配置 Azure Stack Hub 安全控制

本文介绍可在 Azure Stack Hub 中更改的安全控制,并强调如何在适当的情况下进行取舍。

Azure Stack Hub 体系结构构建在两大安全原则支柱之上:假想违规和默认强化。 有关 Azure Stack Hub 安全性的详细信息,请参阅 Azure Stack Hub 基础结构安全态势。 当 Azure Stack Hub 的默认安全局势适合生产环境时,仍有一些部署方案需要额外的强化。

TLS 版本策略

传输层安全性 (TLS) 协议是广为采用的加密协议,可通过网络建立加密的通信。 TLS 的发展已有一段时间,并已发布多个版本。 Azure Stack Hub 基础结构对其所有通信专门使用 TLS 1.2。 对于外部接口,Azure Stack Hub 目前默认使用 TLS 1.2。 但是,为了实现后向兼容,它也支持向下协商到 TLS 1.1 和 1.0。 当 TLS 客户端请求通过 TLS 1.1 或 TLS 1.0 通信时,Azure Stack Hub 将通过与更低的 TLS 版本协商来接受请求。 如果客户端请求 TLS 1.2,Azure Stack Hub 将使用 TLS 1.2 建立 TLS 连接。

由于 TLS 1.0 和 1.1 因组织和合规性标准逐渐被淘汰或禁用,你可以在 Azure Stack Hub 中配置 TLS 策略。 可以强制使用仅限 TLS 1.2 的策略,使用低于 1.2 的版本尝试建立任何 TLS 会话都将被禁止或拒绝。

重要

Microsoft 建议针对 Azure Stack Hub 生产环境使用仅 TLS 1.2 策略。

获取 TLS 策略

使用特权终结点 (PEP) 查看所有 Azure Stack Hub 终结点的 TLS 策略:

Get-TLSPolicy

示例输出:

TLS_1.2

设置 TLS 策略

使用特权终结点 (PEP) 设置所有 Azure Stack Hub 终结点的 TLS 策略:

Set-TLSPolicy -Version <String>

Set-TLSPolicy cmdlet 的参数:

参数 说明 类型 必须
版本 Azure Stack Hub 中允许的 TLS 版本 String

使用以下值之一为所有 Azure Stack Hub 终结点配置允许的 TLS 版本:

版本值 说明
TLS_All Azure Stack Hub TLS 终结点支持 TLS 1.2,但可向下协商到 TLS 1.1 和 TLS 1.0。
TLS_1.2 Azure Stack Hub TLS 终结点仅支持 TLS 1.2。

完成 TLS 策略更新需要几分钟的时间。

强制实施 TLS 1.2 配置的示例

本示例将 TLS 策略设置为仅强制实施 TLS 1.2。

Set-TLSPolicy -Version TLS_1.2

示例输出:

VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.1 enabled value: 0
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced

允许所有 TLS 版本(1.2、1.1 和 1.0)的配置示例

本示例将 TLS 策略设置为允许所有 TLS 版本(1.2、1.1 和 1.0)。

Set-TLSPolicy -Version TLS_All

示例输出:

VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE:     TLS protocol SSL 2.0 enabled value: 0
VERBOSE:     TLS protocol SSL 3.0 enabled value: 0
VERBOSE:     TLS protocol TLS 1.0 enabled value: 1
VERBOSE:     TLS protocol TLS 1.1 enabled value: 1
VERBOSE:     TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced

某些情况下,登录特权终结点 (PEP) 会话时,显示法律声明非常有用。 Set-AzSLegalNoticeGet-AzSLegalNotice cmdlet 用于管理此类法律声明文本的标题和正文。

若要设置法律声明标题和文本,请参阅 Set-AzSLegalNotice cmdlet。 如果之前已设置法律声明标题和文本,可以使用 Get-AzSLegalNotice cmdlet 进行查看。

后续步骤