Az Azure Arc-kompatibilis kiszolgálók biztonsági áttekintése
Ez a cikk az Azure Arc-kompatibilis kiszolgálók használatakor elérhető biztonsági szempontokat és vezérlőket ismerteti. Akár biztonsági szakember, akár informatikai operátor, a jelen cikkben szereplő információk alapján magabiztosan konfigurálhatja az Azure Arcot úgy, hogy az megfeleljen a szervezet biztonsági követelményeinek.
Felelősségi körök
Az Azure Arc-kompatibilis kiszolgálók üzembe helyezésének biztonsága ön és a Microsoft közös felelőssége. A Microsoft az alábbiakért felelős:
- A rendszer metaadatait tároló felhőszolgáltatás védelme és a szolgáltatáshoz csatlakozó ügynökök műveleteinek vezénylése.
- Az Azure-ban tárolt rendszer metaadatainak védelme és védelme.
- Az opcionális biztonsági funkciók dokumentálása az üzembe helyezési lehetőségek előnyeinek és hátrányainak megismeréséhez.
- Rendszeres ügynökfrissítések közzététele biztonsággal, minőséggel, teljesítménnyel és funkciófejlesztéssel.
Ön a felelős a következőért:
- Az Azure Arc-kompatibilis erőforrásokhoz való RBAC-hozzáférés kezelése és monitorozása az Azure-előfizetésben.
- Az Azure Arc-kompatibilis kiszolgálók kezeléséhez használt fiókok hitelesítő adatainak védelme és rendszeres rotálása. Ez magában foglalja az új kiszolgálók előkészítéséhez használt szolgáltatásnév titkos kulcsait vagy hitelesítő adatait.
- Annak meghatározása, hogy a dokumentumban leírt biztonsági funkciók (például bővítmény-engedélyezési listák) alkalmazhatók-e és hogyan a telepített Azure Connected Machine-ügynökökre.
- Az Azure Connected Machine-ügynök és -bővítmények naprakészen tartása.
- Annak meghatározása, hogy az Azure Arc megfelel-e a szervezet jogi, szabályozási és belső szabályzati kötelezettségeinek.
- A kiszolgáló védelme, beleértve a kiszolgáló futtatásához használt számítási, tárolási és hálózati infrastruktúrát is.
Az architektúra áttekintése
Az Azure Arc-kompatibilis kiszolgálók ügynökalapú szolgáltatások. Az Azure Arctal való interakció elsősorban az Azure API-ján, portálján és felügyeleti felületén keresztül történik. Az Azure-ban látott adatok és műveletek továbbítása az egyes felügyelt kiszolgálókra telepített Azure Connected Machine-ügynökön keresztül történik. Az Azure az ügynök igazságforrása. Az ügynöknek csak úgy mondhatja meg, hogy tegyen valamit (például telepítsen egy bővítményt), ha műveletet hajt végre a kiszolgáló Azure-reprezentációján. Ez segít biztosítani, hogy a szervezet RBAC- és szabályzat-hozzárendelései kiértékeljék a kérést a módosítások előtt.
Az Azure Connected Machine-ügynök elsősorban más Azure- és külső szolgáltatások engedélyezési platformja. Alapvető funkciói a következők:
- Kapcsolat létrehozása a gép és az Azure-előfizetés között
- Felügyelt identitás biztosítása az ügynök és más alkalmazások számára az Azure-ral való hitelesítéshez
- Egyéb képességek (ügynökök, szkriptek) engedélyezése bővítményekkel
- Beállítások kiértékelése és kényszerítése a kiszolgálón
Az Azure Connected Machine-ügynök telepítése után engedélyezheti a kiszolgálón lévő többi Azure-szolgáltatást, hogy megfeleljen a figyelési, javításkezelési, távelérési vagy egyéb igényeinek. Az Azure Arc feladata, hogy segítsen ezeknek a szolgáltatásoknak a saját adatközpontjaikon kívül működni.
Az Azure Policy használatával korlátozhatja, hogy a szervezet felhasználói mit tehetnek az Azure Arc használatával. A felhőalapú korlátozások, például az Azure Policy nagyszerű lehetőséget biztosítanak a biztonsági vezérlők nagy léptékű alkalmazására, ugyanakkor rugalmasan szabályozhatók a korlátozások bármikor. Néha azonban még erősebb vezérlőkre van szükség a biztonsági intézkedések megkerüléséhez (például a szabályzatok letiltásához) használt, jogszerűen kiemelt fiókok elleni védelemhez. Ennek figyelembevétele érdekében az Azure Connected Machine-ügynök saját biztonsági vezérlőkkel is rendelkezik, amelyek elsőbbséget élveznek a felhőben beállított korlátozásokkal szemben.
Ügynökszolgáltatások
Az Azure Connected Machine-ügynök négy szolgáltatás/démon kombinációja, amelyek a kiszolgálón futnak, és segítenek az Azure-hoz való csatlakozásban. Egyetlen alkalmazásként vannak együtt telepítve, és központilag felügyelik őket az azcmagent parancssori felület használatával.
Hibrid példány metaadatainak szolgáltatása
A hibrid példány metaadat-szolgáltatása (HIMDS) az ügynök "alapvető" szolgáltatása, amely felelős a kiszolgáló Azure-beli regisztrálásáért, a metaadatok folyamatos szinkronizálásáért (szívverések), a felügyelt identitásműveletekért, valamint a helyi REST API üzemeltetéséért, amelyet más alkalmazások lekérdezhetnek az eszköz Azure-ral való kapcsolatának megismeréséhez. Ez a szolgáltatás nincs kiosztva, és virtuális fiókként fut (NT SERVICE\himds with SID S-1-5-80-4215458991-203425222 5-2287069555-1155419622-2701885083) Windows rendszeren vagy standard felhasználói fiók (himds) Linux operációs rendszereken.
Bővítménykezelő
A bővítménykezelő feladata további szoftverek telepítése, konfigurálása, frissítése és eltávolítása a számítógépen. Az Azure Arc nem tudja, hogyan végezze el a monitorozást vagy a gép javítását. Ehelyett, ha a funkciók használata mellett dönt, a bővítménykezelő letölti és engedélyezi ezeket a képességeket. A bővítménykezelő helyi rendszerként fut Windows rendszeren, és Linuxon gyökerezik, mert az általa telepített szoftver teljes rendszerhozzáférést igényelhet. Korlátozhatja, hogy a bővítménykezelő mely bővítményeket telepítse vagy tiltsa le teljes egészében, ha nem kíván bővítményeket használni.
Vendégkonfiguráció
A vendégkonfigurációs szolgáltatás kiértékeli és kikényszeríti az Azure-gép (vendég) konfigurációs szabályzatait a kiszolgálón. Ezek a PowerShell Desired State Configuration-ban írt speciális Azure-szabályzatok, amelyek a kiszolgáló szoftverbeállításainak ellenőrzésére szolgálnak. A vendégkonfigurációs szolgáltatás rendszeresen kiértékeli és jelentéseket készít ezeknek a szabályzatoknak a megfelelőségéről, és ha a szabályzat kényszerítési módban van konfigurálva, a rendszer beállításait úgy módosítja, hogy szükség esetén a gép ismét megfelelő legyen. A vendégkonfigurációs szolgáltatás Helyi rendszerként fut Windows rendszeren, és linuxos gyökérként fut, így biztosíthatja, hogy hozzáféréssel rendelkezzen a rendszer összes beállításához. Ha nem kíván vendégkonfigurációs szabályzatokat használni, letilthatja a vendégkonfigurációs funkciót.
Azure Arc-proxy
Az Azure Arc proxyszolgáltatás feladata a hálózati forgalom összesítése az Azure Connected Machine-ügynök szolgáltatásaiból és a telepített bővítményekből, és eldönti, hogy hová irányíthatja az adatokat. Ha az Azure Arc Gateway használatával egyszerűsíti a hálózati végpontokat, az Azure Arc Proxy szolgáltatás az a helyi összetevő, amely az alapértelmezett útvonal helyett az Azure Arc Gatewayen keresztül továbbítja a hálózati kérelmeket. Az Azure Arc-proxy Hálózati szolgáltatásként fut Windows rendszeren, és egy standard felhasználói fiókként (arcproxy) Linuxon. Alapértelmezés szerint le van tiltva, amíg nem konfigurálja az ügynököt az Azure Arc Gateway használatára.
A 0. rétegbeli eszközök biztonsági szempontjai
A 0. rétegbeli eszközök, például a Active Directory-tartomány-vezérlő, a hitelesítésszolgáltatói kiszolgáló vagy a rendkívül bizalmas üzleti alkalmazáskiszolgáló extra gonddal csatlakoztathatók az Azure Archoz, így csak a kívánt felügyeleti funkciók és a jogosult felhasználók kezelhetik a kiszolgálókat. Ezek a javaslatok nem szükségesek, de erősen ajánlott a 0. rétegbeli eszközök biztonsági helyzetének fenntartása.
Dedikált Azure-előfizetés
Az Azure Arc-kompatibilis kiszolgálókhoz való hozzáférést gyakran az határozza meg, hogy milyen szervezeti hierarchiához tartozik az Azure-ban. Minden előfizetés- vagy felügyeleti csoport rendszergazdáját a 0. rétegbeli eszközök helyi rendszergazdájával egyenértékűként kell kezelnie, mert az engedélyükkel új szerepkör-hozzárendeléseket adhat hozzá az Azure Arc-erőforráshoz. Emellett az előfizetés vagy a felügyeleti csoport szintjén alkalmazott szabályzatok is jogosultak lehetnek a kiszolgáló módosítására.
A 0. rétegbeli eszközökhöz való hozzáféréssel rendelkező fiókok és szabályzatok számának minimalizálása érdekében fontolja meg egy dedikált Azure-előfizetés használatát, amely a lehető legkevesebb állandó rendszergazdával szorosan nyomon követhető és konfigurálható. Tekintse át az Azure-szabályzatokat minden szülőfelügyeleti csoportban, hogy azok igazodjanak a kiszolgálókra vonatkozó szándékához.
Szükségtelen felügyeleti funkciók letiltása
A 0. rétegbeli objektumok esetében a helyi ügynök biztonsági vezérlőivel tiltsa le az ügynök nem használt funkcióit, hogy megakadályozza a szolgáltatások szándékos vagy véletlen használatát a kiszolgáló módosításához. Ide tartoznak az alábbiak:
- A távelérési képességek letiltása
- Bővítmény-engedélyezési lista beállítása a használni kívánt bővítményekhez, vagy letiltja a bővítménykezelőt, ha nem használ bővítményeket
- A gépkonfigurációs ügynök letiltása, ha nem kíván gépkonfigurációs szabályzatokat használni
Az alábbi példa bemutatja, hogyan zárolhatja az Azure Connected Machine-ügynököt egy olyan tartományvezérlő esetében, amelyhez az Azure Monitor-ügynököt kell használnia a Microsoft Sentinel és a Microsoft Defender for Servers biztonsági naplóinak gyűjtéséhez a kártevők elleni védelem érdekében:
azcmagent config set incomingconnections.enabled false
azcmagent config set guestconfiguration.enabled false
azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: