Beveiligingsfuncties voor Azure Local, versie 23H2
Van toepassing op: Azure Local 2311.2 en hoger
Belangrijk
Azure Stack HCI maakt nu deel uit van Azure Local. Meer informatie.
Azure Local is een beveiligd standaardproduct waarvoor vanaf het begin meer dan 300 beveiligingsinstellingen zijn ingeschakeld. Standaardbeveiligingsinstellingen bieden een consistente beveiligingsbasislijn om ervoor te zorgen dat apparaten in een bekende goede staat beginnen.
Dit artikel bevat een kort conceptueel overzicht van de verschillende beveiligingsfuncties die zijn gekoppeld aan uw Lokale Azure-exemplaar. Functies omvatten standaardinstellingen voor beveiliging, toepassingsbeheer, volumeversleuteling via BitLocker, geheimrotatie, lokale ingebouwde gebruikersaccounts, Microsoft Defender voor Cloud en meer.
Standaardinstellingen voor beveiliging
Uw Azure Local heeft standaard beveiligingsinstellingen ingeschakeld die een consistente beveiligingsbasislijn, een basislijnbeheersysteem en een driftbesturingsmechanisme bieden.
U kunt de beveiligingsbasislijn en de instellingen voor beveiligde kernen bewaken tijdens zowel implementatie als runtime. U kunt ook driftbeheer uitschakelen tijdens de implementatie wanneer u beveiligingsinstellingen configureert.
Wanneer driftbesturing is toegepast, worden beveiligingsinstellingen elke 90 minuten vernieuwd. Dit vernieuwingsinterval zorgt ervoor dat wijzigingen uit de gewenste status worden hersteld. Continue bewaking en automatisch herstel maken een consistente en betrouwbare beveiligingspostuur mogelijk gedurende de levenscyclus van het apparaat.
Veilige basislijn in Azure Local:
- Verbetert de beveiligingspostuur door verouderde protocollen en coderingen uit te schakelen.
- Vermindert OPEX met een ingebouwd driftbeveiligingsmechanisme dat consistente bewaking op schaal mogelijk maakt via de Azure Arc Hybrid Edge-basislijn.
- Hiermee kunt u voldoen aan de vereisten van Center for Internet Security (CIS) benchmark en DISA (Defense Information System Agency) Security Technical Implementation Guide (STIG) voor het besturingssysteem en de aanbevolen beveiligingsbasislijn.
Zie De standaardinstellingen voor beveiliging beheren in Azure Local voor meer informatie.
Toepassingsbeheer
Application Control is een op software gebaseerde beveiligingslaag die het kwetsbaarheid voor aanvallen vermindert door een expliciete lijst met software af te dwingen die mag worden uitgevoerd. Toepassingsbeheer is standaard ingeschakeld en beperkt de toepassingen en code die u op het kernplatform kunt uitvoeren. Zie Toepassingsbeheer beheren voor Azure Local versie 23H2voor meer informatie.
Toepassingsbeheer biedt twee hoofdbewerkingsmodi, afdwingingsmodus en controlemodus. In de afdwingingsmodus wordt niet-vertrouwde code geblokkeerd en worden gebeurtenissen vastgelegd. In de controlemodus mag niet-vertrouwde code worden uitgevoerd en worden gebeurtenissen vastgelegd. Zie Lijst met gebeurtenissenvoor meer informatie over gebeurtenissen die betrekking hebben op Toepassingsbeheer.
Belangrijk
Voer toepassingsbeheer altijd uit in de afdwingingsmodus om het beveiligingsrisico te minimaliseren.
Informatie over het beleidsontwerp voor toepassingsbeheer
Microsoft biedt basisbeleid op Azure Local voor zowel de afdwingingsmodus als de controlemodus. Daarnaast bevatten beleidsregels een vooraf gedefinieerde set platformgedragsregels en blokregels die moeten worden toegepast op de toepassingsbeheerlaag.
Samenstelling van basisbeleid
Lokaal basisbeleid van Azure omvat de volgende secties:
- Metagegevens: De metagegevens definiëren unieke eigenschappen van het beleid, zoals de beleidsnaam, versie, GUID en meer.
- Optieregels: Deze regels definiëren het gedrag van het beleid. Aanvullende beleidsregels kunnen alleen verschillen van een kleine set van de optieregels die zijn gekoppeld aan hun basisbeleid.
- Regels voor toestaan en weigeren: deze regels definiëren grenzen voor codevertrouwen. Regels kunnen worden gebaseerd op uitgevers, ondertekenaars, bestands-hash en meer.
Optieregels
In deze sectie worden de optieregels besproken die door het basisbeleid zijn ingeschakeld.
Voor het afgedwongen beleid zijn de volgende optieregels standaard ingeschakeld:
| Optieregel | Weergegeven als |
|---|---|
| Ingeschakeld | UMCI |
| Vereist | WHQL |
| Ingeschakeld | Aanvullende beleidsregels toestaan |
| Ingeschakeld | Ingetrokken verlopen als niet-ondertekend |
| Uitgeschakeld | Flight Signing |
| Ingeschakeld | Beleid voor niet-ondertekende systeemintegriteit (standaard) |
| Ingeschakeld | Dynamische codebeveiliging |
| Ingeschakeld | Menu Geavanceerde opstartopties |
| Uitgeschakeld | Script afdwingen |
| Ingeschakeld | Beheerd installatieprogramma |
| Ingeschakeld | Updatebeleid niet opnieuw opstarten |
Met controlebeleid worden de volgende optieregels toegevoegd aan het basisbeleid:
| Optieregel | Weergegeven als |
|---|---|
| Ingeschakeld | Controlemodus (standaard) |
Zie de volledige lijst met optieregels voor meer informatie.
Regels voor toestaan en weigeren
Regels in het basisbeleid toestaan dat alle Microsoft-onderdelen die worden geleverd door het besturingssysteem en de cloudimplementaties worden vertrouwd. Regels voor weigeren blokkeren toepassingen in de gebruikersmodus en kernelonderdelen die als onveilig worden beschouwd voor de beveiligingspostuur van de oplossing.
Notitie
De regels voor toestaan en weigeren in het basisbeleid worden regelmatig bijgewerkt om de productfunctionaliteit te verbeteren en de beveiliging van uw oplossing te maximaliseren.
Zie voor meer informatie over regels voor weigeren:
Bloklijst voor stuurprogramma's.
Blokkeringslijst voor gebruikersmodus.
BitLocker-versleuteling
Versleuteling van data-at-rest is ingeschakeld op gegevensvolumes die tijdens de implementatie zijn gemaakt. Deze gegevensvolumes omvatten zowel infrastructuurvolumes als workloadvolumes. Wanneer u uw systeem implementeert, kunt u beveiligingsinstellingen wijzigen.
Data-at-rest-versleuteling is standaard ingeschakeld tijdens de implementatie. U wordt aangeraden de standaardinstelling te accepteren.
Zodra Azure Local is geïmplementeerd, kunt u BitLocker-herstelsleutels ophalen. U moet BitLocker-herstelsleutels opslaan op een veilige locatie buiten het systeem.
Zie voor meer informatie over BitLocker-versleuteling:
- BitLocker gebruiken met gedeelde clustervolumes (CSV).
- BitLocker-versleuteling beheren in Azure Local.
Lokale ingebouwde gebruikersaccounts
In deze release zijn de volgende lokale ingebouwde gebruikers gekoppeld RID 500 en RID 501 beschikbaar op uw lokale Azure-systeem:
| Naam in eerste installatiekopieën van het besturingssysteem | Naam na implementatie | Standaard ingeschakeld | Beschrijving |
|---|---|---|---|
| Beheerder | ASBuiltInAdmin | Waar | Ingebouwd account voor het beheren van de computer/het domein. |
| Gast | ASBuiltInGuest | Onwaar | Ingebouwd account voor gasttoegang tot de computer/het domein, beveiligd door het driftbesturingsmechanisme van de beveiligingsbasislijn. |
Belangrijk
U wordt aangeraden uw eigen lokale beheerdersaccount te maken en het bekende RID 500 gebruikersaccount uit te schakelen.
Geheim maken en rouleren
Voor de orchestrator in Azure Local zijn meerdere onderdelen vereist voor het onderhouden van beveiligde communicatie met andere infrastructuurbronnen en -services. Aan alle services die op het systeem worden uitgevoerd, zijn verificatie- en versleutelingscertificaten gekoppeld.
Om beveiliging te garanderen, implementeren we interne mogelijkheden voor het maken en rouleren van geheimen. Wanneer u uw systeemknooppunten bekijkt, ziet u verschillende certificaten die zijn gemaakt onder het pad LocalMachine/Persoonlijk certificaatarchief (Cert:\LocalMachine\My).
In deze release zijn de volgende mogelijkheden ingeschakeld:
- De mogelijkheid om certificaten te maken tijdens de implementatie en na systeemschaalbewerkingen.
- Automatische automatische rotatie voordat certificaten verlopen en een optie om certificaten tijdens de levensduur van het systeem te roteren.
- De mogelijkheid om certificaten te controleren en te waarschuwen of certificaten nog steeds geldig zijn.
Notitie
Het aanmaken en roteren van geheime gegevens duurt ongeveer 10 minuten, afhankelijk van de grootte van het systeem.
Zie Geheimenrotatie beheren voor meer informatie.
Syslog doorsturen van beveiligings gebeurtenissen
Voor klanten en organisaties die hun eigen SIEM-systeem (Security Information and Event Management) vereisen, bevat Azure Local versie 23H2 een geïntegreerd mechanisme waarmee u beveiligingsgebeurtenissen kunt doorsturen naar een SIEM.
Azure Local heeft een geïntegreerde syslog-doorstuurserver die, zodra deze is geconfigureerd, syslog-berichten genereert die zijn gedefinieerd in RFC3164, met de nettolading in Common Event Format (CEF).
In het volgende diagram ziet u de integratie van Azure Local met een SIEM. Alle audits, beveiligingslogboeken en waarschuwingen worden verzameld op elke host en weergegeven via syslog met de CEF-nettolading.
Syslog-doorstuuragents worden geïmplementeerd op elke Lokale Azure-host om syslog-berichten door te sturen naar de door de klant geconfigureerde Syslog-server. Syslog-doorstuuragents werken onafhankelijk van elkaar, maar kunnen samen worden beheerd op een van de hosts.
De syslog-doorstuurserver in Azure Local ondersteunt verschillende configuraties op basis van of syslog forwarding is met TCP of UDP, of de versleuteling al dan niet is ingeschakeld en of er unidirectionele of bidirectionele verificatie is.
Zie Syslog-doorsturen beheren voor meer informatie.
Microsoft Defender Antivirus
Azure Local wordt geleverd met Microsoft Defender Antivirus ingeschakeld en standaard geconfigureerd. We raden u ten zeerste aan Microsoft Defender Antivirus te gebruiken met uw lokale Azure-exemplaren. Microsoft Defender Antivirus biedt realtime-beveiliging, cloudbeveiliging en automatische voorbeeldverzending.
Hoewel we u aanraden Om Microsoft Defender Antivirus voor Azure Local te gebruiken, raden we u aan om, als u liever antivirus- en beveiligingssoftware van derden gebruikt, een softwareleverancier (ISV) te selecteren die is gevalideerd voor Azure Local om mogelijke functionaliteitsproblemen te minimaliseren.
Zie Microsoft Defender Antivirus-compatibiliteit met andere beveiligingsproductenvoor meer informatie.
Notitie
Als u de Microsoft Defender Antivirus-functie verwijdert, laat dan de instellingen die gekoppeld zijn aan de functie uit de beveiligingsbasislijn as-is. U hoeft deze instellingen niet te verwijderen.
Microsoft Defender voor Cloud (preview)
Microsoft Defender voor Cloud is een oplossing voor beveiligingspostuurbeheer met geavanceerde mogelijkheden voor beveiliging tegen bedreigingen. Het biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Het voert al deze services met hoge snelheid uit in de cloud via automatische inrichting en beveiliging met Azure-services, zonder overhead voor implementatie.
Met het basisplan voor Defender voor Cloud krijgt u aanbevelingen voor het verbeteren van het beveiligingspostuur van uw Lokale Azure-systeem zonder extra kosten. Met het betaalde Defender for Servers-abonnement krijgt u verbeterde beveiligingsfuncties, waaronder beveiligingswaarschuwingen voor afzonderlijke machines en Arc-VM's.
Zie Systeembeveiliging beheren met Microsoft Defender voor Cloud (preview)voor meer informatie.