Az Azure Arc-kompatibilis kiszolgálók biztonsági áttekintése
Ez a cikk azOkat a biztonsági konfigurációkat és szempontokat ismerteti, amelyek kiértékelése az Azure Arc-kompatibilis kiszolgálók vállalati üzembe helyezése előtt szükséges.
Identitás- és hozzáférés-vezérlés
Az Azure szerepköralapú hozzáférés-vezérléssel szabályozható, hogy mely fiókok láthatják és kezelhetik az Azure Arc-kompatibilis kiszolgálót. Az Azure Portal Hozzáférés-vezérlés (IAM) lapján ellenőrizheti, hogy ki fér hozzá az Azure Arc-kompatibilis kiszolgálóhoz.
Az erőforráshoz közreműködői vagy rendszergazdai szerepkörrel rendelkező felhasználók és alkalmazások módosíthatják az erőforrást, beleértve a bővítmények telepítését vagy törlését a gépen. A bővítmények tetszőleges szkripteket is tartalmazhatnak, amelyek egy kiemelt környezetben futnak, ezért az Azure-erőforrás bármely közreműködője a kiszolgáló közvetett rendszergazdájának tekinthető.
Az Azure Csatlakozás ed Machine Onboarding szerepkör nagy léptékű előkészítéshez érhető el, és csak az Azure-ban képes új Azure Arc-kompatibilis kiszolgálók olvasására vagy létrehozására. Nem használható a már regisztrált kiszolgálók törlésére vagy bővítmények kezelésére. Ajánlott eljárásként javasoljuk, hogy ezt a szerepkört csak a gépek nagy méretekben történő előkészítéséhez használt Microsoft Entra szolgáltatásnévhez rendelje.
Az Azure Csatlakozás ed Machine Resource Rendszergazda istrator szerepkör tagjaként a felhasználók olvashatnak, módosíthatnak, újra üzembe helyezhetnek és törölhetnek egy gépet. Ez a szerepkör az Azure Arc-kompatibilis kiszolgálók felügyeletét támogatja, az erőforráscsoportban vagy az előfizetésben lévő egyéb erőforrásokat azonban nem.
Ügynök biztonsága és engedélyei
Az Azure Csatlakozás ed Machine Agent (azcmagent) windowsos kezeléséhez a felhasználói fióknak a helyi Rendszergazda istrators csoport tagjának kell lennie. Linuxon gyökérelérési engedélyekkel kell rendelkeznie.
Az Azure Csatlakozás ed Machine-ügynök három szolgáltatásból áll, amelyek a számítógépen futnak.
A hibrid példány metaadat-szolgáltatása (himds) az Arc összes alapvető funkciójának felelőse. Ez magában foglalja a szívverések Azure-ba való küldését, egy helyi példány metaadat-szolgáltatásának felfedését más alkalmazások számára, hogy megismerje a gép Azure-erőforrás-azonosítóját, és lekérje a Microsoft Entra-jogkivonatokat, hogy hitelesítést végezzen más Azure-szolgáltatásokban. Ez a szolgáltatás nem emelt szintű virtuálisszolgáltatás-fiókként (NT Standard kiadás RVICE\himds) fut Windows rendszeren, és linuxos himds-felhasználóként. A virtuális szolgáltatásfiókhoz közvetlenül a Windowson kell bejelentkeznie szolgáltatásként.
A vendégkonfigurációs szolgáltatás (GCService) felelős az Azure Policy kiértékeléséért a gépen.
A vendégkonfigurációs bővítményszolgáltatás (ExtensionService) felelős a bővítmények (ügynökök, szkriptek vagy egyéb szoftverek) telepítéséért, frissítéséért és törléséért a gépen.
A vendégkonfigurációs és bővítményszolgáltatások Helyi rendszerként futnak Windows rendszeren, linuxos gyökérként.
Helyi ügynök biztonsági vezérlői
Az ügynök 1.16-os verziójától kezdve igény szerint korlátozhatja a kiszolgálóra telepíthető bővítményeket, és letilthatja a vendégkonfigurációt. Ezek a vezérlők akkor lehetnek hasznosak, ha kiszolgálókat csatlakoztatnak az Azure-hoz egyetlen célra, például eseménynaplók gyűjtésére anélkül, hogy más felügyeleti képességeket kellene használniuk a kiszolgálón.
Ezek a biztonsági vezérlők csak úgy konfigurálhatók, ha egy parancsot futtat a kiszolgálón, és nem módosíthatók az Azure-ból. Ez a megközelítés megőrzi a kiszolgáló rendszergazdájának szándékát, amikor távoli felügyeleti forgatókönyveket engedélyez az Azure Arc használatával, de azt is jelenti, hogy a beállítás módosítása nehezebb, ha később úgy dönt, hogy módosítja őket. Ez a funkció bizalmas kiszolgálókhoz (például Active Directory-tartomány vezérlőkhöz, fizetési adatokat kezelő kiszolgálókhoz és szigorú változásvezérlési intézkedések hatálya alá tartozó kiszolgálókhoz) készült. A legtöbb más esetben nem szükséges módosítani ezeket a beállításokat.
Bővítmény-engedélyezési listák és blokklisták
Annak korlátozásához, hogy mely bővítmények telepíthetők a kiszolgálón, konfigurálhatja az engedélyezni és letiltani kívánt bővítmények listáját a kiszolgálón. A bővítménykezelő kiértékeli a bővítmények telepítésére, frissítésére vagy frissítésére vonatkozó összes kérést az engedélyezési listán és a tiltólistán annak megállapításához, hogy a bővítmény telepíthető-e a kiszolgálón. A törlési kérelmek mindig engedélyezettek.
A legbiztonságosabb megoldás az, ha explicit módon engedélyezi a telepíteni kívánt bővítményeket. Az engedélyezési listán nem szereplő bővítmények automatikusan le lesznek tiltva. Ha úgy szeretné konfigurálni az Azure Csatlakozás ed Machine-ügynököt, hogy csak a Linuxhoz készült Azure Monitor-ügynököt engedélyezze, futtassa a következő parancsot minden kiszolgálón:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
Egy vagy több bővítmény letiltásához vegye fel őket a tiltólistára. Ha egy bővítmény az engedélyezési és a tiltólistán is megtalálható, akkor az le van tiltva. A Linux egyéni szkriptbővítményének letiltásához futtassa a következő parancsot:
azcmagent config set extensions.blocklist "Microsoft.Azure.Extensions/CustomScript"
Adja meg a bővítményeket a közzétevővel és a típussal, egy perjellel /
elválasztva. Tekintse meg a dokumentumok leggyakoribb bővítményeinek listáját, vagy sorolja fel a kiszolgálóra már telepített virtuálisgép-bővítményeket a portálon, az Azure PowerShellben vagy az Azure CLI-ben.
A táblázat azt a viselkedést írja le, amikor bővítményműveletet hajt végre egy olyan ügynökön, amelynek engedélyezési listája vagy tiltólistája konfigurálva van.
Operation | Az engedélyezési listában | A tiltólistán | Az engedélyezési és a tiltólistán is | Egyik listában sem szerepel, de az engedélyezési lista konfigurálva van |
---|---|---|---|---|
A bővítmény telepítése | Engedélyezve | Blokkolva | Blokkolva | Blokkolva |
Frissítési (újrakonfigurálási) bővítmény | Engedélyezve | Blokkolva | Blokkolva | Blokkolva |
Bővítmény frissítése | Engedélyezve | Blokkolva | Blokkolva | Blokkolva |
Bővítmény törlése | Engedélyezve | Engedélyezve | Engedélyezve | Engedélyezve |
Fontos
Ha egy bővítmény már telepítve van a kiszolgálón az engedélyezési lista vagy a tiltólista konfigurálása előtt, az nem lesz automatikusan eltávolítva. Az Ön felelőssége, hogy törölje a bővítményt az Azure-ból, hogy teljesen eltávolítsa azt a gépről. A törlési kérések mindig elfogadhatók a forgatókönyvnek megfelelően. A törlés után az engedélyezési lista és a tiltólista határozza meg, hogy engedélyezi-e a jövőbeli telepítési kísérleteket.
Az ügynök 1.35-ös verziójától kezdve létezik egy speciális engedélyezésilista-érték Allow/None
, amely utasítja a bővítménykezelőt a futtatásra, de nem engedélyezi a bővítmények telepítését. Ez az ajánlott konfiguráció, ha az Azure Arc használatával a Windows Server 2012 Extended Security Frissítések (ESU) szolgáltatást használja anélkül, hogy más bővítményeket kíván használni.
azcmagent config set extensions.allowlist "Allow/None"
Vendégkonfiguráció engedélyezése vagy letiltása
Az Azure Policy vendégkonfigurációs funkciója lehetővé teszi a kiszolgáló beállításainak naplózását és konfigurálását az Azure-ból. Ha nem szeretné engedélyezni ezt a funkciót, letilthatja a vendégkonfiguráció futtatását a kiszolgálón az alábbi parancs futtatásával:
azcmagent config set guestconfiguration.enabled false
Ha a vendégkonfiguráció le van tiltva, az Azure-ban a géphez rendelt vendégkonfigurációs szabályzatok nem megfelelőként jelennek meg. Érdemes lehet kivételt létrehozni ezekhez a gépekhez, vagy módosítani a szabályzat-hozzárendelések hatókörét , ha nem szeretné, hogy ezek a gépek nem megfelelőként jelenjenek meg.
A bővítménykezelő engedélyezése vagy letiltása
A bővítménykezelő feladata a virtuálisgép-bővítmények telepítése, frissítése és eltávolítása a kiszolgálón. Letilthatja a bővítménykezelőt, hogy megakadályozza a bővítmények kezelését a kiszolgálón, de javasoljuk, hogy a részletesebb vezérlés érdekében használja az engedélyezést és a tiltólistákat .
azcmagent config set extensions.enabled false
A bővítménykezelő letiltása nem távolítja el a kiszolgálóra már telepített bővítményeket. A saját Windows- vagy Linux-szolgáltatásaikban, például a Log Analytics-ügynökben üzemeltetett bővítmények akkor is futhatnak, ha a bővítménykezelő le van tiltva. A bővítménykezelő által üzemeltetett egyéb bővítmények, például az Azure Monitor-ügynök, nem futnak, ha a bővítmény-kezelő le van tiltva. Mielőtt letiltja a bővítménykezelőt, távolítsa el a bővítményeket, hogy a bővítmények ne fussanak tovább a kiszolgálón.
A zárolt gép ajánlott eljárásai
Az Azure Csatlakozás ed Machine Agent korlátozott képességekkel való konfigurálásakor fontos figyelembe venni azokat a mechanizmusokat, amelyekkel valaki eltávolíthatja ezeket a korlátozásokat, és megfelelő vezérlőket implementálhat. Bárki, aki képes parancsokat futtatni rendszergazdaként vagy gyökérfelhasználóként a kiszolgálón, módosíthatja az Azure Csatlakozás gépügynök konfigurációját. A bővítmények és a vendégkonfigurációs szabályzatok kiemelt környezetben futnak a kiszolgálón, és így módosíthatják az ügynök konfigurációját. Ha helyi ügynökbiztonsági vezérlőket alkalmaz az ügynök zárolásához, a Microsoft az alábbi ajánlott eljárásokat javasolja annak biztosítására, hogy csak a helyi kiszolgáló rendszergazdái frissíthetik az ügynök konfigurációját:
- Ha lehetséges, használjon engedélyezési listákat a bővítményekhez a tiltólisták helyett.
- Ne vegye fel az egyéni szkriptbővítményt a bővítmény engedélyezési listájába, hogy megakadályozza az ügynök konfigurációját módosító tetszőleges szkriptek végrehajtását.
- Tiltsa le a vendégkonfigurációt az ügynökkonfigurációt módosító egyéni vendégkonfigurációs házirendek használatának megakadályozásához.
Példakonfiguráció monitorozási és biztonsági forgatókönyvekhez
Gyakran előfordul, hogy az Azure Arc használatával figyeli a kiszolgálókat az Azure Monitor és a Microsoft Sentinel használatával, és biztonságossá teszi őket Felhőhöz készült Microsoft Defender. Ez a szakasz példákat tartalmaz arra, hogyan zárolhatja az ügynököt, hogy csak a figyelési és biztonsági forgatókönyveket támogassa.
Csak Az Azure Monitor-ügynök
Windows-kiszolgálókon futtassa a következő parancsokat egy emelt szintű parancskonzolon:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorWindowsAgent"
azcmagent config set guestconfiguration.enabled false
Linux-kiszolgálókon futtassa a következő parancsokat:
sudo azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
sudo azcmagent config set guestconfiguration.enabled false
Log Analytics és függőség (csak Azure Monitor virtuális gép Elemzések)
Ez a konfiguráció az örökölt Log Analytics-ügynökökre és a függőségi ügynökre érvényes.
Windows-kiszolgálókon futtassa a következő parancsokat egy emelt szintű konzolon:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentWindows"
azcmagent config set guestconfiguration.enabled false
Linux-kiszolgálókon futtassa a következő parancsokat:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentLinux"
sudo azcmagent config set guestconfiguration.enabled false
Monitorozás és biztonság
Felhőhöz készült Microsoft Defender bővítményeket helyez üzembe a kiszolgálón, hogy azonosítsa a kiszolgálón lévő sebezhető szoftvereket, és engedélyezze a Végponthoz készült Microsoft Defender (ha konfigurálva van). Felhőhöz készült Microsoft Defender a vendégkonfigurációt is használja a szabályozási megfelelőségi funkcióhoz. Mivel egyéni vendégkonfigurációs hozzárendeléssel visszavonhatja az ügynök korlátait, gondosan mérlegelje, hogy szüksége van-e a szabályozási megfelelőségi funkcióra, és ennek eredményeképpen a vendégkonfiguráció engedélyezve legyen a gépen.
Windows-kiszolgálókon futtassa a következő parancsokat egy emelt szintű parancskonzolon:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Qualys/WindowsAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Windows,Microsoft.Azure.AzureDefenderForSQL/AdvancedThreatProtection.Windows"
azcmagent config set guestconfiguration.enabled true
Linux-kiszolgálókon futtassa a következő parancsokat:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Qualys/LinuxAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Linux"
sudo azcmagent config set guestconfiguration.enabled true
Ügynök üzemmódok
A helyi biztonsági vezérlők monitorozáshoz és biztonsági forgatókönyvekhez való konfigurálásának egyszerűbb módja a monitorozási mód használata, amely az ügynök 1.18-s és újabb verziójával érhető el. A módok a Microsoft által fenntartott bővítmény engedélyezési listájának és vendégkonfigurációs ügynökének előre definiált konfigurációi. Amint új bővítmények válnak elérhetővé, amelyek lehetővé teszik a monitorozási forgatókönyveket, a Microsoft frissíti az engedélyezési listát és az ügynök konfigurációját, hogy szükség szerint belefoglalja vagy kizárja az új funkciót.
Két mód közül választhat:
- teljes – az alapértelmezett mód. Ez lehetővé teszi az ügynök összes funkcióját.
- monitorozás – korlátozott mód, amely letiltja a vendégkonfigurációs házirend-ügynököt, és csak a figyeléssel és biztonsággal kapcsolatos bővítmények használatát teszi lehetővé.
A monitorozási mód engedélyezéséhez futtassa a következő parancsot:
azcmagent config set config.mode monitor
Az ügynök jelenlegi módját és az engedélyezett bővítményeket az alábbi paranccsal ellenőrizheti:
azcmagent config list
Monitorozási módban nem módosíthatja a bővítmény engedélyezési listáját vagy a tiltólistát. Ha bármelyik listát módosítania kell, módosítsa az ügynököt teljes üzemmódra, és adja meg a saját engedélyezési listáját és tiltólistáját.
Az ügynök teljes üzemmódra való visszaállításához futtassa a következő parancsot:
azcmagent config set config.mode full
Felügyelt identitás használata Azure Arc-kompatibilis kiszolgálókkal
Alapértelmezés szerint az Arc által használt Microsoft Entra rendszer által hozzárendelt identitás csak az Azure Arc-kompatibilis azure-kiszolgáló állapotának frissítésére használható. Például az utolsóként látott szívverés állapota. Más szerepköröket is hozzárendelhet az identitáshoz, ha a kiszolgálón lévő alkalmazások a rendszer által hozzárendelt identitással férnek hozzá más Azure-szolgáltatásokhoz. Ha többet szeretne tudni a rendszer által hozzárendelt felügyelt identitás Azure-erőforrások eléréséhez való konfigurálásáról, olvassa el a Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon című témakört.
Bár a hibrid példány metaadat-szolgáltatásához a számítógépen futó bármely alkalmazás hozzáférhet, csak a jogosult alkalmazások igényelhetnek Microsoft Entra-jogkivonatot a rendszer által hozzárendelt identitáshoz. A jogkivonat URI-jának első elérésekor a szolgáltatás létrehoz egy véletlenszerűen generált titkosítási blobot a fájlrendszer azon helyén, amelyet csak megbízható hívók tudnak olvasni. A hívónak ezután be kell olvasnia a fájlt (igazolnia kell, hogy rendelkezik a megfelelő engedéllyel), majd újra meg kell próbálkoznia a kéréssel az engedélyezési fejlécben található fájltartalommal a Microsoft Entra-jogkivonat sikeres lekéréséhez.
Windows rendszeren a hívónak a helyi Rendszergazda istrators csoport vagy a Hibrid ügynök bővítményalkalmazások csoport tagjának kell lennie a blob olvasásához.
Linux rendszeren a hívónak a himds csoport tagjának kell lennie a blob olvasásához.
Ha többet szeretne megtudni arról, hogyan használhat felügyelt identitást Arc-kompatibilis kiszolgálókkal az Azure-erőforrások hitelesítéséhez és eléréséhez, tekintse meg az alábbi videót.
Lemeztitkosítás használata
Az Azure Csatlakozás ed Machine-ügynök nyilvános kulcsú hitelesítéssel kommunikál az Azure-szolgáltatással. Miután előkészített egy kiszolgálót az Azure Arcba, a rendszer egy titkos kulcsot ment a lemezre, és azt használja, amikor az ügynök kommunikál az Azure-ral. Ellopás esetén a titkos kulcs egy másik kiszolgálón is használható a szolgáltatással való kommunikációhoz, és úgy viselkedhet, mintha az eredeti kiszolgáló lenne. Ez magában foglalja a rendszer által hozzárendelt identitáshoz és minden olyan erőforráshoz való hozzáférést, amelyhez az identitás hozzáfér. A titkos kulcsfájlt úgy védi a rendszer, hogy csak a himds-fiók számára engedélyezze az olvasását. Az offline támadások megelőzése érdekében határozottan javasoljuk a teljes lemeztitkosítás használatát (például BitLocker, dm-crypt stb.) a kiszolgáló operációs rendszerének kötetén.
Következő lépések
Mielőtt kiértékelné vagy engedélyezné az Azure Arc-kompatibilis kiszolgálókat több hibrid gépen, tekintse át Csatlakozás gépügynök áttekintését a követelmények, az ügynök műszaki részletei és az üzembe helyezési módszerek megismeréséhez.
Tekintse át a tervezési és üzembe helyezési útmutatót az Azure Arc-kompatibilis kiszolgálók bármilyen szintű üzembe helyezésének megtervezéséhez, valamint a központosított felügyelet és monitorozás implementálásához.