Azure Stack HCI, sürüm 23H2 için güvenlik özellikleri
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2
Azure Stack HCI, başlangıçtan itibaren 300'den fazla güvenlik ayarı etkinleştirilmiş, varsayılan olarak güvenli bir üründür. Varsayılan güvenlik ayarları, cihazların bilinen iyi durumda başlamasını sağlamak için tutarlı bir güvenlik temeli sağlar.
Bu makalede, Azure Stack HCI kümenizle ilişkili çeşitli güvenlik özelliklerine kısa bir kavramsal genel bakış sağlanır. Özellikler arasında güvenlik varsayılanları, Uygulama Denetimi (WDAC) için Windows Defender), BitLocker aracılığıyla birim şifrelemesi, gizli dizi döndürme, yerel yerleşik kullanıcı hesapları, Bulut için Microsoft Defender ve daha fazlası bulunur.
Güvenlik varsayılanları
Azure Stack HCI'nizde tutarlı bir güvenlik temeli, temel yönetim sistemi ve kayma denetim mekanizması sağlayan güvenlik ayarları varsayılan olarak etkindir.
Hem dağıtım hem de çalışma zamanı sırasında güvenlik temeli ve güvenli çekirdek ayarlarını izleyebilirsiniz. Güvenlik ayarlarını yapılandırırken dağıtım sırasında kayma denetimini de devre dışı bırakabilirsiniz.
Kayma denetimi uygulandığında güvenlik ayarları 90 dakikada bir yenilenir. Bu yenileme aralığı, istenen durumdaki değişikliklerin düzeltilmesini sağlar. Sürekli izleme ve otomatik düzeltme, cihazın yaşam döngüsü boyunca tutarlı ve güvenilir bir güvenlik duruşu sağlar.
Azure Stack HCI'de güvenli temel:
- Eski protokolleri ve şifreleri devre dışı bırakarak güvenlik duruşunu geliştirir.
- Azure Arc Hibrit Edge temeli aracılığıyla tutarlı ölçekli izleme sağlayan yerleşik kayma koruma mekanizmasıyla OPEX'i azaltır.
- İşletim sistemi ve önerilen güvenlik temeli için İnternet Güvenliği Merkezi (CIS) karşılaştırmasını ve Savunma Bilgi Sistemi Ajansı (DISA) Güvenlik Teknik Uygulama Kılavuzu (STIG) gereksinimlerini karşılamanızı sağlar.
Daha fazla bilgi için bkz. Azure Stack HCI'de güvenlik varsayılanlarını yönetme.
Windows Defender Uygulama Denetimi
WDAC, çalışmasına izin verilen yazılımların açık bir listesini zorunlu kılarak saldırı yüzeyini azaltan yazılım tabanlı bir güvenlik katmanıdır. WDAC varsayılan olarak etkindir ve çekirdek platformda çalıştırabileceğiniz uygulamaları ve kodu sınırlar. Daha fazla bilgi için bkz. Azure Stack HCI, sürüm 23H2 için Windows Defender Uygulama Denetimini Yönetme.
WDAC iki ana işlem modu sağlar: Zorlama modu ve Denetim modu. Zorlama modunda güvenilmeyen kod engellenir ve olaylar kaydedilir. Denetim modunda güvenilmeyen kodun çalıştırılmasına izin verilir ve olaylar kaydedilir. WDAC ile ilgili olaylar hakkında daha fazla bilgi edinmek için bkz. Olay Listesi.
Önemli
Güvenlik riskini en aza indirmek için WDAC'yi her zaman Zorlama modunda çalıştırın.
WDAC ilke tasarımı hakkında
Microsoft, Hem Zorlama modu hem de Denetim modu için Azure Stack HCI'de temel imzalı ilkeler sağlar. Ayrıca, ilkeler önceden tanımlanmış bir platform davranışı kuralları kümesi ve uygulama denetim katmanına uygulanacak blok kuralları içerir.
Temel ilkelerin bileşimi
Azure Stack HCI temel ilkeleri aşağıdaki bölümleri içerir:
- Meta veriler: Meta veriler ilkenin ilke adı, sürümü, GUID ve daha fazlası gibi benzersiz özelliklerini tanımlar.
- Seçenek Kuralları: Bu kurallar ilke davranışını tanımlar. Ek ilkeler yalnızca temel ilkelerine bağlı küçük bir seçenek kuralları kümesinden farklı olabilir.
- İzin Ver ve Reddet Kuralları: Bu kurallar kod güveni sınırlarını tanımlar. Kurallar Yayımcılar, İmzalayanlar, Dosya Karması ve daha fazlasını temel alabilir.
Seçenek kuralları
Bu bölümde temel ilke tarafından etkinleştirilen seçenek kuralları açıklanmıştır.
Zorunlu ilke için aşağıdaki seçenek kuralları varsayılan olarak etkindir:
| Seçenek kuralı | Değer |
|---|---|
| Etkin | UMCI |
| Gerekli | WHQL |
| Etkin | Ek İlkelere İzin Ver |
| Etkin | İptal Edildi süresi İmzasız Olarak Doldu |
| Devre dışı | Uçuş İmzalama |
| Etkin | İmzasız Sistem Bütünlüğü İlkesi (Varsayılan) |
| Etkin | Dinamik Kod Güvenliği |
| Etkin | Gelişmiş Önyükleme Seçenekleri Menüsü |
| Devre dışı | Betik Zorlama |
| Etkin | Yönetilen Yükleyici |
| Etkin | güncelleştirme ilkesi yeniden başlatma yok |
Denetim ilkesi temel ilkeye aşağıdaki seçenek kurallarını ekler:
| Seçenek kuralı | Değer |
|---|---|
| Etkin | Denetim Modu (Varsayılan) |
Daha fazla bilgi için seçenek kurallarının tam listesine bakın.
İzin Ver ve Reddet kuralları
Temel ilkedeki kurallara izin ver, işletim sistemi tarafından teslim edilen tüm Microsoft bileşenlerinin ve bulut dağıtımlarının güvenilir olmasını sağlar. Reddetme kuralları, çözümün güvenlik duruşu için güvenli olmayan olarak kabul edilen kullanıcı modu uygulamalarını ve çekirdek bileşenlerini engeller.
Not
Temel ilkedeki İzin Ver ve Reddet kuralları, ürün eğlenceliliğini artırmak ve çözümünüzün korumasını en üst düzeye çıkarmak için düzenli olarak güncelleştirilir.
Reddetme kuralları hakkında daha fazla bilgi edinmek için bkz:
BitLocker şifrelemesi
Bekleyen veriler şifrelemesi, dağıtım sırasında oluşturulan veri birimlerinde etkinleştirilir. Bu veri hacimleri hem altyapı birimlerini hem de iş yükü birimlerini içerir. Kümenizi dağıtırken güvenlik ayarlarını değiştirebilirsiniz.
Varsayılan olarak, bekleyen veriler şifrelemesi dağıtım sırasında etkinleştirilir. Varsayılan ayarı kabul etmenizi öneririz.
Azure Stack HCI başarıyla dağıtıldıktan sonra BitLocker kurtarma anahtarlarını alabilirsiniz. BitLocker kurtarma anahtarlarını sistemin dışında güvenli bir konumda depolamanız gerekir.
BitLocker şifrelemesi hakkında daha fazla bilgi için bkz:
- Küme Paylaşılan Birimleri (CSV) ile BitLocker kullanın.
- Azure Stack HCI'de BitLocker şifrelemeyi yönetme.
Yerel yerleşik kullanıcı hesapları
Bu sürümde, ile ilişkilendirilmiş ve RID 501 ile RID 500 ilişkilendirilmiş aşağıdaki yerel yerleşik kullanıcılar Azure Stack HCI sisteminizde kullanılabilir:
| İlk işletim sistemi görüntüsündeki ad | Dağıtımdan sonra ad | Varsayılan olarak etkindir | Description |
|---|---|---|---|
| Yönetici | ASBuiltInAdmin | Doğru | Bilgisayarı/etki alanını yönetmek için yerleşik hesap. |
| Konuk | ASBuiltInGuest | Yanlış | Güvenlik temeli kayma denetim mekanizması tarafından korunan, bilgisayara/etki alanına konuk erişimi için yerleşik hesap. |
Önemli
Kendi yerel yönetici hesabınızı oluşturmanızı ve iyi bilinen RID 500 kullanıcı hesabını devre dışı bırakmanızı öneririz.
