共用方式為

已啟用 Azure Arc 的伺服器的安全性概觀

  • 發行項

本文說明使用已啟用 Azure Arc 的伺服器時可用的安全性考慮和控件。 無論您是安全性從業者或IT操作員,本文中的資訊都可讓您自信地以符合組織安全性需求的方式設定 Azure Arc。

責任

已啟用 Azure Arc 的伺服器部署的安全性是您與Microsoft之間的共同責任。 Microsoft 負責:

  • 若要保護雲端服務,此服務會儲存您連線至服務的代理程序系統元數據及協調作業。
  • 保護和保護儲存在 Azure 中的系統元數據隱私權。
  • 記錄選用的安全性功能,讓您瞭解部署選項的優點和缺點。
  • 使用安全性、品質、效能和功能改善發佈一般代理程式更新。

您負責:

  • 管理及監視 Azure 訂用帳戶中已啟用 Azure Arc 資源的 RBAC 存取權。
  • 保護及定期輪替任何用來管理已啟用 Azure Arc 之伺服器的帳戶認證。 這包括用來將新伺服器上線的任何服務主體秘密或認證。
  • 判斷本檔中所述的安全性功能(例如,延伸模組允許清單)是否應套用至您所部署的 Azure 連線機器代理程式。
  • 讓 Azure 連線機器代理程式和擴充功能保持在最新狀態。
  • 判斷 Azure Arc 符合貴組織的法律和法規,以及內部原則義務的合規性。
  • 保護伺服器本身,包括用來執行伺服器的計算、記憶體和網路基礎結構。

架構概觀

已啟用 Azure Arc 的伺服器是以代理程式為基礎的服務。 您與 Azure Arc 的互動主要是透過 Azure 的 API、入口網站和管理體驗。 您在 Azure 中看到的數據,以及您在 Azure 中採取的動作,會透過安裝在每部受控伺服器上的 Azure 連線機器代理程式轉寄。 Azure 是代理程序的真實來源。 告訴代理程式執行某些動作的唯一方式(例如,安裝擴充功能)是在伺服器的 Azure 表示法上採取動作。 這有助於確保組織的 RBAC 和原則指派可以在進行任何變更之前評估要求。

Azure Connected Machine 代理程式主要是其他 Azure 和第三方服務的啟用平臺。 其核心功能包括:

  • 建立電腦與 Azure 訂用帳戶之間的關聯性
  • 為代理程式和其他應用程式提供受控識別,以在向 Azure 進行驗證時使用
  • 使用擴充功能啟用其他功能(代理程式、文稿)
  • 評估並強制執行伺服器上的設定

安裝 Azure 連線機器代理程式之後,您就可以在伺服器上啟用其他 Azure 服務,以符合監視、修補程式管理、遠端存取或其他需求。 Azure Arc 的角色是協助這些服務在 Azure 自己的數據中心外運作。

您可以使用 Azure 原則 來限制貴組織使用者可以使用 Azure Arc 執行的動作。Azure 原則 等雲端式限制是大規模套用安全性控制的絕佳方式,同時保留彈性隨時調整限制。 不過,有時候您需要更強大的控制措施,以防止用來規避安全性措施的合法特殊許可權帳戶(例如停用原則)。 為了考慮到這一點,Azure 連線機器代理程式也有其本身的安全性控制,其優先順序高於雲端中設定的任何限制。

描述 Azure Connected Machine 代理程式運作方式的原型圖表。

代理程式服務

Azure 連線機器代理程式是四個服務/精靈的組合,這些服務/精靈會在您的伺服器上執行,並協助將其與 Azure 連線。 它們會一起安裝為單一應用程式,並使用 azcmagent 命令行介面集中管理。

混合式實例元數據服務

混合式實例元數據服務 (HIMDS) 是代理程式中的「核心」服務,負責向 Azure 註冊伺服器、進行中的元數據同步處理(活動訊號)、受控識別作業,以及裝載本機 REST API,讓其他應用程式可以查詢以了解裝置與 Azure 的連線。 此服務不具特殊許可權,並以虛擬帳戶執行 (NT SERVICE\himds with SID S-1-5-80-4215458991-203425222 25-2287069555-1155419622-2701885083)或 Linux 操作系統上的標準使用者帳戶(himds)。

延伸模組管理員

延伸模組管理員負責在您的電腦上安裝、設定、升級和移除其他軟體。 Azure Arc 目前還不知道如何執行監視或修補計算機之類的動作。 相反地,當您選擇使用這些功能時,延伸模組管理員會下載並啟用這些功能。 延伸模組管理員會在 Windows 上以本機系統的形式執行,而 Linux 上的根目錄,因為它安裝的軟體可能需要完整的系統存取權。 如果您不想要使用擴充功能,您可以限制延伸模組管理員允許安裝或完全停用擴充功能。

客體設定

客體設定服務會在您的伺服器上評估並強制執行 Azure 機器 (guest) 設定原則。 這些是PowerShell Desired 狀態設定 中撰寫的特殊 Azure 原則,可檢查伺服器上的軟體設定。 來賓設定服務會定期評估並報告這些原則的合規性,如果原則設定為強制模式,將會變更系統上的設定,以在必要時讓計算機恢復合規性。 客體設定服務會在 Windows 上以本機系統的形式執行,並在 Linux 上以根目錄執行,以確保它可以存取您系統上的所有設定。 如果您不想要使用客體設定原則,則可以停用來賓設定功能。

Azure Arc Proxy

Azure Arc Proxy 服務負責匯總來自 Azure Connected Machine 代理程式服務的網路流量,以及您安裝的任何延伸模組,並決定要路由傳送該數據的位置。 如果您使用 Azure Arc 閘道來簡化網路端點,Azure Arc Proxy 服務是透過 Azure Arc 閘道轉送網路要求的本機組件,而不是預設路由。 Azure Arc Proxy 會在 Windows 上以網路服務的形式執行,並在 Linux 上以標準用戶帳戶 (arcproxy) 的形式執行。 默認會停用,直到您將代理程式設定為使用 Azure Arc 閘道為止。

第 0 層資產的安全性考慮

第 0 層資產,例如 Active Directory 網域 控制器、證書頒發機構單位伺服器或高度敏感的商務應用程式伺服器,可以額外小心地連線到 Azure Arc,以確保只有所需的管理功能和授權的使用者才能管理伺服器。 這些建議並非必要,但強烈建議您維護第0層資產的安全性狀態。

專用 Azure 訂用帳戶

啟用 Azure Arc 的伺服器存取通常是由其所屬的組織階層所決定。 您應該將任何訂用帳戶或管理群組管理員視為相當於第0層資產上的本機系統管理員,因為它們可以使用其許可權將新的角色指派新增至 Azure Arc 資源。 此外,在訂用帳戶或管理群組層級套用的原則也可能具有變更伺服器的許可權。

若要將具有第 0 層資產存取權的帳戶和原則數目降到最低,請考慮使用專用的 Azure 訂用帳戶,盡可能使用盡可能少的持續性系統管理員進行密切監視和設定。 檢閱任何父管理群組中的 Azure 原則,以確保它們符合這些伺服器的意圖。

停用不必要的管理功能

針對第 0 層資產,您應該使用本機代理程式安全性控制來停用代理程式中任何未使用的功能,以防止任何刻意或意外地使用這些功能來變更伺服器。 這包括:

  • 停用遠端訪問功能
  • 為您想要使用的延伸模組設定擴充功能允許清單,或如果您不使用擴充功能,請停用延伸模組管理員
  • 如果您不想要使用電腦設定原則,請停用電腦設定代理程式

下列範例示範如何鎖定域控制器的 Azure Connected Machine 代理程式,該域控制器需要使用 Azure 監視器代理程式收集Microsoft Sentinel 的安全性記錄,以及Microsoft Defender for Servers 以防範惡意代碼威脅:

azcmagent config set incomingconnections.enabled false

azcmagent config set guestconfiguration.enabled false

azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”