Considerações de segurança do Azure Stack HCI

Aplica-se a: Azure Stack HCI, versões 21H2 e 20H2; Windows Server 2022, Windows Server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas ao sistema operacional Azure Stack HCI:

  • A parte 1 aborda as ferramentas e tecnologias de segurança básicas para proteger o sistema operacional e proteger dados e identidades para criar com eficiência uma base segura para sua organização.
  • A parte 2 abrange recursos disponíveis por meio do Central de Segurança do Azure.
  • A parte 3 aborda considerações de segurança mais avançadas para fortalecer ainda mais a postura de segurança da sua organização nessas áreas.

Por que as considerações de segurança são importantes?

A segurança afeta todos em sua organização, desde o gerenciamento de nível superior até o trabalho de informações. A segurança inadequada é um risco real para as organizações, pois uma violação de segurança pode potencialmente interromper todos os negócios normais e parar sua organização. Quanto mais cedo você puder detectar um ataque em potencial, mais rápido poderá atenuar qualquer comprometimento na segurança.

Depois de pesquisar os pontos fracos de um ambiente para explorá-los, um invasor normalmente pode dentro de 24 a 48 horas do comprometimento inicial escalar privilégios para assumir o controle de sistemas na rede. Boas medidas de segurança endurecem os sistemas no ambiente para estender o tempo que um invasor leva para potencialmente assumir o controle de horas a semanas ou até meses bloqueando os movimentos do invasor. Implementar as recomendações de segurança neste tópico posiciona sua organização para detectar e responder a esses ataques o mais rápido possível.

Parte 1: Criar uma base segura

As seções a seguir recomendam ferramentas de segurança e tecnologias para criar uma base segura para os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

Esta seção discute como proteger serviços e VMs (máquinas virtuais) em execução no sistema operacional:

  • O hardware certificado pelo Azure Stack HCI fornece configurações consistentes de Inicialização Segura, UEFI e TPM prontas para uso. A combinação de segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Você também pode conectar essa infraestrutura confiável a Central de Segurança do Azure para ativar a análise comportamental e relatórios para levar em conta cargas de trabalho e ameaças em rápida alteração.

    • A inicialização segura é um padrão de segurança desenvolvido pela indústria de computadores para ajudar a garantir que um dispositivo seja inicializado usando apenas software confiável pelo Fabricante de Equipamento Original (OEM). Para saber mais, confira Inicialização segura.
    • A UEFI (United Extensible Firmware Interface) controla o processo de inicialização do servidor e, em seguida, passa o controle para Windows ou outro sistema operacional. Para saber mais, confira os requisitos de firmware da UEFI.
    • A tecnologia TPM (Trusted Platform Module) fornece funções relacionadas à segurança baseadas em hardware. Um chip TPM é um processador de criptografia seguro que gera, armazena e limita o uso de chaves criptográficas. Para saber mais, confira a visão geral da tecnologia do Módulo de Plataforma Confiável.

    Para saber mais sobre provedores de hardware certificados do Azure Stack HCI, consulte o site de soluções do Azure Stack HCI .

  • A ferramenta de segurança está disponível nativamente no Windows Admin Center para clusters do servidor único e do Azure Stack HCI para facilitar o gerenciamento e o controle de segurança. A ferramenta centraliza algumas configurações de segurança importantes para servidores e clusters, incluindo a capacidade de exibir o status de núcleo protegido dos sistemas.

    Para saber mais, consulte o servidor de núcleo protegido.

  • Device Guard e Credential Guard. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema. O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa acessá-los.

    Para saber mais, consulte Gerenciar Windows Defender Credential Guard e baixar a ferramenta de preparação de hardware do Device Guard e do Credential Guard.

  • Windows e atualizações de firmware são essenciais em clusters, servidores (incluindo VMs convidadas) e computadores para ajudar a garantir que o sistema operacional e o hardware do sistema estejam protegidos contra invasores. Você pode usar a ferramenta Atualizações Windows Admin Center para aplicar atualizações a sistemas individuais. Se o provedor de hardware incluir Windows Admin Center suporte para obter atualizações de driver, firmware e solução, você poderá obter essas atualizações ao mesmo tempo que Windows atualizações, caso contrário, obtê-las diretamente do fornecedor.

    Para saber mais, confira Atualizar o cluster.

    Para gerenciar atualizações em vários clusters e servidores por vez, considere assinar o serviço opcional de Gerenciamento de Atualizações do Azure, que é integrado ao Windows Admin Center. Para obter mais informações, consulte o Gerenciamento de Atualizações do Azure usando Windows Admin Center.

Proteger dados

Esta seção discute como usar Windows Admin Center para proteger dados e cargas de trabalho no sistema operacional:

  • O BitLocker para Espaços de Armazenamento protege os dados em repouso. Você pode usar o BitLocker para criptografar o conteúdo de volumes de dados Espaços de Armazenamento no sistema operacional. O uso do BitLocker para proteger dados pode ajudar as organizações a se manterem em conformidade com padrões governamentais, regionais e específicos do setor, como FIPS 140-2 e HIPAA.

