Configurar controlos de segurança do Azure Stack Hub
Este artigo explica os controlos de segurança que podem ser alterados no Azure Stack Hub e realça as desvantagens quando aplicável.
A arquitetura do Azure Stack Hub baseia-se em dois pilares de princípios de segurança: assumir a violação e ser protegido por predefinição. Para obter mais informações sobre a segurança do Azure Stack Hub, veja Postura de segurança da infraestrutura do Azure Stack Hub. Embora a postura de segurança predefinida do Azure Stack Hub esteja pronta para produção, existem alguns cenários de implementação que requerem proteção adicional.
Política de versões do TLS
O protocolo TLS (Transport Layer Security) é um protocolo criptográfico amplamente adotado para estabelecer comunicação encriptada através da rede. O TLS evoluiu ao longo do tempo e foram lançadas várias versões. A infraestrutura do Azure Stack Hub utiliza exclusivamente o TLS 1.2 para todas as suas comunicações. Para interfaces externas, atualmente, o Azure Stack Hub utiliza o TLS 1.2 por predefinição. No entanto, para retrocompatibilidade, também apoia a negociação para o TLS 1.1. e 1.0. Quando um cliente TLS pede para comunicar através do TLS 1.1 ou TLS 1.0, o Azure Stack Hub respeita o pedido ao negociar para uma versão TLS inferior. Se o cliente pedir o TLS 1.2, o Azure Stack Hub estabelecerá uma ligação TLS com o TLS 1.2.
Uma vez que o TLS 1.0 e 1.1 estão a ser preteridos ou proibidos incrementalmente pelas organizações e pelos padrões de conformidade, pode agora configurar a política TLS no Azure Stack Hub. Só pode impor uma política TLS 1.2 em que qualquer tentativa de estabelecer uma sessão TLS com uma versão inferior a 1.2 não é permitida e é rejeitada.
Importante
A Microsoft recomenda a utilização da política apenas do TLS 1.2 para ambientes de produção do Azure Stack Hub.
Obter política TLS
Utilize o ponto final privilegiado (PEP) para ver a política TLS para todos os pontos finais do Azure Stack Hub:
Get-TLSPolicy
Exemplo de saída:
TLS_1.2
Definir política TLS
Utilize o ponto final privilegiado (PEP) para definir a política TLS para todos os pontos finais do Azure Stack Hub:
Set-TLSPolicy -Version <String>
Parâmetros para o cmdlet Set-TLSPolicy :
| Parâmetro | Descrição | Tipo | Necessário |
|---|---|---|---|
| Versão | Versões permitidas do TLS no Azure Stack Hub | String | sim |
Utilize um dos seguintes valores para configurar as versões do TLS permitidas para todos os pontos finais do Azure Stack Hub:
| Valor da versão | Descrição |
|---|---|
| TLS_All | Os pontos finais TLS do Azure Stack Hub suportam o TLS 1.2, mas a negociação para o TLS 1.1 e o TLS 1.0 é permitida. |
| TLS_1.2 | Os pontos finais TLS do Azure Stack Hub suportam apenas O TLS 1.2. |
A atualização da política TLS demora alguns minutos a ser concluída.
Exemplo de configuração Do TLS 1.2
Este exemplo define a política TLS para impor apenas o TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Exemplo de saída:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Exemplo de configuração permitir todas as versões do TLS (1.2, 1.1 e 1.0)
Este exemplo define a política TLS para permitir todas as versões do TLS (1.2, 1.1 e 1.0).
Set-TLSPolicy -Version TLS_All
Exemplo de saída:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Aviso legal para sessões PEP
Existem cenários em que é útil apresentar um aviso legal, após iniciar sessão numa sessão de ponto final privilegiado (PEP). Os cmdlets Set-AzSLegalNotice e Get-AzSLegalNotice são utilizados para gerir a legenda e o corpo desse texto de aviso legal.
Para definir o aviso legal legenda e texto, consulte o cmdlet Set-AzSLegalNotice. Se a notificação legal legenda e o texto tiverem sido definidos anteriormente, pode revê-los utilizando o cmdlet Get-AzSLegalNotice.