Az Azure Stack Hub infrastruktúrájának biztonsági vezérlői
A biztonsági szempontok és a megfelelőségi szabályozások a hibrid felhők használatának elsődleges okai között vannak. Az Azure Stack Hubot ezekhez a forgatókönyvekhez tervezték. Ez a cikk az Azure Stack Hubra vonatkozó biztonsági vezérlőket ismerteti.
Az Azure Stack Hubban két biztonsági helyzetréteg van egymás mellett. Az első réteg az Azure Stack Hub-infrastruktúra, amely magában foglalja az Azure Resource Managerig futó hardverösszetevőket. Az első réteg tartalmazza a rendszergazda és a felhasználói portálok. A második réteg a bérlők által létrehozott, üzembe helyezett és felügyelt számítási feladatokból áll. A második réteg olyan elemeket tartalmaz, mint a virtuális gépek és az App Services webhelyei.
Biztonsági megközelítés
Az Azure Stack Hub biztonsági állapota úgy lett kialakítva, hogy megvédje a modern fenyegetéseket, és úgy lett kialakítva, hogy megfeleljen a fő megfelelőségi szabványok követelményeinek. Ennek eredményeképpen az Azure Stack Hub-infrastruktúra biztonsági állapota két pillérre épül:
A szabálysértés feltételezése
Abból a feltételezésből kiindulva, hogy a rendszert már feltörték, összpontosítson a támadások hatásának észlelésére és korlátozására, és ne csak a támadások megelőzésére törekedjen.Alapértelmezés szerint megerősítve
Mivel az infrastruktúra jól definiált hardveren és szoftveren fut, az Azure Stack Hub alapértelmezés szerint engedélyezi, konfigurálja és ellenőrzi az összes biztonsági funkciót .
Mivel az Azure Stack Hub integrált rendszerként van kézbesítve, az Azure Stack Hub-infrastruktúra biztonsági helyzetét a Microsoft határozza meg. Az Azure-hoz hasonlóan a bérlők is felelősek a bérlői számítási feladatok biztonsági helyzetének meghatározásáért. Ez a dokumentum alapvető ismereteket nyújt az Azure Stack Hub-infrastruktúra biztonsági helyzetéről.
Inaktív adatok titkosítása
Az Azure Stack Hub összes infrastruktúrája és bérlői adata inaktív állapotban van titkosítva a BitLocker használatával. Ez a titkosítás védelmet nyújt az Azure Stack Hub Storage-összetevők fizikai elvesztése vagy ellopása ellen. További információkért tekintse meg az Azure Stack Hub inaktív titkosítási adatait.
Adatok átviteltitkosítás közben
Az Azure Stack Hub infrastruktúra-összetevői TLS 1.2-vel titkosított csatornákkal kommunikálnak. A titkosítási tanúsítványokat az infrastruktúra önkiszolgálóan kezeli.
Minden külső infrastruktúra-végpont, például a REST-végpontok vagy az Azure Stack Hub portál támogatja a TLS 1.2-t a biztonságos kommunikációhoz. Ezekhez a végpontokhoz meg kell adni egy harmadik féltől vagy a vállalati hitelesítésszolgáltatótól származó titkosítási tanúsítványokat.
Bár ezekhez a külső végpontokhoz önaláírt tanúsítványok használhatók, a Microsoft határozottan javasolja a használatukat. A TLS 1.2 Az Azure Stack Hub külső végpontjaira való kényszerítéséről további információt az Azure Stack Hub biztonsági vezérlőinek konfigurálása című témakörben talál.
Titkos kódok kezelése
Az Azure Stack Hub-infrastruktúra számos titkos kódot, például jelszavakat és tanúsítványokat használ a működéshez. A belső szolgáltatásfiókokhoz társított jelszavak többségét 24 óránként automatikusan elforgatja a rendszer, mivel azok csoportosan felügyelt szolgáltatásfiókok (gMSA) – a belső tartományvezérlő által közvetlenül felügyelt tartományi fiók típusa.
Az Azure Stack Hub-infrastruktúra 4096 bites RSA-kulcsokat használ az összes belső tanúsítványához. Ugyanezek a kulcshosszúságú tanúsítványok a külső végpontokhoz is használhatók. A titkos kódokról és a tanúsítványok rotálásáról további információt az Azure Stack Hub titkos kulcsainak forgatása című témakörben talál.
Windows Defender Alkalmazásvezérlés
Az Azure Stack Hub a Windows Server legújabb biztonsági funkcióit használja. Ezek egyike a Windows Defender Alkalmazásvezérlés (WDAC, korábbi nevén Kódintegritás), amely futtatható fájlok szűrését biztosítja, és biztosítja, hogy csak az engedélyezett kód fusson az Azure Stack Hub-infrastruktúrán belül.
Az engedélyezett kódot a Microsoft vagy az OEM-partner írja alá. Az aláírt engedélyezett kód szerepel a Microsoft által meghatározott szabályzatban meghatározott engedélyezett szoftverek listájában. Más szóval csak az Azure Stack Hub-infrastruktúrában való futtatásra jóváhagyott szoftverek hajthatók végre. A rendszer blokkol minden jogosulatlan kód futtatására tett kísérletet, és ilyen esetben riasztást küld. Az Azure Stack Hub a felhasználói módú kódintegritást (UMCI) és a hipervizor-kódintegritást (HVCI) egyaránt kényszeríti.
A WDAC-szabályzat azt is megakadályozza, hogy külső ügynökök vagy szoftverek futnak az Azure Stack Hub-infrastruktúrában. A WDAC-ról további információt a Windows Defender alkalmazásvezérlésével és a kódintegritás virtualizáláson alapuló védelmével kapcsolatban talál.
Kártevőirtó
Az Azure Stack Hub minden összetevője (Hyper-V-gazdagépek és virtuális gépek) a Windows Defender víruskeresővel van védve.
Csatlakoztatott forgatókönyvekben a víruskereső definícióját és a motorfrissítéseket naponta többször alkalmazza a rendszer. Leválasztott forgatókönyvekben a rendszer a kártevőirtó frissítéseket a havi Azure Stack Hub-frissítések részeként alkalmazza. Ha leválasztott forgatókönyvekben gyakrabban kell frissíteni a Windows Defender definícióit, az Azure Stack Hub támogatja a Windows Defender-frissítések importálását is. További információ: Windows Defender víruskereső frissítése az Azure Stack Hubon.
Biztonságos rendszerindítás
Az Azure Stack Hub az összes Hyper-V-gazdagépen és infrastruktúra-virtuális gépen kikényszeríti a biztonságos rendszerindítást.
Korlátozott felügyeleti modell
Az Azure Stack Hubban a felügyelet három belépési ponton keresztül történik, amelyek mindegyike meghatározott céllal történik:
- A felügyeleti portál pont- és kattintási felületet biztosít a napi felügyeleti műveletekhez.
- Az Azure Resource Manager egy REST API-val teszi elérhetővé a felügyeleti portál összes felügyeleti műveletét, amelyet a PowerShell és az Azure CLI használ.
- Bizonyos alacsony szintű műveletekhez (például adatközpont-integrációs vagy támogatási forgatókönyvekhez) az Azure Stack Hub egy Kiemelt végpont nevű PowerShell-végpontot tesz elérhetővé. Ez a végpont csak egy engedélyezett parancsmagkészletet tesz elérhetővé, és erősen auditált.
Hálózati vezérlők
Az Azure Stack Hub-infrastruktúra a hálózati hozzáférés-vezérlési lista (ACL) több rétegét tartalmazza. Az ACL-ek megakadályozzák az infrastruktúra összetevőihez való jogosulatlan hozzáférést, és csak a működéséhez szükséges útvonalakra korlátozzák az infrastruktúra-kommunikációt.
A hálózati ACL-ek kényszerítése három rétegben történik:
- 1. réteg: Állványkapcsolók tetején
- 2. réteg: Szoftveralapú hálózat
- 3. réteg: Gazdagép- és virtuálisgép-operációs rendszer tűzfalai
Előírásoknak való megfelelés
Az Azure Stack Hub egy harmadik féltől független auditáló cég által végzett formális képességértékelésen ment keresztül. Ennek eredményeképpen rendelkezésre áll a dokumentáció arról, hogy az Azure Stack Hub-infrastruktúra hogyan felel meg számos fő megfelelőségi szabvány vonatkozó vezérlőinek. A dokumentáció nem az Azure Stack Hub tanúsítványa, mivel a szabványok számos, a személyzettel kapcsolatos és folyamattal kapcsolatos vezérlőt tartalmaznak. Az ügyfelek ehelyett ezt a dokumentációt használhatják a tanúsítási folyamat elindításához.
Az értékelések a következő szabványokat tartalmazzák:
- A PCI-DSS a fizetésikártya-iparágat kezeli.
- A CSA felhőszabályozási mátrix egy átfogó leképezés több szabványra, többek között a FedRAMP Moderate, a ISO27001, a HIPAA, a HITRUST, az ITAR, az NIST SP800-53 és más szabványokra.
- FedRAMP High kormányzati ügyfelek számára.
A megfelelőségi dokumentáció a Microsoft Szolgáltatásmegbízhatósági portálon található. A megfelelőségi útmutatók védett erőforrások, és megkövetelik, hogy jelentkezzen be az Azure cloud service hitelesítő adataival.
EU Schrems II kezdeményezés az Azure Stack Hubhoz
A Microsoft bejelentette, hogy túllépi a meglévő adattárolási kötelezettségvállalásokat azáltal, hogy lehetővé teszi az eu-alapú ügyfelek számára az összes adat feldolgozását és tárolását az EU-ban; a továbbiakban nem kell az EU-n kívüli adatokat tárolnia. Ez a továbbfejlesztett kötelezettségvállalás az Azure Stack Hub ügyfeleit is magában foglalja. További információ: Az eu-adatok tárolása és feldolgozása az EU-ban című európai felhívás.
A 2206-os verziótól kezdve kiválaszthatja a meglévő Azure Stack Hub-üzemelő példányok adatfeldolgozási földrajzi beállításait. A gyorsjavítás letöltése után a következő riasztás jelenik meg.
Feljegyzés
Az adat földrajzi helyének kiválasztásához leválasztott környezetekre is szükség lehet. Ez egy egyszeri beállítás, amely hatással van az adatok tartózkodási helyére, ha az operátor diagnosztikai adatokat nyújt a Microsoftnak. Ha az operátor nem ad diagnosztikai adatokat a Microsoftnak, ez a beállítás nem jár következményekkel.
Ezt a riasztást a meglévő Azure Stack Hub-üzemelő példány esetében kétféleképpen oldhatja fel az adatok tárolására és feldolgozására vonatkozó földrajzi beállításoktól függően.
Ha úgy dönt, hogy az adatokat az EU-on belül tárolja és dolgozza fel, a földrajzi beállítások megadásához futtassa az alábbi PowerShell-parancsmagot. Az adatok tartózkodási helye frissül, és az összes adatot az EU-ban tárolják és dolgozzák fel.
Set-DataResidencyLocation -EuropeHa úgy dönt, hogy adatait az EU-n kívül tárolja és dolgozza fel, a földrajzi beállítások megadásához futtassa az alábbi PowerShell-parancsmagot. Az adatok tartózkodási helye frissül, és az összes adatot az EU-n kívül dolgozzák fel.
Set-DataResidencyLocation -Europe:$false
A riasztás feloldása után ellenőrizheti a földrajzi régió beállításait a felügyeleti portálon Tulajdonságok ablak.
Az új Azure Stack Hub-környezetek a beállítás és üzembe helyezés során földrajzi régiót állíthatnak be.