Configurar controlos de segurança do Azure Stack Hub

Este artigo explica os controlos de segurança que podem ser alterados no Azure Stack Hub e destaca as trocas quando aplicável.

A arquitetura Azure Stack Hub é construída sobre dois pilares de princípio de segurança: assumir a violação e endurecer por defeito. Para obter mais informações sobre a segurança do Azure Stack Hub, consulte a postura de segurança da infraestrutura do Azure Stack Hub. Embora a postura de segurança padrão do Azure Stack Hub esteja pronta para a produção, existem alguns cenários de implementação que requerem um endurecimento adicional.

Política de versão TLS

O protocolo de Segurança da Camada de Transporte (TLS) é um protocolo criptográfico amplamente adotado para estabelecer uma comunicação encriptada sobre a rede. O TLS evoluiu ao longo do tempo e várias versões foram lançadas. A infraestrutura Azure Stack Hub utiliza exclusivamente TLS 1.2 para todas as suas comunicações. Para interfaces externas, o Azure Stack Hub não tem atualmente falhas na utilização do TLS 1.2. No entanto, para retrocompatibilidade, apoia também a negociação até ao TLS 1.1. e 1.0. Quando um cliente TLS solicita a comunicação através de TLS 1.1 ou TLS 1.0, o Azure Stack Hub honra o pedido negociando para uma versão TLS mais baixa. Se o cliente solicitar TLS 1.2, o Azure Stack Hub estabelecerá uma ligação TLS utilizando o TLS 1.2.

Uma vez que os TLS 1.0 e 1.1 estão a ser progressivamente depreciados ou proibidos por organizações e padrões de conformidade, pode agora configurar a política TLS no Azure Stack Hub. Pode impor uma política apenas TLS 1.2 sempre que qualquer tentativa de estabelecer uma sessão de TLS com uma versão inferior a 1.2 não é permitida e é rejeitada.

Importante

A Microsoft recomenda a utilização de apenas uma política TLS 1.2 para ambientes de produção do Azure Stack Hub.

Obter política de TLS

Utilize o ponto final privilegiado (PEP) para ver a política TLS para todos os pontos finais do Azure Stack Hub:

Get-TLSPolicy

Exemplo de saída:

TLS_1.2

Definir a política TLS

Utilize o ponto final privilegiado (PEP) para definir a política TLS para todos os pontos finais do Azure Stack Hub:

Set-TLSPolicy -Version <String>

Parâmetros para o cmdlet Set-TLSPolicy :

Parâmetro Descrição Tipo Necessário
Versão Versão(s) permitidas de TLS no Azure Stack Hub String sim

Utilize um dos seguintes valores para configurar as versões TLS permitidas para todos os pontos finais do Azure Stack Hub:

Valor da versão Description
TLS_All Os pontos finais do Azure Stack Hub TLS suportam o TLS 1.2, mas é permitida a negociação para TLS 1.1 e TLS 1.0.
TLS_1.2 Os pontos finais do Azure Stack Hub TLS suportam apenas TLS 1.2.

A atualização da política TLS leva alguns minutos para ser concluída.

Impor exemplo de configuração TLS 1.2

Este exemplo define a sua política TLS apenas para impor o TLS 1.2.

Set-TLSPolicy -Version TLS_1.2

Exemplo de saída:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

Permitir todas as versões de TLS (1.2, 1.1 e 1.0) exemplo de configuração

Este exemplo define a sua política TLS para permitir todas as versões de TLS (1.2, 1.1 e 1.0).

Set-TLSPolicy -Version TLS_All

Exemplo de saída:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

Há cenários em que é útil exibir um aviso legal, após o login para uma sessão privilegiada de ponto final (PEP). Os cmdlets Set-AzSLegalNotice e Get-AzSLegalNotice são utilizados para gerir a legenda e o corpo de tal texto de aviso legal.

Para definir a legenda e texto do aviso legal, consulte o cmdlet Set-AzSLegalNotice. Se a legenda e texto do aviso legal tiverem sido previamente definidos, pode revê-los utilizando o cmdlet Get-AzSLegalNotice.

Passos seguintes