Considerazioni sulla sicurezza di Azure Stack HCI
Si applica a: Azure Stack HCI, versioni 22H2 e 21H2; Windows Server 2022, Windows Server 2019
Importante
Azure Stack HCI is now part of Azure Local. La ridenominazione della documentazione del prodotto è in corso. Tuttavia, le versioni precedenti di Azure Stack HCI, ad esempio 22H2 continueranno a fare riferimento ad Azure Stack HCI e non rifletteranno la modifica del nome. Altre informazioni.
Questo argomento fornisce considerazioni sulla sicurezza e raccomandazioni correlate al sistema operativo Azure Stack HCI:
- La parte 1 illustra gli strumenti e le tecnologie di sicurezza di base per rafforzare il sistema operativo e proteggere i dati e le identità per creare in modo efficiente una base sicura per l'organizzazione.
- La parte 2 illustra le risorse disponibili tramite il Microsoft Defender per il cloud. Vedere introduzione a Microsoft Defender per il cloud.
- La parte 3 illustra considerazioni di sicurezza più avanzate per rafforzare ulteriormente il comportamento di sicurezza dell'organizzazione in queste aree.
Perché le considerazioni sulla sicurezza sono importanti?
La sicurezza influisce su tutti gli utenti dell'organizzazione dalla gestione di livello superiore al ruolo di lavoro informativo. La sicurezza inadeguata è un rischio reale per le organizzazioni perché una violazione della sicurezza può potenzialmente compromettere tutte le normali attività aziendali e arrestare l'organizzazione. Prima di poter rilevare un potenziale attacco, più velocemente è possibile attenuare qualsiasi compromissione della sicurezza.
Dopo aver studiato i punti deboli di un ambiente per sfruttarli, un utente malintenzionato può in genere entro 24-48 ore dall'escalation iniziale dei privilegi di compromissione per assumere il controllo dei sistemi in rete. Buone misure di sicurezza rafforzano i sistemi nell'ambiente per estendere il tempo necessario a un utente malintenzionato per assumere potenzialmente il controllo da ore a settimane o persino mesi bloccando i movimenti dell'utente malintenzionato. L'implementazione delle raccomandazioni sulla sicurezza in questo argomento posiziona l'organizzazione per rilevare e rispondere a tali attacchi il più rapidamente possibile.
Parte 1: Creare una base sicura
Le sezioni seguenti consigliano strumenti e tecnologie di sicurezza per creare una base sicura per i server che eseguono il sistema operativo Azure Stack HCI nell'ambiente in uso.
Rafforzare l'ambiente
Questa sezione illustra come proteggere i servizi e le macchine virtuali in esecuzione nel sistema operativo:
L'hardware certificato Azure Stack HCI offre impostazioni di avvio sicuro, UEFI e TPM coerenti predefinite. La combinazione di sicurezza basata su virtualizzazione e hardware certificato consente di proteggere i carichi di lavoro sensibili alla sicurezza. È anche possibile connettere questa infrastruttura attendibile a Microsoft Defender per il cloud per attivare l'analisi comportamentale e la creazione di report per tenere conto di carichi di lavoro e minacce in rapida evoluzione.
- L'avvio protetto è uno standard di sicurezza sviluppato dal settore dei PC per garantire che un dispositivo venga avviato usando solo software considerato attendibile dal produttore di apparecchiature originali (OEM). Per altre informazioni, vedere Avvio protetto.
- United Extensible Firmware Interface (UEFI) controlla il processo di avvio del server e quindi passa il controllo a Windows o a un altro sistema operativo. Per altre informazioni, vedere Requisiti del firmware UEFI.
- La tecnologia TPM (Trusted Platform Module) fornisce funzioni correlate alla sicurezza basate su hardware. Un chip TPM è un cryptoprocessore sicuro che genera, archivia e limita l'uso di chiavi crittografiche. Per altre informazioni, vedere Panoramica della tecnologia Trusted Platform Module.
Per altre informazioni sui provider di hardware certificati Azure Stack HCI, vedere il sito Web delle soluzioni Azure Stack HCI.
Lo strumento sicurezza è disponibile in modo nativo in Windows Admin Center sia per i cluster single server che per i cluster Azure Stack HCI per semplificare la gestione e il controllo della sicurezza. Lo strumento centralizza alcune impostazioni di sicurezza chiave per server e cluster, inclusa la possibilità di visualizzare lo stato protetto dei sistemi.
Per altre informazioni, vedere Server protetto-core.
Device Guard e Credential Guard. Device Guard protegge da malware senza firma nota, codice non firmato e malware che ottiene l'accesso al kernel per acquisire informazioni riservate o danneggiare il sistema. Windows Defender Credential Guard usa la sicurezza basata sulla virtualizzazione per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi.
Per altre informazioni, vedere Gestire Windows Defender Credential Guard e scaricare lo strumento di preparazione hardware di Device Guard e Credential Guard.
Gli aggiornamenti di Windows e firmware sono essenziali nei cluster, nei server (incluse le macchine virtuali guest) e nei PC per garantire che sia il sistema operativo che l'hardware del sistema siano protetti dagli utenti malintenzionati. Puoi usare lo strumento Aggiornamenti di Windows Admin Center per applicare gli aggiornamenti ai singoli sistemi. Se il provider hardware include il supporto di Windows Admin Center per ottenere aggiornamenti di driver, firmware e soluzioni, puoi ottenere questi aggiornamenti contemporaneamente agli aggiornamenti di Windows; in caso contrario, ottenerli direttamente dal fornitore.
Per altre informazioni, vedere Aggiornare il cluster.
Per gestire gli aggiornamenti in più cluster e server alla volta, è consigliabile sottoscrivere il servizio facoltativo Gestione aggiornamenti di Azure, integrato con Windows Admin Center. Per altre informazioni, vedere Gestione aggiornamenti di Azure con Windows Admin Center.
Proteggere i dati
Questa sezione illustra come usare Windows Admin Center per proteggere i dati e i carichi di lavoro nel sistema operativo:
BitLocker per Spazi di archiviazione protegge i dati inattivi. È possibile usare BitLocker per crittografare il contenuto di Spazi di archiviazione volumi di dati nel sistema operativo. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a rimanere conformi agli standard governativi, regionali e specifici del settore, ad esempio FIPS 140-2 e HIPAA.
Per altre informazioni sull'uso di BitLocker in Windows Admin Center, vedere Abilitare la crittografia, la deduplicazione e la compressione dei volumi
La crittografia SMB per la rete Windows protegge i dati in transito. Server Message Block (SMB) è un protocollo di condivisione file di rete che consente alle applicazioni in un computer di leggere e scrivere nei file e di richiedere servizi dai programmi server in una rete di computer.
Per abilitare la crittografia SMB, vedere Miglioramenti della sicurezza SMB.
Windows Defender Antivirus protegge il sistema operativo nei client e nei server da virus, malware, spyware e altre minacce. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.
Proteggere le identità
Questa sezione illustra come usare Windows Admin Center per proteggere le identità con privilegi:
Il controllo di accesso può migliorare la sicurezza del panorama di gestione. Se usi un server di Windows Admin Center (rispetto all'esecuzione in un PC Windows 10), puoi controllare due livelli di accesso a Windows Admin Center stesso: utenti del gateway e amministratori del gateway. Le opzioni del provider di identità dell'amministratore del gateway includono:
- Gruppi di computer locali o Active Directory per applicare l'autenticazione tramite smart card.
- MICROSOFT Entra ID per applicare l'accesso condizionale e l'autenticazione a più fattori.
Per altre informazioni, vedere Opzioni di accesso utente con Windows Admin Center e Configurare Controllo di accesso utente e autorizzazioni.
Il traffico del browser verso Windows Admin Center usa HTTPS. Il traffico da Windows Admin Center ai server gestiti usa PowerShell standard e Strumentazione gestione Windows (WMI) su Gestione remota Windows (WinRM). Windows Admin Center supporta la soluzione password amministratore locale (LAPS), la delega vincolata basata su risorse, il controllo di accesso gateway tramite Active Directory (AD) o Microsoft Entra ID e il controllo degli accessi in base al ruolo per la gestione del gateway di Windows Admin Center.
Windows Admin Center supporta Microsoft Edge (Windows 10 versione 1709 o successiva), Google Chrome e Microsoft Edge Insider in Windows 10. È possibile installare Windows Admin Center in un PC Windows 10 o in un server Windows.
Se si installa Windows Admin Center in un server, viene eseguito come gateway, senza interfaccia utente nel server host. In questo scenario, gli amministratori possono accedere al server tramite una sessione HTTPS, protetta da un certificato di sicurezza autofirmato nell'host. Tuttavia, è preferibile usare un certificato SSL appropriato da un'autorità di certificazione attendibile per il processo di accesso perché i browser supportati considerano una connessione autofirmato come non sicura, anche se la connessione è a un indirizzo IP locale tramite una VPN attendibile.
Per altre informazioni sulle opzioni di installazione per l'organizzazione, vedere Qual è il tipo di installazione più adatto per l'utente?
CredSSP è un provider di autenticazione usato da Windows Admin Center in alcuni casi per passare le credenziali ai computer oltre il server specifico di destinazione per la gestione. Windows Admin Center richiede attualmente CredSSP per:
- Creare un nuovo cluster.
- Accedere allo strumento Aggiornamenti per usare le funzionalità clustering di failover o aggiornamento compatibile con cluster.
- Gestire l'archiviazione SMB disaggregata nelle macchine virtuali.
Per altre informazioni, vedere Windows Admin Center usa CredSSP?
Gli strumenti di sicurezza in Windows Admin Center che è possibile usare per gestire e proteggere le identità includono Active Directory, Certificati, Firewall, Utenti e gruppi locali e altro ancora.
Per altre informazioni, vedere Gestire i server con Windows Admin Center.
Parte 2: Usare Microsoft Defender per il cloud (MDC)
Microsoft Defender per il cloud è un sistema unificato di gestione della sicurezza dell'infrastruttura che rafforza il comportamento di sicurezza dei data center e fornisce protezione avanzata dalle minacce nei carichi di lavoro ibridi nel cloud e in locale. Defender per il cloud offre strumenti per valutare lo stato di sicurezza della rete, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Defender per il cloud esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure.
Defender per il cloud protegge le macchine virtuali sia per i server Windows che per i server Linux installando l'agente di Log Analytics in queste risorse. Azure correla gli eventi raccolti dagli agenti nelle raccomandazioni (attività di protezione avanzata) eseguite per proteggere i carichi di lavoro. Le attività di protezione avanzata basate sulle procedure consigliate per la sicurezza includono la gestione e l'applicazione dei criteri di sicurezza. È quindi possibile tenere traccia dei risultati e gestire la conformità e la governance nel tempo tramite il monitoraggio Defender per il cloud riducendo al contempo la superficie di attacco in tutte le risorse.
La gestione dell'accesso alle risorse e alle sottoscrizioni di Azure costituisce una parte importante della strategia di governance di Azure. Il controllo degli accessi in base al ruolo di Azure è il metodo principale per gestire l'accesso in Azure. Per altre informazioni, vedere Gestire l'accesso all'ambiente Azure con il controllo degli accessi in base al ruolo.
L'uso di Defender per il cloud tramite Windows Admin Center richiede una sottoscrizione di Azure. Per iniziare, vedere Proteggere le risorse di Windows Admin Center con Microsoft Defender per il cloud. Per iniziare, vedere Pianificare la distribuzione di Defender per server. Per le licenze di Defender per server (piani server), vedere Selezionare un piano di Defender per server.
Dopo la registrazione, accedere a MDC in Windows Admin Center: nella pagina Tutte le connessioni selezionare un server o una macchina virtuale, in Strumenti selezionare Microsoft Defender per il cloud e quindi selezionare Accedi ad Azure.
Per altre informazioni, vedere Che cos'è Microsoft Defender per il cloud?.
Parte 3: Aggiungere sicurezza avanzata
Le sezioni seguenti consigliano strumenti e tecnologie di sicurezza avanzati per rafforzare ulteriormente i server che eseguono il sistema operativo Azure Stack HCI nell'ambiente in uso.
Rafforzare l'ambiente
Le baseline di sicurezza Microsoft si basano sulle raccomandazioni sulla sicurezza di Microsoft ottenute tramite la collaborazione con organizzazioni commerciali e il governo degli Stati Uniti, ad esempio il Dipartimento della Difesa. Le baseline di sicurezza includono le impostazioni di sicurezza consigliate per Windows Firewall, Windows Defender e molte altre.
Le baseline di sicurezza vengono fornite come backup dell'oggetto Criteri di gruppo (GPO) che è possibile importare in Dominio di Active Directory Services (AD DS) e quindi distribuire nei server aggiunti a un dominio per rafforzare l'ambiente. È anche possibile usare gli strumenti script locali per configurare server autonomi (non aggiunti a un dominio) con baseline di sicurezza. Per iniziare a usare le baseline di sicurezza, scaricare Microsoft Security Compliance Toolkit 1.0.
Per altre informazioni, vedere Baseline di sicurezza Microsoft.
Proteggere i dati
La protezione avanzata dell'ambiente Hyper-V richiede la protezione avanzata di Windows Server in esecuzione in una macchina virtuale esattamente come si potrebbe rafforzare il sistema operativo in esecuzione in un server fisico. Poiché gli ambienti virtuali in genere hanno più macchine virtuali che condividono lo stesso host fisico, è fondamentale proteggere sia l'host fisico che le macchine virtuali in esecuzione. Un utente malintenzionato che compromette un host può influire su più macchine virtuali con un maggiore impatto su carichi di lavoro e servizi. In questa sezione vengono illustrati i metodi seguenti che è possibile usare per rafforzare la protezione avanzata di Windows Server in un ambiente Hyper-V:
Virtual Trusted Platform Module (vTPM) in Windows Server supporta TPM per le macchine virtuali, che consente di usare tecnologie di sicurezza avanzate, ad esempio BitLocker nelle macchine virtuali. È possibile abilitare il supporto TPM in qualsiasi macchina virtuale Hyper-V di seconda generazione usando la console di gestione di Hyper-V o il
Enable-VMTPMcmdlet di Windows PowerShell.Nota
L'abilitazione di vTPM influirà sulla mobilità delle macchine virtuali: saranno necessarie azioni manuali per consentire l'avvio della macchina virtuale in host diverso da quello abilitato in origine vTPM.
Per altre informazioni, vedere Enable-VMTPM.
Software Defined Networking (SDN) in Azure Stack HCI e Windows Server configura e gestisce centralmente i dispositivi di rete virtuale, ad esempio il servizio di bilanciamento del carico software, il firewall del data center, i gateway e i commutatori virtuali nell'infrastruttura. Gli elementi della rete virtuale, ad esempio il commutatore virtuale Hyper-V, la virtualizzazione della rete Hyper-V e il gateway RAS, sono progettati per essere elementi integrali dell'infrastruttura SDN.
Per altre informazioni, vedere Software Defined Networking (SDN).
Nota
Le macchine virtuali schermate protette dal servizio Sorveglianza host non sono supportate in Azure Stack HCI.
Proteggere le identità
La soluzione password amministratore locale (LAPS) è un meccanismo leggero per i sistemi aggiunti a un dominio di Active Directory che imposta periodicamente la password dell'account amministratore locale di ogni computer su un nuovo valore casuale e univoco. Le password vengono archiviate in un attributo riservato protetto nell'oggetto computer corrispondente in Active Directory, in cui solo gli utenti autorizzati specificamente possono recuperarli. LAPS usa account locali per la gestione di computer remoti in modo da offrire alcuni vantaggi rispetto all'uso degli account di dominio. Per altre informazioni, vedere Uso remoto degli account locali: LAPS cambia tutto.
Per iniziare a usare LAPS, scaricare la soluzione password amministratore locale (LAPS).
Microsoft Advanced Threat Analytics (ATA) è un prodotto locale che consente di rilevare gli utenti malintenzionati che tentano di compromettere le identità con privilegi. ATA analizza il traffico di rete per protocolli di autenticazione, autorizzazione e raccolta di informazioni, ad esempio Kerberos e DNS. ATA usa i dati per creare profili comportamentali di utenti e altre entità nella rete per rilevare anomalie e modelli di attacco noti.
Per altre informazioni, vedere Che cos'è Advanced Threat Analytics?
Windows Defender Remote Credential Guard protegge le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Fornisce anche l'accesso Single Sign-On (SSO) per le sessioni di Desktop remoto. Durante una sessione di Desktop remoto, se il dispositivo di destinazione è compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione.
Per altre informazioni, vedere Gestire Windows Defender Credential Guard.
Microsoft Defender per identità consente di proteggere le identità con privilegi monitorando il comportamento e le attività degli utenti, riducendo la superficie di attacco, proteggendo Active Directory Federal Service (AD FS) in un ambiente ibrido e identificando attività sospette e attacchi avanzati nella kill chain degli attacchi informatici.
Per altre informazioni, vedere Che cos'è Microsoft Defender per identità?.
Passaggi successivi
Per altre informazioni sulla sicurezza e sulla conformità alle normative, vedere: