Udostępnij za pośrednictwem


Konfigurowanie mechanizmów kontroli zabezpieczeń usługi Azure Stack Hub

W tym artykule opisano mechanizmy kontroli zabezpieczeń, które można zmienić w usłudze Azure Stack Hub, i wyróżniono kompromisy, jeśli ma to zastosowanie.

Architektura usługi Azure Stack Hub jest oparta na dwóch filarach zasad zabezpieczeń: domyślnie zakładaj naruszenie i wzmacnianie zabezpieczeń. Aby uzyskać więcej informacji na temat zabezpieczeń usługi Azure Stack Hub, zobacz Stan zabezpieczeń infrastruktury usługi Azure Stack Hub. Chociaż domyślny stan zabezpieczeń usługi Azure Stack Hub jest gotowy do użycia w środowisku produkcyjnym, istnieją pewne scenariusze wdrażania, które wymagają dodatkowego wzmacniania zabezpieczeń.

Zasady wersji protokołu TLS

Protokół Tls (Transport Layer Security) to powszechnie przyjęty protokół kryptograficzny do ustanawiania zaszyfrowanej komunikacji za pośrednictwem sieci. Protokół TLS ewoluował wraz z upływem czasu i wydano wiele wersji. Infrastruktura usługi Azure Stack Hub używa wyłącznie protokołu TLS 1.2 do całej komunikacji. W przypadku interfejsów zewnętrznych usługa Azure Stack Hub obecnie domyślnie używa protokołu TLS 1.2. Jednak w przypadku zgodności z poprzednimi wersjami obsługuje również negocjowanie do protokołu TLS 1.1. i 1.0. Gdy klient TLS żąda komunikacji za pośrednictwem protokołu TLS 1.1 lub TLS 1.0, usługa Azure Stack Hub honoruje żądanie, negocjując niższą wersję protokołu TLS. Jeśli klient żąda protokołu TLS 1.2, usługa Azure Stack Hub nawiąże połączenie TLS przy użyciu protokołu TLS 1.2.

Ponieważ protokoły TLS 1.0 i 1.1 są przyrostowo przestarzałe lub zakazane przez organizacje i standardy zgodności, można teraz skonfigurować zasady TLS w usłudze Azure Stack Hub. Można wymusić tylko zasady protokołu TLS 1.2, w przypadku których każda próba ustanowienia sesji TLS z wersją niższą niż 1.2 nie jest dozwolona i jest odrzucana.

Ważne

Firma Microsoft zaleca używanie tylko zasad protokołu TLS 1.2 dla środowisk produkcyjnych usługi Azure Stack Hub.

Pobieranie zasad protokołu TLS

Użyj uprzywilejowanego punktu końcowego (PEP), aby wyświetlić zasady protokołu TLS dla wszystkich punktów końcowych usługi Azure Stack Hub:

Get-TLSPolicy

Przykładowe dane wyjściowe:

TLS_1.2

Ustawianie zasad protokołu TLS

Użyj uprzywilejowanego punktu końcowego (PEP), aby ustawić zasady protokołu TLS dla wszystkich punktów końcowych usługi Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parametry polecenia cmdlet Set-TLSPolicy :

Parametr Opis Typ Wymagane
Wersja Dozwolone wersje protokołu TLS w usłudze Azure Stack Hub Ciąg tak

Użyj jednej z następujących wartości, aby skonfigurować dozwolone wersje protokołu TLS dla wszystkich punktów końcowych usługi Azure Stack Hub:

Wartość wersji Opis
TLS_All Punkty końcowe protokołu TLS usługi Azure Stack Hub obsługują protokół TLS 1.2, ale dozwolone są negocjacje w dół do protokołu TLS 1.1 i TLS 1.0.
TLS_1.2 Punkty końcowe protokołu TLS usługi Azure Stack Hub obsługują tylko protokół TLS 1.2.

Ukończenie aktualizacji zasad protokołu TLS trwa kilka minut.

Przykład wymuszania konfiguracji protokołu TLS 1.2

W tym przykładzie ustawiono zasady protokołu TLS, aby wymusić tylko protokół TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Przykładowe dane wyjściowe:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Zezwalaj na wszystkie wersje protokołu TLS (przykład konfiguracji 1.2, 1.1 i 1.0)

W tym przykładzie ustawiono zasady protokołu TLS tak, aby zezwalały na wszystkie wersje protokołu TLS (1.2, 1.1 i 1.0).

Set-TLSPolicy -Version TLS_All

Przykładowe dane wyjściowe:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Istnieją scenariusze, w których warto wyświetlić powiadomienie prawne po zalogowaniu się do sesji uprzywilejowanego punktu końcowego (PEP). Polecenia cmdlet Set-AzSLegalNotice i Get-AzSLegalNotice służą do zarządzania podpis i treścią takiego tekstu powiadomienia prawnego.

Aby ustawić powiadomienie prawne podpis i tekst, zobacz polecenie cmdlet Set-AzSLegalNotice. Jeśli wcześniej ustawiono powiadomienie prawne podpis i tekst, możesz je przejrzeć przy użyciu polecenia cmdlet Get-AzSLegalNotice.

Następne kroki