Partilhar via


Recursos de segurança para o Azure Local, versão 23H2

Aplica-se a: Azure Local, versão 23H2

Importante

O Azure Stack HCI agora faz parte do Azure Local. A renomeação da documentação do produto está em andamento. As alterações textuais estão completas e as atualizações visuais serão finalizadas em breve. Saiba mais.

O Azure Local é um produto seguro por padrão que tem mais de 300 configurações de segurança habilitadas desde o início. As configurações de segurança padrão fornecem uma linha de base de segurança consistente para garantir que os dispositivos comecem em um bom estado.

Este artigo fornece uma breve visão geral conceitual dos vários recursos de segurança associados à sua instância Local do Azure. Os recursos incluem padrões de segurança, controle de aplicativos, criptografia de volume via BitLocker, rotação secreta, contas de usuário internas locais, Microsoft Defender for Cloud e muito mais.

Predefinições de segurança

Seu Azure Local tem configurações de segurança habilitadas por padrão que fornecem uma linha de base de segurança consistente, um sistema de gerenciamento de linha de base e um mecanismo de controle de desvio.

Você pode monitorar a linha de base de segurança e as configurações de núcleo seguro durante a implantação e o tempo de execução. Você também pode desabilitar o controle de desvio durante a implantação ao definir as configurações de segurança.

Com o controle de desvio aplicado, as configurações de segurança são atualizadas a cada 90 minutos. Esse intervalo de atualização garante a correção de quaisquer alterações do estado desejado. O monitoramento contínuo e a correção automática permitem uma postura de segurança consistente e confiável durante todo o ciclo de vida do dispositivo.

Linha de base segura no Azure Local:

  • Melhora a postura de segurança desativando protocolos e cifras legados.
  • Reduz o OPEX com um mecanismo de proteção contra desvios integrado que permite o monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
  • Permite que você atenda aos requisitos de benchmark do Center for Internet Security (CIS) e do Guia de Implementação Técnica de Segurança (STIG) da Defense Information System Agency (DISA) para o sistema operacional e a linha de base de segurança recomendada.

Para obter mais informações, consulte Gerenciar padrões de segurança no Azure Local.

Controlo de Aplicação

O Application Control é uma camada de segurança baseada em software que reduz a superfície de ataque impondo uma lista explícita de software que pode ser executado. O Controle de Aplicativo é habilitado por padrão e limita os aplicativos e o código que você pode executar na plataforma principal. Para obter mais informações, consulte Manage Application Control for Azure Local, versão 23H2.

O Controle de Aplicativo fornece dois modos de operação principais, o modo de Imposição e o modo de Auditoria. No modo de imposição, o código não confiável é bloqueado e os eventos são registrados. No modo de auditoria, o código não confiável pode ser executado e os eventos são registrados. Para saber mais sobre eventos relacionados ao Controle de Aplicativos, consulte Lista de eventos.

Importante

Para minimizar o risco de segurança, execute sempre o Controle de Aplicativo no modo de Imposição.

Sobre o design da política de controle de aplicativos

A Microsoft fornece políticas assinadas de base no Azure Local para o modo de Imposição e o modo de Auditoria. Além disso, as políticas incluem um conjunto predefinido de regras de comportamento da plataforma e regras de bloqueio a serem aplicadas à camada de controle do aplicativo.

Composição das políticas de base

As políticas de base do Azure Local incluem as seguintes seções:

  • Metadados: os metadados definem propriedades exclusivas da política, como o nome da política, versão, GUID e muito mais.
  • Regras de opção: essas regras definem o comportamento da política. As políticas suplementares só podem diferir de um pequeno conjunto de regras de opção vinculadas à sua política base.
  • Regras de permissão e negação: essas regras definem limites de confiança de código. As regras podem ser baseadas em Editores, Signatários, Hash de Arquivo e muito mais.

Regras de opção

Esta seção discutiu as regras de opção habilitadas pela política base.

Para a política imposta, as seguintes regras de opção são habilitadas por padrão:

Regra de opção Value
Ativado(a) UMCI
Necessário WHQL
Ativado(a) Permitir políticas suplementares
Ativado(a) Revogado expirado como não assinado
Desativado Assinatura de voo
Ativado(a) Política de integridade do sistema não assinada (padrão)
Ativado(a) Segurança de código dinâmico
Ativado(a) Menu Opções Avançadas de Arranque
Desativado Aplicação de scripts
Ativado(a) Instalador gerenciado
Ativado(a) Política de Atualização Sem Reinicialização

A política de auditoria adiciona as seguintes regras de opção à política base:

Regra de opção Value
Ativado(a) Modo de auditoria (padrão)

Para obter mais informações, consulte a lista completa de regras de opção.

Permitir e Negar regras

Permitir que as regras na política base permitam que todos os componentes da Microsoft fornecidos pelo sistema operacional e as implantações na nuvem sejam confiáveis. As regras de negação bloqueiam aplicativos de modo de usuário e componentes do kernel considerados inseguros para a postura de segurança da solução.

Nota

As regras Permitir e Negar na política base são atualizadas regularmente para melhorar a funcionalidade do produto e maximizar a proteção da sua solução.

Para saber mais sobre Negar regras, consulte:

  • Lista de bloqueio de drivers.

  • Lista de bloqueio do Modo de Utilizador.

Encriptação BitLocker

A criptografia de dados em repouso é habilitada em volumes de dados criados durante a implantação. Esses volumes de dados incluem volumes de infraestrutura e volumes de carga de trabalho. Ao implantar seu sistema, você pode modificar as configurações de segurança.

Por padrão, a criptografia de dados em repouso é habilitada durante a implantação. Recomendamos que você aceite a configuração padrão.

Depois que o Azure Local for implantado com êxito, você poderá recuperar chaves de recuperação do BitLocker. Você deve armazenar as chaves de recuperação do BitLocker em um local seguro fora do sistema.

Para obter mais informações sobre a criptografia BitLocker, consulte:

Contas de utilizador incorporadas locais

Nesta versão, os seguintes usuários internos locais associados e RID 500RID 501 disponíveis em seu sistema Azure Local:

Nome na imagem inicial do SO Nome após a implantação Ativado por predefinição Description
Administrador ASBuiltInAdmin True Conta interna para administrar o computador/domínio.
Convidado ASBuiltInGuest False Conta integrada para acesso de convidado ao computador/domínio, protegida pelo mecanismo de controle de desvio da linha de base de segurança.

Importante

Recomendamos que crie a sua própria conta de administrador local e que desative a conta de utilizador conhecida RID 500 .

Criação e rotação secretas

O orquestrador no Azure Local requer vários componentes para manter comunicações seguras com outros recursos e serviços de infraestrutura. Todos os serviços em execução no sistema têm certificados de autenticação e criptografia associados a eles.

Para garantir a segurança, implementamos capacidades internas de criação e rotação de segredos. Ao revisar os nós do sistema, você verá vários certificados criados no caminho LocalMachine/Personal certificate store (Cert:\LocalMachine\My).

Nesta versão, os seguintes recursos estão habilitados:

  • A capacidade de criar certificados durante a implantação e após operações de dimensionamento do sistema.
  • Rotação automática automatizada antes que os certificados expirem, e uma opção para girar certificados durante a vida útil do sistema.
  • A capacidade de monitorar e alertar se os certificados ainda são válidos.

Nota

As operações secretas de criação e rotação levam cerca de dez minutos para serem concluídas, dependendo do tamanho do sistema.

Para obter mais informações, consulte Gerenciar rotação de segredos.

Encaminhamento syslog de eventos de segurança

Para clientes e organizações que necessitam do seu próprio sistema de gestão de eventos e informações de segurança (SIEM) local, o Azure Local, versão 23H2 inclui um mecanismo integrado que lhe permite reencaminhar eventos relacionados com segurança para um SIEM.

O Azure Local tem um encaminhador syslog integrado que, uma vez configurado, gera mensagens syslog definidas no RFC3164, com a carga no CEF (Common Event Format).

O diagrama a seguir ilustra a integração do Azure Local com um SIEM. Todas as auditorias, logs de segurança e alertas são coletados em cada host e expostos via syslog com a carga útil do CEF.

O diagrama a seguir descreve a integração do Azure Local com um sistema de gerenciamento de eventos e informações de segurança (SIEM) externo.

Os agentes de encaminhamento Syslog são implantados em cada host Local do Azure para encaminhar mensagens syslog para o servidor syslog configurado pelo cliente. Os agentes de encaminhamento Syslog funcionam independentemente uns dos outros, mas podem ser gerenciados juntos em qualquer um dos hosts.

O encaminhador syslog no Azure Local dá suporte a várias configurações com base no encaminhamento syslog com TCP ou UDP, se a criptografia está habilitada ou não e se há autenticação unidirecional ou bidirecional.

Para obter mais informações, consulte Gerenciar o encaminhamento syslog.

Microsoft Defender for Cloud (pré-visualização)

O Microsoft Defender for Cloud é uma solução de gerenciamento de postura de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar o status de segurança de sua infraestrutura, proteger cargas de trabalho, aumentar alertas de segurança e seguir recomendações específicas para remediar ataques e lidar com ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem por meio de provisionamento automático e proteção com serviços do Azure, sem sobrecarga de implantação.

Com o plano básico do Defender for Cloud, obtém recomendações sobre como melhorar a postura de segurança do seu sistema Azure Local sem custos adicionais. Com o plano pago Defender for Servers, você obtém recursos de segurança aprimorados, incluindo alertas de segurança para máquinas individuais e VMs Arc.

Para obter mais informações, consulte Gerenciar a segurança do sistema com o Microsoft Defender for Cloud (visualização).

Próximos passos