Общие сведения о безопасности серверов с поддержкой Azure Arc
В этой статье описываются вопросы безопасности и элементы управления, доступные при использовании серверов с поддержкой Azure Arc. Независимо от того, являетесь ли вы специалистом по безопасности или ИТ-оператором, сведения в этой статье позволяют уверенно настроить Azure Arc таким образом, чтобы соответствовать требованиям к безопасности вашей организации.
Обязанности
Безопасность развертывания серверов с поддержкой Azure Arc является общей ответственностью между вами и корпорацией Майкрософт. Корпорация Майкрософт несет ответственность за:
- Защита облачной службы, в которой хранятся системные метаданные и операции оркестрации для агентов, подключающихся к службе.
- Защита и защита конфиденциальности метаданных системы, хранящихся в Azure.
- Документирование дополнительных функций безопасности, чтобы понять преимущества и недостатки параметров развертывания.
- Публикация регулярных обновлений агента с улучшениями безопасности, качества, производительности и функций.
Вы несете ответственность за:
- Управление доступом RBAC к ресурсам с поддержкой Azure Arc и мониторингу в подписке Azure.
- Защита и регулярное смена учетных данных всех учетных записей, используемых для управления серверами с поддержкой Azure Arc. Сюда входят все секреты или учетные данные субъекта-службы, используемые для подключения новых серверов.
- Определение того, следует ли применять какие-либо функции безопасности, описанные в этом документе (например, списки разрешений расширений) к развернутому агенту подключенного компьютера Azure.
- Поддержание актуальности агента и расширений подключенного компьютера Azure.
- Определение соответствия Azure Arc юридическим, нормативным и нормативным обязательствам вашей организации и внутренним политикам.
- Защита самого сервера, включая вычислительные ресурсы, хранилище и сетевую инфраструктуру, используемую для запуска сервера.
Обзор архитектуры
Серверы с поддержкой Azure Arc — это служба на основе агента. Взаимодействие с Azure Arc в основном осуществляется через API, портал и интерфейсы управления Azure. Отображаемые данные и действия, выполняемые в Azure, передаются через агент подключенного компьютера Azure, установленный на каждом управляемом сервере. Azure — источник истины для агента. Единственный способ сообщить агенту что-то сделать (например, установить расширение) — выполнить действие в представлении сервера в Azure. Это помогает убедиться, что RBAC и назначения политик вашей организации могут оценивать запрос до внесения изменений.
Агент подключенного компьютера Azure — это в первую очередь платформа включения для других служб Azure и сторонних служб. К ее основным функциям относятся:
- Установка связи между компьютером и подпиской Azure
- Предоставление управляемого удостоверения для агента и других приложений, используемых при проверке подлинности с помощью Azure
- Включение других возможностей (агентов, скриптов) с расширениями
- Оценка и применение параметров на сервере
После установки агента подключенного компьютера Azure вы можете включить другие службы Azure на сервере, чтобы обеспечить мониторинг, управление исправлениями, удаленный доступ или другие потребности. Роль Azure Arc заключается в том, чтобы помочь этим службам работать за пределами собственных центров обработки данных Azure.
Вы можете использовать Политика Azure, чтобы ограничить возможности пользователей вашей организации с помощью Azure Arc. Облачные ограничения, такие как Политика Azure, являются отличным способом применять элементы управления безопасностью в масштабе, сохраняя гибкость для настройки ограничений в любое время. Однако иногда требуется еще более строгий контроль для защиты от законно привилегированной учетной записи, используемой для обхода мер безопасности (например, отключения политик). Для этого агент подключенного компьютера Azure также имеет собственные элементы управления безопасностью, которые имеют приоритет над любыми ограничениями, установленными в облаке.
Службы агента
Агент подключенного компьютера Azure — это сочетание четырех служб и управляющих программ, которые выполняются на сервере и помогают подключить его к Azure. Они устанавливаются вместе как одно приложение и управляются централизованно с помощью интерфейса командной строки azcmagent.
Служба метаданных гибридного экземпляра
Служба метаданных гибридного экземпляра (HIMDS) является основной службой в агенте и отвечает за регистрацию сервера в Azure, текущую синхронизацию метаданных (пульса), операции управляемого удостоверения и размещение локального REST API, который другие приложения могут запрашивать, чтобы узнать о подключении устройства к Azure. Эта служба не является непривилегированной и выполняется как виртуальная учетная запись (NT SERVICE\himds с sid S-1-5-80-4215458991-2034252222225-2287069555-1155419622-270185083) в Windows или стандартной учетной записи пользователя (хидд) в операционных системах Linux.
Диспетчер расширений
Диспетчер расширений отвечает за установку, настройку, обновление и удаление дополнительного программного обеспечения на компьютере. Из коробки Azure Arc не знает, как выполнять такие действия, как мониторинг или исправление компьютера. Вместо этого при выборе использования этих функций диспетчер расширений скачивает и включает эти возможности. Диспетчер расширений запускается как локальная система в Windows и корневой каталог в Linux, так как программное обеспечение, которое оно устанавливает, может потребовать полного доступа к системе. Вы можете ограничить, какие расширения диспетчер расширений может устанавливать или отключать его полностью, если вы не планируете использовать расширения.
Гостевая конфигурация
Служба гостевой конфигурации оценивает и применяет политики конфигурации компьютера Azure (гостевой) на сервере. Это специальные политики Azure, написанные в PowerShell Desired State Configuration для проверки параметров программного обеспечения на сервере. Служба гостевой конфигурации регулярно оценивает и сообщает о соответствии этим политикам, а если политика настроена в принудительном режиме, при необходимости изменит параметры в системе, чтобы вернуть компьютер в соответствие. Служба гостевой конфигурации выполняется в качестве локальной системы в Windows и корневом каталоге Linux, чтобы обеспечить доступ ко всем параметрам в вашей системе. Вы можете отключить функцию гостевой конфигурации, если вы не планируете использовать политики гостевой конфигурации.
Прокси-сервер Azure Arc
Служба прокси-сервера Azure Arc отвечает за агрегирование сетевого трафика из служб агента подключенного компьютера Azure и всех установленных расширений и принятия решений о том, куда направлять эти данные. Если вы используете шлюз Azure Arc для упрощения сетевых конечных точек, служба прокси-сервера Azure Arc — это локальный компонент, который перенаправит сетевые запросы через шлюз Azure Arc вместо маршрута по умолчанию. Прокси-сервер Azure Arc выполняется в качестве сетевой службы в Windows и стандартной учетной записи пользователя (arcproxy) в Linux. Он отключен по умолчанию, пока агент не будет настроен для использования шлюза Azure Arc.
Рекомендации по безопасности для ресурсов уровня 0
Ресурсы уровня 0, такие как контроллер домен Active Directory, сервер центра сертификации или сервер бизнес-приложений с высокой степенью конфиденциальности, можно подключить к Azure Arc с дополнительной осторожностью, чтобы обеспечить только нужные функции управления и авторизованных пользователей могут управлять серверами. Эти рекомендации не требуются, но настоятельно рекомендуется поддерживать состояние безопасности ресурсов уровня 0.
Выделенная подписка Azure
Доступ к серверам с поддержкой Azure Arc часто определяется иерархией организации, к которой она принадлежит в Azure. Вы должны рассматривать любую подписку или администратора группы управления как эквивалентную локальному администратору в ресурсах уровня 0, так как они могут использовать свои разрешения для добавления новых назначений ролей в ресурс Azure Arc. Кроме того, политики, применяемые на уровне подписки или группы управления, также могут иметь разрешение на внесение изменений на сервер.
Чтобы свести к минимуму количество учетных записей и политик с доступом к ресурсам уровня 0, рекомендуется использовать выделенную подписку Azure, которую можно внимательно отслеживать и настраивать с помощью максимально мало постоянных администраторов. Просмотрите политики Azure в любых родительских группах управления, чтобы убедиться, что они согласованы с вашим намерением для этих серверов.
Отключение ненужных функций управления
Для ресурса уровня 0 следует использовать элементы управления безопасностью локального агента, чтобы отключить любые неиспользуемые функции в агенте, чтобы предотвратить любое преднамеренное использование этих функций для внесения изменений на сервер. В том числе:
- Отключение возможностей удаленного доступа
- Настройка списка разрешений расширения для расширений, которые вы планируете использовать, или отключение диспетчера расширений, если вы не используете расширения
- Отключение агента конфигурации компьютера, если вы не планируете использовать политики конфигурации компьютера
В следующем примере показано, как заблокировать агент подключенного компьютера Azure для контроллера домена, который должен использовать агент Azure Monitor для сбора журналов безопасности для Microsoft Sentinel и Microsoft Defender для серверов для защиты от вредоносных программ:
azcmagent config set incomingconnections.enabled false
azcmagent config set guestconfiguration.enabled false
azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”