Considerações de segurança do Azure Stack HCI
Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019
Importante
O Azure Stack HCI agora faz parte do Azure Local. A renomeação da documentação do produto está em andamento. No entanto, as versões mais antigas do Azure Stack HCI, por exemplo 22H2, continuarão a fazer referência ao Azure Stack HCI e não refletirão a alteração de nome. Mais informações.
Este tópico fornece considerações de segurança e recomendações relacionadas ao sistema operacional Azure Stack HCI:
- A Parte 1 aborda ferramentas e tecnologias básicas de segurança para fortalecer o sistema operacional e proteger dados e identidades para construir com eficiência uma base segura para sua organização.
- A Parte 2 aborda os recursos disponíveis através do Microsoft Defender for Cloud. Consulte Introdução ao Microsoft Defender for Cloud.
- A Parte 3 aborda considerações de segurança mais avançadas para fortalecer ainda mais a postura de segurança da sua organização nessas áreas.
Por que as considerações de segurança são importantes?
A segurança afeta todos na sua organização, desde o gerenciamento de nível superior até o operador de informações. A segurança inadequada é um risco real para as organizações, pois uma violação de segurança pode potencialmente interromper todos os negócios normais e paralisar sua organização. Quanto mais cedo você puder detetar um ataque potencial, mais rápido poderá mitigar qualquer comprometimento na segurança.
Depois de pesquisar os pontos fracos de um ambiente para explorá-los, um invasor normalmente pode, dentro de 24 a 48 horas após o comprometimento inicial, aumentar os privilégios para assumir o controle dos sistemas na rede. Boas medidas de segurança fortalecem os sistemas no ambiente para estender o tempo que um invasor leva para potencialmente assumir o controle de horas para semanas ou até meses, bloqueando os movimentos do invasor. A implementação das recomendações de segurança neste tópico posiciona sua organização para detetar e responder a esses ataques o mais rápido possível.
Parte 1: Construir uma base segura
As seções a seguir recomendam ferramentas e tecnologias de segurança para criar uma base segura para os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.
Endurecer o ambiente
Esta seção discute como proteger serviços e máquinas virtuais (VMs) em execução no sistema operacional:
O hardware certificado pelo Azure Stack HCI fornece configurações consistentes de Inicialização Segura, UEFI e TPM prontas para uso. A combinação de segurança baseada em virtualização e hardware certificado ajuda a proteger cargas de trabalho sensíveis à segurança. Você também pode conectar essa infraestrutura confiável ao Microsoft Defender for Cloud para ativar análises comportamentais e relatórios para levar em conta cargas de trabalho e ameaças em rápida mudança.
- A inicialização segura é um padrão de segurança desenvolvido pela indústria de PCs para ajudar a garantir que um dispositivo inicialize usando apenas software confiável pelo fabricante original do equipamento (OEM). Para saber mais, consulte Inicialização segura.
- A United Extensible Firmware Interface (UEFI) controla o processo de inicialização do servidor e, em seguida, passa o controle para o Windows ou outro sistema operacional. Para saber mais, consulte Requisitos de firmware UEFI.
- A tecnologia Trusted Platform Module (TPM) fornece funções relacionadas com segurança baseadas em hardware. Um chip TPM é um criptoprocessador seguro que gera, armazena e limita o uso de chaves criptográficas. Para saber mais, consulte Visão geral da tecnologia do Trusted Platform Module.
Para saber mais sobre os provedores de hardware certificados pelo Azure Stack HCI, consulte o site de soluções HCI do Azure Stack.
A ferramenta Segurança está disponível nativamente no Windows Admin Center para clusters HCI de servidor único e Azure Stack para facilitar o gerenciamento e o controle de segurança. A ferramenta centraliza algumas configurações de segurança importantes para servidores e clusters, incluindo a capacidade de visualizar o status Secured-core dos sistemas.
Para saber mais, consulte Servidor núcleo seguro.
Device Guard e Credential Guard. O Device Guard protege contra malware sem assinatura conhecida, código não assinado e malware que obtém acesso ao kernel para capturar informações confidenciais ou danificar o sistema. O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas software de sistema privilegiado possa acessá-los.
Para saber mais, consulte Gerenciar o Windows Defender Credential Guard e baixe a ferramenta de preparação de hardware do Device Guard e do Credential Guard.
As atualizações do Windows e do firmware são essenciais em clusters, servidores (incluindo VMs convidadas) e PCs para ajudar a garantir que o sistema operacional e o hardware do sistema estejam protegidos contra invasores. Você pode usar a ferramenta Atualizações do Windows Admin Center para aplicar atualizações a sistemas individuais. Se o seu fornecedor de hardware incluir suporte do Windows Admin Center para obter atualizações de controladores, firmware e soluções, pode obter estas atualizações ao mesmo tempo que as atualizações do Windows; caso contrário, obtenha-os diretamente do seu fornecedor.
Para saber mais, consulte Atualizar o cluster.
Para gerenciar atualizações em vários clusters e servidores ao mesmo tempo, considere assinar o serviço opcional Azure Update Management, que é integrado ao Windows Admin Center. Para obter mais informações, consulte Azure Update Management usando o Windows Admin Center.
Proteger os dados
Esta seção discute como usar o Windows Admin Center para proteger dados e cargas de trabalho no sistema operacional:
O BitLocker para Espaços de Armazenamento protege os dados em repouso. Você pode usar o BitLocker para criptografar o conteúdo dos volumes de dados dos Espaços de Armazenamento no sistema operacional. Usar o BitLocker para proteger dados pode ajudar as organizações a permanecerem em conformidade com os padrões governamentais, regionais e específicos do setor, como FIPS 140-2 e HIPAA.
Para saber mais sobre como usar o BitLocker no Windows Admin Center, consulte Habilitar criptografia de volume, desduplicação e compactação
A criptografia SMB para rede Windows protege os dados em trânsito. O SMB (Server Message Block) é um protocolo de compartilhamento de arquivos de rede que permite que aplicativos em um computador leiam e gravem arquivos e solicitem serviços de programas de servidor em uma rede de computadores.
Para habilitar a criptografia SMB, consulte Aprimoramentos de segurança SMB.
O Windows Defender Antivírus protege o sistema operacional em clientes e servidores contra vírus, malware, spyware e outras ameaças. Para saber mais, consulte Microsoft Defender Antivirus no Windows Server.
Proteger identidades
Esta seção discute como usar o Windows Admin Center para proteger identidades privilegiadas:
O controle de acesso pode melhorar a segurança do seu cenário de gerenciamento. Se estiver a utilizar um servidor do Windows Admin Center (em vez de estar a ser executado num PC com Windows 10), pode controlar dois níveis de acesso ao próprio Windows Admin Center: utilizadores de gateway e administradores de gateway. As opções do provedor de identidade do administrador do gateway incluem:
- Ative Directory ou grupos de máquinas locais para impor a autenticação de cartão inteligente.
- ID do Microsoft Entra para impor acesso condicional e autenticação multifator.
Para saber mais, consulte Opções de acesso de usuário com o Windows Admin Center e Configurar controle de acesso de usuário e permissões.
O tráfego do navegador para o Windows Admin Center usa HTTPS. O tráfego do Windows Admin Center para servidores gerenciados usa o PowerShell padrão e o WMI (Instrumentação de Gerenciamento do Windows) no Gerenciamento Remoto do Windows (WinRM). O Windows Admin Center oferece suporte à Solução de Senha de Administrador Local (LAPS), delegação restrita baseada em recursos, controle de acesso de gateway usando Ative Directory (AD) ou ID do Microsoft Entra e controle de acesso baseado em função (RBAC) para gerenciar o gateway do Windows Admin Center.
O Windows Admin Center suporta Microsoft Edge (Windows 10, versão 1709 ou posterior), Google Chrome e Microsoft Edge Insider no Windows 10. Pode instalar o Windows Admin Center num PC com Windows 10 ou num servidor Windows.
Se você instalar o Windows Admin Center em um servidor, ele será executado como um gateway, sem interface do usuário no servidor host. Nesse cenário, os administradores podem fazer logon no servidor por meio de uma sessão HTTPS, protegida por um certificado de segurança autoassinado no host. No entanto, é melhor usar um certificado SSL apropriado de uma autoridade de certificação confiável para o processo de logon porque os navegadores suportados tratam uma conexão autoassinada como não segura, mesmo que a conexão seja com um endereço IP local por meio de uma VPN confiável.
Para saber mais sobre as opções de instalação para sua organização, consulte Que tipo de instalação é ideal para você?.
CredSSP é um provedor de autenticação que o Windows Admin Center usa em alguns casos para passar credenciais para máquinas além do servidor específico que você está visando gerenciar. Atualmente, o Windows Admin Center requer o CredSSP para:
- Crie um novo cluster.
- Acesse a ferramenta Atualizações para usar os recursos de clustering de failover ou Atualização com suporte a cluster.
- Gerencie o armazenamento SMB desagregado em VMs.
Para saber mais, consulte O Windows Admin Center usa o CredSSP?
As ferramentas de segurança no Windows Admin Center que você pode usar para gerenciar e proteger identidades incluem Ative Directory, Certificados, Firewall, Usuários e Grupos Locais e muito mais.
Para saber mais, consulte Gerenciar servidores com o Windows Admin Center.
Parte 2: Usar o Microsoft Defender for Cloud (MDC)
O Microsoft Defender for Cloud é um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem e no local. O Defender for Cloud fornece ferramentas para avaliar o status de segurança da sua rede, proteger cargas de trabalho, aumentar alertas de segurança e seguir recomendações específicas para remediar ataques e lidar com ameaças futuras. O Defender for Cloud executa todos esses serviços em alta velocidade na nuvem, sem sobrecarga de implantação por meio de provisionamento automático e proteção com os serviços do Azure.
O Defender for Cloud protege VMs para servidores Windows e Linux instalando o agente do Log Analytics nesses recursos. O Azure correlaciona eventos que os agentes coletam em recomendações (tarefas de proteção) que você executa para tornar suas cargas de trabalho seguras. As tarefas de proteção com base nas práticas recomendadas de segurança incluem o gerenciamento e a aplicação de políticas de segurança. Em seguida, você pode acompanhar os resultados e gerenciar a conformidade e a governança ao longo do tempo por meio do monitoramento do Defender for Cloud, reduzindo a superfície de ataque em todos os seus recursos.
Gerir quem pode aceder aos seus recursos e subscrições do Azure é uma parte importante da sua estratégia de governação do Azure. O RBAC do Azure é o principal método de gerenciamento de acesso no Azure. Para saber mais, consulte Gerenciar o acesso ao seu ambiente do Azure com controle de acesso baseado em função.
Trabalhar com o Defender for Cloud através do Windows Admin Center requer uma subscrição do Azure. Para começar, consulte Proteger os recursos do Windows Admin Center com o Microsoft Defender for Cloud. Para começar, consulte Planejar a implantação do Defender for Server. Para obter o licenciamento do Defender for Servers (planos de servidor), consulte Select a Defender for Servers Plan.
Depois de se registrar, acesse o MDC no Windows Admin Center: na página Todas as Conexões, selecione um servidor ou VM, em Ferramentas, selecione Microsoft Defender for Cloud e selecione Entrar no Azure.
Para obter mais informações, consulte O que é o Microsoft Defender for Cloud?.
Parte 3: Adicionar segurança avançada
As seções a seguir recomendam ferramentas e tecnologias de segurança avançadas para fortalecer ainda mais os servidores que executam o sistema operacional Azure Stack HCI em seu ambiente.
Endurecer o ambiente
As linhas de base de segurança da Microsoft baseiam-se em recomendações de segurança da Microsoft obtidas através de parcerias com organizações comerciais e o governo dos EUA, como o Departamento de Defesa. As linhas de base de segurança incluem configurações de segurança recomendadas para o Firewall do Windows, Windows Defender e muitos outros.
As linhas de base de segurança são fornecidas como backups de GPO (Objeto de Diretiva de Grupo) que você pode importar para os Serviços de Domínio Ative Directory (AD DS) e, em seguida, implantar em servidores ingressados no domínio para proteger o ambiente. Você também pode usar ferramentas de Script Local para configurar servidores autônomos (não associados ao domínio) com linhas de base de segurança. Para começar a usar as linhas de base de segurança, baixe o Microsoft Security Compliance Toolkit 1.0.
Para saber mais, consulte Linhas de base de segurança da Microsoft.
Proteger os dados
Proteger o ambiente Hyper-V requer proteger o Windows Server em execução em uma VM, assim como você protegeria o sistema operacional em execução em um servidor físico. Como os ambientes virtuais normalmente têm várias VMs compartilhando o mesmo host físico, é imperativo proteger o host físico e as VMs em execução nele. Um invasor que compromete um host pode afetar várias VMs com um impacto maior nas cargas de trabalho e serviços. Esta seção discute os seguintes métodos que você pode usar para proteger o Windows Server em um ambiente Hyper-V:
O Virtual Trusted Platform Module (vTPM) no Windows Server oferece suporte ao TPM para VMs, que permite usar tecnologias avançadas de segurança, como o BitLocker em VMs. Você pode habilitar o suporte ao TPM em qualquer VM Hyper-V de 2ª geração usando o Gerenciador do Hyper-V ou o cmdlet do
Enable-VMTPMWindows PowerShell.Nota
Habilitar o vTPM afetará a mobilidade da VM: ações manuais serão necessárias para permitir que a VM seja iniciada em um Host diferente daquele que você habilitou o vTPM originalmente.
Para saber mais, consulte Enable-VMTPM.
A Rede Definida por Software (SDN) no Azure Stack HCI e no Windows Server configura e gerencia centralmente dispositivos de rede virtual, como o balanceador de carga de software, firewall do data center, gateways e comutadores virtuais em sua infraestrutura. Os elementos de rede virtual, como o Comutador Virtual Hyper-V, a Virtualização de Rede Hyper-V e o Gateway RAS, foram projetados para serem elementos integrantes da sua infraestrutura SDN.
Para saber mais, consulte Software Defined Networking (SDN).
Nota
Não há suporte para VMs blindadas protegidas pelo Serviço Guardião do Host no Azure Stack HCI.
Proteger identidades
A Solução de Senha de Administrador Local (LAPS) é um mecanismo leve para sistemas ingressados no domínio do Ative Directory que define periodicamente a senha da conta de administrador local de cada computador para um novo valor aleatório e exclusivo. As senhas são armazenadas em um atributo confidencial protegido no objeto de computador correspondente no Ative Directory, onde apenas usuários especificamente autorizados podem recuperá-las. O LAPS usa contas locais para gerenciamento remoto de computadores de uma forma que oferece algumas vantagens em relação ao uso de contas de domínio. Para saber mais, consulte Uso remoto de contas locais: o LAPS altera tudo.
Para começar a usar o LAPS, baixe a Solução de Senha de Administrador Local (LAPS).
O Microsoft Advanced Threat Analytics (ATA) é um produto local que você pode usar para ajudar a detetar invasores que tentam comprometer identidades privilegiadas. O ATA analisa o tráfego de rede para protocolos de autenticação, autorização e coleta de informações, como Kerberos e DNS. O ATA usa os dados para construir perfis comportamentais de usuários e outras entidades na rede para detetar anomalias e padrões de ataque conhecidos.
Para saber mais, consulte O que é Advanced Threat Analytics?
O Windows Defender Remote Credential Guard protege as credenciais através de uma ligação ao Ambiente de Trabalho Remoto redirecionando os pedidos Kerberos de volta para o dispositivo que está a solicitar a ligação. Ele também fornece logon único (SSO) para sessões de Área de Trabalho Remota. Durante uma sessão de Área de Trabalho Remota, se o dispositivo de destino for comprometido, suas credenciais não serão expostas porque as credenciais derivadas e as credenciais nunca serão passadas pela rede para o dispositivo de destino.
Para saber mais, consulte Gerenciar o Windows Defender Credential Guard.
O Microsoft Defender for Identities ajuda a proteger identidades privilegiadas monitorando o comportamento e as atividades do usuário, reduzindo a superfície de ataque, protegendo o Serviço Federal do Ative Directory (AD FS) em um ambiente híbrido e identificando atividades suspeitas e ataques avançados em toda a cadeia de morte de ataques cibernéticos.
Para saber mais, consulte O que é o Microsoft Defender for Identity?.
Próximos passos
Para obter mais informações sobre segurança e conformidade regulamentar, consulte: