Controlos de segurança da infraestrutura do Azure Stack Hub

Artigo
03/29/2024

As considerações de segurança e os regulamentos de conformidade estão entre os fatores motivos para a utilização de clouds híbridas. O Azure Stack Hub foi concebido para estes cenários. Este artigo explica os controlos de segurança implementados para o Azure Stack Hub.

Duas camadas de postura de segurança coexistem no Azure Stack Hub. A primeira camada é a infraestrutura do Azure Stack Hub, que inclui os componentes de hardware até à Resource Manager do Azure. A primeira camada inclui o administrador e os portais de utilizador. A segunda camada consiste nas cargas de trabalho criadas, implementadas e geridas pelos inquilinos. A segunda camada inclui itens como máquinas virtuais e web sites dos Serviços de Aplicações.

Abordagem de segurança

A postura de segurança do Azure Stack Hub foi concebida para se defender contra ameaças modernas e foi criada para cumprir os requisitos das principais normas de conformidade. Como resultado, a postura de segurança da infraestrutura do Azure Stack Hub baseia-se em dois pilares:

Assumir Violação
Partindo do pressuposto de que o sistema já foi violado, concentre-se na deteção e limitação do impacto das violações em vez de apenas tentar evitar ataques.
Endurecido por Predefinição
Uma vez que a infraestrutura é executada em hardware e software bem definidos, o Azure Stack Hub ativa, configura e valida todas as funcionalidades de segurança por predefinição.

Uma vez que o Azure Stack Hub é fornecido como um sistema integrado, a postura de segurança da infraestrutura do Azure Stack Hub é definida pela Microsoft. Tal como no Azure, os inquilinos são responsáveis por definir a postura de segurança das suas cargas de trabalho de inquilino. Este documento fornece conhecimentos fundamentais sobre a postura de segurança da infraestrutura do Azure Stack Hub.

Encriptação de dados inativos

Todos os dados de inquilino e infraestrutura do Azure Stack Hub são encriptados inativos com o BitLocker. Esta encriptação protege contra perdas físicas ou roubo de componentes de armazenamento do Azure Stack Hub. Para obter mais informações, veja data at rest encryption in Azure Stack Hub (Encriptação de dados inativos no Azure Stack Hub).

Dados em encriptação de trânsito

Os componentes de infraestrutura do Azure Stack Hub comunicam com canais encriptados com o TLS 1.2. Os certificados de encriptação são geridos automaticamente pela infraestrutura.

Todos os pontos finais de infraestrutura externa, como os pontos finais REST ou o portal do Azure Stack Hub, suportam o TLS 1.2 para comunicações seguras. Os certificados de encriptação, de terceiros ou da sua Autoridade de Certificação empresarial, têm de ser fornecidos para esses pontos finais.

Embora os certificados autoassinados possam ser utilizados para estes pontos finais externos, a Microsoft recomenda vivamente que não os utilize. Para obter mais informações sobre como impor o TLS 1.2 nos pontos finais externos do Azure Stack Hub, veja Configurar controlos de segurança do Azure Stack Hub.

Gestão de segredos

A infraestrutura do Azure Stack Hub utiliza inúmeros segredos, como palavras-passe e certificados, para funcionar. A maioria das palavras-passe associadas às contas de serviço interno são automaticamente rodadas a cada 24 horas porque são Contas de Serviço Geridas de grupo (gMSA), um tipo de conta de domínio gerida diretamente pelo controlador de domínio interno.

A infraestrutura do Azure Stack Hub utiliza chaves RSA de 4096 bits para todos os certificados internos. Os mesmos certificados de comprimento de chave também podem ser utilizados para os pontos finais externos. Para obter mais informações sobre segredos e rotação de certificados, veja Rodar segredos no Azure Stack Hub.

Controlo de Aplicações do Windows Defender

O Azure Stack Hub utiliza as mais recentes funcionalidades de segurança do Windows Server. Um deles é o Controlo de Aplicações do Windows Defender (WDAC, anteriormente conhecido como Integridade do Código), que fornece filtragem de executáveis e garante que apenas o código autorizado é executado na infraestrutura do Azure Stack Hub.

O código autorizado é assinado pela Microsoft ou pelo parceiro OEM. O código autorizado assinado está incluído na lista de software permitido especificado numa política definida pela Microsoft. Por outras palavras, apenas o software que foi aprovado para ser executado na infraestrutura do Azure Stack Hub pode ser executado. Qualquer tentativa de execução de código não autorizado é bloqueada e um alerta é gerado. O Azure Stack Hub aplica tanto a Integridade do Código do Modo de Utilizador (UMCI) como a Integridade do Código do Hipervisor (HVCI).

A política WDAC também impede a execução de agentes ou software de terceiros na infraestrutura do Azure Stack Hub. Para obter mais informações sobre o WDAC, veja Controlo de Aplicações do Windows Defender e proteção baseada na virtualização da integridade do código.

Antimalware

Todos os componentes no Azure Stack Hub (anfitriões Hyper-V e máquinas virtuais) estão protegidos com o Antivírus do Windows Defender.

Em cenários ligados, a definição do antivírus e as atualizações do motor são aplicadas várias vezes por dia. Em cenários desligados, as atualizações antimalware são aplicadas como parte das atualizações mensais do Azure Stack Hub. Caso seja necessária uma atualização mais frequente das definições do Windows Defender em cenários desligados, o Azure Stack Hub também suporta a importação de atualizações do Windows Defender. Para obter mais informações, veja Atualizar o Antivírus do Windows Defender no Azure Stack Hub.

Arranque Seguro

O Azure Stack Hub impõe o Arranque Seguro em todos os anfitriões Hyper-V e máquinas virtuais de infraestrutura.

Modelo de administração restrita

A administração no Azure Stack Hub é controlada através de três pontos de entrada, cada um com um objetivo específico:

O portal de administrador fornece uma experiência de ponto e clique para operações de gestão diárias.
O Azure Resource Manager expõe todas as operações de gestão do portal de administrador através de uma API REST, utilizada pelo PowerShell e pela CLI do Azure.
Para operações de baixo nível específicas (por exemplo, integração de datacenters ou cenários de suporte), o Azure Stack Hub expõe um ponto final do PowerShell chamado ponto final privilegiado. Este ponto final expõe apenas um conjunto permitido de cmdlets e é fortemente auditado.

Controlos de rede

A infraestrutura do Azure Stack Hub inclui várias camadas de lista de Controlo de Acesso de rede (ACL). As ACLs impedem o acesso não autorizado aos componentes da infraestrutura e limitam as comunicações de infraestrutura apenas aos caminhos necessários para o seu funcionamento.

As ACLs de rede são impostas em três camadas:

Camada 1: Comutadores top of Rack
Camada 2: Rede Definida pelo Software
Camada 3: firewalls do sistema operativo anfitrião e da VM

Conformidade regulamentar

O Azure Stack Hub passou por uma avaliação formal de capacidade por uma empresa de auditoria independente de terceiros. Como resultado, está disponível documentação sobre como a infraestrutura do Azure Stack Hub cumpre os controlos aplicáveis de várias normas de conformidade principais. A documentação não é uma certificação do Azure Stack Hub porque as normas incluem vários controlos relacionados com o pessoal e relacionados com o processo. Em vez disso, os clientes podem utilizar esta documentação para iniciar o processo de certificação.

As avaliações incluem as seguintes normas:

O PCI-DSS aborda o setor dos cartões de pagamento.
A Matriz de Controlo de Nuvem CSA é um mapeamento abrangente em várias normas, incluindo FedRAMP Moderado, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53, entre outros.
FedRAMP High para clientes governamentais.

A documentação de conformidade pode ser encontrada no Portal de Confiança do Serviço Microsoft. Os guias de conformidade são um recurso protegido e exigem que inicie sessão com as credenciais do serviço cloud do Azure.

Iniciativa EU Schrems II para o Azure Stack Hub

A Microsoft anunciou a sua intenção de ultrapassar os compromissos de armazenamento de dados existentes ao permitir que os clientes baseados na UE processem e armazenem todos os seus dados na UE; deixará de ter de armazenar dados fora da UE. Esta alocação melhorada inclui clientes do Azure Stack Hub. Consulte Atender a Chamada da Europa: Armazenar e Processar Dados da UE na UE para obter mais informações.

A partir da versão 2206, pode selecionar a sua preferência geográfica para o processamento de dados em implementações existentes do Azure Stack Hub. Depois de transferir a correção, receberá o seguinte alerta.

Nota

Os ambientes desligados também podem ser necessários para selecionar uma geolocalização de dados. Esta é uma configuração única que afeta a localização de residência dos dados se o operador estiver a fornecer dados de diagnóstico à Microsoft. Se o operador não fornecer quaisquer dados de diagnóstico à Microsoft, esta definição não tem ramificações.

Pode resolver este alerta para a implementação do Azure Stack Hub existente de uma de duas formas, consoante a sua preferência geográfica para armazenar e processar os seus dados.

Se optar por armazenar e processar os seus dados na UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. A localização de residência dos dados será atualizada e todos os dados serão armazenados e processados na UE.
```
Set-DataResidencyLocation -Europe
```
Se optar por armazenar e processar os seus dados fora da UE, execute o seguinte cmdlet do PowerShell para definir a preferência geográfica. A localização de residência dos dados será atualizada e todos os dados serão processados fora da UE.
```
Set-DataResidencyLocation -Europe:$false
```

Depois de resolver este alerta, pode verificar a preferência de região geográfica no portal do Administração janela Propriedades.

As novas implementações do Azure Stack Hub podem definir a região geográfica durante a configuração e implementação.