Beveiligingsmaatregelen voor azure Stack Hub-infrastructuur

Beveiligingsoverwegingen en nalevingsvoorschriften vormen de belangrijkste motivaties voor het gebruik van hybride clouds. Azure Stack Hub is ontworpen voor deze scenario's. In dit artikel worden de beveiligingscontroles voor Azure Stack Hub uitgelegd.

Twee beveiligingspostuurlagen bestaan naast elkaar in Azure Stack Hub. De eerste laag is de Azure Stack Hub-infrastructuur, die de hardwareonderdelen tot aan Azure Resource Manager omvat. De eerste laag bevat de beheerder en de gebruikersportals. De tweede laag bestaat uit de workloads die zijn gemaakt, geïmplementeerd en beheerd door tenants. De tweede laag bevat items zoals virtuele machines en App Services-websites.

Beveiligingsbenadering

Het beveiligingspostuur voor Azure Stack Hub is ontworpen om te beschermen tegen moderne bedreigingen en is gebouwd om te voldoen aan de vereisten van de belangrijkste nalevingsstandaarden. Als gevolg hiervan is de beveiligingspostuur van de Azure Stack Hub-infrastructuur gebaseerd op twee pijlers:

• Ga ervan uit dat er inbreuk is
  Vanaf de veronderstelling dat het systeem al is geschonden, richt u zich op het detecteren en beperken van de impact van schendingen versus alleen het voorkomen van aanvallen.

• Standaard beperkt
  Omdat de infrastructuur wordt uitgevoerd op goed gedefinieerde hardware en software, schakelt Azure Stack Hub standaard alle beveiligingsfuncties in, configureert en valideert.

Omdat Azure Stack Hub wordt geleverd als geïntegreerd systeem, wordt het beveiligingspostuur van de Azure Stack Hub-infrastructuur gedefinieerd door Microsoft. Net als in Azure zijn tenants verantwoordelijk voor het definiëren van het beveiligingspostuur van hun tenantworkloads. Dit document biedt basiskennis van de beveiligingspostuur van de Azure Stack Hub-infrastructuur.

Versleuteling van data-at-rest

Alle Infrastructuur- en tenantgegevens van Azure Stack Hub worden in rust versleuteld met BitLocker. Deze versleuteling beschermt tegen fysiek verlies of diefstal van Azure Stack Hub-opslagonderdelen. Zie data-at-rest-versleuteling in Azure Stack Hub voor meer informatie.

Versleuteling van gegevens in transit

De onderdelen van de Azure Stack Hub-infrastructuur communiceren met behulp van kanalen die zijn versleuteld met TLS 1.2. Versleutelingscertificaten worden zelf beheerd door de infrastructuur.

Alle eindpunten voor externe infrastructuur, zoals de REST-eindpunten of de Azure Stack Hub-portal, ondersteunen TLS 1.2 voor beveiligde communicatie. Versleutelingscertificaten, van een derde partij of uw certificeringsinstantie voor ondernemingen, moeten worden opgegeven voor deze eindpunten.

Hoewel zelfondertekende certificaten kunnen worden gebruikt voor deze externe eindpunten, raadt Microsoft ten zeere aan om ze te gebruiken. Zie Azure Stack Hub-beveiligingsmaatregelen configureren voor meer informatie over het afdwingen van TLS 1.2 op de externe eindpunten van Azure Stack Hub.

Geheimenbeheer

Azure Stack Hub-infrastructuur maakt gebruik van een groot aantal geheimen, zoals wachtwoorden en certificaten, om te functioneren. De meeste wachtwoorden die zijn gekoppeld aan de interne serviceaccounts, worden elke 24 uur automatisch geroteerd omdat ze beheerde serviceaccounts (gMSA) zijn, een type domeinaccount dat rechtstreeks wordt beheerd door de interne domeincontroller.

Azure Stack Hub-infrastructuur maakt gebruik van 4096-bits RSA-sleutels voor alle interne certificaten. Dezelfde sleutellengtecertificaten kunnen ook worden gebruikt voor de externe eindpunten. Raadpleeg Geheimen roteren in Azure Stack Hub voor meer informatie over geheimen en certificaatrotatie.

Windows Defender Application Control

Azure Stack Hub maakt gebruik van de nieuwste Windows Server-beveiligingsfuncties. Een hiervan is Windows Defender Application Control (WDAC, voorheen code-integriteit genoemd), dat uitvoerbare bestanden filtert en ervoor zorgt dat alleen geautoriseerde code wordt uitgevoerd binnen de Azure Stack Hub-infrastructuur.

Geautoriseerde code wordt ondertekend door Microsoft of de OEM-partner. De ondertekende geautoriseerde code wordt opgenomen in de lijst met toegestane software die is opgegeven in een beleid dat door Microsoft is gedefinieerd. Met andere woorden, alleen software die is goedgekeurd voor uitvoering in de Azure Stack Hub-infrastructuur, kan worden uitgevoerd. Pogingen om niet-geautoriseerde code uit te voeren, worden geblokkeerd en leiden tot waarschuwingen. Azure Stack Hub dwingt zowel User Mode Code Integrity (UMCI) als Hypervisor Code Integrity (HVCI) af.

Het WDAC-beleid voorkomt ook dat agents of software van derden worden uitgevoerd in de Azure Stack Hub-infrastructuur. Raadpleeg Windows Defender Application Control en virtualisatiebeveiliging op basis van code-integriteit voor meer informatie over WDAC.

Antimalware

Elk onderdeel in Azure Stack Hub (zowel Hyper-V-hosts als virtuele machines) wordt beveiligd met Windows Defender Antivirus.

In verbonden scenario's worden antivirusdefinities en engine-updates meerdere keren per dag toegepast. In niet-verbonden scenario's worden antimalware-updates toegepast als onderdeel van maandelijkse Azure Stack Hub-updates. Als een frequentere update van de definities van Windows Defender vereist is in niet-verbonden scenario's, biedt Azure Stack Hub ook ondersteuning voor het importeren van Windows Defender-updates. Zie Windows Defender Antivirus bijwerken in Azure Stack Hub voor meer informatie.

Secure Boot

Azure Stack Hub dwingt Beveiligd opstarten af op alle Hyper-V-hosts en virtuele machines met infrastructuur.

Beperkt beheermodel

Beheer in Azure Stack Hub wordt beheerd via drie toegangspunten, elk met een specifiek doel:

• De beheerportal biedt een point-and-click-ervaring voor dagelijkse beheerbewerkingen.
• Azure Resource Manager maakt alle beheerbewerkingen van de beheerportal beschikbaar via een REST API, die wordt gebruikt door PowerShell en Azure CLI.
• Voor specifieke bewerkingen op laag niveau (bijvoorbeeld datacenterintegratie of ondersteuningsscenario's), maakt Azure Stack Hub een PowerShell-eindpunt beschikbaar met de naam Privileged Endpoint. Dit eindpunt maakt alleen een toegestane set cmdlets beschikbaar en wordt zwaar gecontroleerd.

Netwerkbediening

Azure Stack Hub-infrastructuur wordt geleverd met meerdere lagen netwerktoegangsbeheerlijst (ACL). De ACL's verhinderen onbevoegde toegang tot de infrastructuuronderdelen en beperken de communicatie van de infrastructuur tot alleen de paden die vereist zijn voor de werking ervan.

Netwerk-ACL's worden afgedwongen in drie lagen:

• Laag 1: Top of Rack-switches
• Laag 2: Software-gedefinieerd netwerk
• Laag 3: Firewalls van host- en VM-besturingssysteem

Naleving van regelgeving

Azure Stack Hub heeft een formele mogelijkheidsevaluatie doorlopen door een onafhankelijke auditfirma van derden. Als gevolg hiervan is documentatie over de wijze waarop de Azure Stack Hub-infrastructuur voldoet aan de toepasselijke controles van verschillende belangrijke nalevingsstandaarden beschikbaar. De documentatie is geen certificering van Azure Stack Hub, omdat de standaarden betrekking hebben op verschillende personeels- en procesgerelateerde controles. In plaats daarvan kunnen klanten deze documentatie gebruiken om hun certificeringsproces snel te starten.

De evaluaties omvatten de volgende standaarden:

• PCI-DSS heeft betrekking op de betaalkaartindustrie.
• CSA Cloud Control Matrix is een uitgebreide toewijzing voor meerdere standaarden, waaronder FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 en andere.
• FedRAMP High voor overheidsklanten.

De documentatie over naleving vindt u in de Microsoft Service Trust Portal. De compliancehandleidingen zijn een beveiligde resource en vereisen dat u zich aanmeldt met uw Azure-cloudservicereferenties.

EU Schrems II-initiatief voor Azure Stack Hub

Microsoft heeft aangekondigd de bestaande toezeggingen voor gegevensopslag te overschrijden door klanten op basis van de EU in staat te stellen al hun gegevens in de EU te verwerken en op te slaan; u hoeft geen gegevens meer op te slaan buiten de EU. Deze verbeterde toezegging omvat Klanten van Azure Stack Hub. Zie De oproep van Europa beantwoorden: EU-gegevens opslaan en verwerken in de EU voor meer informatie.

Vanaf versie 2206 kunt u uw geografische voorkeur voor gegevensverwerking selecteren voor bestaande Azure Stack Hub-implementaties. Nadat u de hotfix hebt gedownload, ontvangt u de volgende waarschuwing.

Notitie

Niet-verbonden omgevingen zijn mogelijk ook vereist om een gegevensgeolocatie te selecteren. Dit is een eenmalige installatie die van invloed is op de locatie van de gegevenslocatie als de operator diagnostische gegevens aan Microsoft levert. Als de operator geen diagnostische gegevens aan Microsoft verstrekt, heeft deze instelling geen gevolgen.

U kunt deze waarschuwing voor uw bestaande Azure Stack Hub-implementatie op twee manieren oplossen, afhankelijk van uw geografische voorkeur voor het opslaan en verwerken van uw gegevens.

• Als u ervoor kiest om uw gegevens in de EU op te slaan en te verwerken, voert u de volgende PowerShell-cmdlet uit om geografische voorkeur in te stellen. De locatie van de locatie voor de gegevens wordt bijgewerkt en alle gegevens worden opgeslagen en verwerkt in de EU.

  Set-DataResidencyLocation -Europe
  

• Als u ervoor kiest om uw gegevens buiten de EU op te slaan en te verwerken, voert u de volgende PowerShell-cmdlet uit om geografische voorkeur in te stellen. De locatie van de locatie voor de gegevens wordt bijgewerkt en alle gegevens worden buiten de EU verwerkt.

  Set-DataResidencyLocation -Europe:$false
  

Nadat u deze waarschuwing hebt opgelost, kunt u de voorkeur voor uw geografische regio controleren in de beheerportal venster Eigenschappen.

Nieuwe Azure Stack Hub-implementaties kunnen geografische regio's instellen tijdens het instellen en implementeren.

Volgende stappen

• Azure Stack Hub-beveiligingscontroles configureren
• Meer informatie over het roteren van uw geheimen in Azure Stack Hub
• PCI-DSS en de CSA-CCM-documenten voor Azure Stack Hub