Kontrol keamanan infrastruktur Azure Stack Hub

  • Artikel

Pertimbangan keamanan dan peraturan kepatuhan adalah salah satu pendorong utama untuk menggunakan cloud hibrid. Azure Stack Hub dirancang untuk skenario-skenario ini. Artikel ini menjelaskan kontrol keamanan di tempat untuk Azure Stack Hub.

Dua lapisan postur keamanan hadir berdampingan di Azure Stack Hub. Lapisan pertama adalah infrastruktur Azure Stack Hub, yang mencakup komponen perangkat keras hingga Azure Resource Manager. Lapisan pertama mencakup portal pengguna dan administrator. Lapisan kedua terdiri dari beban kerja yang dibuat, disebarkan, dan dikelola oleh penyewa. Lapisan kedua mencakup item seperti mesin virtual dan situs web App Services.

Pendekatan keamanan

Postur keamanan untuk Azure Stack Hub dirancang untuk bertahan dari ancaman modern dan dibangun untuk memenuhi persyaratan dari standar kepatuhan utama. Hasilnya, postur keamanan infrastruktur Azure Stack Hub dibangun di atas dua pilar:

  • Menganggap Pelanggaran
    Mulai dari asumsi bahwa sistem sudah dilanggar, fokus untuk mendeteksi dan membatasi dampak pelanggaran dibandingkan dengan hanya berusaha mencegah serangan.

  • Diperkeras secara Default
    Karena infrastruktur berjalan pada perangkat keras dan perangkat lunak yang terdefinisi dengan baik, Azure Stack Hub memungkinkan, mengonfigurasi, dan memvalidasi semua fitur keamanan secara default.

Karena Azure Stack Hub disediakan sebagai sistem terintegrasi, postur keamanan infrastruktur Azure Stack Hub didefinisikan oleh Microsoft. Sama seperti di Azure, penyewa bertanggung jawab untuk menentukan postur keamanan beban kerja penyewa mereka. Dokumen ini memberikan pengetahuan dasar tentang postur keamanan infrastruktur Azure Stack Hub.

Enkripsi data tidak aktif

Semua infrastruktur Azure Stack Hub dan data penyewa dienkripsi saat tidak aktif menggunakan BitLocker. Enkripsi ini melindungi terhadap kehilangan fisik atau pencurian komponen penyimpanan Azure Stack Hub. Untuk informasi selengkapnya, lihat Enkripsi data tidak aktif di Azure Stack Hub.

Enkripsi data saat transit

Komponen infrastruktur Azure Stack Hub berkomunikasi menggunakan saluran yang dienkripsi dengan TLS 1.2. Sertifikat enkripsi dikelola sendiri oleh infrastruktur.

Semua titik akhir infrastruktur eksternal, seperti titik akhir REST atau portal Azure Stack Hub, mendukung TLS 1.2 untuk komunikasi yang aman. Sertifikat enkripsi, baik dari pihak ketiga atau Otoritas Sertifikat perusahaan Anda, harus disediakan untuk titik akhir tersebut.

Meskipun sertifikat yang ditandatangani sendiri dapat digunakan untuk titik akhir eksternal ini, Microsoft sangat menyarankan untuk tidak menggunakannya. Untuk informasi selengkapnya tentang cara menerapkan TLS 1.2 pada titik akhir eksternal Azure Stack Hub, lihat Mengonfigurasi kontrol keamanan Azure Stack Hub.

Manajemen rahasia

Infrastruktur Azure Stack Hub menggunakan banyak rahasia, seperti kata sandi dan sertifikat, agar berfungsi. Sebagian besar kata sandi yang terkait dengan akun layanan internal secara otomatis diputar setiap 24 jam karena mereka adalah Grup Akun Layanan Terkelola (gMSA), jenis akun domain yang dikelola langsung oleh pengontrol domain internal.

Infrastruktur Azure Stack Hub menggunakan kunci RSA 4096-bit untuk semua sertifikat internalnya. Sertifikat dengan panjang kunci yang sama juga dapat digunakan untuk titik akhir eksternal. Untuk informasi selengkapnya tentang pemutaran sertifikat dan rahasia, silakan lihat Memutar rahasia di Azure Stack Hub.

Windows Defender Application Control

Azure Stack Hub memanfaatkan fitur keamanan Windows Server terbaru. Salah satunya adalah Kontrol Aplikasi Pertahanan Windows (WDAC, sebelumnya dikenal sebagai Integritas Kode), yang menyediakan pemfilteran yang dapat dijalankan dan memastikan bahwa hanya kode resmi yang berjalan dalam infrastruktur Azure Stack Hub.

Kode resmi ditandatangani oleh Microsoft atau mitra OEM. Kode resmi yang ditandatangani termasuk dalam daftar perangkat lunak yang diizinkan yang ditentukan dalam kebijakan yang didefinisikan oleh Microsoft. Dengan kata lain, hanya perangkat lunak yang telah disetujui untuk berjalan di infrastruktur Azure Stack Hub yang dapat dijalankan. Setiap upaya untuk mengeksekusi kode yang tidak sah akan diblokir dan pemberitahuan dibuat. Azure Stack Hub memberlakukan User Mode Code Integrity (UMCI) dan Hypervisor Code Integrity (HVCI).

Kebijakan WDAC juga mencegah agen atau perangkat lunak pihak ketiga berjalan di infrastruktur Azure Stack Hub. Untuk informasi selengkapnya tentang WDAC, silakan lihat Kontrol Aplikasi Pertahanan Windows dan perlindungan integritas kode berbasis virtualisasi.

Antimalware

Setiap komponen di Azure Stack Hub (host Hyper-V dan mesin virtual) dilindungi dengan Antivirus Pertahanan Windows.

Dalam skenario koneksi tersambung, definisi antivirus dan pembaruan mesin diterapkan beberapa kali sehari. Dalam skenario koneksi terputus, pembaruan antimalware diterapkan sebagai bagian dari pembaruan bulanan Azure Stack Hub. Jika pembaruan yang lebih sering ke definisi Pertahanan Windows diperlukan dalam skenario koneksi terputus, Azure Stack Hub juga mendukung pengimporan pembaruan Pertahanan Windows. Untuk informasi selengkapnya, lihat memperbarui Antivirus Pertahanan Windows di Azure Stack Hub.

Boot Aman

Azure Stack Hub memberlakukan Boot Aman pada semua mesin virtual infrastruktur dan host Hyper-V.

Model administrasi yang dibatasi

Administrasi di Azure Stack Hub dikontrol melalui tiga titik masuk, masing-masing dengan tujuan tertentu:

  • Portal administrator menyediakan pengalaman tunjuk-dan-klik untuk operasi manajemen harian.
  • Azure Resource Manager memperlihatkan semua operasi manajemen portal administrator melalui REST API, yang digunakan oleh PowerShell dan Azure CLI.
  • Untuk operasi tingkat rendah tertentu (misalnya, integrasi pusat data atau skenario dukungan), Azure Stack Hub memperlihatkan titik akhir PowerShell yang disebut titik akhir dengan hak istimewa. Titik akhir ini hanya memperlihatkan satu set cmdlet yang diizinkan dengan audit ketat.

Kontrol jaringan

Infrastruktur Azure Stack Hub dilengkapi dengan beberapa lapisan Daftar Kontrol Akses (ACL) jaringan. ACL mencegah akses tidak sah ke komponen infrastruktur dan membatasi komunikasi infrastruktur hanya pada jalur yang diperlukan untuk fungsinya.

