Gambaran umum keamanan untuk server dengan dukungan Azure Arc
Artikel ini menjelaskan pertimbangan dan kontrol keamanan yang tersedia saat menggunakan server dengan dukungan Azure Arc. Baik Anda seorang praktisi keamanan atau operator TI, informasi dalam artikel ini memungkinkan Anda mengonfigurasi Azure Arc dengan percaya diri dengan cara yang memenuhi persyaratan keamanan organisasi Anda.
Tanggung jawab
Keamanan penyebaran Server dengan dukungan Azure Arc Anda adalah tanggung jawab bersama antara Anda dan Microsoft. Microsoft bertanggung jawab untuk:
- Mengamankan layanan cloud yang menyimpan metadata sistem dan mengatur operasi untuk agen yang Anda sambungkan ke layanan.
- Mengamankan dan melindungi privasi metadata sistem Anda yang disimpan di Azure.
- Mendokumentasikan fitur keamanan opsional sehingga Anda memahami manfaat dan kelemahan opsi penyebaran.
- Menerbitkan pembaruan agen reguler dengan peningkatan keamanan, kualitas, performa, dan fitur.
Anda bertanggung jawab untuk:
- Mengelola dan memantau akses RBAC ke sumber daya berkemampuan Azure Arc Anda di langganan Azure Anda.
- Melindungi dan memutar kredensial akun apa pun yang digunakan untuk mengelola server dengan dukungan Azure Arc secara teratur. Ini termasuk rahasia atau kredensial perwakilan layanan apa pun yang digunakan untuk onboarding server baru.
- Menentukan apakah dan bagaimana fitur keamanan apa pun yang dijelaskan dalam dokumen ini (misalnya, daftar izin ekstensi) harus diterapkan ke agen Azure Connected Machine yang Anda sebarkan.
- Menjaga agen dan ekstensi Azure Connected Machine tetap terbarui.
- Menentukan kepatuhan Azure Arc terhadap kewajiban hukum, peraturan, dan kebijakan internal organisasi Anda.
- Mengamankan server itu sendiri, termasuk infrastruktur komputasi, penyimpanan, dan jaringan yang digunakan untuk menjalankan server.
Ikhtisar arsitektur
Server berkemampuan Azure Arc adalah layanan berbasis agen. Interaksi Anda dengan Azure Arc terutama melalui API, portal, dan pengalaman manajemen Azure. Data yang Anda lihat dan tindakan yang Anda ambil di Azure disampaikan melalui agen Azure Connected Machine yang diinstal di setiap server terkelola. Azure adalah sumber kebenaran untuk agen. Satu-satunya cara untuk memberi tahu agen untuk melakukan sesuatu (misalnya, menginstal ekstensi) adalah dengan mengambil tindakan pada representasi Azure server. Ini membantu memastikan bahwa penetapan kebijakan dan RBAC organisasi Anda dapat mengevaluasi permintaan sebelum perubahan apa pun dibuat.
Agen Azure Connected Machine terutama merupakan platform pengaktifan untuk layanan Azure dan pihak ketiga lainnya. Fungsionalitas intinya meliputi:
- Membuat hubungan antara komputer Anda dan langganan Azure Anda
- Menyediakan identitas terkelola untuk agen dan aplikasi lain untuk digunakan saat mengautentikasi dengan Azure
- Mengaktifkan kemampuan lain (agen, skrip) dengan ekstensi
- Mengevaluasi dan memberlakukan pengaturan di server Anda
Setelah agen Azure Connected Machine diinstal, Anda dapat mengaktifkan layanan Azure lainnya di server Anda untuk memenuhi pemantauan, manajemen patch, akses jarak jauh, atau kebutuhan lainnya. Peran Azure Arc adalah membantu memungkinkan layanan tersebut bekerja di luar pusat data Azure sendiri.
Anda dapat menggunakan Azure Policy untuk membatasi apa yang dapat dilakukan pengguna organisasi Anda dengan Azure Arc. Pembatasan berbasis cloud seperti Azure Policy adalah cara yang bagus untuk menerapkan kontrol keamanan dalam skala besar sambil mempertahankan fleksibilitas untuk menyesuaikan pembatasan kapan saja. Namun, terkadang Anda memerlukan kontrol yang lebih kuat untuk melindungi dari akun istimewa yang sah yang digunakan untuk menghindari langkah-langkah keamanan (misalnya, menonaktifkan kebijakan). Untuk memperhitungkan hal ini, agen Azure Connected Machine juga memiliki kontrol keamanan sendiri yang lebih diutamakan daripada batasan apa pun yang ditetapkan di cloud.
Layanan agen
Agen Azure Connected Machine adalah kombinasi dari empat layanan/daemon yang berjalan di server Anda dan membantu menyambungkannya dengan Azure. Mereka diinstal bersama-sama sebagai satu aplikasi dan dikelola secara terpusat menggunakan antarmuka baris perintah azcmagent.
Layanan Metadata Instans Hibrid
Hybrid Instance Metadata Service (HIMDS) adalah layanan "core" di agen dan bertanggung jawab untuk mendaftarkan server dengan Azure, sinkronisasi metadata yang sedang berlangsung (heartbeat), operasi identitas terkelola, dan menghosting REST API lokal yang dapat dikueri aplikasi lain untuk mempelajari koneksi perangkat dengan Azure. Layanan ini tidak memiliki hak istimewa dan berjalan sebagai akun virtual (NT SERVICE\himds dengan SID S-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083) pada Windows atau akun pengguna standar (himds) pada sistem operasi Linux.
Manajer ekstensi
Manajer ekstensi bertanggung jawab untuk menginstal, mengonfigurasi, meningkatkan, dan menghapus perangkat lunak tambahan di komputer Anda. Di luar kotak, Azure Arc tidak tahu cara melakukan hal-hal seperti memantau atau menambal komputer Anda. Sebagai gantinya, ketika Anda memilih untuk menggunakan fitur-fitur tersebut, manajer ekstensi mengunduh dan mengaktifkan kemampuan tersebut. Manajer ekstensi berjalan sebagai Sistem Lokal di Windows dan root di Linux karena perangkat lunak yang diinstalnya mungkin memerlukan akses sistem penuh. Anda dapat membatasi ekstensi mana yang diizinkan oleh manajer ekstensi untuk menginstal atau menonaktifkannya sepenuhnya jika Anda tidak berniat menggunakan ekstensi.
Konfigurasi tamu
Layanan konfigurasi tamu mengevaluasi dan memberlakukan kebijakan konfigurasi komputer Azure (tamu) di server Anda. Ini adalah kebijakan Azure khusus yang ditulis dalam Konfigurasi Status yang Diinginkan PowerShell untuk memeriksa pengaturan perangkat lunak di server. Layanan konfigurasi tamu secara teratur mengevaluasi dan melaporkan kepatuhan terhadap kebijakan ini dan, jika kebijakan dikonfigurasi dalam mode penerapan, akan mengubah pengaturan pada sistem Anda untuk mengembalikan komputer ke kepatuhan jika perlu. Layanan konfigurasi tamu berjalan sebagai Sistem Lokal di Windows dan root di Linux untuk memastikan layanan tersebut memiliki akses ke semua pengaturan pada sistem Anda. Anda dapat menonaktifkan fitur konfigurasi tamu jika Anda tidak berniat menggunakan kebijakan konfigurasi tamu.
Proksi Azure Arc
Layanan proksi Azure Arc bertanggung jawab untuk menggabungkan lalu lintas jaringan dari layanan agen Azure Connected Machine dan ekstensi apa pun yang telah Anda instal dan memutuskan di mana harus merutekan data tersebut. Jika Anda menggunakan Azure Arc Gateway untuk menyederhanakan titik akhir jaringan Anda, layanan Proksi Azure Arc adalah komponen lokal yang meneruskan permintaan jaringan melalui Azure Arc Gateway alih-alih rute default. Proksi Azure Arc berjalan sebagai Layanan Jaringan di Windows dan akun pengguna standar (arcproxy) di Linux. Ini dinonaktifkan secara default hingga Anda mengonfigurasi agen untuk menggunakan Azure Arc Gateway.
Pertimbangan keamanan untuk aset Tingkat 0
Aset Tingkat 0 seperti Pengendali Domain Direktori Aktif, server Otoritas Sertifikat, atau server aplikasi bisnis yang sangat sensitif dapat dihubungkan ke Azure Arc dengan hati-hati untuk memastikan hanya fungsi manajemen yang diinginkan dan pengguna yang berwenang yang dapat mengelola server. Rekomendasi ini tidak diperlukan tetapi sangat disarankan untuk mempertahankan postur keamanan aset Tingkat 0 Anda.
Langganan Azure khusus
Akses ke server dengan dukungan Azure Arc sering ditentukan oleh hierarki organisasi tempat server tersebut berada di Azure. Anda harus memperlakukan admin grup langganan atau manajemen apa pun yang setara dengan administrator lokal pada aset Tingkat 0 karena mereka dapat menggunakan izin mereka untuk menambahkan penetapan peran baru ke sumber daya Azure Arc. Selain itu, kebijakan yang diterapkan di tingkat grup langganan atau manajemen mungkin juga memiliki izin untuk membuat perubahan pada server.
Untuk meminimalkan jumlah akun dan kebijakan dengan akses ke aset Tingkat 0 Anda, pertimbangkan untuk menggunakan langganan Azure khusus yang dapat dipantau dan dikonfigurasi dengan sesedikempat mungkin administrator persisten. Tinjau kebijakan Azure di grup manajemen induk apa pun untuk memastikan kebijakan tersebut selaras dengan niat Anda untuk server ini.
Menonaktifkan fitur manajemen yang tidak perlu
Untuk aset Tingkat 0, Anda harus menggunakan kontrol keamanan agen lokal untuk menonaktifkan fungsionalitas yang tidak digunakan dalam agen untuk mencegah kesengajaan—atau tidak disengaja—penggunaan fitur tersebut untuk membuat perubahan pada server. Drive ini termasuk:
- Menonaktifkan kemampuan akses jarak jauh
- Mengatur daftar izin ekstensi untuk ekstensi yang ingin Anda gunakan, atau menonaktifkan manajer ekstensi jika Anda tidak menggunakan ekstensi
- Menonaktifkan agen konfigurasi komputer jika Anda tidak berniat menggunakan kebijakan konfigurasi komputer
Contoh berikut menunjukkan cara mengunci agen Azure Connected Machine untuk pengontrol domain yang perlu menggunakan Agen Azure Monitor untuk mengumpulkan log keamanan untuk Microsoft Sentinel dan Pertahanan Microsoft untuk Server guna melindungi dari ancaman malware:
azcmagent config set incomingconnections.enabled false
azcmagent config set guestconfiguration.enabled false
azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”