Gizli dizi oluşturma ve döndürme
Azure Stack HCI'deki düzenleyici, diğer altyapı kaynakları ve hizmetleriyle güvenli iletişim sağlamak için birden çok bileşen gerektirir. Kümede çalışan tüm hizmetlerle ilişkili kimlik doğrulama ve şifreleme sertifikaları vardır.
Güvenliği sağlamak için iç gizli dizi oluşturma ve döndürme özelliklerini uygularız. Küme düğümlerinizi gözden geçirirken, LocalMachine/Personal sertifika deposu ()Cert:\LocalMachine\My yolunda oluşturulmuş birkaç sertifika görürsünüz.
Bu sürümde aşağıdaki özellikler etkinleştirilmiştir:
- Dağıtım sırasında ve küme ölçeklendirme işlemlerinden sonra sertifika oluşturma özelliği.
- Sertifikaların süresi dolmadan önce otomatik otomatik döndürme ve kümenin kullanım ömrü boyunca sertifikaları döndürme seçeneği.
- Sertifikaların hala geçerli olup olmadığını izleme ve uyarı verme özelliği.
Not
Kümenin boyutuna bağlı olarak gizli dizi oluşturma ve döndürme işlemlerinin tamamlanması yaklaşık on dakika sürer.
Daha fazla bilgi için bkz. Gizli dizi döndürmeyi yönetme.
Güvenlik olaylarının syslog iletmesi
Kendi yerel güvenlik bilgilerine ve olay yönetimi (SIEM) sistemine ihtiyaç duyan müşteriler ve kuruluşlar için Azure Stack HCI sürüm 23H2, güvenlikle ilgili olayları SIEM'e iletmenizi sağlayan tümleşik bir mekanizma içerir.
Azure Stack HCI, yapılandırıldıktan sonra yükü Ortak Olay Biçimi (CEF) ile RFC3164'de tanımlanan syslog iletilerini oluşturan tümleşik bir syslog ileticisine sahiptir.
Aşağıdaki diyagramda Azure Stack HCI'nin SIEM ile tümleştirilmesi gösterilmektedir. Tüm denetimler, güvenlik günlükleri ve uyarılar her konakta toplanır ve CEF yüküyle syslog aracılığıyla kullanıma sunulur.
Syslog iletme aracıları, syslog iletilerini müşteri tarafından yapılandırılan syslog sunucusuna iletmek için her Azure Stack HCI konağına dağıtılır. Syslog iletme aracıları birbirinden bağımsız olarak çalışır, ancak konaklardan herhangi birinde birlikte yönetilebilir.
Azure Stack HCI'deki syslog ileticisi, syslog iletmenin TCP veya UDP ile olup olmadığına, şifrelemenin etkinleştirilip etkinleştirilmediğine ve tek yönlü veya çift yönlü kimlik doğrulaması olup olmadığına bağlı olarak çeşitli yapılandırmaları destekler.
Daha fazla bilgi için bkz . Syslog iletmeyi yönetme.
Bulut için Microsoft Defender (önizleme)
Bulut için Microsoft Defender, gelişmiş tehdit koruma özelliklerine sahip bir güvenlik duruşu yönetim çözümüdür. Altyapınızın güvenlik durumunu değerlendirmeniz, iş yüklerinizi korumanız, güvenlik uyarıları oluşturmanız ve saldırıları düzeltmek ve gelecekteki tehditleri ele almak için belirli önerileri izlemeniz için araçlar sağlar. Azure hizmetleriyle otomatik sağlama ve koruma yoluyla tüm bu hizmetleri bulutta yüksek hızda gerçekleştirir ve dağıtım yükü yoktur.
Temel Bulut için Defender planıyla, Ek ücret ödemeden Azure Stack HCI sisteminizin güvenlik duruşunu nasıl iyileştirdiğinize ilişkin öneriler alırsınız. Ücretli Sunucular için Defender planıyla, tek tek sunucular ve Arc VM'leri için güvenlik uyarıları da dahil olmak üzere gelişmiş güvenlik özellikleri elde edersiniz.
Daha fazla bilgi için bkz. Bulut için Microsoft Defender ile sistem güvenliğini yönetme (önizleme).
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin