Configurar controles de segurança do Azure Stack Hub
Este artigo explica os controles de segurança que podem ser alterados no Azure Stack Hub e realça as compensações quando aplicável.
A arquitetura do Azure Stack Hub baseia-se em dois pilares de princípios de segurança: assumir violação e proteção por padrão. Para obter mais informações sobre a segurança do Azure Stack Hub, consulte Postura de segurança de infraestrutura do Azure Stack Hub. Embora a postura de segurança padrão do Azure Stack Hub esteja pronta para produção, há alguns cenários de implantação que exigem proteção adicional.
Política de versão do TLS
O protocolo TLS (Transport Layer Security) é um protocolo criptográfico amplamente adotado para estabelecer a comunicação criptografada pela rede. O TLS evoluiu ao longo do tempo e várias versões foram lançadas. A infraestrutura do Azure Stack Hub usa exclusivamente o TLS 1.2 para todas as suas comunicações. Para interfaces externas, o Azure Stack Hub atualmente usa o TLS 1.2. No entanto, para compatibilidade com versões anteriores, ele também dá suporte à negociação para o TLS 1.1. e 1.0. Quando um cliente TLS solicita a comunicação por TLS 1.1 ou TLS 1.0, o Azure Stack Hub cumpre a solicitação negociando para uma versão inferior do TLS. Se o cliente solicitar o TLS 1.2, o Azure Stack Hub estabelecerá uma conexão TLS usando o TLS 1.2.
Como o TLS 1.0 e 1.1 estão sendo preteridos ou banidos incrementalmente por organizações e padrões de conformidade, agora você pode configurar a política TLS no Azure Stack Hub. Você pode impor uma política somente TLS 1.2 em que qualquer tentativa de estabelecer uma sessão TLS com uma versão inferior à 1.2 não é permitida e é rejeitada.
Importante
A Microsoft recomenda usar apenas a política TLS 1.2 para ambientes de produção do Azure Stack Hub.
Obter política TLS
Use o PEP (ponto de extremidade privilegiado) para exibir a política TLS para todos os pontos de extremidade do Azure Stack Hub:
Get-TLSPolicy
Saída de exemplo:
TLS_1.2
Definir política TLS
Use o PEP (ponto de extremidade privilegiado) para definir a política TLS para todos os pontos de extremidade do Azure Stack Hub:
Set-TLSPolicy -Version <String>
Parâmetros para o cmdlet Set-TLSPolicy :
| Parâmetro | Descrição | Type | Obrigatório |
|---|---|---|---|
| Versão | Versões permitidas do TLS no Azure Stack Hub | String | sim |
Use um dos seguintes valores para configurar as versões do TLS permitidas para todos os pontos de extremidade do Azure Stack Hub:
| Valor de versão | Descrição |
|---|---|
| TLS_All | Os pontos de extremidade TLS do Azure Stack Hub dão suporte ao TLS 1.2, mas a negociação para tls 1.1 e TLS 1.0 é permitida. |
| TLS_1.2 | Os pontos de extremidade TLS do Azure Stack Hub dão suporte apenas ao TLS 1.2. |
A atualização da política TLS leva alguns minutos para ser concluída.
Impor exemplo de configuração do TLS 1.2
Este exemplo define sua política TLS para impor somente o TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Saída de exemplo:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Permitir todas as versões do exemplo de configuração do TLS (1.2, 1.1 e 1.0)
Este exemplo define sua política TLS para permitir todas as versões do TLS (1.2, 1.1 e 1.0).
Set-TLSPolicy -Version TLS_All
Saída de exemplo:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Aviso legal para sessões PEP
Há cenários em que é útil exibir uma notificação legal, após o logon em uma sessão pep (ponto de extremidade privilegiado ). Os cmdlets Set-AzSLegalNotice e Get-AzSLegalNotice são usados para gerenciar o legenda e o corpo desse texto de aviso legal.
Para definir o aviso legal legenda e o texto, consulte o cmdlet Set-AzSLegalNotice. Se o aviso legal legenda e o texto tiverem sido definidos anteriormente, você poderá revisá-los usando o cmdlet Get-AzSLegalNotice.