Azure Stack Hub セキュリティ コントロールを構成する

この記事では、Azure Stack Hub で変更できるセキュリティ コントロールについて説明し、そのトレードオフについては該当する場合に重点的に説明します。

Azure Stack Hub アーキテクチャは、"セキュリティ侵害の想定" と "既定でのセキュリティ機能の組込み" という 2 つのセキュリティ原則の柱に基づいて構築されています。 Azure Stack Hub セキュリティの詳細については、Azure Stack Hub インフラストラクチャのセキュリティ体制に関する記事を参照してください。 Azure Stack Hub の既定のセキュリティ体制は実稼働可能ですが、追加の強化を必要とするいくつかのデプロイ シナリオがあります。

TLS バージョン ポリシー

トランスポート層セキュリティ (TLS) プロトコルは、ネットワーク経由で暗号化された通信を確立するために広く採用されている暗号プロトコルです。 TLS は、時間の経過と共に進化し、複数のバージョンがリリースされています。 Azure Stack Hub インフラストラクチャでは、そのすべての通信に TLS 1.2 のみを使用しています。 外部インターフェイスについては、Azure Stack Hub では現在、TLS 1.2 が既定で使用されています。 ただし、下位互換性のため、TLS 1.1 および 1\.0 のネゴシエートもサポートしています。 TLS クライアントによって TLS 1.1 または TLS 1.0 経由の通信が要求されると、Azure Stack Hub は下位の TLS バージョンとネゴシエートして要求を受け入れます。 クライアントによって TLS 1.2 を要求されると、Azure Stack Hub は TLS 1.2 を使用して TLS 接続を確立します。

TLS 1.0 と 1.1 は組織やコンプライアンス標準で徐々に非推奨または禁止になっているため、Azure Stack Hub で TLS ポリシーを構成できるようになりました。 TLS 1.2 より前のバージョンで TLS セッションを確立する試みを許可せずに拒否する TLS 1.2 のみのポリシーを適用できます。

重要

Microsoft では、Azure Stack Hub の運用環境には TLS 1.2 のみのポリシーの使用をお勧めしています。

TLS ポリシーを取得する

特権エンドポイント (PEP) を使用して、すべての Azure Stack Hub エンドポイントの TLS ポリシーを表示します。

Get-TLSPolicy

出力例:

TLS_1.2

TLS ポリシーを設定する

特権エンドポイント (PEP) を使用して、すべての Azure Stack Hub エンドポイントの TLS ポリシーを設定します。

Set-TLSPolicy -Version <String>

Set-TLSPolicy コマンドレットのパラメーター:

パラメーター 説明 Type 必須
Version Azure Stack Hub で許可されている TLS のバージョン String はい

すべての Azure Stack Hub エンドポイントに対して許可された TLS バージョンを構成するには、次のいずれかの値を使用します。

バージョンの値 説明
TLS_All Azure Stack Hub の TLS エンドポイントでは、TLS 1.2 がサポートされていますが、TLS 1.1 と TLS 1.0 のダウン ネゴシエーションは許可されています。
TLS_1.2 Azure Stack Hub の TLS エンドポイントでは、TLS 1.2 のみがサポートされます。

TLS ポリシーの更新は、完了するまで数分かかります。

TLS 1.2 構成例を適用する

この例では、TLS 1.2 のみを適用するように TLS ポリシーを設定します。

Set-TLSPolicy -Version TLS_1.2

出力例:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

TLS のすべてのバージョン (1.2、1.1、1.0) の構成例を許可する

この例では、TLS のすべてのバージョン (1.2、1.1、1.0) を許可するように TLS ポリシーを設定します。

Set-TLSPolicy -Version TLS_All

出力例:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

特権エンドポイント (PEP) セッションへのログイン時に、法的通知を表示すると便利なシナリオがあります。 Set-AzSLegalNotice コマンドレットと Get-AzSLegalNotice コマンドレットは、このような法的通知のテキストのキャプションと本文の管理に使用されます。

法的通知のキャプションとテキストを設定するには、Set-AzSLegalNotice コマンドレットに関するページをご確認ください。 法的通知のキャプションとテキストが以前に設定されている場合、それを確認するには、Get-AzSLegalNotice cmdlet を使用します。

次のステップ