ACLs jaringan diberlakukan dalam tiga lapisan:

  • Lapisan 1: Bagian atas sakelar Rak
  • Lapisan 2: Jaringan Yang Ditentukan Perangkat Lunak
  • Lapisan 3: Firewall sistem operasi VM dan host

Kepatuhan peraturan

Azure Stack Hub telah melalui penilaian kemampuan formal oleh perusahaan audit independen pihak ketiga. Akibatnya, tersedia dokumentasi tentang bagaimana infrastruktur Azure Stack Hub memenuhi kontrol yang berlaku dari beberapa standar kepatuhan utama. Dokumentasi ini bukan sertifikasi Azure Stack Hub karena standarnya mencakup beberapa kontrol terkait personel dan terkait proses. Sebaliknya, pelanggan dapat menggunakan dokumentasi ini untuk memulai proses sertifikasi mereka.

Penilaiannya mencakup standar berikut:

  • PCI-DSS membahas industri kartu pembayaran.
  • Matriks Kontrol Cloud CSA adalah pemetaan komprehensif di berbagai standar, termasuk FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, dan lainnya.
  • FedRAMP High untuk pelanggan pemerintah.

Dokumentasi kepatuhan dapat ditemukan di Portal Kepercayaan Layanan Microsoft. Panduan kepatuhan adalah sumber daya yang dilindungi dan mengharuskan Anda untuk masuk dengan info masuk layanan cloud Azure Anda.

Inisiatif Schrems II UE untuk Azure Stack Hub

Microsoft telah mengemukakan keinginannya untuk melampaui komitmen penyimpanan data yang ada saat ini. Caranya, Microsoft akan memfasilitasi pelanggan yang tinggal Eropa untuk memproses dan menyimpan semua data mereka di UE. Dengan begitu, Anda tidak perlu lagi menyimpan data di luar UE. Komitmen yang disempurnakan ini akan berlaku juga bagi pelanggan Azure Stack Hub. Baca artikel Menjawab Panggilan Eropa: Menyimpan dan Memproses Data UE di UE untuk mengetahui informasi selengkapnya.

Dimulai dari versi 2206, Anda dapat memilih preferensi geografis bagi pemrosesan data pada Azure Stack Hub yang telah disebarkan. Setelah mengunduh perbaikan, Anda akan menerima pemberitahuan berikut.

Cuplikan layar menampilkan jendela Pemberitahuan Dasbor di portal Admin Azure Stack Hub yang menyertakan pemberitahuan Wilayah Geografis Belum Ditentukan.

Catatan

Pemilihan geolokasi data mungkin memerlukan lingkungan yang tidak tersambung ke internet. Pengaturan ini cukup dilakukan satu kali dan akan memengaruhi lokasi residensi data apabila operator memberikan data diagnostik kepada Microsoft. Jika operator tidak memberikan data diagnostik kepada Microsoft, berarti pengaturan ini tidak memberi pengaruh apa pun.

Tergantung preferensi geografis Anda untuk menyimpan dan memproses data, ada beberapa cara untuk mengatasi masalah yang disampaikan oleh pemberitahuan ini bagi Azure Stack Hub Anda saat ini.

  • Jika Anda memilih untuk menyimpan dan memproses data di UE, jalankan cmdlet PowerShell berikut untuk mengatur preferensi geografis. Lokasi residensi data akan diperbarui dan semua data akan disimpan dan diproses di UE.

    Set-DataResidencyLocation -Europe

  • Jika Anda memilih untuk menyimpan dan memproses data Anda di luar UE, jalankan cmdlet PowerShell berikut untuk mengatur preferensi geografis. Lokasi residensi data akan diperbarui dan semua data akan diproses di luar UE.

    Set-DataResidencyLocation -Europe:$false

Setelah mengatasi masalah yang disampaikan pemberitahuan ini, Anda dapat memverifikasi preferensi wilayah geografis Anda melalui jendela Properti di portal Admin.

Cuplikan layar menampilkan jendela Properti di portal Admin Azure Stack Hub beserta properti Geolokasi Data yang kini telah diatur menjadi Eropa.

Wilayah geografis dapat diatur saat menyiapkan dan menyebarkan Azure Stack Hub baru.

Langkah berikutnya