Azure Stack Hub 基礎結構安全性控制
安全性考量和符合法規規範是使用混合式雲端的主要因素。 Azure Stack Hub 是針對這些案例所設計。 本文說明 Azure Stack Hub 的安全性控制措施。
Azure Stack Hub 中並存兩個安全性狀態層。 第一層是 Azure Stack Hub 基礎結構,其中包含 Azure Resource Manager 的硬體元件。 第一層包含系統管理員和使用者入口網站。 第二層是由租使用者所建立、部署及管理的工作負載所組成。 第二層包含虛擬機和 App Services 網站等專案。
安全性方法
Azure Stack Hub 的安全性狀態是設計來防範新式威脅,並專為符合主要合規性標準的需求而建置。 因此,Azure Stack Hub 基礎結構的安全性狀態是以兩個要素為基礎所建置:
假設缺口
從假設系統已經遭到入侵開始,專注於 偵測和限制缺口 的影響,而不是只嘗試防止攻擊。依預設強化
由於基礎結構會在定義完善的硬體和軟體上執行,Azure Stack Hub 預設會啟用、設定及驗證所有安全性功能 。
由於 Azure Stack Hub 是以整合式系統的形式傳遞,因此 Azure Stack Hub 基礎結構的安全性狀態是由Microsoft所定義。 就像在 Azure 中一樣,租用戶負責定義其租使用者工作負載的安全性狀態。 本檔提供 Azure Stack Hub 基礎結構安全性狀態的基本知識。
待用數據加密
所有 Azure Stack Hub 基礎結構和租用戶數據都會使用 BitLocker 進行待用加密。 此加密可防止 Azure Stack Hub 記憶體元件的實體遺失或遭竊。 如需詳細資訊,請參閱 Azure Stack Hub 中的待用數據加密。
傳輸中加密中的數據
Azure Stack Hub 基礎結構元件會使用以 TLS 1.2 加密的通道進行通訊。 加密憑證是由基礎結構自行管理。
所有外部基礎結構端點,例如 REST 端點或 Azure Stack Hub 入口網站,都支援 TLS 1.2 以進行安全通訊。 您必須為這些端點提供來自第三方或企業證書頒發機構單位的加密憑證。
雖然自我簽署憑證可用於這些外部端點,但Microsoft強烈建議不要使用這些憑證。 如需如何在 Azure Stack Hub 外部端點上強制執行 TLS 1.2 的詳細資訊,請參閱 設定 Azure Stack Hub 安全性控制。
祕密管理
Azure Stack Hub 基礎結構會使用許多秘密,例如密碼和憑證來運作。 大部分與內部服務帳戶相關聯的密碼都會每 24 小時自動輪替一次,因為它們是 群組受控服務帳戶 (gMSA),這是由內部域控制器直接管理的網域帳戶類型。
Azure Stack Hub 基礎結構會針對其所有內部憑證使用 4096 位 RSA 密鑰。 相同的金鑰長度憑證也可用於外部端點。 如需秘密和憑證輪替的詳細資訊,請參閱 在 Azure Stack Hub 中輪替秘密。
Windows Defender 應用程式控制
Azure Stack Hub 會使用最新的 Windows Server 安全性功能。 其中一個是 Windows Defender 應用程控(WDAC,先前稱為程式代碼完整性),可提供可執行文件篩選,並確保只有授權的程式代碼在 Azure Stack Hub 基礎結構內執行。
授權的程式代碼是由Microsoft或 OEM 合作夥伴所簽署。 已簽署的授權程式代碼會包含在Microsoft所定義原則中指定的允許軟體清單中。 換句話說,只能執行已核准在 Azure Stack Hub 基礎結構中執行的軟體。 任何執行未經授權的程式代碼嘗試都會遭到封鎖,並產生警示。 Azure Stack Hub 會強制執行使用者模式程式代碼完整性 (UMCI) 和 Hypervisor 程式代碼完整性 (HVCI)。
WDAC 原則也會防止第三方代理程式或軟體在 Azure Stack Hub 基礎結構中執行。 如需 WDAC 的詳細資訊,請參閱 Windows Defender 應用程控和程式代碼完整性的虛擬化型保護。
反惡意程式碼
Azure Stack Hub 中的每個元件(Hyper-V 主機和虛擬機)都會受到 Windows Defender 防病毒軟體的保護。
在連線的案例中,每天會套用防毒定義和引擎更新多次。 在中斷連線的情況下,反惡意代碼更新會套用為每月 Azure Stack Hub 更新的一部分。 如果中斷連線的情況下需要更新 Windows Defender 的定義,Azure Stack Hub 也支持匯入 Windows Defender 更新。 如需詳細資訊,請參閱 更新 Azure Stack Hub 上的 Windows Defender 防病毒軟體。
安全開機
Azure Stack Hub 會在所有 Hyper-V 主機和基礎結構虛擬機上強制執行安全開機。
限制管理模型
Azure Stack Hub 中的系統管理是透過三個進入點來控制,每個進入點都有特定用途:
- 系統管理員 入口網站 提供每日管理作業的點選體驗。
- Azure Resource Manager 會透過PowerShell和 Azure CLI 所使用的 REST API,公開系統管理員入口網站的所有管理作業。
- 針對特定的低階作業(例如數據中心整合或支援案例),Azure Stack Hub 會公開稱為 特殊許可權端點的 PowerShell 端點。 此端點只會公開一組允許的 Cmdlet,而且會進行大量稽核。
網路控制
Azure Stack Hub 基礎結構隨附多層網路 存取控制 清單 (ACL)。 ACL 會防止未經授權的基礎結構元件存取,並將基礎結構通訊限制為其運作所需的路徑。
網路 ACL 會在三個層級中強制執行:
- 第 1 層:機架頂端交換器
- 第 2 層:軟體定義網路
- 第3層:主機和VM操作系統防火牆
法規合規性
Azure Stack Hub 已由第三方獨立稽核公司進行正式功能評估。 因此,Azure Stack Hub 基礎結構如何符合數個主要合規性標準的適用控件的檔可供使用。 檔不是 Azure Stack Hub 的認證,因為標準包含數個人員相關和程式相關控制件。 相反地,客戶可以使用這份文件來啟動其認證程式。
評量包括下列標準:
- PCI-DSS 可處理付款卡產業。
- CSA 雲端控制矩陣 是跨多個標準的完整對應,包括 FedRAMP Moderate、ISO27001、HIPAA、HITRUST、ITAR、NIST SP800-53 等。
- 適用於政府客戶的 FedRAMP High 。
您可以在 Microsoft 服務信任入口網站上找到合規性檔。 合規性指南是受保護的資源,要求您使用 Azure 雲端服務認證登入。
適用於 Azure Stack Hub 的 EU Schrems II 方案
Microsoft宣佈,它打算通過讓歐盟客戶在歐盟處理和儲存其所有數據,以超越現有的數據儲存承諾:您不再需要將數據儲存在歐盟之外。 此增強的承諾包括 Azure Stack Hub 客戶。 如需詳細資訊,請參閱 接聽歐洲的電話:在歐盟儲存和處理歐盟 數據。
從 2206 版開始,您可以選取地理喜好設定,以在現有的 Azure Stack Hub 部署上進行數據處理。 下載 Hotfix 之後,您會收到下列警示。
![顯示 Azure Stack Hub 系統管理入口網站 [儀錶板警示] 視窗的螢幕快照,並列出 [地理區域未提供] 警示。](media/azure-stack-security-foundations/geo-region-alert.png?view=azs-2008#lightbox)
注意
您也可以需要中斷連線的環境,才能選取數據地理位置。 這是一次性設定,如果操作員提供診斷數據給Microsoft,會影響數據落地位置。 如果運算子未提供任何診斷數據來Microsoft此設定沒有任何影響。
您可以透過兩種方式之一解決現有 Azure Stack Hub 部署的此警示,視儲存和處理數據的地理喜好設定而定。
如果您選擇在歐盟內儲存及處理您的數據,請執行下列 PowerShell Cmdlet 來設定地理喜好設定。 數據的落地位置將會更新,所有數據都將儲存和處理於歐盟。
Set-DataResidencyLocation -Europe如果您選擇將數據儲存並處理到歐盟以外,請執行下列 PowerShell Cmdlet 來設定地理喜好設定。 數據的落地位置將會更新,並將在歐盟以外處理所有數據。
Set-DataResidencyLocation -Europe:$false
解決此警示之後,您可以在系統管理入口網站中驗證您的地理區域喜好設定 屬性視窗。
![此螢幕快照顯示 Azure Stack Hub 系統管理入口網站 屬性視窗,且 [資料地理位置] 屬性現在設定為 [歐洲]。](media/azure-stack-security-foundations/data-geolocation-set.png?view=azs-2008#lightbox)
新的 Azure Stack 中樞部署可以在設定和部署期間設定地理區域。