Condividi tramite


Configurare i controlli di sicurezza dell'hub di Azure Stack

Questo articolo illustra i controlli di sicurezza che possono essere modificati nell'hub di Azure Stack e evidenzia i compromessi, se applicabile.

L'architettura dell'hub di Azure Stack è basata su due pilastri di sicurezza: presupporre la violazione e la protezione avanzata per impostazione predefinita. Per altre informazioni sulla sicurezza dell'hub di Azure Stack, vedere Comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack. Sebbene il comportamento di sicurezza predefinito dell'hub di Azure Stack sia pronto per l'ambiente di produzione, esistono alcuni scenari di distribuzione che richiedono una protezione avanzata aggiuntiva.

Criteri di versione TLS

Il protocollo Transport Layer Security (TLS) è un protocollo crittografico ampiamente adottato per stabilire la comunicazione crittografata sulla rete. TLS si è evoluto nel tempo e sono state rilasciate più versioni. L'infrastruttura dell'hub di Azure Stack usa esclusivamente TLS 1.2 per tutte le comunicazioni. Per le interfacce esterne, l'hub di Azure Stack è attualmente predefinito per l'uso di TLS 1.2. Tuttavia, per la compatibilità con le versioni precedenti, supporta anche la negoziazione verso TLS 1.1. e 1,0. Quando un client TLS richiede di comunicare tramite TLS 1.1 o TLS 1.0, l'hub di Azure Stack rispetta la richiesta negoziando una versione TLS inferiore. Se il client richiede TLS 1.2, l'hub di Azure Stack stabilirà una connessione TLS usando TLS 1.2.

Poiché TLS 1.0 e 1.1 vengono deprecati o vietati da organizzazioni e standard di conformità, è ora possibile configurare i criteri TLS nell'hub di Azure Stack. È possibile applicare un criterio TLS 1.2 solo in cui qualsiasi tentativo di stabilire una sessione TLS con una versione inferiore a 1.2 non è consentita e viene rifiutata.

Importante

Microsoft consiglia di usare solo i criteri TLS 1.2 per gli ambienti di produzione dell'hub di Azure Stack.

Ottenere i criteri TLS

Usare l'endpoint con privilegi (PEP) per visualizzare i criteri TLS per tutti gli endpoint dell'hub di Azure Stack:

Get-TLSPolicy

Output di esempio:

TLS_1.2

Impostare i criteri TLS

Usare l'endpoint con privilegi (PEP) per impostare i criteri TLS per tutti gli endpoint dell'hub di Azure Stack:

Set-TLSPolicy -Version <String>

Parametri per il cmdlet Set-TLSPolicy :

Parametro Descrizione Tipo Necessario
Versione Versioni consentite di TLS nell'hub di Azure Stack string

Usare uno dei valori seguenti per configurare le versioni TLS consentite per tutti gli endpoint dell'hub di Azure Stack:

Valore della versione Descrizione
TLS_All Gli endpoint TLS dell'hub di Azure Stack supportano TLS 1.2, ma la negoziazione con TLS 1.1 e TLS 1.0 è consentita.
TLS_1.2 Gli endpoint TLS dell'hub di Azure Stack supportano solo TLS 1.2.

L'aggiornamento dei criteri TLS richiede alcuni minuti per completare.

Applicare l'esempio di configurazione tls 1.2

In questo esempio i criteri TLS vengono impostati solo per applicare TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Output di esempio:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Consenti tutte le versioni di TLS (1.2, 1.1 e 1.0) esempio di configurazione

Questo esempio imposta i criteri TLS per consentire tutte le versioni di TLS (1.2, 1.1 e 1.0).

Set-TLSPolicy -Version TLS_All

Output di esempio:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Esistono scenari in cui è utile visualizzare un avviso legale, al momento dell'accesso a una sessione di endpoint con privilegi (PEP). I cmdlet Set-AzSLegalNotice e Get-AzSLegalNotice vengono usati per gestire il didascalia e il corpo di tali note legali.

Per impostare l'avviso legale didascalia e il testo, vedere il cmdlet Set-AzSLegalNotice. Se l'avviso legale didascalia e il testo sono stati impostati in precedenza, è possibile esaminarli usando il cmdlet Get-AzSLegalNotice.

Passaggi successivi