Azure Stack Hub güvenlik denetimlerini yapılandırma
Bu makalede, Azure Stack Hub'da değiştirilebilen güvenlik denetimleri açıklanır ve uygun olduğunda dezavantajlar vurgulanır.
Azure Stack Hub mimarisi iki güvenlik ilkesi dayanağı üzerine kurulmuştur: ihlal varsayma ve varsayılan olarak sağlamlaştırma. Azure Stack Hub güvenliği hakkında daha fazla bilgi için bkz. Azure Stack Hub altyapı güvenlik duruşu. Azure Stack Hub'ın varsayılan güvenlik duruşu üretime hazır olsa da ek sağlamlaştırma gerektiren bazı dağıtım senaryoları vardır.
TLS sürüm ilkesi
Aktarım Katmanı Güvenliği (TLS) protokolü, ağ üzerinden şifreli iletişim kurmak için yaygın olarak benimsenen bir şifreleme protokolüdür. TLS zaman içinde gelişti ve birden çok sürüm yayınlandı. Azure Stack Hub altyapısı tüm iletişimleri için yalnızca TLS 1.2 kullanır. Dış arabirimler için Azure Stack Hub şu anda varsayılan olarak TLS 1.2 kullanıyor. Ancak geriye dönük uyumluluk için TLS 1.1'e kadar müzakere etmeyi de destekler. ve 1.0. Bir TLS istemcisi TLS 1.1 veya TLS 1.0 üzerinden iletişim kurmak istediğinde, Azure Stack Hub daha düşük bir TLS sürümü üzerinde anlaşmaya vararak isteği kabul eder. İstemci TLS 1.2 isterse, Azure Stack Hub TLS 1.2 kullanarak bir TLS bağlantısı kurar.
TLS 1.0 ve 1.1, kuruluşlar ve uyumluluk standartları tarafından artımlı olarak kullanımdan kaldırıldığı veya yasaklandığı için artık Azure Stack Hub'da TLS ilkesini yapılandırabilirsiniz. TlS 1.2 ilkesini yalnızca 1.2'den düşük bir sürümle TLS oturumu oluşturma girişimine izin verilmediği ve reddedildiği bir ilke uygulayabilirsiniz.
Önemli
Microsoft, Azure Stack Hub üretim ortamları için yalnızca TLS 1.2 ilkesinin kullanılmasını önerir.
TLS ilkesini alma
Tüm Azure Stack Hub uç noktalarının TLS ilkesini görüntülemek için ayrıcalıklı uç noktayı (PEP) kullanın:
Get-TLSPolicy
Örnek çıktı:
TLS_1.2
TLS ilkesini ayarlama
Tüm Azure Stack Hub uç noktaları için TLS ilkesini ayarlamak için ayrıcalıklı uç noktayı (PEP) kullanın:
Set-TLSPolicy -Version <String>
Set-TLSPolicy cmdlet'i için parametreler:
Parametre | Açıklama | Tür | Gerekli |
---|---|---|---|
Sürüm | Azure Stack Hub'da TLS'nin izin verilen sürümleri | Dize | evet |
Tüm Azure Stack Hub uç noktaları için izin verilen TLS sürümlerini yapılandırmak için aşağıdaki değerlerden birini kullanın:
Sürüm değeri | Description |
---|---|
TLS_All | Azure Stack Hub TLS uç noktaları TLS 1.2'yi destekler, ancak TLS 1.1 ve TLS 1.0 ile aşağı anlaşmaya izin verilir. |
TLS_1.2 | Azure Stack Hub TLS uç noktaları yalnızca TLS 1.2'i destekler. |
TLS ilkesinin güncelleştirilmesi birkaç dakika sürer.
TLS 1.2 yapılandırma örneğini zorunlu kılma
Bu örnek, TLS ilkenizi yalnızca TLS 1.2'yi zorunlu kacak şekilde ayarlar.
Set-TLSPolicy -Version TLS_1.2
Örnek çıktı:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
TLS (1.2, 1.1 ve 1.0) yapılandırma örneğinin tüm sürümlerine izin ver
Bu örnek, TLS ilkenizi TÜM TLS sürümlerine (1.2, 1.1 ve 1.0) izin verecek şekilde ayarlar.
Set-TLSPolicy -Version TLS_All
Örnek çıktı:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
PEP oturumları için yasal bildirim
Ayrıcalıklı bir uç nokta (PEP) oturumunda oturum açıldığında yasal bildirim görüntülemenin yararlı olduğu senaryolar vardır. Set-AzSLegalNotice ve Get-AzSLegalNotice cmdlet'leri, bu tür yasal bildirim metninin başlık ve gövdesini yönetmek için kullanılır.
Yasal bildirim başlık ve metni ayarlamak için Set-AzSLegalNotice cmdlet'ine bakın. Yasal bildirim başlık ve metin önceden ayarlandıysa Get-AzSLegalNotice cmdlet'ini kullanarak bunları gözden geçirebilirsiniz.