Azure Stack Hub-beveiligingscontroles configureren
In dit artikel worden de beveiligingscontroles uitgelegd die in Azure Stack Hub kunnen worden gewijzigd en worden waar van toepassing de afwegingen onder de aandacht gebracht.
Azure Stack Hub-architectuur is gebaseerd op twee pijlers van beveiligingsprincipes: ga uit van een inbreuk en standaard gehard. Zie Azure Stack Hub-beveiligingspostuur voor infrastructuurvoor meer informatie over Azure Stack Hub-beveiliging. Hoewel de standaardbeveiligingspostuur van Azure Stack Hub gereed is voor productie, zijn er enkele implementatiescenario's waarvoor extra beveiliging is vereist.
TLS-versiebeleid
Het TLS-protocol (Transport Layer Security) is een veelgebruikt cryptografisch protocol om versleutelde communicatie via het netwerk tot stand te brengen. TLS is in de loop van de tijd ontwikkeld en er zijn meerdere versies uitgebracht. Azure Stack Hub-infrastructuur maakt uitsluitend gebruik van TLS 1.2 voor alle communicatie. Voor externe interfaces gebruikt Azure Stack Hub momenteel TLS 1.2. Voor achterwaartse compatibiliteit ondersteunt het echter ook onderhandelingen naar TLS 1.1. en 1.0. Wanneer een TLS-client aanvraagt om te communiceren via TLS 1.1 of TLS 1.0, wordt de aanvraag door Azure Stack Hub uitgevoerd door te onderhandelen over een lagere TLS-versie. Als de client TLS 1.2 aanvraagt, maakt Azure Stack Hub een TLS-verbinding met behulp van TLS 1.2.
Omdat TLS 1.0 en 1.1 incrementeel worden afgeschaft of verboden door organisaties en nalevingsstandaarden, kunt u nu het TLS-beleid configureren in Azure Stack Hub. U kunt alleen een TLS 1.2-beleid afdwingen waarbij een poging om een TLS-sessie met een versie lager dan 1.2 tot stand te brengen niet is toegestaan en wordt geweigerd.
Belangrijk
Microsoft raadt het gebruik van alleen TLS 1.2-beleid voor Azure Stack Hub-productieomgevingen aan.
TLS-beleid ophalen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid voor alle Azure Stack Hub-eindpunten weer te geven:
Get-TLSPolicy
Voorbeelduitvoer:
TLS_1.2
TLS-beleid instellen
Gebruik het bevoegde eindpunt (PEP) om het TLS-beleid in te stellen voor alle Azure Stack Hub-eindpunten:
Set-TLSPolicy -Version <String>
Parameters voor Set-TLSPolicy cmdlet:
| Parameter | Beschrijving | Soort | Vereist |
|---|---|---|---|
| versie | Toegestane versie(s) van TLS in Azure Stack Hub | Snaar | ja |
Gebruik een van de volgende waarden om de toegestane TLS-versies voor alle Azure Stack Hub-eindpunten te configureren:
| Versiewaarde | Beschrijving |
|---|---|
| TLS_All | Tls-eindpunten van Azure Stack Hub ondersteunen TLS 1.2, maar onderhandeling naar TLS 1.1 en TLS 1.0 is toegestaan. |
| TLS_1.2 | Azure Stack Hub TLS-eindpunten ondersteunen alleen TLS 1.2. |
Het bijwerken van het TLS-beleid duurt enkele minuten.
Voorbeeld van het afdwingen van TLS 1.2-configuratie
In dit voorbeeld wordt uw TLS-beleid zo ingesteld dat ALLEEN TLS 1.2 wordt afgedwongen.
Set-TLSPolicy -Version TLS_1.2
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Alle versies van TLS (1.2, 1.1 en 1.0) configuratievoorbeeld toestaan
In dit voorbeeld wordt uw TLS-beleid zo ingesteld dat alle versies van TLS (1.2, 1.1 en 1.0) zijn toegestaan.
Set-TLSPolicy -Version TLS_All
Voorbeelduitvoer:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Juridische kennisgeving voor PEP-sessies
Er zijn scenario's waarin het nuttig is om een juridische kennisgeving weer te geven tijdens het inloggen op een geprivilegieerd eindpunt (PEP) sessie. De Set-AzSLegalNotice en Get-AzSLegalNotice cmdlets worden gebruikt om het bijschrift en de hoofdtekst van dergelijke juridische kennisgevingen te beheren.
Zie de Set-AzSLegalNotice cmdletom het bijschrift en de tekst van de juridische kennisgeving in te stellen. Als het bijschrift en de tekst van de juridische kennisgeving eerder zijn ingesteld, kunt u deze controleren met behulp van de Get-AzSLegalNotice cmdlet.