Настройка элементов управления безопасностью Azure Stack Hub
В этой статье описываются элементы управления безопасностью, которые могут быть изменены в Azure Stack Hub и выделены компромиссы, в которых применимо.
Архитектура Azure Stack Hub основана на двух основных принципах безопасности: предполагается нарушение и защита по умолчанию. Дополнительные сведения о безопасности Azure Stack Hub см. в разделе безопасности инфраструктуры Azure Stack Hub . Хотя уровень безопасности по умолчанию Azure Stack Hub готов к работе, существуют некоторые сценарии развертывания, требующие дополнительной защиты.
Политика версий TLS
Протокол TLS — это широко используемый криптографический протокол для установления зашифрованной связи по сети. TLS развивался с течением времени, и несколько версий были выпущены. Инфраструктура Azure Stack Hub использует только TLS 1.2 для всех своих коммуникаций. Для внешних интерфейсов Azure Stack Hub по умолчанию используется TLS 1.2. Однако для обратной совместимости он также поддерживает понижение уровня безопасности до TLS 1.1. и 1.0. Когда клиент TLS запрашивает обмен данными по протоколу TLS 1.1 или TLS 1.0, Azure Stack Hub учитывает запрос путем переговоров с более низкой версией TLS. Если клиент запрашивает TLS 1.2, Azure Stack Hub установит подключение TLS с помощью TLS 1.2.
Так как TLS 1.0 и 1.1 постепенно устарели или запрещены организациями и стандартами соответствия, теперь можно настроить политику TLS в Azure Stack Hub. Вы можете применить политику TLS 1.2, только если любая попытка установить сеанс TLS с версией ниже 1.2 запрещена и отклонена.
Важный
Корпорация Майкрософт рекомендует использовать только политику TLS 1.2 для рабочих сред Azure Stack Hub.
Получение политики TLS
Используйте привилегированную конечную точку (PEP) для просмотра политики TLS для всех конечных точек Azure Stack Hub:
Get-TLSPolicy
Пример выходных данных:
TLS_1.2
Настройка политики TLS
Используйте привилегированной конечной точки (PEP), чтобы задать политику TLS для всех конечных точек Azure Stack Hub:
Set-TLSPolicy -Version <String>
Параметры для командлета Set-TLSPolicy.
| Параметр | Описание | Тип | Обязательно |
|---|---|---|---|
| версии | Разрешенные версии TLS в Azure Stack Hub | Струна | да |
Используйте одно из следующих значений, чтобы настроить разрешенные версии TLS для всех конечных точек Azure Stack Hub:
| Значение версии | Описание |
|---|---|
| TLS_All | Конечные точки TLS Azure Stack Hub поддерживают TLS 1.2, но допускается понижение версии до TLS 1.1 и TLS 1.0. |
| TLS_1.2 | Конечные точки TLS Azure Stack Hub поддерживают только TLS 1.2. |
Обновление политики TLS занимает несколько минут.
Пример принудительной настройки TLS 1.2
В этом примере ваша политика TLS настроена на применение только TLS 1.2.
Set-TLSPolicy -Version TLS_1.2
Пример выходных данных:
VERBOSE: Successfully setting enforce TLS 1.2 to True
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.1 enabled value: 0
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is enforced
Разрешить все версии TLS (пример конфигурации 1.2, 1.1 и 1.0)
В этом примере политика TLS позволяет разрешить все версии TLS (1.2, 1.1 и 1.0).
Set-TLSPolicy -Version TLS_All
Пример выходных данных:
VERBOSE: Successfully setting enforce TLS 1.2 to False
VERBOSE: Invoking action plan to update GPOs
VERBOSE: Create Client for execution of action plan
VERBOSE: Start action plan
<...>
VERBOSE: Verifying TLS policy
VERBOSE: Get GPO TLS protocols registry 'enabled' values
VERBOSE: GPO TLS applied with the following preferences:
VERBOSE: TLS protocol SSL 2.0 enabled value: 0
VERBOSE: TLS protocol SSL 3.0 enabled value: 0
VERBOSE: TLS protocol TLS 1.0 enabled value: 1
VERBOSE: TLS protocol TLS 1.1 enabled value: 1
VERBOSE: TLS protocol TLS 1.2 enabled value: 1
VERBOSE: TLS 1.2 is not enforced
Юридическое уведомление о сеансах PEP
Существуют сценарии, в которых полезно отобразить юридическое уведомление при входе в сеанс привилегированной конечной точки (PEP). Командлеты Set-AzSLegalNotice и Get-AzSLegalNotice используются для управления заголовками и текстом такого юридического уведомления.
Чтобы установить заголовок и текст юридического уведомления, смотрите командлет Set-AzSLegalNotice в. Если заголовок и текст юридического уведомления были ранее установлены, их можно просмотреть с помощью командлета Get-AzSLegalNotice.