Condividi tramite

Controlli di sicurezza dell'infrastruttura dell'hub di Azure Stack

  • Articolo

Le considerazioni sulla sicurezza e i regolamenti sulla conformità sono gli argomenti principali quando si tratta di usare i cloud ibridi. L'hub di Azure Stack è progettato per questi scenari. Questo articolo illustra i controlli di sicurezza sul posto per l'hub di Azure Stack.

Due livelli di comportamento di sicurezza coesistono nell'hub di Azure Stack. Il primo livello è l'infrastruttura dell'hub di Azure Stack, che include i componenti hardware fino ad Azure Resource Manager. Il primo livello include l'amministratore e i portali utente. Il secondo livello è costituito dai carichi di lavoro creati, distribuiti e gestiti dai tenant. Il secondo livello include elementi come macchine virtuali e siti Web di servizio app.

Approccio alla sicurezza

Il comportamento di sicurezza per l'hub di Azure Stack è progettato per difendersi dalle minacce moderne ed è stato progettato per soddisfare i requisiti degli standard di conformità principali. Di conseguenza, il comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack si basa su due pilastri:

  • Presupporre una violazione
    A partire dal presupposto che il sistema sia già stato violato, concentrarsi sul rilevamento e sulla limitazione dell'impatto delle violazioni rispetto al solo tentativo di prevenire gli attacchi.

  • Protezione avanzata per impostazione predefinita
    Poiché l'infrastruttura viene eseguita su hardware e software ben definiti, l'hub di Azure Stack abilita, configura e convalida tutte le funzionalità di sicurezza per impostazione predefinita.

Poiché l'hub di Azure Stack viene distribuito come sistema integrato, il comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack è definito da Microsoft. Proprio come in Azure, i tenant sono responsabili della definizione del comportamento di sicurezza dei carichi di lavoro del tenant. Questo documento fornisce informazioni fondamentali sul comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack.

Crittografia dei dati inattivi

Tutti i dati dell'infrastruttura dell'hub di Azure Stack e del tenant vengono crittografati inattivi usando BitLocker. Questa crittografia protegge dalla perdita fisica o dal furto dei componenti di archiviazione dell'hub di Azure Stack. Per altre informazioni, vedere Crittografia dei dati inattivi nell'hub di Azure Stack.

Crittografia dei dati in transito

I componenti dell'infrastruttura dell'hub di Azure Stack comunicano usando canali crittografati con TLS 1.2. I certificati di crittografia sono autogestito dall'infrastruttura.

Tutti gli endpoint dell'infrastruttura esterna, ad esempio gli endpoint REST o il portale dell'hub di Azure Stack, supportano TLS 1.2 per le comunicazioni sicure. I certificati di crittografia, provenienti da terze parti o dall'autorità di certificazione aziendale, devono essere forniti per tali endpoint.

Anche se i certificati autofirmato possono essere usati per questi endpoint esterni, Microsoft consiglia vivamente di usarli. Per altre informazioni su come applicare TLS 1.2 negli endpoint esterni dell'hub di Azure Stack, vedere Configurare i controlli di sicurezza dell'hub di Azure Stack.

Gestione dei segreti

L'infrastruttura dell'hub di Azure Stack usa una moltitudine di segreti, ad esempio password e certificati, per funzionare. La maggior parte delle password associate agli account del servizio interno viene ruotata automaticamente ogni 24 ore perché sono account del servizio gestito (gMSA), un tipo di account di dominio gestito direttamente dal controller di dominio interno.

L'infrastruttura dell'hub di Azure Stack usa chiavi RSA a 4096 bit per tutti i certificati interni. Gli stessi certificati di lunghezza della chiave possono essere usati anche per gli endpoint esterni. Per altre informazioni sui segreti e sulla rotazione dei certificati, vedere Ruotare i segreti nell'hub di Azure Stack.

Controllo di applicazioni di Windows Defender

L’hub di Azure Stack usa le funzionalità di sicurezza di Windows Server più recenti. Uno di essi è Windows Defender Application Control (WDAC, noto in precedenza come Integrità del codice), che fornisce filtri eseguibili e garantisce che solo il codice autorizzato venga eseguito all'interno dell'infrastruttura dell'hub di Azure Stack.

Il codice autorizzato è firmato da Microsoft o dal partner OEM. Il codice autorizzato firmato è incluso nell'elenco di software consentito specificato in un criterio definito da Microsoft. In altre parole, è possibile eseguire solo software approvato per l'esecuzione nell'infrastruttura dell'hub di Azure Stack. Qualunque tentativo di esecuzione di codice non autorizzato viene bloccato e viene generato un avviso. L’hub di Azure Stack applica sia User Mode Code Integrity (UMCI) sia Hypervisor Code Integrity (HVCI).

Il criterio WDAC impedisce anche l'esecuzione di agenti o software di terze parti nell'infrastruttura dell'hub di Azure Stack. Per altre informazioni su WDAC, vedere Controllo delle applicazioni di Windows Defender e protezione basata sulla virtualizzazione dell'integrità del codice.

Antimalware

Ogni componente nell'hub di Azure Stack (host Hyper-V e macchine virtuali) è protetto con Windows Defender Antivirus.

Negli scenari connessi, gli aggiornamenti delle definizioni antivirus e del motore vengono applicati più volte al giorno. Negli scenari disconnessi, gli aggiornamenti antimalware vengono applicati come parte degli aggiornamenti mensili dell'hub di Azure Stack. Nel caso in cui sia necessario un aggiornamento più frequente alle definizioni di Windows Defender in scenari disconnessi, l'hub di Azure Stack supporta anche l'importazione degli aggiornamenti di Windows Defender. Per altre informazioni, vedere Aggiornare Windows Defender Antivirus nell'hub di Azure Stack.

Avvio protetto

L'hub di Azure Stack applica l'avvio protetto in tutti gli host Hyper-V e le macchine virtuali dell'infrastruttura.

Modello di amministrazione vincolata

L'amministrazione nell'hub di Azure Stack viene controllata tramite tre punti di ingresso, ognuno con uno scopo specifico:

  • Il portale di amministrazione offre un'esperienza di puntamento e clic per le operazioni di gestione giornaliere.
  • Azure Resource Manager espone tutte le operazioni di gestione del portale di amministrazione tramite un'API REST, usata da PowerShell e dall'interfaccia della riga di comando di Azure.
  • Per operazioni di basso livello specifiche( ad esempio, scenari di integrazione o supporto del data center), l'hub di Azure Stack espone un endpoint di PowerShell denominato endpoint con privilegi. Questo endpoint espone solo un set consentito di cmdlet e viene controllato pesantemente.

Controlli di rete

L'infrastruttura dell'hub di Azure Stack include più livelli di elenco di Controllo di accesso di rete( ACL). Gli ACL impediscono l'accesso non autorizzato ai componenti dell'infrastruttura e limitano le comunicazioni dell'infrastruttura solo ai percorsi necessari per il funzionamento.

Gli ACL di rete vengono applicati in tre livelli:

  • Livello 1: commutatori Top of Rack
  • Livello 2: Rete definita dal software
  • Livello 3: firewall del sistema operativo host e della macchina virtuale

Conformità alle normative

L'hub di Azure Stack ha eseguito una valutazione formale delle funzionalità da parte di una società di controllo indipendente da terze parti. Di conseguenza, è disponibile la documentazione su come l'infrastruttura dell'hub di Azure Stack soddisfi i controlli applicabili di diversi standard di conformità principali. La documentazione non è una certificazione dell'hub di Azure Stack perché gli standard includono diversi controlli correlati al personale e ai processi. I clienti possono invece usare questa documentazione per avviare rapidamente il processo di certificazione.

Le valutazioni includono gli standard seguenti:

  • PCI-DSS si rivolge al settore delle carte di pagamento.
  • CSA Cloud Control Matrix è un mapping completo tra più standard, tra cui FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 e altri.
  • FedRAMP High per i clienti pubblici.

La documentazione sulla conformità è disponibile in Microsoft Service Trust Portal. Le guide alla conformità sono una risorsa protetta e richiedono l'accesso con le credenziali del servizio cloud di Azure.

Iniziativa EU Schrems II per l'hub di Azure Stack

Microsoft ha annunciato l'intenzione di superare gli impegni esistenti di archiviazione dei dati consentendo ai clienti basati sull'UE di elaborare e archiviare tutti i dati nell'UE; non sarà più necessario archiviare i dati all'esterno dell'UE. Questo impegno avanzato include i clienti dell'hub di Azure Stack. Per altre informazioni, vedere Answering Europe's Call: Storing and Processing EU Data in the EU .See Answering Europe's Call: Storing and Processing EU Data in the EU.See Answering Europe's Call: Storing and Processing EU Data in the EU for more information.

A partire dalla versione 2206, è possibile selezionare la preferenza geografica per l'elaborazione dei dati nelle distribuzioni esistenti dell'hub di Azure Stack. Dopo aver scaricato l'hotfix, si riceverà l'avviso seguente.

Screenshot che mostra la finestra Avvisi del dashboard del portale di amministrazione dell'hub di Azure Stack con l'avviso Area geografica non fornita elencata.

Nota

È anche possibile che gli ambienti disconnessi siano necessari per selezionare una georilevazione dei dati. Si tratta di una configurazione monouso che influisce sulla posizione di residenza dei dati se l'operatore fornisce dati di diagnostica a Microsoft. Se l'operatore non fornisce dati di diagnostica a Microsoft, questa impostazione non include alcuna ramificazione.

È possibile risolvere questo avviso per la distribuzione esistente dell'hub di Azure Stack in uno dei due modi, a seconda delle preferenze geografiche per l'archiviazione e l'elaborazione dei dati.

  • Se si sceglie di archiviare ed elaborare i dati all'interno dell'UE, eseguire il cmdlet di PowerShell seguente per impostare le preferenze geografiche. La località di residenza per i dati verrà aggiornata e tutti i dati verranno archiviati ed elaborati nell'UE.

    Set-DataResidencyLocation -Europe

  • Se si sceglie di archiviare ed elaborare i dati all'esterno dell'UE, eseguire il cmdlet di PowerShell seguente per impostare le preferenze geografiche. La posizione di residenza per i dati verrà aggiornata e tutti i dati verranno elaborati all'esterno dell'UE.

    Set-DataResidencyLocation -Europe:$false

Dopo aver risolto questo avviso, è possibile verificare la preferenza dell'area geografica nel portale di amministrazione Finestra Proprietà.

Screenshot che mostra il portale di amministrazione dell'hub di Azure Stack Finestra Proprietà con la proprietà Data Geolocation ora impostata su Europe.

Le nuove distribuzioni dell'hub di Azure Stack possono impostare l'area geografica durante la configurazione e la distribuzione.

Passaggi successivi