Bagikan melalui


Mengonfigurasi kontrol keamanan Azure Stack Hub

Artikel ini menjelaskan kontrol keamanan yang dapat diubah di Azure Stack Hub dan menyoroti pertukaran jika berlaku.

Arsitektur Azure Stack Hub dibangun di atas dua pilar prinsip keamanan: menganggap pelanggaran dan mengeras secara default. Untuk informasi selengkapnya tentang keamanan Azure Stack Hub, lihat Postur keamanan infrastruktur Azure Stack Hub. Sementara postur keamanan default Azure Stack Hub siap produksi, ada beberapa skenario penyebaran yang memerlukan pengerasan tambahan.

Kebijakan versi TLS

Protokol Transport Layer Security (TLS) adalah protokol kriptografi yang diadopsi secara luas untuk membangun komunikasi terenkripsi melalui jaringan. TLS telah berkembang dari waktu ke waktu dan beberapa versi telah dirilis. Infrastruktur Azure Stack Hub secara eksklusif menggunakan TLS 1.2 untuk semua komunikasinya. Untuk antarmuka eksternal, Azure Stack Hub saat ini default untuk menggunakan TLS 1.2. Namun, untuk kompatibilitas mundur, ia juga mendukung negosiasi ke TLS 1.1. dan 1.0. Ketika klien TLS meminta untuk berkomunikasi melalui TLS 1.1 atau TLS 1.0, Azure Stack Hub menghormati permintaan tersebut dengan bernegosiasi ke versi TLS yang lebih rendah. Jika klien meminta TLS 1.2, Azure Stack Hub akan membuat koneksi TLS menggunakan TLS 1.2.

Karena TLS 1.0 dan 1.1 secara bertahap sedang tidak digunakan lagi atau dilarang oleh organisasi dan standar kepatuhan Anda sekarang dapat mengkonfigurasi kebijakan TLS di Azure Stack Hub. Anda dapat memberlakukan kebijakan TLS 1.2 saja di mana setiap upaya untuk membuat sesi TLS dengan versi yang lebih rendah dari 1.2 tidak diizinkan dan ditolak.

Penting

Microsoft merekomendasikan untuk menggunakan kebijakan TLS 1.2 saja untuk lingkungan produksi Azure Stack Hub.

Mendapatkan kebijakan TLS

Gunakan titik akhir istimewa (PEP) untuk melihat kebijakan TLS untuk semua titik akhir Azure Stack Hub:

Get-TLSPolicy

Output contoh:

TLS_1.2

Set kebijakan TLS

Gunakan titik akhir istimewa (PEP) untuk melihat kebijakan TLS untuk semua titik akhir Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parameter untuk cmdlet Set-TLSPolicy :

Parameter Deskripsi Jenis Diperlukan
Versi Versi yang diizinkan dari TLS di Azure Stack Hub Untai ya

Gunakan salah satu nilai berikut untuk mengonfigurasikan versi TLS yang diizinkan untuk semua titik akhir Azure Stack Hub:

Nilai versi Deskripsi
TLS_All Titik akhir Azure Stack Hub TLS mendukung TLS 1.2, tetapi negosiasi turun ke TLS 1.1 dan TLS 1.0 diperbolehkan.
TLS_1.2 Titik akhir Azure Stack Hub TLS mendukung TLS 1.2 saja.

Memperbarui kebijakan TLS membutuhkan beberapa menit untuk menyelesaikannya.

Menerapkan contoh konfigurasi TLS 1.2

Contoh ini set kebijakan TLS Anda untuk menerapkan TLS 1.2 saja.

Set-TLSPolicy -Version TLS_1.2

Output contoh:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Memperbolehkan semua versi contoh konfigurasi TLS (1.2, 1.1, dan 1.0)

Contoh ini set kebijakan TLS Anda untuk memungkinkan semua versi TLS (1.2, 1.1, dan 1.0).

Set-TLSPolicy -Version TLS_All

Output contoh:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Ada skenario di mana berguna untuk menampilkan pemberitahuan hukum, saat masuk ke sesi titik akhir istimewa (PEP). Cmdlet Set-AzSLegalNotice dan Get-AzSLegalNotice digunakan untuk mengelola keterangan dan badan teks pemberitahuan hukum tersebut.

Untuk mengatur keterangan pemberitahuan hukum dan teks, lihat cmdlet Set-AzSLegalNotice. Jika keterangan pemberitahuan hukum dan teks sebelumnya telah diset, Anda dapat mengulasnya dengan menggunakan cmdlet Get-AzSLegalNotice.

Langkah berikutnya