Az Azure Stack Hub infrastruktúrájának biztonsági vezérlői

Cikk
04/25/2024

A biztonsági szempontok és a megfelelőségi szabályozások a hibrid felhők használatának elsődleges okai között vannak. Az Azure Stack Hubot ezekhez a forgatókönyvekhez tervezték. Ez a cikk az Azure Stack Hubhoz érvényben lévő biztonsági vezérlőket ismerteti.

Az Azure Stack Hubban két biztonsági állapotréteg van egymás mellett. Az első réteg az Azure Stack Hub infrastruktúra, amely az Azure Resource Manager hardverösszetevőit tartalmazza. Az első réteg a rendszergazda és a felhasználói portálok. A második réteg a bérlők által létrehozott, üzembe helyezett és felügyelt számítási feladatokból áll. A második réteg olyan elemeket tartalmaz, mint a virtuális gépek és az App Services-webhelyek.

Biztonsági megközelítés

Az Azure Stack Hub biztonsági állapota úgy lett kialakítva, hogy megvédje a modern fenyegetéseket, és a fő megfelelőségi szabványok követelményeinek megfelelően lett kialakítva. Ennek eredményeképpen az Azure Stack Hub-infrastruktúra biztonsági állapota két pillérre épül:

Biztonsági rés feltételezése
Abból a feltételezésből kiindulva, hogy a rendszert már feltörték, a támadás hatásának észlelésére és korlátozására összpontosítson, és ne csak a támadások megelőzésére törekedjen.
Alapértelmezés szerint meg van edzve
Mivel az infrastruktúra jól definiált hardveren és szoftveren fut, az Azure Stack Hub alapértelmezés szerint engedélyezi, konfigurálja és ellenőrzi az összes biztonsági funkciót .

Mivel az Azure Stack Hub integrált rendszerként van kézbesítve, az Azure Stack Hub-infrastruktúra biztonsági helyzetét a Microsoft határozza meg. Az Azure-hoz hasonlóan a bérlők is felelősek a bérlői számítási feladatok biztonsági helyzetének meghatározásáért. Ez a dokumentum alapvető ismereteket nyújt az Azure Stack Hub-infrastruktúra biztonsági helyzetéről.

Inaktív adatok titkosítása

Az Azure Stack Hub összes infrastruktúrája és bérlői adata inaktív állapotban van titkosítva a BitLocker használatával. Ez a titkosítás védelmet nyújt az Azure Stack Hub storage-összetevőinek fizikai elvesztéséhez vagy ellopásához. További információt az Azure Stack Hub rest encryption szolgáltatásában található adatok című témakörben talál.

Adatátviteli titkosítás alatt lévő adatok

Az Azure Stack Hub infrastruktúra-összetevői a TLS 1.2-vel titkosított csatornák használatával kommunikálnak. A titkosítási tanúsítványokat az infrastruktúra önkiszolgálóan kezeli.

Minden külső infrastruktúravégpont, például a REST-végpontok vagy az Azure Stack Hub portálja támogatja a TLS 1.2-t a biztonságos kommunikációhoz. Ezekhez a végpontokhoz meg kell adni a titkosítási tanúsítványokat, akár egy harmadik féltől, akár a vállalati hitelesítésszolgáltatótól.

Bár az önaláírt tanúsítványok használhatók ezekhez a külső végpontokhoz, a Microsoft határozottan javasolja a használatukat. A TLS 1.2 az Azure Stack Hub külső végpontjaira való kényszerítéséről további információt az Azure Stack Hub biztonsági vezérlőinek konfigurálása című témakörben talál.

Titkos kódok kezelése

Az Azure Stack Hub infrastruktúrája számos titkos jelszót és tanúsítványt használ a működéshez. A belső szolgáltatásfiókokhoz társított jelszavak többségét a rendszer automatikusan 24 óránként elforgatja, mert azok a felügyelt szolgáltatásfiókok (gMSA), a belső tartományvezérlő által közvetlenül felügyelt tartományi fiókok egy típusa.

Az Azure Stack Hub-infrastruktúra 4096 bites RSA-kulcsokat használ az összes belső tanúsítványához. Ugyanezek a kulcshosszúságú tanúsítványok a külső végpontokhoz is használhatók. A titkos kódokról és a tanúsítványok rotálásáról további információt a Titkos kódok elforgatása az Azure Stack Hubban című témakörben talál.

Windows Defender Alkalmazásvezérlés

Az Azure Stack Hub a Windows Server legújabb biztonsági funkcióit használja. Ezek egyike Windows Defender alkalmazásvezérlő (WDAC, korábbi nevén Kódintegritás), amely futtatható fájlok szűrését biztosítja, és biztosítja, hogy csak az engedélyezett kód fusson az Azure Stack Hub infrastruktúrájában.

Az engedélyezett kódot a Microsoft vagy az OEM-partner írja alá. Az aláírt engedélyezett kód szerepel a Microsoft által meghatározott szabályzatban megadott engedélyezett szoftverek listájában. Más szóval csak az Azure Stack Hub-infrastruktúrában való futtatásra jóváhagyott szoftverek hajthatók végre. A rendszer blokkol minden jogosulatlan kód futtatására tett kísérletet, és ilyen esetben riasztást küld. Az Azure Stack Hub a felhasználói módú kódintegritást (UMCI) és a hipervizor-kódintegritást (HVCI) egyaránt kényszeríti.

A WDAC-szabályzat azt is megakadályozza, hogy külső ügynökök vagy szoftverek futnak az Azure Stack Hub infrastruktúrájában. A WDAC-ról további információt Windows Defender alkalmazásvezérléssel és a kódintegritás virtualizáláson alapuló védelmével kapcsolatban talál.

Kártevőirtó

Az Azure Stack Hub minden összetevője (Hyper-V-gazdagépek és virtuális gépek) Windows Defender víruskeresővel védett.

Csatlakoztatott forgatókönyvekben a víruskereső definícióját és a motorfrissítéseket naponta többször alkalmazza a rendszer. A leválasztott forgatókönyvekben a kártevőirtó frissítéseket a rendszer a havi Azure Stack Hub-frissítések részeként alkalmazza. Ha a Windows Defender definícióinak gyakoribb frissítésére van szükség a leválasztott forgatókönyvekben, az Azure Stack Hub támogatja Windows Defender frissítések importálását is. További információ: Windows Defender víruskereső frissítése az Azure Stack Hubon.

Biztonságos rendszerindítás

Az Azure Stack Hub minden Hyper-V-gazdagépen és infrastruktúra-virtuális gépen kikényszeríti a biztonságos rendszerindítást.

Korlátozott felügyeleti modell

Az Azure Stack Hubban a felügyelet három belépési ponton keresztül történik, amelyek mindegyike meghatározott céllal rendelkezik:

A felügyeleti portál pont-kattintásos felületet biztosít a napi felügyeleti műveletekhez.
Az Azure Resource Manager a felügyeleti portál összes felügyeleti műveletét egy REST API-val teszi elérhetővé, amelyet a PowerShell és az Azure CLI használ.
Bizonyos alacsony szintű műveletek (például adatközpont-integrációs vagy támogatási forgatókönyvek) esetén az Azure Stack Hub egy emelt szintű végpontnak nevezett PowerShell-végpontot tesz elérhetővé. Ez a végpont csak egy engedélyezett parancsmagkészletet tesz elérhetővé, és erősen naplózva van.

Hálózati vezérlők

Az Azure Stack Hub-infrastruktúra több hálózati Access Control listával (ACL) rendelkezik. Az ACL-ek megakadályozzák az infrastruktúra összetevőihez való jogosulatlan hozzáférést, és csak a működéséhez szükséges útvonalakra korlátozzák az infrastruktúra-kommunikációt.

