanúsítvány is létrejön a LocalMachine/Personal tanúsítványtároló (Cert:\LocalMachine\My) elérési úton.
Ebben a kiadásban a következő képességek vannak engedélyezve:
- Tanúsítványok létrehozása az üzembe helyezés során és a fürtskálázási műveletek után.
- Automatikus automatikus hitelesítés a tanúsítványok lejárata előtt, valamint a tanúsítványok rotálása a fürt élettartama során.
- A tanúsítványok érvényességének figyelése és riasztása.
Megjegyzés
A titkos kódok létrehozására és rotálására vonatkozó műveletek végrehajtása a fürt méretétől függően körülbelül tíz percet vesz igénybe.
További információ: Titkos kódok rotálásának kezelése.
Biztonsági események syslog-továbbítása
Az azure stack HCI 23H2-es verziója olyan integrált mechanizmust tartalmaz, amely lehetővé teszi a biztonsággal kapcsolatos események SIEM-be való továbbítását a saját helyi biztonsági információ- és eseménykezelési (SIEM) rendszerükhöz szükséges ügyfelek és szervezetek számára.
Az Azure Stack HCI rendelkezik egy integrált syslog-továbbítóval, amely a konfigurálást követően létrehozza a RFC3164-ben definiált syslog-üzeneteket a common event format (CEF) hasznos adatokkal.
Az alábbi ábra az Azure Stack HCI és egy SIEM integrációját szemlélteti. A rendszer minden auditot, biztonsági naplót és riasztást összegyűjt minden gazdagépen, és a CEF hasznos adataival elérhetővé teszi a syslogon keresztül.
A syslog-továbbítási ügynökök minden Azure Stack HCI-gazdagépen üzembe vannak helyezve, hogy a syslog-üzeneteket az ügyfél által konfigurált syslog-kiszolgálóra továbbítsák. A Syslog-továbbítási ügynökök egymástól függetlenül működnek, de bármelyik gazdagépen együtt kezelhetők.
Az Azure Stack HCI syslog-továbbítója különböző konfigurációkat támogat attól függően, hogy a syslog-továbbítás TCP-vel vagy UDP-vel van-e, engedélyezve van-e a titkosítás, és hogy van-e egyirányú vagy kétirányú hitelesítés.
További információ: Syslog-továbbítás kezelése.
Microsoft Defender a felhőhöz (előzetes verzió)
Microsoft Defender for Cloud egy biztonsági helyzetkezelési megoldás fejlett veszélyforrások elleni védelemmel. Olyan eszközöket biztosít, amelyekkel felmérheti az infrastruktúra biztonsági állapotát, megvédheti a számítási feladatokat, biztonsági riasztásokat hozhat létre, és konkrét javaslatokat követhet a támadások elhárításához és a jövőbeli fenyegetések kezeléséhez. Ezeket a szolgáltatásokat nagy sebességgel végzi el a felhőben az Azure-szolgáltatások automatikus kiépítésével és védelmével, üzembe helyezési többletterhelés nélkül.
Az alapszintű Defender for Cloud-csomaggal további költségek nélkül kaphat javaslatokat az Azure Stack HCI-rendszer biztonsági helyzetének javításához. A fizetős Defender for Servers csomaggal továbbfejlesztett biztonsági funkciókhoz juthat, beleértve az egyes kiszolgálókra és arc virtuális gépekre vonatkozó biztonsági riasztásokat.
További információ: Rendszerbiztonság kezelése a felhőhöz készült Microsoft Defender (előzetes verzió) használatával.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: