Considerações de segurança do Azure Stack HCI

  • Artigo

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019

Este tópico fornece considerações de segurança e recomendações relacionadas ao sistema operacional do Azure Stack HCI:

  • A Parte 1 aborda ferramentas e tecnologias de segurança básicas para proteger o sistema operacional e proteger dados e identidades para criar com eficiência uma base segura para sua organização.
  • A Parte 2 abrange os recursos disponíveis por meio do Microsoft Defender para Nuvem. Consulte Microsoft Defender para Introdução à Nuvem.
  • A parte 3 aborda considerações de segurança mais avançadas para fortalecer ainda mais a postura de segurança da sua organização nessas áreas.

Por que as considerações de segurança são importantes?

A segurança afeta todos em sua organização, desde o gerenciamento de nível superior até o operador de informações. A segurança inadequada é um risco real para as organizações, pois uma violação de segurança pode potencialmente interromper todos os negócios normais e parar sua organização. Quanto mais cedo você puder detectar um possível ataque, mais rápido poderá atenuar qualquer comprometimento na segurança.

Depois de pesquisar os pontos fracos de um ambiente para explorá-los, um invasor normalmente pode dentro de 24 a 48 horas após o comprometimento inicial escalonar privilégios para assumir o controle dos sistemas na rede. Boas medidas de segurança endurecem os sistemas no ambiente para estender o tempo que um invasor leva para potencialmente assumir o controle de horas a semanas ou até meses bloqueando os movimentos do invasor. Implementar as recomendações de segurança neste tópico posiciona sua organização para detectar e responder a esses ataques o mais rápido possível.

Parte 1: Criar uma base segura

As seções a seguir recomendam ferramentas e tecnologias de segurança para criar uma base segura para os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

Esta seção discute como proteger serviços e VMs (máquinas virtuais) em execução no sistema operacional:

  • O hardware certificado pelo Azure Stack HCI fornece configurações consistentes de Inicialização Segura, UEFI e TPM prontas para uso. Combinar segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Você também pode conectar essa infraestrutura confiável ao Microsoft Defender for Cloud para ativar a análise comportamental e os relatórios para levar em conta cargas de trabalho e ameaças em rápida mudança.

    • A inicialização segura é um padrão de segurança desenvolvido pelo setor de computadores para ajudar a garantir que um dispositivo seja inicializado usando apenas o software confiável do OEM (Fabricante de Equipamento Original). Para saber mais, confira Inicialização segura.
    • A UEFI (United Extensible Firmware Interface) controla o processo de inicialização do servidor e passa o controle para o Windows ou outro sistema operacional. Para saber mais, confira Requisitos de firmware uefi.
    • A tecnologia TPM (Trusted Platform Module) fornece funções relacionadas à segurança baseadas em hardware. Um chip TPM é um processador de criptografia seguro que gera, armazena e limita o uso de chaves criptográficas. Para saber mais, confira Visão geral da tecnologia de módulo de plataforma confiável.

    Para saber mais sobre provedores de hardware certificados pelo Azure Stack HCI, consulte o site de soluções do Azure Stack HCI .

  • A ferramenta segurança está disponível nativamente no Windows Admin Center para clusters de servidor único e do Azure Stack HCI para facilitar o gerenciamento e o controle de segurança. A ferramenta centraliza algumas das principais configurações de segurança para servidores e clusters, incluindo a capacidade de exibir a status de núcleo seguro dos sistemas.

    Para saber mais, confira Servidor de núcleo seguro.

  • Device Guard e Credential Guard. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema. O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas o software de sistema privilegiado possa acessá-los.

    Para saber mais, confira Gerenciar Windows Defender Credential Guard e baixar a ferramenta de preparação de hardware do Device Guard e do Credential Guard.

  • As atualizações do Windows e do firmware são essenciais em clusters, servidores (incluindo VMs convidadas) e computadores para ajudar a garantir que o sistema operacional e o hardware do sistema estejam protegidos contra invasores. Você pode usar a ferramenta Atualizações Windows Admin Center para aplicar atualizações a sistemas individuais. Se o provedor de hardware incluir Windows Admin Center suporte para obter atualizações de driver, firmware e solução, você poderá obter essas atualizações ao mesmo tempo que as atualizações do Windows; caso contrário, obtenha-as diretamente do fornecedor.

    Para saber mais, confira Atualizar o cluster.

    Para gerenciar atualizações em vários clusters e servidores por vez, considere assinar o serviço opcional de Gerenciamento de Atualizações do Azure, que é integrado ao Windows Admin Center. Para obter mais informações, consulte Gerenciamento de Atualizações do Azure usando Windows Admin Center.

Proteger dados

Esta seção discute como usar Windows Admin Center para proteger dados e cargas de trabalho no sistema operacional:

  • O BitLocker para Espaços de Armazenamento protege os dados inativos. Você pode usar o BitLocker para criptografar o conteúdo de volumes de dados Espaços de Armazenamento no sistema operacional. O uso do BitLocker para proteger dados pode ajudar as organizações a se manterem em conformidade com padrões governamentais, regionais e específicos do setor, como FIPS 140-2 e HIPAA.

    Para saber mais sobre como usar o BitLocker no Windows Admin Center, confira Habilitar criptografia de volume, eliminação de duplicação e compactação

  • A criptografia SMB para a rede do Windows protege os dados em trânsito. O SMB (Server Message Block) é um protocolo de compartilhamento de arquivos de rede que permite que aplicativos em um computador leiam e escrevam em arquivos e solicitem serviços de programas de servidor em uma rede de computador.

    Para habilitar a criptografia SMB, confira Aprimoramentos de segurança SMB.

  • Windows Defender Antivírus protege o sistema operacional em clientes e servidores contra vírus, malware, spyware e outras ameaças. Para saber mais, confira Microsoft Defender Antivírus no Windows Server.

Proteger identidades

Esta seção discute como usar Windows Admin Center para proteger identidades privilegiadas:

  • O controle de acesso pode melhorar a segurança do cenário de gerenciamento. Se você estiver usando um servidor Windows Admin Center (versus em execução em um computador Windows 10), poderá controlar dois níveis de acesso ao próprio Windows Admin Center: usuários de gateway e administradores de gateway. As opções do provedor de identidade do administrador do gateway incluem:

    • Active Directory ou grupos de computadores locais para impor a autenticação de cartão inteligente.
    • Microsoft Entra ID para impor o acesso condicional e a autenticação multifator.

    Para saber mais, confira Opções de acesso do usuário com Windows Admin Center e Configurar Controle de Acesso de Usuário e Permissões.

  • O tráfego do navegador para Windows Admin Center usa HTTPS. O tráfego de Windows Admin Center para servidores gerenciados usa o PowerShell padrão e a WMI (Instrumentação de Gerenciamento do Windows) no WinRM (Gerenciamento Remoto do Windows). Windows Admin Center dá suporte à LAPS (Solução de Senha do Administrador Local), à delegação restrita baseada em recursos, ao controle de acesso de gateway usando o AD (Active Directory) ou a ID de Microsoft Entra e o RBAC (controle de acesso baseado em função) para gerenciar o gateway de Windows Admin Center.

    Windows Admin Center dá suporte ao Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge Insider no Windows 10. Você pode instalar Windows Admin Center em um computador Windows 10 ou em um servidor Windows.

    Se você instalar Windows Admin Center em um servidor, ele será executado como um gateway, sem interface do usuário no servidor host. Nesse cenário, os administradores podem fazer logon no servidor por meio de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no host. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificação confiável para o processo de logon porque os navegadores com suporte tratam uma conexão autoassinada como não seguro, mesmo que a conexão seja com um endereço IP local em uma VPN confiável.

    Para saber mais sobre as opções de instalação para sua organização, confira Que tipo de instalação é ideal para você?.

