Compartilhar via

Visão geral de segurança dos servidores habilitados para o Azure Arc

  • Artigo

Este artigo descreve as considerações de segurança e os controles disponíveis ao usar servidores habilitados para Azure Arc. Seja você um profissional de segurança ou operador de TI, as informações neste artigo permitirão configurar com confiança o Azure Arc de uma maneira que atenda aos requisitos de segurança da sua organização.

Responsibilities

A segurança da implantação dos Servidores habilitados para Azure Arc é uma responsabilidade compartilhada entre você e a Microsoft. A Microsoft é responsável por:

  • Proteger o serviço de nuvem que armazena metadados do sistema e orquestra operações para os agentes que você conecta ao serviço.
  • Garantir e proteger a privacidade dos metadados do sistema armazenados no Azure.
  • Documentar recursos opcionais de segurança para que você entenda os benefícios e desvantagens das opções de implantação.
  • Publicar atualizações regulares do agente com melhorias de segurança, qualidade, desempenho e recursos.

Você é responsável por:

  • Gerenciar e monitorar o acesso do RBAC aos recursos habilitados para Azure Arc em sua assinatura do Azure.
  • Proteger e girar regularmente as credenciais de todas as contas usadas para gerenciar servidores habilitados para Azure Arc. Isso inclui quaisquer segredos ou credenciais da entidade de serviço usadas para integrar novos servidores.
  • Determinar se e como quaisquer recursos de segurança descritos neste documento (por exemplo, listas de permissões de extensão) devem ser aplicados aos agentes do Azure Connected Machine implantados.
  • Manter o agente do Azure Connected Machine e as extensões atualizados.
  • Determinar a conformidade do Azure Arc com as obrigações legais, regulatórias e políticas internas da sua organização.
  • Proteger o próprio servidor, inclusive a infraestrutura de computação, armazenamento e rede usada para executar o servidor.

Visão geral da arquitetura

Os servidores habilitados para Azure Arc são um serviço baseado em agente. Sua interação com o Azure Arc é principalmente por meio das APIs, portal e experiências de gerenciamento do Azure. Os dados que você visualiza e as ações executadas no Azure são retransmitidos por meio do agente do Azure Connected Machine instalado em cada servidor gerenciado. O Azure é a fonte da verdade para o agente. A única maneira de dizer ao agente para executar algo (por exemplo, instalar uma extensão) é executar uma ação na representação do servidor no Azure. Isso ajuda a garantir que o RBAC da sua organização e as atribuições de política possam avaliar a solicitação antes que quaisquer alterações sejam feitas.

O agente do Azure Connected Machine é principalmente uma plataforma de habilitação para outros serviços do Azure e de terceiros. As suas principais funcionalidades incluem:

  • Estabelecer uma relação entre seu computador e sua assinatura do Azure
  • Fornecer uma identidade gerenciada para o agente e outros aplicativos usarem ao autenticar com o Azure
  • Habilitar outros recursos (agentes, scripts) com extensões
  • Avaliar e impor configurações em seu servidor

Após agente do Azure Connected Machine for instalado, você poderá habilitar outros serviços do Azure em seu servidor para atender ao monitoramento, ao gerenciamento de patch, ao acesso remoto ou a outras necessidades. A função do Azure Arc é ajudar a permitir que esses serviços funcionem fora dos próprios datacenters do Azure.

Use o Azure Policy para limitar o que os usuários da sua organização podem executar com o Azure Arc. Restrições baseadas em nuvem, como o Azure Policy, são uma ótima maneira de aplicar controles de segurança em escala, mantendo a flexibilidade para ajustar as restrições a qualquer momento. No entanto, às vezes, é necessário controles mais rigorosos para proteger contra uma conta legitimamente privilegiada sendo usada para contornar medidas de segurança (por exemplo, desabilitando políticas). Para levar em conta isso, o agente do Azure Connected Machine também tem controles de segurança próprios que têm precedência sobre quaisquer restrições definidas na nuvem.

Diagrama de architecure que descreve como o agente do Azure Connected Machine funciona.

Serviços de agente

O agente do Azure Connected Machine é uma combinação de quatro serviços/daemons que são executados em seu servidor e ajudam a conectá-lo ao Azure. Eles são instalados juntos como um único aplicativo e são gerenciados centralmente usando a interface de linha de comando azcmagent.

Hybrid Instance Metadata Service

O HIMDS (Hybrid Instance Metadata Service) é o serviço “principal” no agente e é responsável por registrar o servidor com o Azure, sincronização contínua de metadados (pulsações), operações de identidade gerenciada e hospedar a API REST local que outros aplicativos podem consultar para saber mais sobre a conexão do dispositivo com o Azure. Este serviço não é privilegiado e é executado como uma conta virtual (NT SERVICE\himds com SID S-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083) no Windows ou uma conta de usuário padrão (HIMDS) em sistemas operacionais do Linux.

Gerenciador de extensões

O gerenciador de extensões é responsável por instalar, configurar, atualizar e remover software adicional no computador. Pronto para uso, o Azure Arc não sabe como monitorar ou plicar patch no computador. Em vez disso, quando você opta por usar esses recursos, o gerenciador de extensões baixa e habilita esses recursos. O gerenciador de extensões é executado como Sistema Local no Windows e raiz no Linux porque o software instalado pode exigir acesso total ao sistema. Você poderá limitar quais extensões o gerenciador de extensões tem permissão para instalá-la ou desabilitá-la inteiramente se não pretender usar extensões.

Configuração de convidado

O serviço de configuração de convidado avalia e impõe políticas de configuração de computador do Azure (convidado) no servidor. Essas são políticas especiais do Azure gravadas no Desired State Configuration do PowerShell para verificar as configurações de software em um servidor. O serviço de configuração de convidado avalia e relata regularmente a conformidade com essas políticas e, se a política estiver configurada no modo de imposição, alterará as configurações em seu sistema para colocar o computador de volta em conformidade, se necessário. O serviço de configuração de convidado é executado como Sistema Local no Windows e raiz no Linux para garantir que ele tenha acesso a todas as configurações em seu sistema. Você poderá desabilitar o recurso de configuração de convidado se não pretender usar políticas de configuração de convidado.

Proxy do Azure Arc

O serviço proxy do Azure Arc é responsável por agregar o tráfego de rede dos serviços do agente do Azure Connected Machine e quaisquer extensões que você instalou e decidir para onde rotear estes dados. Caso esteja usando o Gateway do Azure Arc para simplificar seus pontos de extremidade de rede, o serviço proxy do Azure Arc será o componente local que encaminha solicitações de rede por meio do Gateway do Azure Arc em vez da rota padrão. O proxy do Azure Arc é executado como Serviço de Rede no Windows e uma conta de usuário padrão (arcproxy) no Linux. Ele é desabilitado por padrão até que você configure o agente para usar o Gateway do Azure Arc.

Considerações de segurança para ativos de camada 0

Ativos de camada 0, como um Controlador de Domínio do Active Directory, um servidor da Autoridade de Certificação ou um servidor de aplicativo de negócios altamente confidencial, podem ser conectados ao Azure Arc com cuidado extra para garantir que apenas as funções de gerenciamento desejadas e os usuários autorizados possam gerenciar os servidores. Essas recomendações não são necessárias, mas são altamente recomendadas para manter a postura de segurança dos ativos de Camada 0.

Assinatura dedicada do Azure

O acesso aos servidores habilitados para Azure Arc geralmente é determinado pela hierarquia organizacional à qual pertence ao Azure. Trate qualquer administrador de grupo de gerenciamento ou assinatura como equivalente a um administrador local em ativos de Camada 0, pois eles podem usar suas permissões para adicionar novas atribuições de função ao recurso do Azure Arc. Além disso, as políticas aplicadas no nível da assinatura ou do grupo de gerenciamento também podem ter permissão para fazer alterações no servidor.

Para minimizar o número de contas e políticas com acesso aos ativos de Camada 0, considere usar uma assinatura dedicada do Azure que possa ser monitorada e configurada com o menor número possível de administradores persistentes. Examine as políticas do Azure em qualquer grupo de gerenciamento pai para garantir que elas estejam alinhadas com sua intenção para esses servidores.

Desabilitar recursos de gerenciamento desnecessários

Para um ativo de Camada 0, use os controles de segurança do agente local para desabilitar qualquer funcionalidade não utilizada no agente para evitar qualquer uso intencional ou acidental desses recursos para fazer alterações no servidor. Isso inclui:

  • Desabilitar recursos de acesso remoto
  • Definir uma lista de permissões de extensão para as extensões que você pretende usar ou desabilitar o gerenciador de extensões caso não esteja usando extensões
  • Desabilitar o agente de configuração do computador caso não pretenda usar políticas de configuração de computador

O exemplo a seguir mostra como bloquear o agente do Azure Connected Machine para um controlador de domínio que precisa usar o Agente do Azure Monitor para coletar logs de segurança para o Microsoft Sentinel e o Microsoft Defender para servidores, para proteger contra ameaças de malware:

azcmagent config set incomingconnections.enabled false

azcmagent config set guestconfiguration.enabled false

azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”