Megosztás a következőn keresztül:


Az Azure Stack Hub biztonsági vezérlőinek konfigurálása

Ez a cikk az Azure Stack Hubban módosítható biztonsági vezérlőket ismerteti, és adott esetben kiemeli a kompromisszumokat.

Az Azure Stack Hub architektúrája két biztonsági alapelven alapul: feltételezi a biztonsági rések megsértését, és alapértelmezés szerint meg van építve. Az Azure Stack Hub biztonságáról további információt az Azure Stack Hub infrastruktúrájának biztonsági helyzetéről szóló cikkben talál. Bár az Azure Stack Hub alapértelmezett biztonsági állapota éles üzemkész, vannak olyan üzembehelyezési forgatókönyvek, amelyek további korlátozást igényelnek.

TLS-verziószabályzat

A Transport Layer Security (TLS) protokoll egy széles körben elterjedt titkosítási protokoll, amely titkosított kommunikációt hoz létre a hálózaton keresztül. A TLS idővel fejlődött, és több verzió is megjelent. Az Azure Stack Hub-infrastruktúra kizárólag a TLS 1.2-t használja az összes kommunikációjához. Külső felületek esetén az Azure Stack Hub jelenleg alapértelmezés szerint a TLS 1.2-t használja. A visszamenőleges kompatibilitás érdekében azonban támogatja a TLS 1.1-ről való egyeztetést is. és 1.0. Amikor egy TLS-ügyfél A TLS 1.1-es vagy TLS 1.0-s verzióján keresztüli kommunikációt kér, az Azure Stack Hub egy alacsonyabb TLS-verzióra való egyeztetéssel fogadja a kérést. Ha az ügyfél TLS 1.2-t kér, az Azure Stack Hub TLS-kapcsolatot hoz létre a TLS 1.2 használatával.

Mivel a TLS 1.0-s és 1.1-et fokozatosan elavulttá vagy letiltják a szervezetek és a megfelelőségi szabványok, most már konfigurálhatja a TLS-szabályzatot az Azure Stack Hubban. Csak TLS 1.2-es szabályzatot kényszeríthet ki, ha az 1.2-es verziónál kisebb verziójú TLS-munkamenet létrehozására tett kísérletek nem engedélyezettek, és a rendszer elutasítja.

Fontos

A Microsoft csak TLS 1.2-szabályzat használatát javasolja az Azure Stack Hub éles környezeteihez.

TLS-szabályzat lekérése

Használja a kiemelt végpontot (PEP) az összes Azure Stack Hub-végpont TLS-szabályzatának megtekintéséhez:

Get-TLSPolicy

Példa a kimenetre:

TLS_1.2

TLS-szabályzat beállítása

A kiemelt végpont (PEP) használatával állítsa be a TLS-szabályzatot az összes Azure Stack Hub-végponthoz:

Set-TLSPolicy -Version <String>

A Set-TLSPolicy parancsmag paraméterei:

Paraméter Leírás Típus Kötelező
Verzió A TLS engedélyezett verziója(i) az Azure Stack Hubban Sztring igen

Az alábbi értékek egyikével konfigurálhatja az összes Azure Stack Hub-végpont engedélyezett TLS-verzióit:

Verzióérték Description
TLS_All Az Azure Stack Hub TLS-végpontjai támogatják a TLS 1.2-et, de a TLS 1.1 és a TLS 1.0 letárgyalása engedélyezett.
TLS_1.2 Az Azure Stack Hub TLS-végpontjai csak a TLS 1.2-t támogatják.

A TLS-szabályzat frissítése eltarthat néhány percig.

TLS 1.2-konfigurációs példa kényszerítése

Ez a példa úgy állítja be a TLS-szabályzatot, hogy csak a TLS 1.2-t kényszerítse ki.

Set-TLSPolicy -Version TLS_1.2

Példa a kimenetre:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

A TLS összes verziójának engedélyezése (1.2, 1.1 és 1.0) konfigurációs példa

Ez a példa úgy állítja be a TLS-szabályzatot, hogy a TLS minden verzióját (1.2, 1.1 és 1.0) engedélyezze.

Set-TLSPolicy -Version TLS_All

Példa a kimenetre:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Vannak olyan esetek, amikor hasznos jogi közleményt megjeleníteni egy emelt szintű végponti (PEP) munkamenetbe való bejelentkezéskor. A Set-AzSLegalNotice és a Get-AzSLegalNotice parancsmagok az ilyen jogi közlemények szövegének képaláírás és törzsének kezelésére szolgálnak.

A jogi nyilatkozat képaláírás és szövegének beállításához tekintse meg a Set-AzSLegalNotice parancsmagot. Ha a jogi nyilatkozat képaláírás és a szöveg már be van állítva, azokat a Get-AzSLegalNotice parancsmaggal tekintheti át.

Következő lépések