Azure Stack Hub-beveiligingscontroles configureren
In dit artikel worden de beveiligingscontroles uitgelegd die kunnen worden gewijzigd in Azure Stack Hub en worden de compromissen besproken, indien van toepassing.
Azure Stack Hub-architectuur is gebaseerd op twee pijlers van het beveiligingsprincipe: ervan uitgaan dat inbreuk is gemaakt en standaard is beveiligd. Zie Azure Stack Hub-infrastructuurbeveiligingspostuur voor meer informatie over azure Stack Hub-beveiliging. Hoewel de standaardbeveiligingspostuur van Azure Stack Hub gereed is voor productie, zijn er enkele implementatiescenario's waarvoor extra beveiliging is vereist.
TLS-versiebeleid
Het TLS-protocol (Transport Layer Security) is een veelgebruikt cryptografisch protocol om versleutelde communicatie via het netwerk tot stand te brengen. TLS is in de loop van de tijd geƫvolueerd en er zijn meerdere versies uitgebracht. Azure Stack Hub-infrastructuur maakt uitsluitend gebruik van TLS 1.2 voor alle communicatie. Voor externe interfaces gebruikt Azure Stack Hub momenteel standaard TLS 1.2. Voor compatibiliteit met eerdere versies ondersteunt het echter ook onderhandelen naar TLS 1.1. en 1.0. Wanneer een TLS-client een aanvraag indient om te communiceren via TLS 1.1 of TLS 1.0, honoreert Azure Stack Hub de aanvraag door te onderhandelen over een lagere TLS-versie. Als de client TLS 1.2 aanvraagt, maakt Azure Stack Hub een TLS-verbinding met behulp van TLS 1.2.
Aangezien TLS 1.0 en 1.1 stapsgewijs worden afgeschaft of verboden door organisaties en nalevingsstandaarden, kunt u nu het TLS-beleid configureren in Azure Stack Hub. U kunt alleen tls 1.2-beleid afdwingen wanneer een poging om een TLS-sessie tot stand te brengen met een versie lager dan 1.2 niet is toegestaan en wordt geweigerd.
Belangrijk
Microsoft raadt aan om alleen TLS 1.2-beleid te gebruiken voor Azure Stack Hub-productieomgevingen.
TLS-beleid ophalen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid voor alle Azure Stack Hub-eindpunten weer te geven:
Get-TLSPolicy
Voorbeelduitvoer:
TLS_1.2
TLS-beleid instellen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid in te stellen voor alle Azure Stack Hub-eindpunten:
Set-TLSPolicy -Version <String>
Parameters voor de cmdlet Set-TLSPolicy :
Parameter | Beschrijving | Type | Vereist |
---|---|---|---|
Versie | Toegestane versies van TLS in Azure Stack Hub | Tekenreeks | ja |
Gebruik een van de volgende waarden om de toegestane TLS-versies te configureren voor alle Azure Stack Hub-eindpunten:
Versiewaarde | Beschrijving |
---|---|
TLS_All | TLS-eindpunten van Azure Stack Hub ondersteunen TLS 1.2, maar down-onderhandeling naar TLS 1.1 en TLS 1.0 is toegestaan. |
TLS_1.2 | TLS-eindpunten van Azure Stack Hub ondersteunen alleen TLS 1.2. |
Het bijwerken van het TLS-beleid duurt enkele minuten.
Voorbeeld van TLS 1.2-configuratie afdwingen
In dit voorbeeld wordt uw TLS-beleid zo ingesteld dat alleen TLS 1.2 wordt afgedwongen.
Set-TLSPolicy -Version TLS_1.2
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Alle versies van tls-configuratievoorbeelden (1.2, 1.1 en 1.0) toestaan
In dit voorbeeld wordt uw TLS-beleid zo ingesteld dat alle versies van TLS (1.2, 1.1 en 1.0) zijn toegestaan.
Set-TLSPolicy -Version TLS_All
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Juridische kennisgeving voor PEP-sessies
Er zijn scenario's waarin het handig is om een juridische kennisgeving weer te geven bij het aanmelden bij een PEP-sessie (Privileged Endpoint). De cmdlets Set-AzSLegalNotice en Get-AzSLegalNotice worden gebruikt voor het beheren van de onderschrift en de hoofdtekst van dergelijke juridische kennisgevingstekst.
Als u de juridische kennisgeving onderschrift en tekst wilt instellen, raadpleegt u de cmdlet Set-AzSLegalNotice. Als de juridische kennisgeving onderschrift en tekst eerder zijn ingesteld, kunt u deze controleren met behulp van de cmdlet Get-AzSLegalNotice.