Funkce zabezpečení pro místní Azure verze 23H2
Platí pro: Azure Local, verze 23H2
Důležité
Azure Stack HCI je teď součástí Azure Local. Probíhá přejmenování dokumentace k produktu. Textové změny jsou dokončeny a aktualizace vizuálů budou brzy dokončeny. Další informace.
Azure Local je standardně zabezpečený produkt s povoleným více než 300 nastaveními zabezpečení přímo od začátku. Výchozí nastavení zabezpečení poskytují konzistentní standardní hodnoty zabezpečení, aby se zajistilo, že zařízení začnou ve známém dobrém stavu.
Tento článek obsahuje stručný koncepční přehled různých funkcí zabezpečení přidružených k místní instanci Azure. Mezi funkce patří výchozí nastavení zabezpečení, řízení aplikací, šifrování svazků přes BitLocker, obměna tajných kódů, místní předdefinované uživatelské účty, Microsoft Defender pro cloud a další.
Výchozí nastavení zabezpečení
Místní azure má ve výchozím nastavení povolená nastavení zabezpečení, která poskytují konzistentní standardní hodnoty zabezpečení, systém správy směrného plánu a mechanismus řízení odchylek.
Během nasazení i modulu runtime můžete monitorovat standardní hodnoty zabezpečení a zabezpečená nastavení jádra. Při konfiguraci nastavení zabezpečení můžete také zakázat řízení odchylek během nasazení.
Při použití kontroly posunu se nastavení zabezpečení aktualizuje každých 90 minut. Tento interval aktualizace zajišťuje nápravu všech změn z požadovaného stavu. Nepřetržité monitorování a autoremediace umožňují konzistentní a spolehlivý stav zabezpečení v průběhu životního cyklu zařízení.
Zabezpečení standardních hodnot pro místní Azure:
- Zlepšuje stav zabezpečení zakázáním starších protokolů a šifer.
- Redukuje OPEX pomocí integrovaného mechanismu ochrany odchylek, který umožňuje konzistentní monitorování ve velkém měřítku prostřednictvím standardních hodnot hybridních hraničních zařízení Azure Arc.
- Umožňuje splnit požadavky centra pro srovnávací testy Zabezpečení internetu (CIS) a bezpečnostní agenturu DISA (Security Information System Agency) (DISA) technické implementace (STIG) pro operační systém a doporučené standardní hodnoty zabezpečení.
Další informace najdete v tématu Správa výchozích hodnot zabezpečení v Azure Local.
Řízení aplikací
Řízení aplikací je softwarová vrstva zabezpečení, která snižuje prostor pro útoky vynucením explicitního seznamu softwaru, který může běžet. Řízení aplikací je ve výchozím nastavení povolené a omezuje aplikace a kód, které můžete spustit na základní platformě. Další informace najdete v tématu Správa řízení aplikací pro místní Azure verze 23H2.
Řízení aplikací poskytuje dva hlavní režimy operací, režim vynucení a režim auditování. V režimu vynucení je nedůvěryhodný kód zablokovaný a události se zaznamenávají. V režimu auditování je možné spustit nedůvěryhodný kód a zaznamenávat události. Další informace o událostech souvisejících s řízením aplikací najdete v tématu seznam událostí.
Důležité
Pokud chcete minimalizovat bezpečnostní riziko, vždy spusťte řízení aplikací v režimu vynucení.
Návrh zásad řízení aplikací
Microsoft poskytuje základní podepsané zásady v Azure Local pro režim vynucení i režim auditování. Zásady navíc zahrnují předdefinovanou sadu pravidel chování platformy a pravidla blokování, která se použijí na vrstvu řízení aplikací.
Složení základních zásad
Mezi základní zásady Azure patří následující části:
- Metadata: Metadata definují jedinečné vlastnosti zásady, jako je název zásady, verze, identifikátor GUID a další.
- Pravidla možností: Tato pravidla definují chování zásad. Doplňkové zásady se můžou lišit pouze od malé sady pravidel možností svázaných s jejich základní zásadou.
- Pravidla povolit a odepřít: Tato pravidla definují hranice důvěryhodnosti kódu. Pravidla můžou být založená na vydavatelích, podepisujících, hodnotě Hash souborů a dalších.
Pravidla možností
Tato část popisuje pravidla možností povolená základní zásadou.
Pro vynucené zásady jsou ve výchozím nastavení povolená následující pravidla možností:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | UMCI |
| Požaduje se | WHQL |
| Povoleno | Povolit doplňkové zásady |
| Povoleno | Zrušená platnost vypršela jako nepodepsaná |
| Zakázáno | Podepisování letů |
| Povoleno | Zásady integrity systému bez znaménka (výchozí) |
| Povoleno | Dynamické zabezpečení kódu |
| Povoleno | Nabídka Rozšířených možností spouštění |
| Zakázáno | Vynucení skriptu |
| Povoleno | Spravovaný instalační program |
| Povoleno | Aktualizace zásad bez restartování |
Zásady auditu přidávají do základní zásady následující pravidla možností:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | Režim auditu (výchozí) |
Další informace najdete v úplném seznamu pravidel možností.
Pravidla povolit a odepřít
Povolit pravidla v základních zásadách umožňují, aby byly důvěryhodné všechny komponenty Microsoftu poskytované operačním systémem a cloudovými nasazeními. Pravidla odepření blokují aplikace v uživatelském režimu a komponenty jádra, které jsou pro řešení nebezpečné.
Poznámka:
Pravidla Povolit a odepřít v základních zásadách se pravidelně aktualizují, aby se zlepšila funtionalita produktu a maximalizovala se ochrana vašeho řešení.
Další informace o pravidlech zamítnutí najdete tady:
Šifrování BitLockeru
Šifrování neaktivních uložených dat je povolené u datových svazků vytvořených během nasazování. Mezi tyto datové svazky patří svazky infrastruktury i svazky úloh. Když nasadíte systém, můžete upravit nastavení zabezpečení.
Ve výchozím nastavení je během nasazování povolené šifrování neaktivních uložených dat. Doporučujeme přijmout výchozí nastavení.
Po úspěšném nasazení Azure Local můžete načíst obnovovací klíče BitLockeru. Obnovovací klíče BitLockeru musíte uložit do zabezpečeného umístění mimo systém.
Další informace o šifrování nástrojem BitLocker najdete v tématech:
- Použijte Nástroj BitLocker se sdílenými svazky clusteru (CSV).
- Správa šifrování BitLockeru v místním prostředí Azure
Místní předdefinované uživatelské účty
V této verzi jsou v místním systému Azure k dispozici následující místní předdefinovaní uživatelé RID 500RID 501 a jsou k dispozici ve vašem místním systému Azure:
| Název v počáteční imagi operačního systému | Název po nasazení | Ve výchozím nastavení povoleno | Popis |
|---|---|---|---|
| Správce | ASBuiltInAdmin | True | Integrovaný účet pro správu počítače nebo domény |
| Host | ASBuiltInGuest | False | Integrovaný účet pro přístup hostů k počítači nebo doméně, chráněný mechanismem řízení odchylek standardních hodnot zabezpečení. |
Důležité
Doporučujeme vytvořit vlastní účet místního správce a zakázat dobře známý RID 500 uživatelský účet.
Vytvoření a obměně tajných kódů
Orchestrátor v Azure Local vyžaduje více komponent, aby se zachovala zabezpečená komunikace s jinými prostředky infrastruktury a službami. Všechny služby spuštěné v systému mají přidružené ověřovací a šifrovací certifikáty.
Abychom zajistili zabezpečení, implementujeme interní možnosti vytváření a obměně tajných kódů. Při kontrole systémových uzlů uvidíte několik certifikátů vytvořených v cestě LocalMachine/Personal certificate Store (Cert:\LocalMachine\My).
V této verzi jsou povolené následující funkce:
- Možnost vytvářet certifikáty během nasazení a po operacích škálování systému.
- Automatická automatická operace před vypršením platnosti certifikátů a možností obměna certifikátů během životnosti systému.
- Schopnost monitorovat a upozorňovat na to, jestli jsou certifikáty stále platné.
Poznámka:
Dokončení operací vytváření a obměně tajných kódů trvá přibližně deset minut v závislosti na velikosti systému.
Další informace najdete v tématu Správa obměně tajných kódů.
Předávání syslogu událostí zabezpečení
Pro zákazníky a organizace, které vyžadují vlastní místní systém zabezpečení a správu událostí (SIEM), Azure Local, verze 23H2 obsahuje integrovaný mechanismus, který umožňuje předávat události související se zabezpečením do SIEM.
Azure Local má integrovaný předávací program syslogu, který po nakonfigurování generuje zprávy syslogu definované v RFC3164 s datovou částí ve formátu CEF (Common Event Format).
Následující diagram znázorňuje integraci Azure Local s SIEM. Všechny audity, protokoly zabezpečení a výstrahy se shromažďují na každém hostiteli a zveřejňují se prostřednictvím syslogu s datovou částí CEF.
Agenti předávání Syslog jsou nasazeni na každém místním hostiteli Azure pro předávání zpráv syslogu na server syslog nakonfigurovaný zákazníkem. Agenti předávání Syslog pracují nezávisle na sobě, ale dají se spravovat společně na každém z hostitelů.
Předávání syslogu v Azure Local podporuje různé konfigurace na základě toho, jestli je předávání syslogu s protokolem TCP nebo UDP, jestli je šifrování povolené nebo ne, a jestli existuje jednosměrné nebo obousměrné ověřování.
Další informace naleznete v tématu Správa předávání syslog.
Microsoft Defender for Cloud (Preview)
Microsoft Defender for Cloud je řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje vám nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokorychlostním způsobem v cloudu prostřednictvím automatického zřizování a ochrany se službami Azure bez režijních nákladů na nasazení.
Se základním plánem Defenderu pro cloud získáte doporučení, jak zlepšit stav zabezpečení místního systému Azure bez dalších poplatků. S placeným plánem Defender for Servers získáte vylepšené funkce zabezpečení, včetně výstrah zabezpečení pro jednotlivé počítače a virtuální počítače Arc.
Další informace najdete v tématu Správa zabezpečení systému v programu Microsoft Defender for Cloud (Preview).
Další kroky
- Posouzení připravenosti nasazení prostřednictvím nástroje Kontrola prostředí
- Přečtěte si místní knihu zabezpečení Azure.
- Prohlédněte si místní standardy zabezpečení Azure.