Share via


Controles de segurança de infraestrutura do Azure Stack Hub

Considerações de segurança e regulamentos de conformidade estão entre os principais drivers para usar nuvens híbridas. O Azure Stack Hub foi projetado para esses cenários. Este artigo explica os controles de segurança em vigor para o Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Azure Stack Hub. A primeira camada é a infraestrutura do Azure Stack Hub, que inclui os componentes de hardware até o Resource Manager do Azure. A primeira camada inclui o administrador e os portais do usuário. A segunda camada consiste nas cargas de trabalho criadas, implantadas e gerenciadas por locatários. A segunda camada inclui itens como máquinas virtuais e sites dos Serviços de Aplicativos.

Abordagem de segurança

A postura de segurança do Azure Stack Hub foi projetada para se defender contra ameaças modernas e foi criada para atender aos requisitos dos principais padrões de conformidade. Como resultado, a postura de segurança da infraestrutura do Azure Stack Hub é criada em dois pilares:

  • Assumir violação
    A partir da suposição de que o sistema já foi violado, concentre-se em detectar e limitar o impacto das violações versus apenas tentar evitar ataques.

  • Protegido por padrão
    Como a infraestrutura é executada em hardware e software bem definidos, o Azure Stack Hub habilita, configura e valida todos os recursos de segurança por padrão.

Como o Azure Stack Hub é entregue como um sistema integrado, a postura de segurança da infraestrutura do Azure Stack Hub é definida pela Microsoft. Assim como no Azure, os locatários são responsáveis por definir a postura de segurança de suas cargas de trabalho de locatário. Este documento fornece conhecimento básico sobre a postura de segurança da infraestrutura do Azure Stack Hub.

Criptografia de dados inativos

Todos os dados de locatário e infraestrutura do Azure Stack Hub são criptografados em repouso usando o BitLocker. Essa criptografia protege contra perda física ou roubo de componentes de armazenamento do Azure Stack Hub. Para obter mais informações, consulte criptografia de dados inativos no Azure Stack Hub.

Dados em criptografia em trânsito

Os componentes de infraestrutura do Azure Stack Hub se comunicam usando canais criptografados com TLS 1.2. Os certificados de criptografia são autogerenciados pela infraestrutura.

Todos os pontos de extremidade de infraestrutura externa, como os pontos de extremidade REST ou o portal do Azure Stack Hub, dão suporte ao TLS 1.2 para comunicações seguras. Certificados de criptografia, de terceiros ou de sua Autoridade de Certificação corporativa, devem ser fornecidos para esses pontos de extremidade.

Embora os certificados autoassinados possam ser usados para esses pontos de extremidade externos, a Microsoft recomenda fortemente não usá-los. Para obter mais informações sobre como impor o TLS 1.2 nos pontos de extremidade externos do Azure Stack Hub, consulte Configurar controles de segurança do Azure Stack Hub.

Gerenciamento de segredos

A infraestrutura do Azure Stack Hub usa uma infinidade de segredos, como senhas e certificados, para funcionar. A maioria das senhas associadas às contas de serviço internas é girada automaticamente a cada 24 horas porque são gMSA (Contas de Serviço Gerenciado do grupo), um tipo de conta de domínio gerenciada diretamente pelo controlador de domínio interno.

A infraestrutura do Azure Stack Hub usa chaves RSA de 4096 bits para todos os seus certificados internos. Os mesmos certificados de comprimento de chave também podem ser usados para os pontos de extremidade externos. Para obter mais informações sobre segredos e rotação de certificados, consulte Girar segredos no Azure Stack Hub.

Controle de Aplicativos do Windows Defender

O Azure Stack Hub utiliza as últimas funções de segurança do Windows Server. Um deles é o WDAC (Controle de Aplicativos Windows Defender, anteriormente conhecido como Integridade de Código), que fornece filtragem de executáveis e garante que apenas o código autorizado seja executado dentro da infraestrutura do Azure Stack Hub.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM. O código autorizado assinado está incluído na lista de software permitido especificado em uma política definida pela Microsoft. Em outras palavras, somente o software que foi aprovado para ser executado na infraestrutura do Azure Stack Hub pode ser executado. Qualquer tentativa de executar código não autorizado é bloqueada, e um alerta é gerado. O Azure Stack Hub impõe a integridade de código de modo de usuário (UMCI) e a integridade de código do hipervisor (política HVAC).

A política do WDAC também impede que agentes ou softwares de terceiros sejam executados na infraestrutura do Azure Stack Hub. Para obter mais informações sobre o WDAC, consulte Windows Defender Controle de Aplicativos e proteção baseada em virtualização de integridade de código.

Antimalware

Todos os componentes no Azure Stack Hub (hosts Hyper-V e máquinas virtuais) são protegidos com Windows Defender Antivírus.

Em cenários conectados, as atualizações de mecanismo e definição de antivírus são aplicadas várias vezes por dia. Em cenários desconectados, as atualizações antimalware são aplicadas como parte das atualizações mensais do Azure Stack Hub. Caso uma atualização mais frequente das definições do Windows Defender seja necessária em cenários desconectados, o Azure Stack Hub também dá suporte à importação de atualizações Windows Defender. Para obter mais informações, consulte atualizar Windows Defender Antivírus no Azure Stack Hub.

Inicialização Segura

O Azure Stack Hub impõe a Inicialização Segura em todos os hosts Hyper-V e máquinas virtuais de infraestrutura.

Modelo de administração restrita

A administração no Azure Stack Hub é controlada por meio de três pontos de entrada, cada um com uma finalidade específica:

  • O portal do administrador fornece uma experiência de ponto e clique para operações diárias de gerenciamento.
  • O Azure Resource Manager expõe todas as operações de gerenciamento do portal do administrador por meio de uma API REST, usada pelo PowerShell e pela CLI do Azure.
  • Para operações específicas de baixo nível (por exemplo, integração de datacenter ou cenários de suporte), o Azure Stack Hub expõe um ponto de extremidade do PowerShell chamado ponto de extremidade privilegiado. Esse ponto de extremidade expõe apenas um conjunto permitido de cmdlets e é muito auditado.

Controles de rede

A infraestrutura do Azure Stack Hub vem com várias camadas de ACL (lista de Controle de Acesso de rede). As ACLs impedem o acesso não autorizado aos componentes de infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para seu funcionamento.

As ACLs de rede são impostas em três camadas:

  • Camada 1: parte superior dos comutadores rack
  • Camada 2: rede definida pelo software
  • Camada 3: firewalls do sistema operacional de host e VM

Conformidade normativa

O Azure Stack Hub passou por uma avaliação formal de capacidade por uma empresa de auditoria independente de terceiros. Como resultado, a documentação sobre como a infraestrutura do Azure Stack Hub atende aos controles aplicáveis de vários padrões de conformidade principais está disponível. A documentação não é uma certificação do Azure Stack Hub porque os padrões incluem vários controles relacionados à equipe e ao processo. Em vez disso, os clientes podem usar essa documentação para iniciar rapidamente o processo de certificação.

As avaliações incluem os seguintes padrões:

A documentação de conformidade pode ser encontrada no Portal de Confiança do Serviço da Microsoft. Os guias de conformidade são um recurso protegido e exigem que você entre com suas credenciais de serviço de nuvem do Azure.

Iniciativa da UE Schrems II para o Azure Stack Hub

A Microsoft anunciou sua intenção de superar os compromissos de armazenamento de dados existentes, permitindo que os clientes baseados na UE processem e armazenem todos os seus dados na UE; você não precisará mais armazenar dados fora da UE. Esse compromisso aprimorado inclui clientes do Azure Stack Hub. Consulte Respondendo à chamada da Europa: Armazenando e processando dados da UE na UE para obter mais informações.

A partir da versão 2206, você pode selecionar sua preferência geográfica para processamento de dados em implantações existentes do Azure Stack Hub. Depois de baixar o hotfix, você receberá o alerta a seguir.

Captura de tela que mostra a janela Alertas do Painel do portal Administração do Azure Stack Hub com o alerta Região Geográfica Não Fornecido listado.

Observação

Ambientes desconectados também podem ser necessários para selecionar uma geolocalização de dados. Essa é uma configuração única que afeta o local de residência de dados se o operador estiver fornecendo dados de diagnóstico à Microsoft. Se o operador não fornecer dados de diagnóstico à Microsoft, essa configuração não terá ramificações.

Você pode resolve esse alerta para sua implantação existente do Azure Stack Hub de duas maneiras, dependendo de sua preferência geográfica para armazenar e processar seus dados.

  • Se você optar por ter seus dados armazenados e processados dentro da UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. O local de residência dos dados será atualizado e todos os dados serão armazenados e processados na UE.

    Set-DataResidencyLocation -Europe
    
  • Se você optar por ter seus dados armazenados e processados fora da UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. O local de residência dos dados será atualizado e todos os dados serão processados fora da UE.

    Set-DataResidencyLocation -Europe:$false
    

Depois de resolve esse alerta, você pode verificar sua preferência de região geográfica no portal Administração janela Propriedades.

Captura de tela que mostra o portal Administração do Azure Stack Hub janela Propriedades com a propriedade Localização Geográfica de Dados agora definida como Europa.

Novas implantações do hub do Azure Stack podem definir a região geográfica durante a configuração e a implantação.

Próximas etapas