Funkce zabezpečení pro místní Azure
Platí pro: Azure Local 2311.2 a novější
Důležité
Azure Stack HCI je teď součástí Azure Local. Další informace.
Azure Local je standardně zabezpečený produkt s povoleným více než 300 nastaveními zabezpečení přímo od začátku. Výchozí nastavení zabezpečení poskytují konzistentní standardní hodnoty zabezpečení, aby se zajistilo, že zařízení začnou ve známém dobrém stavu.
Tento článek obsahuje stručný koncepční přehled různých funkcí zabezpečení přidružených k místní instanci Azure. Mezi funkce patří výchozí nastavení zabezpečení, řízení aplikací, šifrování svazků přes BitLocker, obměna tajných kódů, místní předdefinované uživatelské účty, Microsoft Defender pro cloud a další.
Výchozí nastavení zabezpečení
Vaše Azure Local má ve výchozím nastavení povolená zabezpečení, která poskytují konzistentní základ pro zabezpečení, systém správy základní úrovně a mechanismus řízení odchylek.
Během nasazení i modulu runtime můžete monitorovat standardní hodnoty zabezpečení a zabezpečená nastavení jádra. Při konfiguraci nastavení zabezpečení můžete také zakázat řízení odchylek během nasazení.
Při použití kontroly posunu se nastavení zabezpečení aktualizuje každých 90 minut. Tento interval aktualizace zajišťuje nápravu všech změn z požadovaného stavu. Nepřetržité monitorování a autoremediace umožňují konzistentní a spolehlivý stav zabezpečení v průběhu životního cyklu zařízení.
Zabezpečení základní úrovně na Azure Local:
- Zlepšuje stav zabezpečení zakázáním starších protokolů a šifer.
- Snižuje OPEX pomocí integrovaného mechanismu ochrany proti odchylkám, který umožňuje konzistentní monitorování ve velkém měřítku prostřednictvím základní konfigurace hybridního okrajového nasazení Azure Arc.
- Umožňuje splnit požadavky Centra pro internetovou bezpečnost (CIS) a Agentury pro obranné informační systémy (DISA) podle Průvodce technickou implementací zabezpečení (STIG) pro operační systém a doporučené bezpečnostní standardy.
Další informace najdete v tématu Správa výchozích hodnot zabezpečení v Azure Local.
Řízení aplikací
Řízení aplikací je softwarová vrstva zabezpečení, která snižuje prostor pro útoky vynucením explicitního seznamu softwaru, který může běžet. Řízení aplikací je ve výchozím nastavení povolené a omezuje aplikace a kód, které můžete spustit na základní platformě. Další informace najdete v tématu Správa místního řízení aplikací proAzure.
Řízení aplikací poskytuje dva hlavní režimy operací, režim vynucení a režim auditování. V režimu vynucení je nedůvěryhodný kód zablokovaný a události se zaznamenávají. V režimu auditování je možné spustit nedůvěryhodný kód a zaznamenávat události. Další informace o událostech souvisejících s řízením aplikací najdete v tématu seznam událostí.
Důležité
Pokud chcete minimalizovat bezpečnostní riziko, vždy spusťte řízení aplikací v režimu vynucení.
Návrh zásad řízení aplikací
Microsoft poskytuje základní podepsané zásady v Azure Local pro režim vynucení i režim auditování. Zásady navíc zahrnují předdefinovanou sadu pravidel chování platformy a pravidla blokování, která se použijí na vrstvu řízení aplikací.
Složení základních zásad
Základní místní zásady Azure obsahují následující části:
- Metadata: Metadata definují jedinečné vlastnosti zásady, jako je název zásady, verze, identifikátor GUID a další.
- Pravidla pro možnosti: Tato pravidla definují chování politiky. Doplňkové zásady se můžou lišit pouze od malé sady pravidel možností svázaných s jejich základní zásadou.
- Pravidla povolení a odepření: Tato pravidla definují hranice důvěryhodnosti kódu. Pravidla můžou být založená na vydavatelích, podepisujících, hodnotě Hash souborů a dalších.
Pravidla možností
Tato část popisuje pravidla možností povolená základní zásadou.
Pro vynucenou politiku jsou ve výchozím nastavení povoleny následující možnosti pravidel:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | UMCI |
| Požaduje se | WHQL |
| Povoleno | Povolit doplňkové zásady |
| Povoleno | Odmítnuto, vypršelo jako nepodepsané |
| Deaktivováno | Podepisování letů |
| Povoleno | Zásady integrity nepodepsaného systému (výchozí) |
| Povoleno | Dynamické zabezpečení kódu |
| Povoleno | Nabídka Rozšířených možností spouštění |
| Deaktivováno | Prosazování skriptu |
| Povoleno | Spravovaný instalační program |
| Povoleno | Aktualizace politiky bez restartování |
Zásady auditu přidávají do základní zásady následující pravidla možností:
| Pravidlo možnosti | Hodnota |
|---|---|
| Povoleno | Režim auditu (výchozí) |
Další informace najdete v úplném seznamu pravidel možností.
Pravidla povolení a odepření
Základní pravidla zásad povolují, aby všechny komponenty Microsoftu poskytované operačním systémem a cloudovými nasazeními byly důvěryhodné. Pravidla odepření blokují aplikace v uživatelském režimu a komponenty jádra, které jsou pro řešení nebezpečné.
Poznámka:
Pravidla Povolit a odepřít v základních zásadách se pravidelně aktualizují, aby se zlepšila funkčnost produktu a maximalizovala ochrana vašeho řešení.
Další informace o pravidlech zamítnutí najdete tady:
Šifrování BitLockeru
Šifrování neaktivních uložených dat je povolené u datových svazků vytvořených během nasazování. Mezi tyto datové svazky patří svazky infrastruktury i svazky úloh. Když nasadíte systém, můžete upravit nastavení zabezpečení.
Ve výchozím nastavení je během nasazování povolené šifrování neaktivních uložených dat. Doporučujeme přijmout výchozí nastavení.
Po úspěšném nasazení Azure Local můžete získat BitLocker obnovovací klíče. Obnovovací klíče BitLockeru musíte uložit do zabezpečeného umístění mimo systém.
Další informace o šifrování nástrojem BitLocker najdete v tématech:
- Použijte BitLocker se sdílenými svazky klastrů (CSV).
- Správa šifrování BitLockeru v místním prostředí Azure
Místní předdefinované uživatelské účty
V této verzi jsou ve vašem místním systému Azure k dispozici následující místní předdefinovaní uživatelé asociovaní s RID 500 a RID 501.
| Název v počáteční imagi operačního systému | Název po nasazení | Ve výchozím nastavení povoleno | Popis |
|---|---|---|---|
| Správce | ASBuiltInAdmin | Pravda | Integrovaný účet pro správu počítače nebo domény |
| Host | ASBuiltInGuest | Nepravda | Integrovaný účet pro přístup hostů k počítači nebo doméně, chráněný mechanismem řízení odchylek standardních hodnot zabezpečení. |
Důležité
Doporučujeme vytvořit vlastní účet místního správce a zakázat dobře známý RID 500 uživatelský účet.
Vytvoření a obměně tajných kódů
Orchestrátor v Azure Local vyžaduje více komponent, aby se zachovala zabezpečená komunikace s jinými prostředky infrastruktury a službami. Všechny služby spuštěné v systému mají přidružené ověřovací a šifrovací certifikáty.
Abychom zajistili zabezpečení, implementujeme interní možnosti vytváření a obměně tajných kódů. Při kontrole systémových uzlů uvidíte několik certifikátů vytvořených v cestě LocalMachine/Personal certificate Store (Cert:\LocalMachine\My).
V této verzi jsou povolené následující funkce:
- Možnost vytvářet certifikáty během nasazení a po operacích škálování systému.
- Automatická rotace certifikátů před vypršením jejich platnosti a možnost rotace certifikátů během životnosti systému.
- Schopnost monitorovat a upozorňovat na to, jestli jsou certifikáty stále platné.
Poznámka:
Dokončení operací vytváření a obměně tajných kódů trvá přibližně 10 minut v závislosti na velikosti systému.
Další informace naleznete v tématu Správa obměny tajných kódů.
Předávání událostí zabezpečení do syslogu
Pro zákazníky a organizace, které vyžadují vlastní místní systém zabezpečení a správu událostí (SIEM), azure Local obsahuje integrovaný mechanismus, který umožňuje předávat události související se zabezpečením do SIEM.
Azure Local má integrovaný předávací program syslogu, který po nakonfigurování generuje zprávy syslogu definované v RFC3164 s datovou částí ve formátu CEF (Common Event Format).
Následující diagram znázorňuje integraci Azure Local s SIEM. Všechny audity, protokoly zabezpečení a výstrahy se shromažďují na každém hostu a jsou vystaveny prostřednictvím syslogu s datovou částí CEF.
Předávací agenti Syslog jsou nasazeni na každém místním hostiteli Azure pro předávání zpráv Syslog na zákazníkem nakonfigurovaný server Syslog. Agenti předávání Syslog pracují nezávisle na sobě, ale dají se spravovat společně na každém z hostitelů.
Předávání syslogu v Azure Local podporuje různé konfigurace podle toho, zda se používá protokol TCP nebo UDP, zda je šifrování zapnuto či vypnuto a zda je ověřování jednosměrné nebo obousměrné.
Další informace naleznete v tématu Správa předávání syslog.
Antivirová ochrana v programu Microsoft Defender
Azure Local má ve výchozím nastavení povolený a nakonfigurovaný antivirus Microsoft Defender. Důrazně doporučujeme používat Antivirovou ochranu v programu Microsoft Defender s místními instancemi Azure. Antivirová ochrana v programu Microsoft Defender poskytuje ochranu v reálném čase, ochranu do cloudu a automatické odesílání vzorků.
I když doporučujeme používat Antivirovou ochranu v programu Microsoft Defender pro Místní prostředí Azure, pokud dáváte přednost antivirovému a bezpečnostnímu softwaru jiného výrobce softwaru než Microsoftu, doporučujeme vybrat software, který váš nezávislý dodavatel softwaru (ISV) ověřil pro místní Azure, aby se minimalizovaly potenciální problémy s funkcemi.
Další informace najdete v tématu kompatibilita antivirové ochrany v programu Microsoft Defender s jinými produkty zabezpečení.
Ve výjimečných případech, kdy dochází k problémům s funkcemi azure Local pomocí antivirového softwaru jiného než Microsoftu, můžete vyloučit následující cesty:
- C:\Agents\*
- C:\CloudContent\*
- C:\CloudDeployment\*
- C:\ClusterStorage\*
- C:\EceStore\*
- C:\MASLogs\*
- C:\NugetStore\*
- C:\deploymentpackage\*
- C:\ProgramData\GuestConfig\extension_logs\*
Poznámka:
Pokud odeberete funkci Antivirová ochrana v programu Microsoft Defender, ponechte nastavení přidružená k této funkci ze standardních hodnot zabezpečení as-is. Tato nastavení nemusíte odstraňovat.
Microsoft Defender for Cloud (Preview)
Microsoft Defender for Cloud je řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje vám nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokorychlostním způsobem v cloudu prostřednictvím automatického zřizování a ochrany se službami Azure bez režijních nákladů na nasazení.
Se základním plánem Defenderu pro cloud získáte doporučení, jak zlepšit stav zabezpečení místního systému Azure bez dalších poplatků. S placeným plánem Defender for Servers získáte vylepšené funkce zabezpečení, včetně výstrah zabezpečení pro jednotlivé počítače a virtuální počítače Arc.
Další informace najdete tady:
- Správa zabezpečení systému pomocíMicrosoft Defenderu pro Cloud (náhled).
- Antivirová ochrana v programu Microsoft Defender a antivirová řešení jiných než Microsoft bez programu Defender for Endpoint.
Další kroky
- Vyhodnocení připravenosti k nasazení pomocí nástroje Kontrola prostředí
- Přečtěte si místní knihu zabezpečení Azure.
- Prohlédněte si místní standardy zabezpečení Azure.