Azure 本地的安全功能

适用于:Azure Local 2311.2 及更高版本

重要

Azure Stack HCI 现在是 Azure Local 的一部分。 了解详细信息

Azure Local 是一种默认安全产品,它从一开始就启用了 300 多个安全设置。 默认安全设置提供一致的安全基线,以确保设备以已知良好状态启动。

本文简要概述了与 Azure 本地实例关联的各种安全功能。 功能包括安全默认值、应用程序控制、通过 BitLocker 进行的卷加密、机密轮换、本地内置用户帐户、Microsoft Defender for Cloud 等。

安全默认值

默认情况下,Azure Local 已启用安全设置,可提供一致的安全基线、基线管理系统和偏移控制机制。

可以在部署和运行时期间监视安全基线和安全核心设置。 配置安全设置时,还可以在部署期间禁用偏移控制。

应用偏移控制后,每 90 分钟刷新一次安全设置。 此刷新间隔可确保对与所需状态之间的任何偏差进行整改。 持续监视和自动护理可在整个设备的生命周期内实现一致且可靠的安全态势。

Azure Local 安全基线:

  • 通过禁用旧协议和密码来提高安全态势。
  • 使用内置的偏移保护机制减少 OpEx,该机制通过 Azure Arc Hybrid Edge 基线实现一致的大规模监视。
  • 使你能够满足《Internet 安全中心 (CIS) 基准》和《国防信息系统局 (DISA) 安全技术实施指南 (STIG)》对操作系统和推荐安全基线的要求。

有关详细信息,请参阅 “管理 Azure 本地”上的安全默认值。

应用程序控制

应用程序控制是基于软件的安全层,它通过强制执行允许运行的软件的显式列表来减小攻击面。 应用程序控制默认情况下已经启用,并且会限制可在核心平台上运行的应用程序和代码。 有关详细信息,请参阅 管理 Azure 本地的应用程序控制。

应用程序控制提供以下两种主要操作模式:强制模式和审核模式。 在强制模式下,将阻止不受信任的代码并记录事件。 在审核模式下,允许运行不受信任的代码并记录事件。 若要了解有关应用程序控制相关事件的详细信息,请参阅事件列表

重要

若要最大程度地降低安全风险,请始终在强制模式下运行应用程序控制。

关于应用程序控制策略设计

Microsoft在 Azure 本地为强制模式和审核模式提供基本签名策略。 此外,策略还包括一组预定义的平台行为规则,以及要应用于应用程序控制层的阻止规则。

基本策略的构成

Azure 本地基本策略包含以下部分:

  • 元数据:元数据定义策略的唯一属性,例如策略名称、版本、GUID 等。
  • 选项规则:这些规则定义策略行为。 补充策略只能与绑定到其基本策略的一小部分选项规则不同。
  • 允许和拒绝规则:这些规则定义代码信任边界。 规则可以基于发布者、签名者、文件哈希等。

选项规则

本部分讨论了基本策略启用的选项规则。

对于强制实施的策略,默认启用以下选项规则:

选项规则 价值
已启用 UMCI
必选 WHQL
已启用 Allow Supplemental Policies
已启用 Revoked Expired As Unsigned
Disabled Flight Signing
已启用 无签名系统完整性策略(默认)
已启用 动态代码安全性
已启用 “高级启动选项”菜单
Disabled Script Enforcement
已启用 Managed Installer
已启用 更新策略不重启

审核策略将以下选项规则添加到基本策略:

选项规则
已启用 审核模式 (默认值)

有关详细信息,请参阅选项规则的完整列表。

允许和拒绝规则

基本策略中的规则允许由操作系统和云部署交付的所有 Microsoft 组件都被信任。 拒绝规则会阻止被认为对解决方案的安全态势不安全的用户模式应用程序和内核组件。

备注

基本策略中的“允许”和“拒绝”规则会定期更新,以提高产品功能并最大限度地保护解决方案。

若要了解有关拒绝规则的详细信息,请参阅:

BitLocker 加密

在部署过程中创建的存储数据卷上启用了静止数据加密。 这些数据卷包括基础结构卷和工作负荷卷。 部署系统时,可以修改安全设置。

默认情况下,在部署期间启用静态数据加密。 我们建议你接受默认设置。

成功部署 Azure 本地后,可以检索 BitLocker 恢复密钥。 必须将 BitLocker 恢复密钥存储在系统外部的安全位置。

有关 BitLocker 加密的详细信息,请参阅:

本地内置用户帐户

在此版本中,您 Azure 本地系统上与RID 500RID 501相关联的以下本地内置用户可用:

初始 OS 映像中的名称 部署后的名称 默认启用 说明
管理员 ASBuiltInAdmin True 用于管理计算机/域的内置帐户。
来宾 ASBuiltInGuest False 用于来宾访问计算机/域的内置帐户,受安全基线偏移控制机制保护。

重要

建议创建自己的本地管理员帐户,并禁用已知 RID 500 用户帐户。

密钥创建和轮换

Azure Local 中的业务流程协调程序需要多个组件来维护与其他基础结构资源和服务的安全通信。 系统上运行的所有服务都具有与其关联的身份验证和加密证书。

为了确保安全性,我们实现了内部机密创建和轮换功能。 查看系统节点时,会看到在 LocalMachine/Personal 证书存储Cert:\LocalMachine\My()路径下创建的多个证书。

在此版本中,已启用以下功能:

  • 能够在部署期间和系统缩放操作之后创建证书。
  • 证书过期前自动轮换,以及在系统生命周期内轮换证书的选项。
  • 监视和警报证书是否仍然有效的功能。

备注

机密创建和轮换操作需要大约 10 分钟才能完成,具体取决于系统的大小。

有关详细信息,请参阅 “管理机密轮换”。

转发安全事件的系统日志

对于需要自己的本地安全信息和事件管理(SIEM)系统的客户和组织,Azure Local 包含一种集成机制,可用于将安全相关事件转发到 SIEM。

Azure Local 具有集成的 syslog 转发器,一旦配置,就会生成在 RFC3164 中定义的 syslog 消息,其有效负载为通用事件格式 (CEF)。

下图说明了 Azure Local 与 SIEM 的集成。 所有审核、安全日志和警报都会在每台主机上收集,并通过带有 CEF 有效负载的系统日志公开。

下图介绍了 Azure Local 与外部安全信息和事件管理(SIEM)系统的集成。

Syslog 转发代理部署在每个 Azure 本地主机上,以将 syslog 消息转发到客户配置的 syslog 服务器。 Syslog 转发代理彼此独立工作,但可以在任一主机上共同管理。

Azure Local 中的 syslog 转发器支持各种配置,具体取决于 syslog 转发是使用 TCP 还是 UDP、是否启用加密,以及是否存在单向或双向身份验证。

有关详细信息,请参阅 管理 syslog 转发

Microsoft Defender 防病毒

默认情况下,Azure 本地版随附的 Microsoft Defender 防病毒程序已启用并默认配置。 强烈建议在 Azure 本地实例中使用 Microsoft Defender 防病毒。 Microsoft Defender 防病毒提供实时保护、云提供的保护和自动示例提交。

虽然我们建议在 Azure Local 端使用 Microsoft Defender 杀毒软件,但如果你偏爱使用非 Microsoft 杀毒软件和安全软件,我们建议选择独立软件供应商 (ISV) 已为 Azure Local 端验证过的软件,以尽量减少潜在的功能问题。

有关详细信息,请参阅:

在极少数情况下,如果您在使用非微软防病毒软件时遇到 Azure Local 的任何功能问题,您可以将以下路径排除在外:

  • C:\Agents\*
  • C:\CloudContent\*
  • C:\CloudDeployment\*
  • C:\ClusterStorage\*
  • C:\EceStore\*
  • C:\MASLogs\*
  • C:\NugetStore\*
  • C:\deploymentpackage\*
  • C:\ProgramData\GuestConfig\extension_logs\*

备注

如果移除 Microsoft Defender 防病毒功能,请保留与该功能相关的设置,请原样保留安全基线中与该功能相关的设置。 无需删除这些设置。

Microsoft Defender for Cloud (预览版)

Microsoft Defender for Cloud 是一种具有高级威胁防护功能的安全态势管理解决方案。 它提供用于评估基础结构的安全状态、保护工作负载、引发安全警报以及遵循特定建议来修正攻击和解决未来威胁的工具。 它通过自动预配和保护 Azure 服务在云中以高速方式执行所有这些服务,无需部署开销。

使用基本的 Defender for Cloud 计划,可获取有关如何提高 Azure 本地系统安全状况的建议,无需额外付费。 使用付费 Defender for Servers 计划,可以获得增强的安全功能,包括单个计算机和 Arc VM 的安全警报。

有关详细信息,请参阅:

后续步骤