Configurare i controlli di sicurezza dell'hub di Azure Stack
Questo articolo illustra i controlli di sicurezza che possono essere modificati nell'hub di Azure Stack ed evidenzia i compromessi, se applicabile.
L'architettura dell'hub di Azure Stack è basata su due pilastri di principio di sicurezza: presupporre la violazione e rafforzare per impostazione predefinita. Per altre informazioni sulla sicurezza dell'hub di Azure Stack, vedere comportamento di sicurezza dell'infrastruttura dell'hub di Azure Stack. Anche se il comportamento di sicurezza predefinito dell'hub di Azure Stack è pronto per la produzione, esistono alcuni scenari di distribuzione che richiedono una protezione avanzata aggiuntiva.
Criteri di versione TLS
Il protocollo Tls (Transport Layer Security) è un protocollo crittografico ampiamente adottato per stabilire la comunicazione crittografata in rete. TLS si è evoluto nel tempo e sono state rilasciate più versioni. L'infrastruttura dell'hub di Azure Stack usa esclusivamente TLS 1.2 per tutte le comunicazioni. Per le interfacce esterne, l'hub di Azure Stack usa attualmente TLS 1.2. Tuttavia, per la compatibilità con le versioni precedenti, supporta anche la negoziazione verso TLS 1.1. e 1,0. Quando un client TLS richiede di comunicare tramite TLS 1.1 o TLS 1.0, l'hub di Azure Stack rispetta la richiesta negoziando una versione TLS inferiore. Se il client richiede TLS 1.2, l'hub di Azure Stack stabilirà una connessione TLS usando TLS 1.2.
Poiché TLS 1.0 e 1.1 sono deprecati o vietati dalle organizzazioni e dagli standard di conformità, è ora possibile configurare i criteri TLS nell'hub di Azure Stack. È possibile applicare un criterio TLS 1.2 solo in cui qualsiasi tentativo di stabilire una sessione TLS con una versione precedente alla 1.2 non è consentito e viene rifiutato.
Importante
Microsoft consiglia di usare solo i criteri TLS 1.2 per gli ambienti di produzione dell'hub di Azure Stack.
Ottieni la policy TLS
Usare l'endpoint con privilegi (PEP) per visualizzare i criteri TLS per tutti gli endpoint di Azure Stack Hub.
Get-TLSPolicy
Output di esempio:
TLS_1.2
Impostare i criteri TLS
Usare l'endpoint con privilegi (PEP) per impostare i criteri TLS per tutti gli endpoint di Azure Stack Hub.
Set-TLSPolicy -Version <String>
Parametri del cmdlet Set-TLSPolicy:
| Parametro | Descrizione | Tipo | Obbligatorio |
|---|---|---|---|
| versione | Versioni consentite di TLS nell'hub di Azure Stack | Stringa | Sì |
Usare uno dei valori seguenti per configurare le versioni TLS consentite per tutti gli endpoint dell'hub di Azure Stack:
| Valore della versione | Descrizione |
|---|---|
| TLS_All | Gli endpoint TLS dell'hub di Azure Stack supportano TLS 1.2, ma la negoziazione con TLS 1.1 e TLS 1.0 è consentita. |
| TLS_1.2 | Gli endpoint TLS dell'hub di Azure Stack supportano solo TLS 1.2. |
Il completamento dell'aggiornamento dei criteri TLS richiede alcuni minuti.
Esempio di configurazione per applicare TLS 1.2
Questo esempio imposta i criteri TLS per imporre esclusivamente TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Output di esempio:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Esempio di configurazione per consentire tutte le versioni di TLS (1.2, 1.1 e 1.0)
Questo esempio imposta i criteri TLS per consentire tutte le versioni di TLS (1.2, 1.1 e 1.0).
Set-TLSPolicy -Version TLS_All
Output di esempio:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Avviso legale per le sessioni PEP
Esistono scenari in cui è utile visualizzare una nota legale all'accesso a una sessione di endpoint con privilegi (PEP). I cmdlet Set-AzSLegalNotice e Get-AzSLegalNotice vengono usati per gestire la didascalia e il corpo di tale testo di avviso legale.
Per impostare la didascalia e il testo delle note legali, vedere il cmdlet Set-AzSLegalNotice. Se la didascalia e il testo della nota legale sono stati impostati in precedenza, è possibile esaminarli usando il cmdlet Get-AzSLegalNotice.