Рекомендации по планированию безопасной конфигурации
Учитывая, что развертывание серверов с поддержкой Arc будет охватывать тысячи компьютеров в нескольких офисах, обрабатывающих критически важные для бизнеса рабочие нагрузки, для Wide World Importers приоритетом является безопасность. При планировании безопасного развертывания важно учитывать, как можно применять роли, политики и сети в тандеме, чтобы обеспечить соответствие и защиту ресурсов.
Серверы с поддержкой Azure Arc не только используют встроенную защиту с встроенными функциями шифрования и обмена данными, но также предлагают ряд дополнительных конфигураций безопасности. Чтобы обеспечить безопасное развертывание, может потребоваться подготовить эффективную целевую зону для ресурсов с поддержкой Arc, настроив соответствующие средства управления доступом, инфраструктуру управления и расширенные сетевые параметры. В этом уроке вы узнаете:
Настройка управления доступом на основе ролей (RBAC) — разработка плана доступа для управления доступом к серверам с поддержкой Azure Arc и возможности просмотра данных из других служб Azure.
Разработка плана управления Политика Azure. Определите, как реализовать управление гибридными серверами и компьютерами в области подписки или группы ресурсов с помощью Политика Azure.
Выберите варианты расширенной сети. Определите, потребуется ли прокси-сервер или Приватный канал Azure для развертывания сервера с поддержкой Arc.
Безопасные удостоверения и управление доступом
Каждый сервер с поддержкой Azure Arc входит в группу ресурсов в подписке Azure и, как следствие, имеет управляемое удостоверение. Это удостоверение представляет сервер, работающий в локальной или в другой облачной среде. Контроль доступа к этому ресурсу осуществляется посредством стандартного управления доступом на основе ролей Azure (RBAC). Две роли сервера с поддержкой Arc — роль подключения Azure Connected Machine и роль администратора ресурсов Azure Connected Machine.
Роль подключения подключенного компьютера Azure доступна для масштабируемого подключения и может читать или создавать новые серверы с поддержкой Azure Arc в Azure. Он не может удалять уже зарегистрированные серверы или управлять расширениями. Рекомендуется назначать эту роль субъекту-службе Microsoft Entra, используемому для подключения компьютеров в масштабе.
Пользователи с ролью администратора ресурсов подключенного компьютера Azure могут читать, изменять, повторно подключаться и удалять компьютер. Эта роль предназначена для поддержки управления серверами с поддержкой Azure Arc, но не другими ресурсами в группе ресурсов или подписке.
Кроме того, агент подключенного компьютера Azure использует проверку подлинности с открытым ключом для взаимодействия со службой Azure. После подключения сервера к Azure Arc закрытый ключ сохраняется на диске и используется всякий раз, когда агент взаимодействует с Azure. В случае кражи закрытый ключ можно использовать для взаимодействия со службой на другом сервере и действовать так, как если бы он был исходным сервером. Это включает в себя получение доступа к назначенному системой удостоверению и любым ресурсам, к которым имеет доступ к этому удостоверению. Файл закрытого ключа защищен, разрешая доступ к учетной записи HIMDS только для чтения. Чтобы предотвратить атаки в автономный режим, настоятельно рекомендуется использовать на томе операционной системы сервера полное шифрование диска (например, BitLocker, dm-crypt и т. п.).
Управление политиками Azure
Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. Ниже перечислены некоторые политики соответствия нормативным требованиям Azure.
- Защита ISM правительства Австралии
- Тестирование безопасности Azure
- Тесты производительности системы безопасности Azure версии 1
- Canada Federal PBMM
- CMMC уровня 3
- FedRAMP — высокий уровень
- FedRAMP — средний уровень
- HIPAA HITRUST 9.2
- IRS 1075, сентябрь 2016 г.
- ISO 27001:2013
- ISM Restricted (Новая Зеландия)
- NIST SP 800-171 R2
- NIST SP 800-53, ред. 4
- NIST SP 800-53, ред. 5
- UK OFFICIAL и UK NHS
Перед развертыванием серверов с поддержкой Azure Arc в группе ресурсов можно систематически определять и назначать политики Azure с соответствующими задачами по исправлению на уровне группы ресурсов, подписки или группы управления, чтобы обеспечить соблюдение требованиям аудита и соответствие нормативным требованиям.
Защита сети с помощью приватного канала
Помимо общедоступной конечной точки, доступно еще два варианта безопасной сети для серверов с поддержкой Azure Arc: прокси-сервер и частная ссылка Azure.
Если компьютер обменивается данными через прокси-сервер для подключения к Интернету, можно указать IP-адрес прокси-сервера или имя и номер порта, которые будут использоваться компьютером для взаимодействия с прокси-сервером. Эту спецификацию можно сделать непосредственно в портал Azure при создании скрипта для подключения нескольких компьютеров к Arc.
В сценариях высокой безопасности Приватный канал Azure позволяет безопасно связать службы Azure PaaS с виртуальной сетью с помощью частных конечных точек. Для многих служб достаточно настроить конечную точку для каждого ресурса. Это означает, что вы можете подключить локальные или многооблачные серверы с Помощью Azure Arc и отправить весь трафик через Azure ExpressRoute или VPN-подключение типа "сеть — сеть" вместо использования общедоступных сетей. Используя приватный канал с серверами с поддержкой Arc, вы можете:
- Частное подключение к Azure Arc без открытия доступа к общедоступной сети.
- Убедиться, что данные с компьютера или сервера с поддержкой дуги Azure доступны только через разрешенные частные сети.
- Безопасное подключение частной локальной сети к Azure Arc с помощью ExpressRoute и Приватного канала.
- Удержание всего трафика внутри магистральной сети Microsoft Azure.
