Compartilhar via


Configurar controles de segurança do Azure Stack Hub

Este artigo explica os controles de segurança que podem ser alterados no Azure Stack Hub e realça as compensações quando aplicável.

A arquitetura do Azure Stack Hub baseia-se em dois pilares de princípios de segurança: assumir violação e proteção por padrão. Para obter mais informações sobre a segurança do Azure Stack Hub, consulte Postura de segurança de infraestrutura do Azure Stack Hub. Embora a postura de segurança padrão do Azure Stack Hub esteja pronta para produção, há alguns cenários de implantação que exigem proteção adicional.

Política de versão do TLS

O protocolo TLS (Transport Layer Security) é um protocolo criptográfico amplamente adotado para estabelecer a comunicação criptografada pela rede. O TLS evoluiu ao longo do tempo e várias versões foram lançadas. A infraestrutura do Azure Stack Hub usa exclusivamente o TLS 1.2 para todas as suas comunicações. Para interfaces externas, o Azure Stack Hub atualmente usa o TLS 1.2. No entanto, para compatibilidade com versões anteriores, ele também dá suporte à negociação para o TLS 1.1. e 1.0. Quando um cliente TLS solicita a comunicação por TLS 1.1 ou TLS 1.0, o Azure Stack Hub cumpre a solicitação negociando para uma versão inferior do TLS. Se o cliente solicitar o TLS 1.2, o Azure Stack Hub estabelecerá uma conexão TLS usando o TLS 1.2.

Como o TLS 1.0 e 1.1 estão sendo preteridos ou banidos incrementalmente por organizações e padrões de conformidade, agora você pode configurar a política TLS no Azure Stack Hub. Você pode impor uma política somente TLS 1.2 em que qualquer tentativa de estabelecer uma sessão TLS com uma versão inferior à 1.2 não é permitida e é rejeitada.

Importante

A Microsoft recomenda usar apenas a política TLS 1.2 para ambientes de produção do Azure Stack Hub.

Obter política TLS

Use o PEP (ponto de extremidade privilegiado) para exibir a política TLS para todos os pontos de extremidade do Azure Stack Hub:

Get-TLSPolicy

Saída de exemplo:

TLS_1.2

Definir política TLS

Use o PEP (ponto de extremidade privilegiado) para definir a política TLS para todos os pontos de extremidade do Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parâmetros para o cmdlet Set-TLSPolicy :

Parâmetro Descrição Type Obrigatório
Versão Versões permitidas do TLS no Azure Stack Hub String sim

Use um dos seguintes valores para configurar as versões do TLS permitidas para todos os pontos de extremidade do Azure Stack Hub:

Valor de versão Descrição
TLS_All Os pontos de extremidade TLS do Azure Stack Hub dão suporte ao TLS 1.2, mas a negociação para tls 1.1 e TLS 1.0 é permitida.
TLS_1.2 Os pontos de extremidade TLS do Azure Stack Hub dão suporte apenas ao TLS 1.2.

A atualização da política TLS leva alguns minutos para ser concluída.

Impor exemplo de configuração do TLS 1.2

Este exemplo define sua política TLS para impor somente o TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Saída de exemplo:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Permitir todas as versões do exemplo de configuração do TLS (1.2, 1.1 e 1.0)

Este exemplo define sua política TLS para permitir todas as versões do TLS (1.2, 1.1 e 1.0).

Set-TLSPolicy -Version TLS_All

Saída de exemplo:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Há cenários em que é útil exibir uma notificação legal, após o logon em uma sessão pep (ponto de extremidade privilegiado ). Os cmdlets Set-AzSLegalNotice e Get-AzSLegalNotice são usados para gerenciar o legenda e o corpo desse texto de aviso legal.

Para definir o aviso legal legenda e o texto, consulte o cmdlet Set-AzSLegalNotice. Se o aviso legal legenda e o texto tiverem sido definidos anteriormente, você poderá revisá-los usando o cmdlet Get-AzSLegalNotice.

Próximas etapas