Zabezpečení rozšíření
Tento článek popisuje základy rozšíření virtuálních počítačů pro servery s podporou Azure Arc a podrobně popisuje, jak je možné přizpůsobit nastavení rozšíření.
Základy rozšíření
Rozšíření virtuálních počítačů pro servery s podporou Azure Arc jsou volitelné doplňky, které umožňují další funkce, jako je monitorování, správa oprav a spouštění skriptů. Rozšíření publikují Microsoft a vyberou třetí strany z Azure Marketplace a ukládají se v účtech úložiště spravovaných Microsoftem. V rámci procesu publikování se prohledávají všechna rozšíření pro malware. Rozšíření pro servery s podporou Azure Arc jsou stejná jako rozšíření dostupná pro virtuální počítače Azure a zajišťují konzistenci napříč vašimi provozními prostředími.
Rozšíření se stáhnou přímo ze služby Azure Storage (*.blob.core.windows.net) v době jejich instalace nebo upgradu, pokud jste nenakonfigurovali privátní koncové body. Účty úložiště se pravidelně mění a nelze je předem předpovědět. Když se použijí privátní koncové body, rozšíření se místo toho přesměrují přes místní adresu URL služby Azure Arc.
Digitálně podepsaný soubor katalogu se stáhne odděleně od balíčku rozšíření a použije se k ověření integrity jednotlivých rozšíření před otevřením nebo spuštěním balíčku rozšíření. Pokud stažený soubor ZIP pro příponu neodpovídá obsahu v souboru katalogu, operace rozšíření bude přerušena.
Rozšíření můžou převzít nastavení pro přizpůsobení nebo konfiguraci instalace, jako jsou adresy URL proxy serveru nebo klíče rozhraní API pro připojení agenta monitorování ke své cloudové službě. Nastavení rozšíření mají dvě varianty: běžná nastavení a chráněná nastavení. Chráněná nastavení se neuchovávají v Azure a šifrují se v klidovém stavu na místním počítači.
Všechny operace rozšíření pocházejí z Azure prostřednictvím volání rozhraní API, rozhraní příkazového řádku, PowerShellu nebo akce portálu. Tento návrh zajistí, že se do protokolu aktivit Azure zaprotokoluje jakákoli akce instalace, aktualizace nebo upgradu rozšíření na serveru. Agent Azure Connected Machine umožňuje místně odebrat rozšíření pro účely řešení potíží a čištění. Pokud se ale rozšíření odebere místně a služba stále očekává, že počítač bude mít nainstalované rozšíření, při příští synchronizaci správce rozšíření s Azure ho znovu nainstaluje.
Spouštění skriptů
Správce rozšíření se dá použít ke spouštění skriptů na počítačích pomocí rozšíření vlastních skriptů nebo příkazu Spustit. Ve výchozím nastavení se tyto skripty spustí v kontextu uživatele správce rozšíření – místní systém ve Windows nebo kořenovém adresáři v Linuxu– což znamená, že tyto skripty budou mít neomezený přístup k počítači. Pokud tyto funkce nechcete používat, můžete je zablokovat pomocí seznamu povolených nebo seznamu blokovaných položek. Příklad je uveden v další části.
Řízení zabezpečení místního agenta
Počínaje verzí agenta 1.16 můžete volitelně omezit rozšíření, která lze nainstalovat na server, a zakázat konfiguraci hosta. Tyto ovládací prvky můžou být užitečné při připojování serverů k Azure pro jeden účel, například shromažďování protokolů událostí, aniž by bylo možné na serveru používat další možnosti správy.
Tyto kontrolní mechanismy zabezpečení je možné nakonfigurovat pouze spuštěním příkazu na samotném serveru a nelze je změnit z Azure. Tento přístup zachovává záměr správce serveru při povolování scénářů vzdálené správy ve službě Azure Arc, ale také to znamená, že změna nastavení je obtížnější, pokud se později rozhodnete změnit. Tato funkce je určená pro citlivé servery (například Doména služby Active Directory Kontrolery, servery, které zpracovávají platební data, a servery, na které se vztahují přísné míry kontroly změn). Ve většině ostatních případů není nutné tato nastavení upravovat.
Seznamy povolených a blokovaných položek
Agent Azure Connected Machine podporuje seznam povolených a blokovaných položek, aby bylo možné omezit, která rozšíření se dají na vašem počítači nainstalovat. Seznamy povolených položek jsou výhradní, což znamená, že je možné nainstalovat pouze konkrétní rozšíření, která do seznamu zahrnete. Seznamy bloků jsou výhradní, což znamená, že je možné nainstalovat cokoli kromě těchto rozšíření. Seznamy povolených položek jsou vhodnější než seznamy blokovaných, protože ze své podstaty blokují všechna nová rozšíření, která budou v budoucnu dostupná. Seznamy povolených a blokovaných seznamů se konfigurují místně na jednotlivých serverech. Tím se zajistí, že nikdo, ani uživatel s oprávněním vlastníka nebo globálního správce v Azure, může vaše pravidla zabezpečení přepsat pokusem o instalaci neoprávněného rozšíření. Pokud se někdo pokusí nainstalovat neautorizované rozšíření, správce rozšíření ho odmítne nainstalovat a označí instalaci rozšíření jako selhání Do Azure. Seznamy povolených a blokovaných seznamů je možné nakonfigurovat kdykoli po instalaci agenta, včetně před připojením agenta k Azure.
Pokud v agentu není nakonfigurovaný žádný seznam povolených nebo blokovaných, jsou povolena všechna rozšíření.
Nejbezpečnější možností je explicitně povolit instalaci rozšíření, která očekáváte. Jakékoli rozšíření, které není v seznamu povolených, se automaticky zablokuje. Pokud chcete nakonfigurovat agenta Azure Connected Machine tak, aby umožňoval pouze agenta Azure Monitoru pro Linux, spusťte na každém serveru následující příkaz:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
Tady je příklad seznamu blokovaných položek, který blokuje všechna rozšíření s možností spouštění libovolných skriptů:
azcmagent config set extensions.blocklist "Microsoft.Cplat.Core/RunCommandHandlerWindows, Microsoft.Cplat.Core/RunCommandHandlerLinux,Microsoft.Compute/CustomScriptExtension,Microsoft.Azure.Extensions/CustomScript,Microsoft.Azure.Automation.HybridWorker/HybridWorkerForWindows,Microsoft.Azure.Automation/HybridWorkerForLinux,Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent, Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux"
Zadejte přípony s jejich vydavatelem a typem odděleným lomítkem /. Podívejte se na seznam nejběžnějších rozšíření v dokumentaci nebo seznam rozšíření virtuálních počítačů, které už jsou na vašem serveru nainstalované na portálu, v Azure PowerShellu nebo v Azure CLI.
Tabulka popisuje chování při provádění operace rozšíření s agentem, který má nakonfigurovaný seznam povolených nebo blokových seznamů.
| Operace | V seznamu povolených | V seznamu blokovaných položek | V seznamu povolených i blokovaných | Není v žádném seznamu, ale je nakonfigurovaný seznam povolených |
|---|---|---|---|---|
| Instalace rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Aktualizace (změna konfigurace) rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Upgrade rozšíření | Povoleno | Blokováno | Blokováno | Blokováno |
| Odstranění rozšíření | Povoleno | Povoleno | Povoleno | Povoleno |
Důležité
Pokud už je na vašem serveru nainstalované rozšíření před konfigurací seznamu povolených nebo blokovaných, automaticky se neodebere. Je vaší zodpovědností odstranit rozšíření z Azure, aby ho úplně odebral z počítače. Žádosti o odstranění se vždy přijímají, aby tento scénář vyhovovaly. Po odstranění určí seznam povolených a blokovaných položek, jestli chcete povolit budoucí pokusy o instalaci.
Počínaje agentem verze 1.35 existuje speciální hodnota Allow/Noneseznamu povolených , která dává správci rozšíření pokyn ke spuštění, ale neumožňuje instalaci žádných rozšíření. Toto je doporučená konfigurace při použití služby Azure Arc k doručování rozšířených aktualizací zabezpečení (ESU) Windows Serveru 2012, aniž byste chtěli použít další rozšíření.
azcmagent config set extensions.allowlist "Allow/None"
Zásady Azure je také možné použít k omezení, která rozšíření je možné nainstalovat. Zásady Azure mají výhodu konfigurace v cloudu a nevyžadují změnu na každém jednotlivém serveru, pokud potřebujete změnit seznam schválených rozšíření. Tuto ochranu ale může přepsat nebo odebrat kdokoli s oprávněním k úpravě přiřazení zásad. Pokud se rozhodnete používat zásady Azure k omezení rozšíření, zkontrolujte, které účty ve vaší organizaci mají oprávnění k úpravám přiřazení zásad a že jsou zavedeny příslušné míry řízení změn.
Osvědčené postupy pro uzamčení počítače
Při konfiguraci agenta Azure Connected Machine s omezenou sadou funkcí je důležité zvážit mechanismy, které by někdo mohl použít k odebrání těchto omezení a implementaci vhodných ovládacích prvků. Kdokoli, kdo může spouštět příkazy jako správce nebo uživatel root na serveru, může změnit konfiguraci agenta Azure Connected Machine. Rozšíření a zásady konfigurace hosta se spouštějí v privilegovaných kontextech na vašem serveru a například mohou být schopny změnit konfiguraci agenta. Pokud k uzamčení agenta použijete ovládací prvky zabezpečení místního agenta, společnost Microsoft doporučuje následující osvědčené postupy, které zajistí, aby konfiguraci agenta mohli aktualizovat jenom místní správci serveru:
- Pokud je to možné, používejte seznamy povolených pro rozšíření místo seznamů blokovaných položek.
- Nezahrnujte rozšíření vlastních skriptů do seznamu povolených rozšíření, aby se zabránilo spuštění libovolných skriptů, které by mohly změnit konfiguraci agenta.
- Zakažte konfiguraci hosta, abyste zabránili použití vlastních zásad konfigurace hosta, které by mohly změnit konfiguraci agenta.
Příklad konfigurace pro scénáře monitorování a zabezpečení
Azure Arc se běžně používá k monitorování serverů pomocí služby Azure Monitor a Microsoft Sentinelu a jejich zabezpečení pomocí Microsoft Defenderu pro cloud. Tato část obsahuje příklady, jak uzamknout agenta, aby podporoval pouze scénáře monitorování a zabezpečení.
Pouze agent Azure Monitoru
Na serverech s Windows spusťte v konzole příkazového řádku se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorWindowsAgent"
azcmagent config set guestconfiguration.enabled false
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorLinuxAgent"
sudo azcmagent config set guestconfiguration.enabled false
Log Analytics a závislost (jenom Přehledy virtuálních počítačů Azure Monitoru)
Tato konfigurace je určená pro starší agenty Log Analytics a agenta závislostí.
Na serverech s Windows spusťte v konzole se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentWindows"
azcmagent config set guestconfiguration.enabled false
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Microsoft.Azure.Monitoring.DependencyAgent/DependencyAgentLinux"
sudo azcmagent config set guestconfiguration.enabled false
Monitorování a zabezpečení
Microsoft Defender for Cloud nasadí rozšíření na váš server, aby identifikoval ohrožený software na vašem serveru a povolil Microsoft Defender for Endpoint (pokud je nakonfigurovaný). Microsoft Defender pro cloud také používá konfiguraci hosta pro svou funkci dodržování právních předpisů. Vzhledem k tomu, že k vrácení omezení agenta je možné použít vlastní přiřazení konfigurace hosta, měli byste pečlivě vyhodnotit, jestli potřebujete funkci dodržování právních předpisů a v důsledku toho je na počítači povolená konfigurace hosta.
Na serverech s Windows spusťte v konzole příkazového řádku se zvýšenými oprávněními následující příkazy:
azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/MicrosoftMonitoringAgent,Qualys/WindowsAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Windows,Microsoft.Azure.AzureDefenderForSQL/AdvancedThreatProtection.Windows"
azcmagent config set guestconfiguration.enabled true
Na serverech s Linuxem spusťte následující příkazy:
sudo azcmagent config set extensions.allowlist "Microsoft.EnterpriseCloud.Monitoring/OMSAgentForLinux,Qualys/LinuxAgent.AzureSecurityCenter,Microsoft.Azure.AzureDefenderForServers/MDE.Linux"
sudo azcmagent config set guestconfiguration.enabled true
Režimy agenta
Jednodušší způsob konfigurace místních bezpečnostních prvků pro scénáře monitorování a zabezpečení je použití režimu monitorování, který je k dispozici s agentem verze 1.18 a novějším. Režimy jsou předem definované konfigurace seznamu povolených rozšíření a agenta konfigurace hosta spravovaného Microsoftem. Jakmile budou k dispozici nová rozšíření, která umožňují scénáře monitorování, Microsoft podle potřeby aktualizuje konfiguraci seznamu povolených a agentů tak, aby zahrnovala nebo vyloučila nové funkce.
Můžete si vybrat ze dvou režimů:
- full – výchozí režim. To umožňuje všechny funkce agenta.
- monitor – omezený režim, který zakáže agenta zásad konfigurace hosta a umožňuje pouze použití rozšíření souvisejících s monitorováním a zabezpečením.
Pokud chcete povolit režim monitorování, spusťte následující příkaz:
azcmagent config set config.mode monitor
Aktuální režim agenta a povolené rozšíření můžete zkontrolovat pomocí následujícího příkazu:
azcmagent config list
V režimu monitorování nemůžete změnit seznam povolených nebo blokovaných rozšíření. Pokud potřebujete změnit některý ze seznamů, změňte agenta zpět do úplného režimu a zadejte vlastní seznam povolených položek a seznam blokovaných položek.
Pokud chcete agenta změnit zpět do režimu plného, spusťte následující příkaz:
azcmagent config set config.mode full
Zakázání správce rozšíření
Pokud nepotřebujete používat rozšíření se službou Azure Arc, můžete správce rozšíření úplně zakázat. Správce rozšíření můžete zakázat pomocí následujícího příkazu (spustit místně na každém počítači):
azcmagent config set extensions.enabled false
Zakázání správce rozšíření neodebere žádná rozšíření, která už jsou na vašem serveru nainstalovaná. Rozšíření hostovaná ve vlastních službách windows nebo Linuxu, jako je agent Log Analytics, můžou dál běžet i v případě, že je správce rozšíření zakázaný. Další rozšíření hostovaná samotným správcem rozšíření, jako je agent Azure Monitor, se nespustí, pokud je správce rozšíření zakázaný. Před zakázáním správce rozšíření byste měli odebrat všechna rozšíření , abyste zajistili, že na serveru nebudou nadále spuštěná žádná rozšíření.