Microsoft Azure Pack: Aprimoramentos de segurança dos sites

 

Aplica-se a: Windows Azure Pack

Após a instalação, você pode aperfeiçoar a segurança implementando práticas recomendadas adicionais. Isso inclui a configuração da filtragem de IP (também conhecido como "lista de bloqueios"), a definição de cotas contra ataques de DoS e outras etapas.

Configurar a filtragem de IP

É muito importante definir um filtro IP porque uma das maneiras mais fáceis de iniciar um ataque DoS (negação de serviço) é iniciar o ataque dentro do próprio serviço. Portanto, no mínimo, o provedor de serviços de hospedagem deve colocar o próprio farm na lista de bloqueios.

Por exemplo, se o web farm for implantado em uma sub-rede, os endereços IP de sub-rede deverá ser filtrado para impedir o retorno de chamada de sites no farm e que iniciem (por exemplo) um ataque DoS.

Para restringir o acesso de processos de trabalho de locatário aos intervalos de endereços IP que correspondam a servidores na nuvem de Sites, você pode configurar a filtragem de IP no portal de gerenciamento do Windows Azure Pack ou usar o PowerShell.

Para configurar a filtragem de IP no Portal de Gerenciamento

Para configurar a filtragem de IP no Portal de Gerenciamento para Administradores, execute as seguintes etapas:

1. No painel esquerdo do portal, escolha Nuvens de Site.

2. Selecione a nuvem de site a ser configurada.

3. Escolha Lista de Bloqueios.

4. Na barra de comandos na parte inferior do portal, escolha Adicionar.

5. Na caixa de diálogo Inserir um Intervalo de Endereços IP, insira um endereço IP nas caixas Endereço Inicial e Endereço Final para criar o intervalo.

6. Clique na marca de seleção para concluir a operação.

Para configurar a filtragem de IP usando o PowerShell

Para configurar a filtragem de IP usando o PowerShell, execute os cmdlets do PowerShell a seguir no controlador. Substitua <start-of-ip-blacklist-range> e <end-of-ip-blacklist-range> por endereços IP válidos.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Reinicie o serviço WAS dinâmico.

Finalmente, reinicie o DWASSVC (Serviço Dinâmico de Ativação de Processos do Windows) em servidores configurados para executar a função web worker. Execute os seguintes comandos em um prompt de comandos com privilégios elevados:

net stop dwassvc
net start dwassvc

Definir cotas

Para evitar ataques DoS (negação de serviço), você deve definir cotas sobre o uso de CPU, de memória, de largura de banda e de disco. Essas cotas podem ser configuradas no Portal de Gerenciamento para Administradores como parte da criação de planos.

Quando um plano tem essas cotas definidas e um site pertencente ao plano sofre um ataque DoS ou um pico inesperado da CPU, o site é interrompido quando as cotas são alcançadas, por conseguinte cessando o ataque.

As cotas mencionadas também são úteis contra os ataques originados dentro do farm. Por exemplo, um ataque de senha bruta no farm consumiria muito tempo de CPU e, supondo que foram usadas senhas fortes, a cota de CPU seria alcançada antes de uma possível quebra de senha.

Atribuir um conjunto separado de credenciais para cada função de Sites

Como prática recomendada de segurança após a instalação, você deve editar os conjuntos de credenciais das funções de servidor Web de forma que todas sejam exclusivas. Depois de criar contas novas e exclusivas, você pode atualizar as credenciais no Portal de Gerenciamento para Administradores para usar as novas contas.

Para editar credenciais de função de servidor de Sites

1. No Portal de Gerenciamento para Administradores, clique em Nuvens do Site e escolha a nuvem a ser configurada.

2. Clique em Credenciais. Em Nome de Usuário, você pode verificar se os nomes de usuário são exclusivos entre as funções de site (por exemplo, todos podem ser “Administrador”; neste caso, eles devem ser modificados).

3. Selecione um dos nomes de credencial (por exemplo, Credencial do Servidor de Gerenciamento) e clique em Editar na barra de comandos na parte inferior do portal.

4. Na caixa de diálogo que aparece (por exemplo, Atualizar Credencial do Servidor de Gerenciamento), forneça um novo nome de usuário e senha.

5. Clique na marca de seleção para concluir a operação.

6. Repita as etapas de 3 a 5 até que todos os conjuntos de credenciais sejam exclusivos.

Alterar (“substituir”) credenciais regularmente

Como prática recomendada de segurança, convém alterar (ou "substituir") credenciais regularmente. Para os serviços de função, é melhor alterar o nome e a senha de usuário ao mesmo tempo, e não apenas a senha. Alterar o nome de usuário e a senha impede o problema “fora de sincronização” que pode ocorrer quando apenas a senha é alterada, mas a alteração não foi totalmente propagada no ambiente.

Quando você altera o nome de usuário e a senha, os dois conjuntos de credenciais estão temporariamente disponíveis durante o processo de substituição. Por exemplo, dois sistemas desconectados que precisam ser autenticados ainda podem se conectar após a alteração. Quando as novas credenciais estão em vigor e totalmente funcionais em todos os sistemas, você pode desabilitar o conjunto antigo.

Definir um perfil restritivo de confiança para aplicativos .NET

Para aplicativos .NET, você deve definir um perfil restritivo de confiança. Por padrão, o Pacote do Windows Azure: Sites é executado no modo de confiança total para oferecer a compatibilidade de aplicativo mais ampla possível. Escolher o nível de confiança ideal envolve uma compensação de segurança versus compatibilidade. Como cada cenário de uso é diferente, você deve determinar e seguir suas próprias práticas recomendadas para proteger os servidores Web multilocatários em seu ambiente.

Outras práticas recomendadas

Outras práticas recomendadas incluem o uso do princípio de privilégios mínimos ao criar contas de usuário, minimizando a área da superfície de rede, e alterando ACLs do sistema para proteger o sistema de arquivos e o Registro.

Ao criar contas, use o princípio de privilégios mínimos

Ao criar contas de usuário, aplique o princípio de privilégios mínimos a elas. Para obter mais informações, consulte Aplicando o princípio de privilégios mínimos a contas de usuário no Windows.

Minimizar a área de superfície de rede

Configure o firewall para minimizar a área de superfície de rede em servidores com acesso à Internet. Para obter informações sobre o Windows Firewall with Advanced Security, consulte os recursos a seguir (as referências ao Windows Server 2008 R2 ainda são úteis para o Windows Server 2012 e o Windows Server 2012 R2).

• Guia passo a passo do Windows Server 2008 R2: implantando o Firewall do Windows e as políticas de IPsec (link para download do documento da Microsoft)

• Segurança do Firewall do Windows Server 2008 R2 (WindowsITPro)

• Solução de problemas do Firewall do Windows com Segurança Avançada no Windows Server 2012 (TechNet)

Modificar ACLs de sistema para proteger o sistema de arquivos e o Registro

Os utilitários a seguir para download podem ajudar a avaliar um sistema de arquivos do servidor e as configurações de segurança do Registro.

• AccessChk

• AccessEnum

Consulte Também

Implantar o Microsoft Azure Pack: Sites