Az Azure Stack Hub biztonsági vezérlőinek konfigurálása
Ez a cikk az Azure Stack Hubban módosítható biztonsági vezérlőket ismerteti, és adott esetben kiemeli a kompromisszumokat.
Az Azure Stack Hub architektúrája két biztonsági alapelven alapul: feltételezi a biztonsági rések megsértését, és alapértelmezés szerint meg van építve. Az Azure Stack Hub biztonságáról további információt az Azure Stack Hub infrastruktúrájának biztonsági helyzetéről szóló cikkben talál. Bár az Azure Stack Hub alapértelmezett biztonsági állapota éles üzemkész, vannak olyan üzembehelyezési forgatókönyvek, amelyek további korlátozást igényelnek.
TLS-verziószabályzat
A Transport Layer Security (TLS) protokoll egy széles körben elterjedt titkosítási protokoll, amely titkosított kommunikációt hoz létre a hálózaton keresztül. A TLS idővel fejlődött, és több verzió is megjelent. Az Azure Stack Hub-infrastruktúra kizárólag a TLS 1.2-t használja az összes kommunikációjához. Külső felületek esetén az Azure Stack Hub jelenleg alapértelmezés szerint a TLS 1.2-t használja. A visszamenőleges kompatibilitás érdekében azonban támogatja a TLS 1.1-ről való egyeztetést is. és 1.0. Amikor egy TLS-ügyfél A TLS 1.1-es vagy TLS 1.0-s verzióján keresztüli kommunikációt kér, az Azure Stack Hub egy alacsonyabb TLS-verzióra való egyeztetéssel fogadja a kérést. Ha az ügyfél TLS 1.2-t kér, az Azure Stack Hub TLS-kapcsolatot hoz létre a TLS 1.2 használatával.
Mivel a TLS 1.0-s és 1.1-et fokozatosan elavulttá vagy letiltják a szervezetek és a megfelelőségi szabványok, most már konfigurálhatja a TLS-szabályzatot az Azure Stack Hubban. Csak TLS 1.2-es szabályzatot kényszeríthet ki, ha az 1.2-es verziónál kisebb verziójú TLS-munkamenet létrehozására tett kísérletek nem engedélyezettek, és a rendszer elutasítja.
Fontos
A Microsoft csak TLS 1.2-szabályzat használatát javasolja az Azure Stack Hub éles környezeteihez.
TLS-szabályzat lekérése
Használja a kiemelt végpontot (PEP) az összes Azure Stack Hub-végpont TLS-szabályzatának megtekintéséhez:
Get-TLSPolicy
Példa a kimenetre:
TLS_1.2
TLS-szabályzat beállítása
A kiemelt végpont (PEP) használatával állítsa be a TLS-szabályzatot az összes Azure Stack Hub-végponthoz:
Set-TLSPolicy -Version <String>
A Set-TLSPolicy parancsmag paraméterei:
| Paraméter | Leírás | Típus | Kötelező |
|---|---|---|---|
| Verzió | A TLS engedélyezett verziója(i) az Azure Stack Hubban | Sztring | igen |
Az alábbi értékek egyikével konfigurálhatja az összes Azure Stack Hub-végpont engedélyezett TLS-verzióit:
| Verzióérték | Description |
|---|---|
| TLS_All | Az Azure Stack Hub TLS-végpontjai támogatják a TLS 1.2-et, de a TLS 1.1 és a TLS 1.0 letárgyalása engedélyezett. |
| TLS_1.2 | Az Azure Stack Hub TLS-végpontjai csak a TLS 1.2-t támogatják. |
A TLS-szabályzat frissítése eltarthat néhány percig.
TLS 1.2-konfigurációs példa kényszerítése
Ez a példa úgy állítja be a TLS-szabályzatot, hogy csak a TLS 1.2-t kényszerítse ki.
Set-TLSPolicy -Version TLS_1.2
Példa a kimenetre:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
A TLS összes verziójának engedélyezése (1.2, 1.1 és 1.0) konfigurációs példa
Ez a példa úgy állítja be a TLS-szabályzatot, hogy a TLS minden verzióját (1.2, 1.1 és 1.0) engedélyezze.
Set-TLSPolicy -Version TLS_All
Példa a kimenetre:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Jogi nyilatkozat PEP-munkamenetekhez
Vannak olyan esetek, amikor hasznos jogi közleményt megjeleníteni egy emelt szintű végponti (PEP) munkamenetbe való bejelentkezéskor. A Set-AzSLegalNotice és a Get-AzSLegalNotice parancsmagok az ilyen jogi közlemények szövegének képaláírás és törzsének kezelésére szolgálnak.
A jogi nyilatkozat képaláírás és szövegének beállításához tekintse meg a Set-AzSLegalNotice parancsmagot. Ha a jogi nyilatkozat képaláírás és a szöveg már be van állítva, azokat a Get-AzSLegalNotice parancsmaggal tekintheti át.