Функции безопасности для Azure Stack HCI версии 23H2
Применимо к: Azure Stack HCI версии 23H2
Azure Stack HCI — это защищенный по умолчанию продукт, для которого с самого начала включено более 300 параметров безопасности. Параметры безопасности по умолчанию предоставляют согласованные базовые показатели безопасности, чтобы гарантировать, что устройства запускаются в известном работоспособном состоянии.
В этой статье представлен краткий обзор различных функций безопасности, связанных с кластером Azure Stack HCI. К ним относятся параметры безопасности по умолчанию, Защитник Windows для управления приложениями (WDAC), шифрование томов с помощью BitLocker, смена секретов, локальные встроенные учетные записи пользователей, Microsoft Defender для облака и многое другое.
Параметры безопасности по умолчанию
В Azure Stack HCI по умолчанию включены параметры безопасности, которые предоставляют согласованные базовые показатели безопасности, систему управления базовыми показателями и механизм управления смещением.
Вы можете отслеживать базовые показатели безопасности и параметры защищенного ядра как во время развертывания, так и во время выполнения. Вы также можете отключить управление смещением во время развертывания при настройке параметров безопасности.
При применении управления смещением параметры безопасности обновляются каждые 90 минут. Этот интервал обновления обеспечивает исправление любых изменений из требуемого состояния. Непрерывный мониторинг и автоматическое обновление обеспечивают согласованное и надежное состояние безопасности на протяжении всего жизненного цикла устройства.
Базовые показатели безопасности в Azure Stack HCI:
- Улучшает состояние безопасности, отключая устаревшие протоколы и шифры.
- Сокращение операционных операций за счет встроенного механизма защиты от смещения, который обеспечивает согласованный мониторинг в масштабе с помощью базового плана гибридного пограничных вычислений Azure Arc.
- Позволяет соответствовать требованиям Центра интернет-безопасности (CIS) и технического руководства по технической реализации безопасности (STIG) Агентства информационной системы защиты (DISA) для ОПЕРАЦИОННОй системы и рекомендуемых базовых показателей безопасности.
Дополнительные сведения см. в статье Управление значениями безопасности по умолчанию в Azure Stack HCI.
Управление приложениями в Защитнике Windows
WDAC — это программный уровень безопасности, который сокращает уязвимую зону за счет применения явного списка программного обеспечения, которое разрешено запускать. WDAC включен по умолчанию и ограничивает приложения и код, которые можно запускать на основной платформе. Дополнительные сведения см. в статье Управление Защитник Windows приложениями для Azure Stack HCI версии 23H2.
WDAC предоставляет два режима работы main: режим принудительного применения и режим аудита. В режиме принудительного применения ненадежный код блокируется, а события записываются. В режиме аудита ненадежный код может выполняться, а события записываются. Дополнительные сведения о событиях, связанных с WDAC, см. в разделе Список событий.
Важно!
Чтобы свести к минимуму риски безопасности, всегда запустите WDAC в режиме принудительного применения.
Сведения о проектировании политики WDAC
Корпорация Майкрософт предоставляет базовые подписанные политики в Azure Stack HCI как для режима принудительного применения, так и для режима аудита. Кроме того, политики включают предопределенный набор правил поведения платформы и блочные правила для применения к уровню управления приложениями.
Состав базовых политик
Базовые политики Azure Stack HCI включают следующие разделы:
- Метаданные. Метаданные определяют уникальные свойства политики, такие как имя политики, версия, GUID и многое другое.
- Правила параметров. Эти правила определяют поведение политики. Дополнительные политики могут отличаться только от небольшого набора правил параметров, привязанных к их базовой политике.
- Разрешить и запретить правила. Эти правила определяют границы доверия кода. Правила могут основываться на издателях, подписывателях, хэшах файлов и т. д.
Правила параметров
В этом разделе рассматриваются правила параметров, включенные базовой политикой.
Для принудительной политики по умолчанию включены следующие правила параметров:
| Правило параметров | Значение |
|---|---|
| Активировано | UMCI |
| Обязательно | WHQL |
| Активировано | Разрешить дополнительные политики |
| Активировано | Отозвано истек срок действия без знака |
| Выключено | Подписывание тестов |
| Активировано | Неподписаная политика целостности системы (по умолчанию) |
| Активировано | Безопасность динамического кода |
| Активировано | Меню дополнительных параметров загрузки |
| Выключено | Принудительное применение скрипта |
| Активировано | Управляемый установщик |
| Активировано | Политика обновления без перезагрузки |
Политика аудита добавляет следующие правила параметров в базовую политику:
| Правило параметров | Значение |
|---|---|
| Активировано | Режим аудита (по умолчанию) |
Дополнительные сведения см. в полном списке правил параметров.
Разрешить и запретить правила
Правила разрешения в базовой политике позволяют доверять всем компонентам Майкрософт, предоставляемым ОС и облачными развертываниями. Правила запрета блокируют приложения пользовательского режима и компоненты ядра, которые считаются небезопасными для состояния безопасности решения.
Примечание
Правила разрешения и запрета в базовой политике регулярно обновляются, чтобы повысить эффективность продукта и обеспечить максимальную защиту решения.
Дополнительные сведения о правилах запрета см. в следующих разделах:
шифрование BitLocker;
Шифрование неактивных данных включено для томов данных, созданных во время развертывания. К этим томам данных относятся как тома инфраструктуры, так и тома рабочей нагрузки. При развертывании кластера можно изменить параметры безопасности.
По умолчанию шифрование неактивных данных включено во время развертывания. Рекомендуется принять значение по умолчанию.
После успешного развертывания Azure Stack HCI можно получить ключи восстановления BitLocker. Ключи восстановления BitLocker необходимо хранить в безопасном расположении за пределами системы.
Дополнительные сведения о шифровании BitLocker см. в разделе:
- Используйте BitLocker с общими томами кластера (CSV).
- Управление шифрованием BitLocker в Azure Stack HCI.
Локальные встроенные учетные записи пользователей
В этом выпуске в системе Azure Stack HCI доступны следующие локальные встроенные пользователи, связанные с RID 500 и RID 501 :
| Имя в исходном образе ОС | Имя после развертывания | По умолчанию включено | Описание |
|---|---|---|---|
| Администратор | ASBuiltInAdmin | True | Встроенная учетная запись для администрирования компьютера или домена. |
| Гость | ASBuiltInGuest | Неверно | Встроенная учетная запись для гостевого доступа к компьютеру или домену, защищенная механизмом управления смещением базовых показателей безопасности. |
Важно!
Рекомендуется создать собственную учетную запись локального администратора и отключить общеизвестную RID 500 учетную запись пользователя.
Создание и смена секретов
Оркестратору в Azure Stack HCI требуется несколько компонентов для обеспечения безопасного взаимодействия с другими ресурсами и службами инфраструктуры. Все службы, работающие в кластере, имеют связанные сертификаты проверки подлинности и шифрования.
Для обеспечения безопасности мы реализуем возможности создания и смены внутренних секретов. При проверке узлов кластера вы увидите несколько сертификатов, созданных по пути к хранилищу сертификатов LocalMachine/Personal (Cert:\LocalMachine\My).
В этом выпуске включены следующие возможности:
- Возможность создавать сертификаты во время развертывания и после операций масштабирования кластера.
- Автоматическая автоматическая проверка до истечения срока действия сертификатов и возможность смены сертификатов в течение жизненного цикла кластера.
- Возможность отслеживать и оповещать о том, действительны ли сертификаты.
Примечание
Операции создания и смены секретов занимают около десяти минут в зависимости от размера кластера.
Дополнительные сведения см. в разделе Управление сменой секретов.
Пересылка событий безопасности в системный журнал
Для клиентов и организаций, которым требуется собственная локальная система управления информационной безопасностью и событиями безопасности (SIEM), Azure Stack HCI версии 23H2 включает интегрированный механизм, позволяющий пересылать события, связанные с безопасностью, в SIEM.
Azure Stack HCI имеет интегрированный сервер пересылки системного журнала, который после настройки создает сообщения системного журнала, определенные в RFC3164, с полезными данными в формате common event format (CEF).
На следующей схеме показана интеграция Azure Stack HCI с SIEM. Все аудиты, журналы безопасности и оповещения собираются на каждом узле и предоставляются через системный журнал с полезными данными CEF.
Агенты пересылки системного журнала развертываются на каждом узле Azure Stack HCI для пересылки сообщений системного журнала на настроенный клиентом сервер системного журнала. Агенты переадресации системного журнала работают независимо друг от друга, но могут управляться вместе на любом из узлов.
Сервер пересылки системных журналов в Azure Stack HCI поддерживает различные конфигурации в зависимости от того, выполняется ли пересылка системного журнала по протоколу TCP или UDP, включена ли шифрование и имеется ли однонаправленная или двунаправленная проверка подлинности.
Дополнительные сведения см. в разделе Управление пересылкой системного журнала.
Microsoft Defender для облака (предварительная версия)
Microsoft Defender для облака — это решение для управления состоянием безопасности с расширенными возможностями защиты от угроз. Она предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, создания оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению угроз в будущем. Все эти службы выполняются с высокой скоростью в облаке с помощью автоматической подготовки и защиты с помощью служб Azure без дополнительных затрат на развертывание.
С помощью базового плана Defender для облака вы получите рекомендации по повышению уровня безопасности системы Azure Stack HCI без дополнительных затрат. С помощью платного плана Defender для серверов вы получаете расширенные функции безопасности, включая оповещения системы безопасности для отдельных серверов и виртуальных машин Arc.
Дополнительные сведения см. в статье Управление безопасностью системы с помощью Microsoft Defender для облака (предварительная версия).