  • CredSSP é um provedor de autenticação que Windows Admin Center usa em alguns casos para passar credenciais para computadores além do servidor específico que você está direcionando para gerenciar. Windows Admin Center atualmente requer CredSSP para:

    • Crie um novo cluster.
    • Acesse a ferramenta de Atualizações para usar os recursos clustering de Failover ou Atualização de Cluster-Aware.
    • Gerenciar o armazenamento SMB desagregado em VMs.

    Para saber mais, confira Windows Admin Center usa CredSSP?

  • As ferramentas de segurança no Windows Admin Center que você pode usar para gerenciar e proteger identidades incluem Active Directory, Certificados, Firewall, Usuários e Grupos Locais e muito mais.

    Para saber mais, confira Gerenciar servidores com Windows Admin Center.

Parte 2: Usar o MDC (Microsoft Defender for Cloud)

Microsoft Defender for Cloud é um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem e no local. O Defender para Nuvem fornece ferramentas para avaliar a segurança status de sua rede, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e lidar com ameaças futuras. O Defender para Nuvem executa todos esses serviços em alta velocidade na nuvem sem sobrecarga de implantação por meio de provisionamento automático e proteção com os serviços do Azure.

O Defender para Nuvem protege as VMs para servidores Windows e Linux instalando o agente do Log Analytics nesses recursos. O Azure correlaciona eventos que os agentes coletam em recomendações (tarefas de proteção) que você executa para tornar suas cargas de trabalho seguras. As tarefas de proteção com base nas práticas recomendadas de segurança incluem o gerenciamento e a imposição de políticas de segurança. Em seguida, você pode acompanhar os resultados e gerenciar a conformidade e a governança ao longo do tempo por meio do monitoramento do Defender para Nuvem, reduzindo a superfície de ataque em todos os seus recursos.

Gerenciar quem pode acessar seus recursos e assinaturas do Azure constitui uma parte importante de sua estratégia de governança do Azure. O RBAC do Azure é o principal método de gerenciamento de acesso no Azure. Para saber mais, confira Gerenciar o acesso ao seu ambiente do Azure com controle de acesso baseado em função.

Trabalhar com o Defender para Nuvem por meio de Windows Admin Center requer uma assinatura do Azure. Para começar, confira Proteger recursos Windows Admin Center com o Microsoft Defender para Nuvem. Para começar, confira Planejar a implantação do Defender para Servidor. Para licenciamento do Defender para Servidores (planos de servidor), consulte Selecionar um plano do Defender para Servidores.

Após o registro, acesse o MDC no Windows Admin Center: na página Todas as Conexões, selecione um servidor ou VM, em Ferramentas, selecione Microsoft Defender para Nuvem e, em seguida, selecione Entrar no Azure.

Para obter mais informações, consulte O que é Microsoft Defender para Nuvem?.

Parte 3: Adicionar segurança avançada

As seções a seguir recomendam ferramentas e tecnologias de segurança avançadas para proteger ainda mais os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.

Proteger o ambiente

  • As linhas de base de segurança da Microsoft são baseadas em recomendações de segurança da Microsoft obtidas por meio de parceria com organizações comerciais e o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem configurações de segurança recomendadas para o Firewall do Windows, Windows Defender e muitas outras.

    As linhas de base de segurança são fornecidas como backups de GPO (objeto Política de Grupo) que você pode importar para Active Directory Domain Services (AD DS) e, em seguida, implantar em servidores ingressados no domínio para proteger o ambiente. Você também pode usar ferramentas de Script Local para configurar servidores autônomos (não ingressados no domínio) com linhas de base de segurança. Para começar a usar as linhas de base de segurança, baixe o Microsoft Security Compliance Toolkit 1.0.

    Para saber mais, confira Linhas de Base de Segurança da Microsoft.

Proteger dados

  • A proteção do ambiente Hyper-V requer a proteção do Windows Server em execução em uma VM, assim como você protegeria o sistema operacional em execução em um servidor físico. Como os ambientes virtuais normalmente têm várias VMs compartilhando o mesmo host físico, é imperativo proteger o host físico e as VMs em execução nele. Um invasor que compromete um host pode afetar várias VMs com um impacto maior em cargas de trabalho e serviços. Esta seção discute os seguintes métodos que você pode usar para proteger o Windows Server em um ambiente Hyper-V:

    • O VTPM (Virtual Trusted Platform Module) no Windows Server dá suporte ao TPM para VMs, o que permite usar tecnologias de segurança avançadas, como o BitLocker em VMs. Você pode habilitar o suporte ao TPM em qualquer VM Hyper-V de Geração 2 usando o Gerenciador do Hyper-V ou o Enable-VMTPM cmdlet Windows PowerShell.

      Observação

      Habilitar o vTPM afetará a mobilidade da VM: ações manuais serão necessárias para permitir que a VM inicie em host diferente daquela que você habilitou o vTPM originalmente.

      Para saber mais, confira Enable-VMTPM.

    • O SDN (Software Defined Networking) no Azure Stack HCI e no Windows Server configura e gerencia centralmente dispositivos de rede virtual, como o balanceador de carga de software, o firewall do data center, os gateways e os comutadores virtuais em sua infraestrutura. Elementos de rede virtual, como o Comutador Virtual do Hyper-V, a Virtualização de Rede do Hyper-V e o Gateway ras, foram projetados para serem elementos integrais da infraestrutura do SDN.

      Para saber mais, confira SDN (Rede Definida pelo Software).

      Observação

      VMs blindadas protegidas pelo Serviço Guardião de Host não têm suporte no Azure Stack HCI.

Proteger identidades

  • A LAPS (Solução de Senha de Administrador Local) é um mecanismo leve para sistemas ingressados no domínio do Active Directory que define periodicamente a senha da conta de administrador local de cada computador como um novo valor aleatório e exclusivo. As senhas são armazenadas em um atributo confidencial seguro no objeto de computador correspondente no Active Directory, onde somente usuários autorizados especificamente podem recuperá-las. O LAPS usa contas locais para gerenciamento de computador remoto de uma maneira que oferece algumas vantagens sobre o uso de contas de domínio. Para saber mais, confira Uso remoto de contas locais: o LAPS altera tudo.

    Para começar a usar o LAPS, baixe LAPS (Solução de Senha de Administrador Local).

  • A ATA (Análise Avançada de Ameaças) da Microsoft é um produto local que você pode usar para ajudar a detectar invasores que tentam comprometer identidades privilegiadas. O ATA analisa o tráfego de rede para autenticação, autorização e protocolos de coleta de informações, como Kerberos e DNS. O ATA usa os dados para criar perfis comportamentais de usuários e outras entidades na rede para detectar anomalias e padrões de ataque conhecidos.

    Para saber mais, confira O que é a Análise Avançada de Ameaças?

  • Windows Defender Remote Credential Guard protege as credenciais em uma conexão de Área de Trabalho Remota redirecionando solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece SSO (logon único) para sessões de Área de Trabalho Remota. Durante uma sessão de Área de Trabalho Remota, se o dispositivo de destino estiver comprometido, suas credenciais não serão expostas porque os derivados de credencial e de credencial nunca são passados pela rede para o dispositivo de destino.

    Para saber mais, confira Gerenciar Windows Defender Credential Guard.

  • Microsoft Defender para Identidades ajuda você a proteger identidades privilegiadas monitorando o comportamento e as atividades do usuário, reduzindo a superfície de ataque, protegendo o Serviço Federal do Active Directory (AD FS) em um ambiente híbrido e identificando atividades suspeitas e ataques avançados em toda a cadeia de encerramento de ataques cibernéticos.

    Para saber mais, confira O que é Microsoft Defender para Identidade?.

Próximas etapas

Para obter mais informações sobre segurança e conformidade regulatória, consulte: