Planningsoverwegingen voor een veilige configuratie

Voltooid

Aangezien de implementatie van servers met Arc duizenden machines omvat in meerdere kantoren die bedrijfskritieke workloads verwerken, is beveiliging belangrijk voor Wide World Importers. Wanneer u een veilige implementatie plant, is het belangrijk om te overwegen hoe toegangsrollen, beleidsregels en netwerken tegelijk kunnen worden toegepast om naleving en beveiliging van resources te garanderen.

Servers met Azure Arc profiteren niet alleen van ingebouwde beveiliging met zorgvuldige versleuteling en het delen van gegevens, maar hebben ook een reeks extra beveiligingsconfiguraties. Om een veilige implementatie te garanderen, moet u mogelijk een effectieve landingszone voorbereiden voor resources met Arc door de juiste toegangsbeheer, governance-infrastructuur en geavanceerde netwerkopties te configureren. In deze les leert u het volgende:

  1. Op rollen gebaseerd toegangsbeheer (RBAC) configureren: ontwikkel een toegangsplan om te bepalen wie toegang heeft tot het beheren van servers met Azure Arc en de mogelijkheid om hun gegevens van andere Azure-services weer te geven.

  2. Ontwikkel een Azure Policy-beheerplan: Bepaal hoe u governance van hybride servers en machines implementeert binnen het abonnements- of resourcegroepbereik met Azure Policy.

  3. Selecteer Geavanceerde netwerkopties: Evalueer of proxyserver of Azure Private Link nodig zijn voor de implementatie van uw server met Arc

Identiteiten en Access Control beveiligen

Elke server met Azure Arc heeft een beheerde identiteit als onderdeel van een resourcegroep binnen een Azure-abonnement. Deze identiteit vertegenwoordigt de server waarop on-premises of een andere cloudomgeving wordt uitgevoerd. Toegang tot deze resource wordt beheerd door standaard op rollen gebaseerd toegangsbeheer van Azure (RBAC). Twee serverfuncties met Arc zijn de rol Onboarding van Azure Connected Machine en de rol Azure Connected Machine Resource Administrator.

De onboardingfunctie voor Azure Connected Machine is beschikbaar voor onboarding op schaal en kan alleen nieuwe servers met Azure Arc in Azure lezen of maken. Het kan niet worden gebruikt om servers te verwijderen die al zijn geregistreerd of extensies beheren. Als best practice raden we u aan deze rol alleen toe te wijzen aan de Azure Active Directory-service-principal (Azure AD) die wordt gebruikt voor het onboarden van machines op schaal.

Gebruikers als lid van de rol Resourcebeheerder van Azure Connected Machine kunnen een computer lezen, wijzigen, opnieuw aan boord gaan en verwijderen. Deze rol is ontworpen ter ondersteuning van het beheer van servers met Azure Arc, maar niet voor andere resources in de resourcegroep of het abonnement.

Daarnaast gebruikt de Azure Connected Machine-agent verificatie met openbare sleutels om te communiceren met de Azure-service. Nadat u een server hebt onboarden naar Azure Arc, wordt een persoonlijke sleutel opgeslagen op de schijf en gebruikt wanneer de agent communiceert met Azure. Als deze wordt gestolen, kan de persoonlijke sleutel op een andere server worden gebruikt om met de service te communiceren en te fungeren alsof deze de oorspronkelijke server was. Dit omvat het verkrijgen van toegang tot de door het systeem toegewezen identiteit en alle resources waartoe de identiteit toegang heeft. Het bestand met de persoonlijke sleutel is beveiligd om alleen toegang te verlenen tot het HIMDS-account om het te lezen. Om offlineaanvallen te voorkomen, raden we u ten zeerste aan om volledige schijfversleuteling (bijvoorbeeld BitLocker, dm-crypt, enzovoort) te gebruiken op het besturingssysteemvolume van uw server.

Azure Policy governance

Naleving van regelgeving in Azure Policy biedt door Microsoft gemaakte en beheerde initiatiefdefinities, bekend als ingebouwde modules, voor de nalevingsdomeinen en beveiligingsmaatregelen met betrekking tot verschillende nalevingsstandaarden. Enkele Azure-beleidsregels voor naleving van regelgeving zijn:

  • Australian Government ISM PROTECTED
  • Azure Security-benchmark
  • Azure Security Benchmark v1
  • Canada Federal PBMM
  • CMMC-niveau 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 september 2016
  • ISO 27001:2013
  • Nieuw-Zeeland ISM beperkt
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL en UK NHS

Voordat u servers met Azure Arc implementeert in een resourcegroep, kunt u systeemtisch Azure-beleid definiëren en toewijzen met hun respectieve hersteltaken op het niveau van de resourcegroep, het abonnement of de beheergroep, om ervoor te zorgen dat er controle- en nalevingsrails aanwezig zijn.

Naast het openbare eindpunt zijn twee andere beveiligde netwerkopties voor servers met Azure Arc proxyserver en Azure Private Link.

Als uw computer communiceert via een proxyserver om verbinding te maken met internet, kunt u het IP-adres van de proxyserver opgeven of de naam en het poortnummer dat de computer gebruikt om te communiceren met de proxyserver. Deze specificatie kan rechtstreeks in de Azure Portal worden gemaakt bij het genereren van een script voor het onboarden van meerdere machines naar Arc.

Voor scenario's met hoge beveiliging kunt u met Azure Private Link azure PaaS-services veilig koppelen aan uw virtuele netwerk met behulp van privé-eindpunten. Voor veel services stelt u een eindpunt per resource in. Dit betekent dat u uw on-premises of multicloudservers kunt verbinden met Azure Arc en al het verkeer via een Azure ExpressRoute- of site-naar-site-VPN-verbinding kunt verzenden in plaats van openbare netwerken te gebruiken. Door gebruik te maken van Private Link met servers met Arc, kunt u het volgende doen:

  • Maak privé verbinding met Azure Arc zonder openbare netwerktoegang te openen.
  • Zorg ervoor dat gegevens van de computer of server met Azure Arc alleen toegankelijk zijn via geautoriseerde privénetwerken.
  • Verbind uw privé-on-premises netwerk veilig met Azure Arc met behulp van ExpressRoute en Private Link.
  • Houd al het verkeer binnen het Backbone-netwerk van Microsoft Azure.

Afbeelding van beveiligde netwerken voor servers met Azure Arc via Azure Private Link.