    Para saber mais sobre como usar o BitLocker no Windows Admin Center, consulte Habilitar criptografia de volume, eliminação de duplicação e compactação

  • A criptografia SMB para Windows rede protege os dados em trânsito. O SMB (Server Message Block) é um protocolo de compartilhamento de arquivos de rede que permite que aplicativos em um computador leiam e escrevam em arquivos e solicitem serviços de programas de servidor em uma rede de computador.

    Para habilitar a criptografia SMB, consulte aprimoramentos de segurança SMB.

  • Windows Defender Antivírus em Windows Admin Center protege o sistema operacional em clientes e servidores contra vírus, malware, spyware e outras ameaças. Para saber mais, consulte Microsoft Defender Antivírus no Windows Server 2016 e 2019.

Proteger identidades

Esta seção discute como usar Windows Admin Center para proteger identidades privilegiadas:

  • O controle de acesso pode melhorar a segurança do seu cenário de gerenciamento. Se você estiver usando um servidor Windows Admin Center (versus em execução em um computador Windows 10), poderá controlar dois níveis de acesso à própria Windows Admin Center: usuários de gateway e administradores de gateway. As opções do provedor de identidade do administrador de gateway incluem:

    • Active Directory ou grupos de máquinas locais para impor a autenticação de cartão inteligente.
    • Azure Active Directory impor acesso condicional e autenticação multifator.

    Para saber mais, consulte as opções de acesso do usuário com Windows Admin Center e configurar permissões e Controle de Acesso de usuário.

  • O tráfego do navegador para Windows Admin Center usa HTTPS. O tráfego de Windows Admin Center para servidores gerenciados usa o PowerShell padrão e a WMI (Instrumentação de Gerenciamento de Windows) em Windows Gerenciamento Remoto (WinRM). Windows Admin Center dá suporte à LAPS (Solução de Senha do Administrador Local), à delegação restrita baseada em recursos, ao controle de acesso de gateway usando o Active Directory (AD) ou Microsoft Azure Active Directory (Azure AD) e o RBAC (controle de acesso baseado em função) para gerenciar o RBAC (controle de acesso baseado em função) para gerenciar o Windows Admin Center gateway.

    Windows Admin Center dá suporte a Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge Insider no Windows 10. Você pode instalar Windows Admin Center em um computador Windows 10 ou em um servidor Windows.

    Se você instalar Windows Admin Center em um servidor, ele será executado como um gateway, sem interface do usuário no servidor host. Nesse cenário, os administradores podem fazer logon no servidor por meio de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no host. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificado confiável para o processo de logon, pois os navegadores com suporte tratam uma conexão autoassinada como não seguras, mesmo que a conexão seja com um endereço IP local por meio de uma VPN confiável.

    Para saber mais sobre as opções de instalação para sua organização, confira Qual tipo de instalação é o ideal para você?.

  • O CredSSP é um provedor de autenticação que Windows Admin Center usa em alguns casos para passar credenciais para computadores além do servidor específico que você pretende gerenciar. Windows Admin Center atualmente requer CredSSP para:

    • Crie um novo cluster.
    • Acesse a ferramenta Atualizações para usar os recursos de clustering de failover ou atualização de Cluster-Aware.
    • Gerenciar o armazenamento SMB desagregado em VMs.

    Para saber mais, confira Windows Admin Center usa CredSSP?

  • As ferramentas de segurança em Windows Admin Center que você pode usar para gerenciar e proteger identidades incluem Active Directory, Certificados, Firewall, Usuários Locais e Grupos e muito mais.

    Para saber mais, consulte Gerenciar Servidores com Windows Admin Center.

Parte 2: Usar Central de Segurança do Azure

Central de Segurança do Azure é um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança dos data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem e no local. A Central de Segurança fornece ferramentas para avaliar o status de segurança da rede, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e enfrentar ameaças futuras. A Central de Segurança executa todos esses serviços em alta velocidade na nuvem sem sobrecarga de implantação por meio de provisionamento automático e proteção com os serviços do Azure.

A Central de Segurança protege as VMs para servidores Windows e servidores Linux instalando o agente do Log Analytics nesses recursos. O Azure correlaciona eventos que os agentes coletam em recomendações (endurecendo tarefas) que você executa para tornar suas cargas de trabalho seguras. As tarefas de proteção com base nas práticas recomendadas de segurança incluem o gerenciamento e a imposição de políticas de segurança. Em seguida, você pode acompanhar os resultados e gerenciar a conformidade e a governança ao longo do tempo por meio do monitoramento da Central de Segurança, reduzindo a superfície de ataque em todos os seus recursos.

Gerenciar quem pode acessar seus recursos e assinaturas do Azure constitui uma parte importante de sua estratégia de governança do Azure. O RBAC do Azure é o principal método de gerenciamento de acesso no Azure. Para saber mais, confira Gerenciar o acesso ao ambiente do Azure com controle de acesso baseado em função.

Trabalhar com a Central de Segurança por meio de Windows Admin Center requer uma assinatura do Azure. Para começar, consulte Integrar Central de Segurança do Azure com Windows Admin Center.

Após o registro, acesse a Central de Segurança no Windows Admin Center: na página Todas as Conexões, selecione um servidor ou VM, em Ferramentas, selecione Central de Segurança do Azure e selecione Entrar no Azure.

Para saber mais, veja o que é Central de Segurança do Azure?

Parte 3: Adicionar segurança avançada

As seções a seguir recomendam ferramentas de segurança avançadas e tecnologias para fortalecer ainda mais os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

  • As linhas de base de segurança da Microsoft são baseadas em recomendações de segurança da Microsoft obtidas por meio de parceria com organizações comerciais e o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem configurações de segurança recomendadas para Windows Firewall, Windows Defender e muitos outros.

    As linhas de base de segurança são fornecidas como backups do objeto Política de Grupo (GPO) que você pode importar para o AD DS (Active Directory Domain Services) e, em seguida, implantar em servidores ingressados no domínio para proteger o ambiente. Você também pode usar ferramentas de Script Local para configurar servidores autônomos (não ingressados no domínio) com linhas de base de segurança. Para começar a usar as linhas de base de segurança, baixe o Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, confira as Linhas de Base de Segurança da Microsoft.

Proteger dados

  • Proteger o ambiente do Hyper-V requer proteger Windows Servidor em execução em uma VM da mesma forma que você protegeria o sistema operacional em execução em um servidor físico. Como os ambientes virtuais normalmente têm várias VMs compartilhando o mesmo host físico, é fundamental proteger o host físico e as VMs em execução nele. Um invasor que compromete um host pode afetar várias VMs com um impacto maior nas cargas de trabalho e nos serviços. Esta seção discute os seguintes métodos que você pode usar para proteger Windows Server em um ambiente do Hyper-V:

    • O VTPM (Virtual Trusted Platform Module) no Windows Server dá suporte ao TPM para VMs, que permite usar tecnologias de segurança avançadas, como o BitLocker em VMs. Você pode habilitar o suporte do TPM em qualquer VM Hyper-V de Geração 2 usando o Gerenciador do Hyper-V ou o Enable-VMTPM cmdlet Windows PowerShell.

      Para saber mais, consulte Enable-VMTPM.

    • O SDN (Software Defined Networking) no Azure Stack HCI e no Windows Server configura e gerencia dispositivos de rede virtual centralmente, como o balanceador de carga de software, o firewall do data center, gateways e comutadores virtuais em sua infraestrutura. Elementos de rede virtual, como o Comutador Virtual do Hyper-V, Virtualização de Rede Hyper-V e Gateway RAS, foram projetados para serem elementos integrais da infraestrutura do SDN.

      Para saber mais, consulte SDN (Rede Definida pelo Software).

      Observação

      Não há suporte para VMs blindadas no Azure Stack HCI.

Proteger identidades

  • A LAPS (Solução de Senha de Administrador Local) é um mecanismo leve para sistemas ingressados no domínio do Active Directory que define periodicamente a senha da conta de administrador local de cada computador como um novo valor aleatório e exclusivo. As senhas são armazenadas em um atributo confidencial seguro no objeto de computador correspondente no Active Directory, onde somente usuários autorizados especificamente podem recuperá-las. O LAPS usa contas locais para gerenciamento de computador remoto de uma forma que oferece algumas vantagens sobre o uso de contas de domínio. Para saber mais, confira o uso remoto de contas locais: o LAPS altera tudo.

    Para começar a usar o LAPS, baixe a LAPS (Solução de Senha do Administrador Local).

  • O Microsoft Advanced Threat Analytics (ATA) é um produto local que você pode usar para ajudar a detectar invasores que tentam comprometer identidades privilegiadas. O ATA analisa o tráfego de rede para protocolos de autenticação, autorização e coleta de informações, como Kerberos e DNS. O ATA usa os dados para criar perfis comportamentais de usuários e outras entidades na rede para detectar anomalias e padrões de ataque conhecidos.

    Para saber mais, confira o que é a Análise Avançada de Ameaças?.

  • Windows Defender o Remote Credential Guard protege as credenciais em uma conexão de Área de Trabalho Remota redirecionando solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece SSO (logon único) para sessões de Área de Trabalho Remota. Durante uma sessão da Área de Trabalho Remota, se o dispositivo de destino estiver comprometido, suas credenciais não serão expostas porque os derivativos de credencial e de credencial nunca são passados pela rede para o dispositivo de destino.

    Para saber mais, consulte Gerenciar Windows Defender Credential Guard.

Próximas etapas

Para obter mais informações sobre segurança e conformidade regulatória, consulte também: