Azure Arc özellikli sunucular için güvenliğe genel bakış
Bu makalede, Azure Arc özellikli sunucular kullanılırken güvenlikle ilgili dikkat edilmesi gerekenler ve denetimler açıklanmaktadır. Güvenlik uygulayıcısı veya BT operatörü olmanız fark etmez, bu makaledeki bilgiler Azure Arc'ı kuruluşunuzun güvenlik gereksinimlerini karşılayacak şekilde güvenle yapılandırmanızı sağlar.
Sorumluluklar
Azure Arc özellikli Sunucu dağıtımınızın güvenliği, sizinle Microsoft arasında paylaşılan bir sorumluluktır. Aşağıdakiler Microsoft'un sorumluluğundadır:
- Hizmete bağladığınız aracılar için sistem meta verilerini depolayan ve işlemleri düzenleyen bulut hizmetinin güvenliğini sağlamak için.
- Azure'da depolanan sistem meta verilerinizin gizliliğini sağlama ve koruma.
- dağıtım seçeneklerinin avantajlarını ve dezavantajlarını anlamanız için isteğe bağlı güvenlik özelliklerini belgeleme.
- Güvenlik, kalite, performans ve özellik geliştirmeleri ile düzenli aracı güncelleştirmeleri yayımlama.
Bundan siz sorumlusunuz:
- Azure aboneliğinizdeki Azure Arc özellikli kaynaklarınıza RBAC erişimini yönetme ve izleme.
- Azure Arc özellikli sunucuları yönetmek için kullanılan tüm hesapların kimlik bilgilerini koruma ve düzenli olarak döndürme. Bu, yeni sunucuları eklemek için kullanılan hizmet sorumlusu gizli dizilerini veya kimlik bilgilerini içerir.
- Bu belgede açıklanan güvenlik özelliklerinin (örneğin, uzantı izin verilenler) dağıttığınız Azure Bağlı Makine aracılarına uygulanıp uygulanacağını ve nasıl uygulanacağını belirleme.
- Azure Connected Machine aracısını ve uzantılarını güncel tutma.
- Azure Arc'ın kuruluşunuzun yasal, mevzuat ve iç ilke yükümlülükleriyle uyumluluğunu belirleme.
- Sunucuyu çalıştırmak için kullanılan işlem, depolama ve ağ altyapısı dahil olmak üzere sunucunun güvenliğini sağlama.
Mimariye genel bakış
Azure Arc özellikli sunucular aracı tabanlı bir hizmettir. Azure Arc ile etkileşiminiz öncelikli olarak Azure'ın API'leri, portalı ve yönetim deneyimleri aracılığıyla gerçekleşir. Azure'da gördüğünüz veriler ve gerçekleştirdiğiniz eylemler, yönetilen her sunucuya yüklenen Azure Bağlı Makine aracısı aracılığıyla iletilir. Azure, aracının gerçek kaynağıdır. Aracıya bir şey gerçekleştirmesini (örneğin, uzantı yükleme) söylemenin tek yolu, sunucunun Azure gösterimi üzerinde bir eylem gerçekleştirmektir. Bu, kuruluşunuzun RBAC ve ilke atamalarının herhangi bir değişiklik yapılmadan önce isteği değerlendirebilmesine yardımcı olur.
Azure Connected Machine aracısı öncelikli olarak diğer Azure ve üçüncü taraf hizmetleri için bir etkinleştirme platformudur. Temel işlevleri şunlardır:
- Makinenizle Azure aboneliğiniz arasında ilişki kurma
- Azure ile kimlik doğrulaması yaparken aracı ve diğer uygulamalar için yönetilen kimlik sağlama
- Uzantılarla diğer özellikleri (aracılar, betikler) etkinleştirme
- Sunucunuzdaki ayarları değerlendirme ve zorlama
Azure Connected Machine aracısı yüklendikten sonra izleme, düzeltme eki yönetimi, uzaktan erişim veya diğer gereksinimlerinizi karşılamak için sunucunuzdaki diğer Azure hizmetlerini etkinleştirebilirsiniz. Azure Arc'ın rolü, bu hizmetlerin Azure'ın kendi veri merkezleri dışında çalışmasına yardımcı olmaktır.
Kuruluşunuzun kullanıcılarının Azure Arc ile yapabileceklerini sınırlamak için Azure İlkesi kullanabilirsiniz. Azure İlkesi gibi bulut tabanlı kısıtlamalar, kısıtlamaları istediğiniz zaman ayarlama esnekliğini korurken, büyük ölçekte güvenlik denetimleri uygulamanın harika bir yoludur. Ancak, güvenlik önlemlerini aşmak için kullanılan yasal olarak ayrıcalıklı bir hesaba (örneğin, ilkeleri devre dışı bırakma) karşı koruma sağlamak için bazen daha da güçlü denetimlere ihtiyaç duyarsınız. Bunu hesaba eklemek için Azure Connected Machine aracısı, bulutta ayarlanan kısıtlamalardan öncelikli olan kendi güvenlik denetimlerine de sahiptir.
Aracı hizmetleri
Azure Connected Machine aracısı, sunucunuzda çalışan ve Azure'a bağlanmaya yardımcı olan dört hizmet/daemon'un birleşimidir. Bunlar tek bir uygulama olarak birlikte yüklenir ve azcmagent komut satırı arabirimi kullanılarak merkezi olarak yönetilir.
Karma Örnek Meta Veri Hizmeti
Karma Örnek Meta Veri Hizmeti (HIMDS), aracıdaki "çekirdek" hizmettir ve sunucuyu Azure'a kaydetmek, devam eden meta veri eşitlemesi (sinyaller), yönetilen kimlik işlemleri ve diğer uygulamaların cihazın Azure ile bağlantısı hakkında bilgi edinmek için sorgulayabileceğiniz yerel REST API'yi barındırmaktan sorumludur. Bu hizmet ayrıcalıksız ve sanal hesap olarak çalışır (NT SERVICE\SID S-1-5-80-4215458991-203425222 ile himds Windows üzerinde 2287069555-1155419622-2701885083 veya Linux işletim sistemlerinde standart bir kullanıcı hesabı (himds).
Uzantı yöneticisi
Uzantı yöneticisi makinenize ek yazılım yükleme, yapılandırma, yükseltme ve kaldırma işlemlerinde sorumludur. Azure Arc, makinenizi izleme veya düzeltme eki uygulama gibi işlemler yapmayı bilmez. Bunun yerine, bu özellikleri kullanmayı seçtiğinizde uzantı yöneticisi bu özellikleri indirir ve etkinleştirir. Uzantı yöneticisi Windows'da Yerel Sistem olarak ve Linux'ta kök olarak çalışır çünkü yüklediği yazılım tam sistem erişimi gerektirebilir. Uzantıları kullanmayı düşünmüyorsanız uzantı yöneticisinin hangi uzantıları yüklemesine izin verebileceğini veya tamamen devre dışı bırakabileceğini sınırlayabilirsiniz.
Konuk yapılandırması
Konuk yapılandırma hizmeti sunucunuzda Azure makine (konuk) yapılandırma ilkelerini değerlendirir ve uygular. Bunlar, bir sunucudaki yazılım ayarlarını denetlemek için PowerShell İstenen Durum Yapılandırması'nda yazılmış özel Azure ilkeleridir. Konuk yapılandırma hizmeti düzenli olarak bu ilkelerle uyumluluğu değerlendirir ve raporlar ve ilke zorlama modunda yapılandırılırsa, gerekirse makineyi yeniden uyumlu hale getirmek için sisteminizdeki ayarları değiştirir. Konuk yapılandırma hizmeti, sisteminizdeki tüm ayarlara erişimi olduğundan emin olmak için Windows'ta Yerel Sistem ve Linux'ta kök olarak çalışır. Konuk yapılandırma ilkelerini kullanmayı düşünmüyorsanız konuk yapılandırma özelliğini devre dışı bırakabilirsiniz.
Azure Arc proxy'si
Azure Arc proxy hizmeti, Azure Connected Machine aracı hizmetlerinden ve yüklediğiniz tüm uzantılardan gelen ağ trafiğini toplamaktan ve bu verilerin nereye yönlendirileceğine karar vermekten sorumludur. Ağ uç noktalarınızı basitleştirmek için Azure Arc Gateway kullanıyorsanız Azure Arc Proxy hizmeti, ağ isteklerini varsayılan yol yerine Azure Arc Gateway üzerinden ileten yerel bileşendir. Azure Arc proxy'si Windows üzerinde Ağ Hizmeti ve Linux üzerinde standart bir kullanıcı hesabı (arcproxy) olarak çalışır. Aracıyı Azure Arc Gateway'i kullanacak şekilde yapılandırana kadar varsayılan olarak devre dışı bırakılır.
Katman 0 varlıkları için güvenlikle ilgili dikkat edilmesi gerekenler
Active Directory Etki Alanı Denetleyicisi, Sertifika Yetkilisi sunucusu veya son derece hassas iş uygulaması sunucusu gibi katman 0 varlıkları, yalnızca istenen yönetim işlevlerinin ve yetkili kullanıcıların sunucuları yönetebilmesini sağlamak için Azure Arc'a ek dikkatle bağlanabilir. Bu öneriler gerekli değildir ancak Katman 0 varlıklarınızın güvenlik duruşunu korumak için kesinlikle önerilir.
Ayrılmış Azure aboneliği
Azure Arc özellikli sunuculara erişim genellikle Azure'a ait olduğu kuruluş hiyerarşisi tarafından belirlenir. Azure Arc kaynağına yeni rol atamaları eklemek için izinlerini kullanabildiğinden, herhangi bir abonelik veya yönetim grubu yöneticisini Katman 0 varlıklarındaki yerel yöneticiye eşdeğer olarak değerlendirmelisiniz. Ayrıca, abonelik veya yönetim grubu düzeyinde uygulanan ilkelerin sunucuda değişiklik yapma izni de olabilir.
Katman 0 varlıklarınıza erişimi olan hesap ve ilke sayısını en aza indirmek için, mümkün olduğunca az kalıcı yöneticiyle yakından izlenebilen ve yapılandırılabilir ayrılmış bir Azure aboneliği kullanmayı göz önünde bulundurun. Tüm üst yönetim gruplarında Azure ilkelerini gözden geçirerek bu sunucuların amacınıza uygun olduğundan emin olun.
Gereksiz yönetim özelliklerini devre dışı bırakma
Katman 0 varlığında, sunucuda değişiklik yapmak için bu özelliklerin kasıtlı veya yanlışlıkla kullanılmasını önlemek amacıyla aracıdaki kullanılmayan işlevleri devre dışı bırakmak için yerel aracı güvenlik denetimlerini kullanmanız gerekir. Buna aşağıdakiler dahildir:
- Uzaktan erişim özelliklerini devre dışı bırakma
- Kullanmak istediğiniz uzantılar için bir uzantı izin listesi ayarlama veya uzantı kullanmıyorsanız uzantı yöneticisini devre dışı bırakma
- Makine yapılandırma ilkelerini kullanmayı düşünmüyorsanız makine yapılandırma aracısını devre dışı bırakma
Aşağıdaki örnekte, kötü amaçlı yazılım tehditlerine karşı koruma sağlamak amacıyla Microsoft Sentinel ve Sunucular için Microsoft Defender güvenlik günlüklerini toplamak üzere Azure İzleyici Aracısı'nı kullanması gereken bir etki alanı denetleyicisi için Azure Connected Machine aracısının nasıl kilitleneceği gösterilmektedir:
azcmagent config set incomingconnections.enabled false
azcmagent config set guestconfiguration.enabled false
azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin