Функции безопасности для локальной версии Azure, версия 23H2
Область применения: Локальная версия Azure, версия 23H2
Внимание
Azure Stack HCI теперь является частью Azure Local. Дополнительные сведения.
Локальный azure — это безопасный по умолчанию продукт, имеющий более 300 параметров безопасности, включенных прямо с начала. Параметры безопасности по умолчанию предоставляют согласованные базовые показатели безопасности для обеспечения того, чтобы устройства запускались в известном хорошем состоянии.
В этой статье представлен краткий обзор различных функций безопасности, связанных с локальным экземпляром Azure. К функциям относятся параметры безопасности по умолчанию, управление приложениями, шифрование томов с помощью BitLocker, смена секретов, локальные встроенные учетные записи пользователей, Microsoft Defender для облака и многое другое.
Параметры безопасности по умолчанию
Локальный azure имеет параметры безопасности, включенные по умолчанию, которые предоставляют согласованные базовые показатели безопасности, базовую систему управления и механизм управления смещением.
Вы можете отслеживать базовые и защищенные параметры безопасности во время развертывания и среды выполнения. При настройке параметров безопасности можно также отключить элемент управления дрейфом во время развертывания.
При применении элемента управления смещения параметры безопасности обновляются каждые 90 минут. Этот интервал обновления обеспечивает исправление любых изменений из требуемого состояния. Непрерывный мониторинг и автоматическое отслеживание обеспечивают согласованное и надежное состояние безопасности на протяжении всего жизненного цикла устройства.
Безопасная базовая база в локальной среде Azure:
- Улучшает состояние безопасности, отключив устаревшие протоколы и шифры.
- Сокращает OPEX с помощью встроенного механизма защиты от смещения, который обеспечивает согласованное мониторинг в масштабе с помощью базовой базы гибридных пограничных вычислений Azure Arc.
- Позволяет соответствовать требованиям Центра по информационной безопасности (CIS) и техническому руководству по информационной системе обороны (DISA) по технической реализации безопасности (STIG) для ОС и рекомендуемых базовых показателей безопасности.
Дополнительные сведения см. в статье "Управление значениями безопасности по умолчанию" в локальной среде Azure.
Управление приложениями
Управление приложениями — это уровень безопасности на основе программного обеспечения, который сокращает область атаки, применяя явный список программного обеспечения, который разрешено запускать. Элемент управления приложениями включен по умолчанию и ограничивает приложения и код, которые можно запускать на основной платформе. Для получения дополнительной информации см. Управление контролем приложений для Azure Local, версия 23H2.
Управление приложениями предоставляет два основных режима работы, режим принудительного применения и режим аудита. В режиме принудительного применения ненадежный код блокируется, а события записываются. В режиме аудита ненадежный код может выполняться, а события записываются. Дополнительные сведения о событиях, связанных с управлением приложениями, см. в списке событий.
Внимание
Чтобы свести к минимуму риск безопасности, всегда запустите управление приложениями в режиме принудительного применения.
О разработке политики управления приложениями
Корпорация Майкрософт предоставляет базовые подписанные политики в Azure Local для режима принудительного применения и режима аудита. Кроме того, политики включают предопределенный набор правил поведения платформы и правила блокировки для применения к уровню управления приложением.
Состав базовых политик
Локальные базовые политики Azure включают следующие разделы:
- Метаданные: метаданные определяют уникальные свойства политики, такие как имя политики, версия, GUID и многое другое.
- Правила параметров: эти правила определяют поведение политики. Дополнительные политики могут отличаться только от небольшого набора правил параметров, привязанных к базовой политике.
- Разрешить и запретить правила: эти правила определяют границы доверия кода. Правила могут основываться на издателях, подписях, хэшах файлов и т. д.
Правила параметров
В этом разделе рассматриваются правила параметров, включенные базовой политикой.
Для принудительной политики по умолчанию включены следующие правила параметров:
| Правило параметра | Значение |
|---|---|
| Включен | UMCI |
| Обязательное поле | WHQL |
| Включен | Разрешить дополнительные политики |
| Включен | Отозван срок действия, истекший как неподписанный |
| Выключено | Подписывание полетов |
| Включен | Политика целостности системы без знака (по умолчанию) |
| Включен | Безопасность динамического кода |
| Включен | Меню "Дополнительные параметры загрузки" |
| Выключено | Принудительное применение скриптов |
| Включен | Управляемый установщик |
| Включен | Обновление политики без перезагрузки |
Политика аудита добавляет следующие правила параметров в базовую политику:
| Правило параметра | Значение |
|---|---|
| Включен | Режим аудита (по умолчанию) |
Дополнительные сведения см. в полном списке правил параметров.
Разрешить и запретить правила
Разрешить правила в базовой политике позволяют доверять всем компонентам Майкрософт, предоставляемым ОС и облачными развертываниями. Запрет правил блокирует приложения в режиме пользователя и компоненты ядра, которые считаются небезопасными для обеспечения безопасности решения.
Примечание.
Правила разрешения и запрета в базовой политике регулярно обновляются, чтобы повысить веселость продукта и максимально повысить защиту вашего решения.
Дополнительные сведения о правилах запрета см. в следующих статье:
Список блокировок драйверов.
Список блокировок режима пользователя.
шифрование BitLocker;
Шифрование неактивных данных включено в томах данных, созданных во время развертывания. Эти тома данных включают как тома инфраструктуры, так и тома рабочей нагрузки. При развертывании системы можно изменить параметры безопасности.
По умолчанию шифрование неактивных данных включено во время развертывания. Рекомендуется принять параметр по умолчанию.
После успешного развертывания локального сервера Azure можно получить ключи восстановления BitLocker. Ключи восстановления BitLocker должны храниться в безопасном расположении вне системы.
Дополнительные сведения о шифровании BitLocker см. в следующем разделе:
- Используйте BitLocker с общими томами кластера (CSV).
- Управление шифрованием BitLocker в локальной среде Azure.
Локальные встроенные учетные записи пользователей
В этом выпуске следующие локальные встроенные пользователи, связанные с RID 500 и RID 501 доступные в локальной системе Azure:
| Имя в исходном образе ОС | Имя после развертывания | Включено по умолчанию | Description |
|---|---|---|---|
| Администратор | ASBuiltInAdmin | Истина | Встроенная учетная запись для администрирования компьютера или домена. |
| Гость | ASBuiltInGuest | False | Встроенная учетная запись для гостевого доступа к компьютеру или домену, защищенному механизмом управления смещением базовых показателей безопасности. |
Внимание
Рекомендуется создать собственную учетную запись локального администратора и отключить известную RID 500 учетную запись пользователя.
Создание и смена секретов
Оркестратор в Azure Local требует нескольких компонентов для обеспечения безопасного взаимодействия с другими ресурсами и службами инфраструктуры. Все службы, работающие в системе, имеют сертификаты проверки подлинности и шифрования, связанные с ними.
Чтобы обеспечить безопасность, мы реализуем возможности создания и смены внутренних секретов. При просмотре системных узлов вы увидите несколько сертификатов, созданных по пути LocalMachine/Personal certificate store (Cert:\LocalMachine\My).
В этом выпуске включены следующие возможности:
- Возможность создавать сертификаты во время развертывания и после операций масштабирования системы.
- Автоматическая автоматическая автообработка до истечения срока действия сертификатов и возможность смены сертификатов во время существования системы.
- Возможность отслеживать и оповещать, являются ли сертификаты действительными.
Примечание.
Операции создания секретов и смены занимают около десяти минут в зависимости от размера системы.
Дополнительные сведения см. в разделе "Управление сменой секретов".
Переадресация событий безопасности системного журнала
Для клиентов и организаций, которым требуется собственная локальная система безопасности и системы управления событиями (SIEM), Azure Local, версия 23H2, включает интегрированный механизм, позволяющий пересылать события, связанные с безопасностью, в SIEM.
Локальный azure имеет интегрированный сервер пересылки системных журналов, который после настройки создает сообщения системного журнала, определенные в RFC3164, с полезными данными в формате common Event Format (CEF).
На следующей схеме показана интеграция Azure Local с SIEM. Все аудиты, журналы безопасности и оповещения собираются на каждом узле и предоставляются через системный журнал с полезными данными CEF.
Агенты пересылки системных журналов развертываются на каждом локальном узле Azure для пересылки сообщений системного журнала на сервер syslog, настроенный клиентом. Агенты пересылки системного журнала работают независимо друг от друга, но могут управляться совместно на любом из узлов.
Средство пересылки системных журналов в Azure Local поддерживает различные конфигурации на основе того, является ли пересылка системного журнала tcp или UDP, включена ли шифрование или нет, и существует ли однонаправленная или двунаправленная проверка подлинности.
Дополнительные сведения см. в разделе "Управление пересылкой системного журнала".
Microsoft Defender для облака (предварительная версия)
Microsoft Defender для облака — это решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке с помощью автоматической подготовки и защиты с помощью служб Azure без затрат на развертывание.
С помощью базового плана Defender для облака вы получите рекомендации по улучшению безопасности локальной системы Azure без дополнительных затрат. Благодаря платному плану Defender для серверов вы получаете расширенные функции безопасности, включая оповещения системы безопасности для отдельных компьютеров и виртуальных машин Arc.
Дополнительные сведения см. в разделе "Управление системой безопасности с помощью Microsoft Defender для облака (предварительная версия)".
Следующие шаги
- Оцените готовность к развертыванию с помощью средства проверки среды.
- Ознакомьтесь с книгой по локальной безопасности Azure.
- Просмотрите стандарты локальной безопасности Azure.