A hálózati ACL-ek kényszerítése három rétegben történik:

1. réteg: Állványkapcsolók teteje
2. réteg: Szoftveralapú hálózat
3. réteg: Gazdagép- és virtuálisgép-operációs rendszer tűzfalai

Előírásoknak való megfelelés

Az Azure Stack Hub egy harmadik féltől független auditáló cég hivatalos képességértékelésén ment keresztül. Ennek eredményeképpen rendelkezésre áll a dokumentáció arról, hogy az Azure Stack Hub infrastruktúrája hogyan felel meg számos fő megfelelőségi szabvány vonatkozó vezérlőinek. A dokumentáció nem az Azure Stack Hub tanúsítványa, mivel a szabványok számos, személyzettel kapcsolatos és folyamattal kapcsolatos vezérlőt tartalmaznak. Az ügyfelek ehelyett ezt a dokumentációt használhatják a tanúsítási folyamat elindításához.

Az értékelések a következő szabványokat tartalmazzák:

A PCI-DSS a fizetésikártya-ágazatot kezeli.
A CSA felhőszabályozási mátrix egy átfogó leképezés több szabványra, többek között a FedRAMP Moderate, a ISO27001, a HIPAA, a HITRUST, az ITAR, az NIST SP800-53 és más szabványokra.
FedRAMP High kormányzati ügyfeleknek.

A megfelelőségi dokumentáció a Microsoft Szolgáltatásmegbízhatósági portálon található. A megfelelőségi útmutatók védett erőforrások, és az Azure-felhőszolgáltatás hitelesítő adataival kell bejelentkeznie.

EU Schrems II kezdeményezés az Azure Stack Hubhoz

A Microsoft bejelentette azt a szándékát, hogy túllépi a meglévő adattárolási kötelezettségvállalásokat azáltal, hogy lehetővé teszi az uniós ügyfelek számára az összes adat feldolgozását és tárolását az EU-ban; nem kell többé az EU-n kívüli adatokat tárolnia. Ez a továbbfejlesztett kötelezettségvállalás magában foglalja az Azure Stack Hub-ügyfeleket is. További információkért lásd : Az eu-adatok tárolása és feldolgozása az EU-ban című európai felhívás megválaszolása .

A 2206-os verziótól kezdve kiválaszthatja a meglévő Azure Stack Hub-üzemelő példányok adatfeldolgozási földrajzi beállításait. A gyorsjavítás letöltése után a következő riasztás jelenik meg.

Megjegyzés

Az adat földrajzi helyének kiválasztásához leválasztott környezetekre is szükség lehet. Ez egy egyszeri beállítás, amely hatással van az adatok tartózkodási helyére, ha az operátor diagnosztikai adatokat nyújt a Microsoftnak. Ha az operátor nem ad diagnosztikai adatokat a Microsoftnak, ez a beállítás nem jár következményekkel.

Ezt a riasztást a meglévő Azure Stack Hub üzembe helyezéséhez kétféleképpen oldhatja fel az adatok tárolására és feldolgozására vonatkozó földrajzi beállításoktól függően.

Ha úgy dönt, hogy az adatait az EU-on belül tárolja és dolgozza fel, futtassa az alábbi PowerShell-parancsmagot a földrajzi beállítások megadásához. Az adatok tartózkodási helye frissül, és az összes adatot az EU-ban tárolják és dolgozzák fel.
```
Set-DataResidencyLocation -Europe
```
Ha úgy dönt, hogy az adatokat az EU-n kívül tárolja és dolgozza fel, futtassa az alábbi PowerShell-parancsmagot a földrajzi beállítások megadásához. Az adatok tartózkodási helye frissül, és minden adatot az EU-n kívül dolgoznak fel.
```
Set-DataResidencyLocation -Europe:$false
```

A riasztás feloldása után ellenőrizheti a földrajzi régió beállításait a Rendszergazda portálon Tulajdonságok ablak.

Az új Azure Stack Hub-üzemelő példányok földrajzi régiót állíthatnak be a beállítás és az üzembe helyezés során.

Share via