Azure Stack Hub 基礎結構的安全性控制措施

發行項
03/29/2024

安全性考量和符合法規規範是使用混合式雲端的主要因素。 Azure Stack Hub 專為這些情況所設計。本文說明適用於 Azure Stack Hub 的安全性控制措施。

Azure Stack Hub 中有兩個並存的安全性狀態層。第一層是 Azure Stack Hub 基礎結構，所含項目從硬體元件一直到 Azure Resource Manager。第一層包含管理員和使用者入口網站。第二層則由租用戶所建立、部署和管理的工作負載所組成。第二層包含虛擬機器和 App Service 網站等項目。

安全性方法

Azure Stack Hub 的安全性狀態是針對防禦新式威脅而設計的，且建置方式符合主要規範標準的需求。因此，Azure Stack Hub 基礎結構的安全性狀態是建立在兩個主要前提上：

假想缺口
從假設系統已經被入侵的情況出發，將焦點放在「偵測及限制缺口影響」與僅嘗試防止攻擊之比較。
預設強化
因為基礎結構會在定義完善的硬體和軟體上執行，所以 Azure Stack Hub 預設會「啟用、設定及驗證所有安全性功能」。

由於 Microsoft 是以整合系統的形式提供 Azure Stack Hub，因此會由 Microsoft 定義 Azure Stack Hub 基礎結構的安全性狀態。就像在 Azure 中一樣，租用戶需負責定義其租用戶工作負載的安全性狀態。本文件提供有關 Azure Stack Hub 基礎結構之安全性狀態的基礎知識。

待用資料加密

所有 Azure Stack Hub 基礎結構和租用戶待用資料都會以 BitLocker 加密。此加密可為 Azure Stack Hub 儲存體元件實際遺失或遭竊的情況提供防護。如需詳細資訊，請參閱 Azure Stack Hub 中的待用資料加密。

傳輸中資料加密

Azure Stack Hub 基礎結構元件使用以 TLS 1.2 加密的通道進行通訊。加密憑證會由基礎結構自行管理。

所有外部基礎結構端點 (例如 REST 端點或 Azure Stack Hub 入口網站) 都支援使用 TLS 1.2 進行安全通訊。針對這些端點，必須提供加密憑證 (不論是來自協力廠商還是您的企業「憑證授權單位」)。

雖然自我簽署的憑證可以用於這些外部端點，但 Microsoft 強烈建議不要使用這類憑證。如需如何在 Azure Stack Hub 的外部端點上強制執行 TLS 1.2 的詳細資訊，請參閱設定 Azure Stack Hub 安全性控制項。

祕密管理

Azure Stack Hub 基礎結構使用許多祕密 (例如密碼和憑證) 來運作。與內部服務帳戶相關聯的大部分密碼會每 24 小時自動輪替一次，因為這些帳戶是群組受控服務帳戶 (gMSA)，這是由內部網域控制站直接管理的網域帳戶類型。

Azure Stack Hu 基礎結構會針對其所有內部憑證使用 4096 位 RSA 金鑰。相同金鑰長度的憑證也可以用於外部端點。如需秘密和憑證輪替的詳細資訊，請參閱在 Azure Stack Hub 中輪替秘密。

Windows Defender 應用程式控制

Azure Stack Hub 使用最新的 Windows Server 安全性功能。其中一個是 Windows Defender 應用程式控制 (WDAC，先前稱為程式碼完整性)，此功能提供可執行檔篩選功能，並確保只有經授權的程式碼會在 Azure Stack Hub 基礎結構內執行。

已授權的程式碼是由 Microsoft 或 OEM 夥伴簽署。已簽署的授權程式碼包含在 Microsoft 所定義之策略中所指定的允許軟體清單中。換句話說，只有獲核准在 Azure Stack Hub 基礎結構中執行的軟體才能執行。系統會封鎖任何執行未經授權程式碼的嘗試並產生警示。 Azure Stack Hub 會強制執行使用者模式程式碼完整性 (UMCI) 和程式碼完整性 (HVCI)。

WDAC 原則也會防止協力廠商代理程式或軟體在 Azure Stack Hub 基礎結構中執行。如需 WDAC 的詳細資訊，請參閱 Windows Defender 應用程式控制和以虛擬化為基礎的程式碼完整性保護。

反惡意程式碼

Azure Stack Hub 中的每個元件 (Hyper-V 主機和虛擬機器兩者) 都受到「Windows Defender 防毒軟體」保護。

在已連線的情況下，一天當中會套用防毒定義及引擎更新多次。在連線中斷的情況下，則會隨每月 Azure Stack Hub 更新套用反惡意程式碼軟體更新。在中斷連線的情況下，若需要更頻繁地更新 Windows Defender 的定義，Azure Stack Hub 也支援匯入 Windows Defender 更新。如需詳細資訊，請參閱更新 Azure Stack Hub 上的 Windows Defender 防毒軟體。

安全開機

Azure Stack Hub 會在所有 Hyper-V 主機和基礎結構虛擬機器上強制執行安全開機。

限制型管理模型

Azure Stack Hub 中的管理是透過三個進入點來控制，每個進入點都有特定的目的：

管理員入口網站針對日常管理作業提供點選體驗。
Azure Resource Manager 會透過 PowerShell 和 Azure CLI 所使用的 REST API 公開「管理員入口網站」的所有管理作業。
針對特定的低階作業 (例如資料中心整合或支援案例)，Azure Stack Hub 公開了一個稱為具特殊權限的端點的 PowerShell 端點。這個端點只公開一組允許的 Cmdlet，並且經常受到稽核。

網路控制措施

Azure Stack Hub 基礎結構隨附多層的網路「存取控制清單」(ACL)。 ACL 可防止使用者對基礎結構元件進行未經授權的存取，並將基礎結構通訊僅限於其運作所需的路徑。

網路 ACL 會在三個層級強制執行：

第 1 層：機架頂端 (Top of Rack) 交換器
第 2 層：軟體定義網路
第 3 層：操作系統防火牆的主機和虛擬機器

法規遵循

Azure Stack Hub 已通過第三方獨立稽核公司的正式功能評量。因此，可以取得 Azure Stack Hub 基礎結構如何滿足幾個主要合規性標準之適用控制項的相關文件。由於標準包括一些與數個人員以及處理程序相關的控制項，因此該文件不是 Azure Stack Hub 的認證。相反地，客戶也可以使用這份文件來快速啟動他們的認證程序。

評量包含下列標準：

PCI-DSS 處理支付卡產業的問題。
CSA 雲端控制矩陣是跨多個標準的完整對應，，包括 FedRAMP Moderate、ISO27001、HIPAA、HITRUST、ITAR、NIST SP800-53 和其他項目。
FedRAMP High 適用於政府客戶。

可以在 Microsoft 服務信任入口網站上找到合規性文件。合規性指南是受保護的資源，需要您使用 Azure 雲端服務認證登入。

適用於 Azure Stack Hub 的 EU Schrems II 方案

Microsoft 宣佈打算讓歐盟客戶能在歐盟內處理及儲存其所有資料，以超越現有的資料儲存承諾；您不再需要將資料儲存在歐盟之外。此增強的承諾用量包括 Azure Stack Hub 客戶。如需詳細資訊，請參閱接聽歐洲的通話：在歐盟儲存和處理歐盟資料。

從 2206 版開始，您可以選取地理喜好設定，以便在現有的 Azure Stack Hub 部署上進行資料處理。下載 Hotfix 之後，您會收到下列警示。

注意

也可能需要中斷連線的環境，以選取資料地理位置。這是一次性設定，如果操作員將診斷資料提供給 Microsoft，則會影響資料落地位置。如果操作員未將任何診斷資料提供給 Microsoft，則此設定沒有任何延伸性影響。

視儲存和處理資料的地理喜好設定而定，您可以透過兩種方式之一來解決現有 Azure Stack Hub 部署的此警示。

如果您選擇將資料儲存在歐盟內並加以處理，請執行下列 PowerShell Cmdlet 來設定地理喜好設定。資料的落地位置將會更新，且所有資料都會儲存在歐盟並加以處理。
```
Set-DataResidencyLocation -Europe
```
如果您選擇將資料儲存在歐盟之外並加以處理，請執行下列 PowerShell Cmdlet 來設定地理喜好設定。資料的落地位置將會更新，且所有資料都會在歐盟之外處理。
```
Set-DataResidencyLocation -Europe:$false
```

解決此警示之後，您可以在管理員入口網站 [屬性] 視窗中確認您的地理區域喜好設定。

新的 Azure Stack Hub 部署可以在設定和部署期間設定地理區域。