Azure Stack Hub altyapı güvenlik denetimleri
Güvenlikte dikkate alınacak noktalar ve uyumluluk düzenlemeleri, hibrit bulutların kullanımına yönelten en önemli konular arasındadır. Azure Stack Hub bu senaryolar için tasarlanmıştır. Bu makalede Azure Stack Hub için güvenlik denetimleri açıklanmaktadır.
Azure Stack Hub'da iki güvenlik duruşu katmanı bir arada bulunur. İlk katman, Azure Resource Manager'a kadar olan donanım bileşenlerini içeren Azure Stack Hub altyapısıdır. İlk katman yöneticiyi ve kullanıcı portallarını içerir. İkinci katman kiracılar tarafından oluşturulan, dağıtılan ve yönetilen iş yüklerinden oluşur. İkinci katman sanal makineler ve App Services web siteleri gibi öğeleri içerir.
Güvenlik yaklaşımı
Azure Stack Hub için güvenlik duruşu, modern tehditlere karşı savunmak üzere tasarlanmıştır ve ana uyumluluk standartlarından gelen gereksinimleri karşılayacak şekilde tasarlanmıştır. Sonuç olarak, Azure Stack Hub altyapısının güvenlik duruşu iki sütun üzerinde oluşturulur:
İhlal Varsay
Sistemin zaten ihlal edilmiş olduğu varsayımından başlayarak, ihlallerin etkisini tespit etmeye ve sınırlamaya, yalnızca saldırıları önlemeye çalışmaya odaklanın.Varsayılan Olarak Sağlamlaştırılmış
Altyapı iyi tanımlanmış donanım ve yazılım üzerinde çalıştığından, Azure Stack Hub varsayılan olarak tüm güvenlik özelliklerini etkinleştirir, yapılandırıp doğrular.
Azure Stack Hub tümleşik bir sistem olarak sunulduğundan, Azure Stack Hub altyapısının güvenlik duruşu Microsoft tarafından tanımlanır. Azure'da olduğu gibi kiracılar da kiracı iş yüklerinin güvenlik duruşunu tanımlamakla sorumludur. Bu belge, Azure Stack Hub altyapısının güvenlik duruşu hakkında temel bilgiler sağlar.
Bekleyen veriler şifrelemesi
Tüm Azure Stack Hub altyapısı ve kiracı verileri BitLocker kullanılarak beklemede şifrelenir. Bu şifreleme, Azure Stack Hub depolama bileşenlerinin fiziksel kaybına veya çalınmalarına karşı koruma sağlar. Daha fazla bilgi için bkz . Azure Stack Hub'da bekleyen şifreleme verileri.
Aktarım şifrelemesindeki veriler
Azure Stack Hub altyapı bileşenleri TLS 1.2 ile şifrelenmiş kanalları kullanarak iletişim kurar. Şifreleme sertifikaları altyapı tarafından kendi kendine yönetilir.
REST uç noktaları veya Azure Stack Hub portalı gibi tüm dış altyapı uç noktaları güvenli iletişimler için TLS 1.2'yi destekler. Üçüncü taraflardan veya kurumsal Sertifika Yetkilinizden gelen şifreleme sertifikaları, bu uç noktalar için sağlanmalıdır.
Bu dış uç noktalar için otomatik olarak imzalanan sertifikalar kullanılabilse de, Microsoft bunları kullanmama önerisinde bulunur. Azure Stack Hub'ın dış uç noktaları üzerinde TLS 1.2'yi zorlama hakkında daha fazla bilgi için bkz . Azure Stack Hub güvenlik denetimlerini yapılandırma.
Gizli dizi yönetimi
Azure Stack Hub altyapısı, çalışması için parolalar ve sertifikalar gibi çok sayıda gizli dizi kullanır. İç hizmet hesaplarıyla ilişkili parolaların çoğu, doğrudan iç etki alanı denetleyicisi tarafından yönetilen bir etki alanı hesabı türü olan Grup Yönetilen Hizmet Hesapları (gMSA) olduğundan her 24 saatte bir otomatik olarak döndürülür.
Azure Stack Hub altyapısı, tüm iç sertifikaları için 4096 bit RSA anahtarlarını kullanır. Dış uç noktalar için aynı anahtar uzunluğu sertifikaları da kullanılabilir. Gizli diziler ve sertifika döndürme hakkında daha fazla bilgi için bkz. Azure Stack Hub'da gizli dizileri döndürme.
Windows Defender Uygulama Denetimi
Azure Stack Hub, en son Windows Server güvenlik özelliklerini kullanır. Bunlardan biri, yürütülebilir dosyalar filtrelemesi sağlayan ve Azure Stack Hub altyapısında yalnızca yetkili kodun çalışmasını sağlayan Windows Defender Uygulama Denetimi 'dir (WDAC, eski adıyla Kod Bütünlüğü).
Yetkili kod Microsoft veya OEM iş ortağı tarafından imzalanır. İmzalı yetkili kod, Microsoft tarafından tanımlanan bir ilkede belirtilen izin verilen yazılımlar listesine eklenir. Başka bir deyişle, yalnızca Azure Stack Hub altyapısında çalıştırılması onaylanan yazılımlar yürütülebilir. Yetkisiz kod yürütme girişimleri engellenir ve bir uyarı oluşturulur. Azure Stack Hub, hem Kullanıcı Modu Kod Bütünlüğü (UMCI) hem de Hiper Yönetici Kod Bütünlüğü (HVCI) uygular.
WDAC ilkesi, üçüncü taraf aracıların veya yazılımların Azure Stack Hub altyapısında çalışmasını da engeller. WDAC hakkında daha fazla bilgi için bkz. Windows Defender Uygulama Denetimi ve sanallaştırma tabanlı kod bütünlüğü koruması.
Kötü amaçlı yazılımdan koruma
Azure Stack Hub'daki her bileşen (hem Hyper-V konakları hem de sanal makineler) Windows Defender Virüsten Koruma ile korunur.
Bağlı senaryolarda virüsten koruma tanımı ve altyapı güncelleştirmeleri günde birden çok kez uygulanır. Bağlantısız senaryolarda kötü amaçlı yazılımdan koruma güncelleştirmeleri aylık Azure Stack Hub güncelleştirmelerinin bir parçası olarak uygulanır. Bağlantısız senaryolarda Windows Defender tanımlarında daha sık güncelleştirme yapılması gerekiyorsa Azure Stack Hub, Windows Defender güncelleştirmelerinin içeri aktarılmasını da destekler. Daha fazla bilgi için bkz . Azure Stack Hub'da Windows Defender Virüsten Koruma'yı güncelleştirme.
Güvenli Önyükleme
Azure Stack Hub, tüm Hyper-V konaklarında ve altyapı sanal makinelerinde Güvenli Önyükleme uygular.
Kısıtlanmış yönetim modeli
Azure Stack Hub'da yönetim, her biri belirli bir amaca sahip üç giriş noktası aracılığıyla denetlenilir:
- Yönetici portalı günlük yönetim işlemleri için bir nokta ve tıklama deneyimi sağlar.
- Azure Resource Manager, PowerShell ve Azure CLI tarafından kullanılan rest API aracılığıyla yönetici portalının tüm yönetim işlemlerini kullanıma sunar.
- Belirli düşük düzeyli işlemler (örneğin, veri merkezi tümleştirmesi veya destek senaryoları) için Azure Stack Hub ayrıcalıklı uç nokta adlı bir PowerShell uç noktasını kullanıma sunar. Bu uç nokta yalnızca izin verilen bir cmdlet kümesini kullanıma sunar ve yoğun şekilde denetlenmektedir.
Ağ denetimleri
Azure Stack Hub altyapısı, birden çok ağ Erişim Denetimi Listesi (ACL) katmanıyla birlikte gelir. ACL'ler altyapı bileşenlerine yetkisiz erişimi engeller ve altyapı iletişimlerini yalnızca çalışması için gereken yollarla sınırlandırır.
Ağ ACL'leri üç katmanda uygulanır:
- Katman 1: Raf üstü anahtarları
- Katman 2: Yazılım Tanımlı Ağ
- Katman 3: Konak ve VM işletim sistemi güvenlik duvarları
Mevzuata uyumluluk
Azure Stack Hub, üçüncü taraf bağımsız bir denetim firmasının resmi yetenek değerlendirmesini yaptı. Sonuç olarak, Azure Stack Hub altyapısının çeşitli önemli uyumluluk standartlarının geçerli denetimlerini nasıl karşıladığını gösteren belgeler sağlanır. Standartlar personel ve süreçle ilgili çeşitli denetimler içerdiğinden belgeler Azure Stack Hub sertifikası değildir. Bunun yerine, müşteriler sertifikasyon sürecine hızlı bir başlangıç yapmak için bu belgeleri kullanabilir.
Değerlendirmeler aşağıdaki standartları içerir:
- PCI-DSS , ödeme kartı endüstrisini ele alır.
- CSA Bulut Denetim Matrisi FedRAMP Moderate, ISO27001, HIPAA, HITRUST, ITAR, NIST SP800-53 ve diğerleri dahil olmak üzere birden çok standart arasında kapsamlı bir eşlemedir.
- Kamu müşterileri için FedRAMP High .
Uyumluluk belgeleri Microsoft Hizmet Güveni Portalı'nda bulunabilir. Uyumluluk kılavuzları korumalı bir kaynaktır ve Azure bulut hizmeti kimlik bilgilerinizle oturum açmanızı gerektirir.
Azure Stack Hub için EU Schrems II girişimi
Microsoft, AB tabanlı müşterilerin tüm verilerini AB'de işlemesine ve depolamasına olanak tanıyarak mevcut veri depolama taahhütlerini aşma amacını duyurdu; artık verileri AB dışında depolamanız gerekmeyecektir. Bu gelişmiş taahhüt, Azure Stack Hub müşterilerini içerir. Daha fazla bilgi için bkz . Avrupa'nın Çağrısını Yanıtlama: AB Verilerini AB'de Depolama ve İşleme.
Sürüm 2206'dan başlayarak, mevcut Azure Stack Hub dağıtımlarında veri işleme için coğrafi tercihinizi seçebilirsiniz. Düzeltmeyi indirdikten sonra aşağıdaki uyarıyı alırsınız.
Not
Veri coğrafi konumu seçmek için bağlantısı kesilmiş ortamlar da gerekebilir. Bu, operatör Microsoft'a tanılama verileri sağlıyorsa veri yerleşim konumunu etkileyen tek seferlik bir kurulumdur. İşleç Microsoft'a herhangi bir tanılama verisi sağlamazsa bu ayarın herhangi bir sonuçları yoktur.
Mevcut Azure Stack Hub dağıtımınız için bu uyarıyı, verilerinizi depolamak ve işlemek için coğrafi tercihinize bağlı olarak iki yoldan biriyle çözebilirsiniz.
Verilerinizin AB içinde depolanmasını ve işlenmesini tercih ederseniz, coğrafi tercihi ayarlamak için aşağıdaki PowerShell cmdlet'ini çalıştırın. Verilerin yerleşim konumu güncelleştirilir ve tüm veriler AB'de depolanır ve işlenir.
Set-DataResidencyLocation -Europe
Verilerinizin AB dışında depolanmasını ve işlenmesini tercih ederseniz, coğrafi tercihi ayarlamak için aşağıdaki PowerShell cmdlet'ini çalıştırın. Verilerin yerleşim konumu güncelleştirilir ve tüm veriler AB dışında işlenir.
Set-DataResidencyLocation -Europe:$false
Bu uyarıyı çözümledikten sonra, coğrafi bölge tercihinizi Yönetim portalı Özellikler penceresi doğrulayabilirsiniz.
Yeni Azure Stack hub dağıtımları, kurulum ve dağıtım sırasında coğrafi bölge ayarlayabilir.