Considerações de planejamento para uma configuração segura

  • 5 minutos

Considerando que a implantação de servidores habilitados para Arc abrangerá milhares de computadores em várias sedes que lidam com cargas de trabalho comercialmente críticas, a segurança é importante para a Wide World Importers. Ao planejar uma implantação segura, é importante considerar como você pode aplicar as funções de acesso, as políticas e a rede em conjunto para garantir a conformidade e a proteção dos recursos.

Servidores habilitados para Azure Arc não apenas se beneficiam da segurança interna com criptografia cuidadosa e compartilhamento de dados por design, mas também têm uma variedade de configurações de segurança adicionais. Para garantir uma implantação segura, talvez seja necessário preparar uma zona de destino efetiva para recursos habilitados para Arc configurando os controles de acesso apropriados, a infraestrutura de governança e as opções avançadas de rede. Nesta unidade, você aprenderá a:

  1. Configurar o RBAC (controle de acesso baseado em função): desenvolva um plano de acesso para controlar quem tem acesso para gerenciar servidores habilitados para Azure Arc e a capacidade de exibir os dados deles de outros serviços do Azure.

  2. Desenvolver um plano de governança do Azure Policy: determine como você implementará a governança de servidores e computadores híbridos no escopo da assinatura ou do grupo de recursos com o Azure Policy.

  3. Selecionar Opções Avançadas de Rede: avalie se o servidor proxy ou o Link Privado do Azure será necessário para a implantação do servidor habilitado para Arc

Identidades seguras e Controle de Acesso

Todos os servidores habilitados para Azure Arc têm uma identidade gerenciada como parte de um grupo de recursos dentro de uma assinatura do Azure. Essa identidade representa o servidor em execução no local ou em outro ambiente de nuvem. O acesso a esse recurso é controlado pelo RBAC (controle de acesso baseado em função) padrão do Azure. Duas funções específicas do servidor habilitado para Arc são a função de Integração do Azure Connected Machine e a função de Administrador de Recursos do Azure Connected Machine.

A função de Integração do Azure Connected Machine está disponível para a integração em escala e só é capaz de ler ou criar servidores habilitados para Azure Arc no Azure. Ele não pode excluir servidores já registrados ou gerenciar extensões. Como melhor prática, recomendamos atribuir apenas essa função à entidade de serviço do Microsoft Entra usada para integrar computadores em escala.

Os usuários com a função administrador de recursos do Azure Connected Machine podem ler, modificar, integrar novamente e excluir um computador. Essa função foi projetada para dar suporte ao gerenciamento de servidores habilitados para Azure Arc, mas não a outros recursos no grupo de recursos ou na assinatura.

Além disso, o Azure Connected Machine Agent usa a autenticação de chave pública para se comunicar com o serviço do Azure. Depois de integrar um servidor ao Arc do Azure, uma chave privada é salva no disco e usada sempre que o agente se comunica com o Azure. Se for roubado, a chave privada poderá ser usada em outro servidor para se comunicar com o serviço e agir como se fosse o servidor original. Isso inclui obter acesso à identidade atribuída ao sistema e a todos os recursos aos quais a identidade tem acesso. O arquivo de chave privada é protegido para permitir que apenas a conta do HIMDS o leia. Para evitar ataques offline, recomendamos enfaticamente o uso de criptografia de disco completo (por exemplo, BitLocker, DM-cript, etc.) no volume do sistema operacional do seu servidor.

Governança do Azure Policy

A Conformidade Regulatória no Azure Policy fornece definições de iniciativas criadas e gerenciadas pela Microsoft, conhecidas como internos, para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Algumas políticas de conformidade regulatória do Azure incluem:

  • PROTEÇÃO ISM do Governo Australiano
  • Azure Security Benchmark
  • Azure Security Benchmark v1
  • PBMM Federal do Canadá
  • CMMC nível 3
  • FedRAMP High
  • FedRAMP Moderado
  • HIPAA HITRUST 9.2
  • IRS 1075 de setembro de 2016
  • ISO 27001:2013
  • ISM restrito da Nova Zelândia
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • NHS do Reino Unido e OFICIAL do Reino Unido

Antes de implantar servidores habilitados para Azure Arc em um grupo de recursos, você pode sistematicamente definir e atribuir Políticas do Azure com as respectivas tarefas de correção no nível do grupo de recursos, da assinatura ou do grupo de gerenciamento, para garantir que os verificadores de integridade de auditoria e conformidade estejam em vigor.

Além do ponto de extremidade público, duas outras opções de rede seguras para os servidores habilitados para Azure Arc são o Servidor Proxy e o Link Privado do Azure.

Se seu computador estiver se comunicando por meio de um servidor proxy para se conectar à Internet, você poderá especificar o endereço IP do servidor proxy ou o nome e o número da porta que o computador usará para se comunicar com o servidor proxy. Você pode fazer essa especificação diretamente no portal do Azure ao gerar um script para a integração de vários computadores com o Arc.

Para cenários de alta segurança, o Link Privado do Azure permite vincular com segurança os serviços de PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Em muitos serviços, basta configurar um ponto de extremidade por recurso. Isso significa que você pode conectar seus servidores locais ou de várias nuvens ao Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. Ao utilizar o Link Privado com servidores habilitados para Arc, você pode:

  • Conectar-se de maneira particular ao Azure Arc sem abrir nenhum acesso de rede pública.
  • Garantir que os dados do computador ou do servidor habilitado para Azure Arc só sejam acessados por meio de redes privadas autorizadas.
  • Conectar sua rede local privada ao Azure Arc com segurança usando o ExpressRoute e o Link Privado.
  • Manter todo o tráfego dentro da rede de principal do Microsoft Azure.

Ilustração mostrando a rede segura para servidores habilitados para Azure Arc por meio do Link Privado do Azure.