通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的服务器的治理、安全性和合规性基线

  • 项目

本文介绍为已启用 Azure Arc 的服务器部署实现安全性、治理和合规性时的关键设计注意事项和最佳做法。 虽然企业级登陆区域文档将“治理”和“安全性”作为单独的主题进行介绍,但这些关键设计领域合并到了已启用 Azure Arc 的服务器的单个主题中。

定义和应用适当的控制机制在任何云实现中都是关键,因为它是保持安全和合规的基础元素。 在传统环境中,这些机制通常涉及评审过程和手动控制。 但云引入了具有自动防护和检查的 IT 治理新方法。 Azure PolicyMicrosoft Defender for Cloud 是云原生的工具,可让你以自动化方式执行控制、报告和修正任务。 通过将这些策略与 Azure Arc 结合使用,可以将治理策略和安全性扩展到公有云或私有云中的任何资源。

在本文结束时,你将通过 Microsoft 指南明确了解安全性、治理和合规性的关键设计领域。

体系结构

下图显示了概念性的参考体系结构,该体系结构演示已启用 Azure Arc 的服务器的安全性、合规性和治理设计领域:

描述 Azure 概念性的参考体系结构上已启用 Azure Arc 的服务器的企业级安全性、治理和合规性的图。

设计注意事项

随着混合和多云资源成为 Azure 资源管理器的一部分,就像 Azure 本机 VM 一样,可以使用 Azure 工具对它们进行管理和治理。

标识和访问管理

  • 代理安全权限:通过查看服务器上具有本地管理员权限的用户来保护对 Azure Connected Machine Agent 的访问
  • 托管标识:将托管标识与已启用 Azure Arc 的服务器配合使用。 定义用于确定在已启用 Azure Arc 的服务器上运行的应用程序可以使用 Microsoft Entra 令牌的策略。
  • Azure 基于角色的访问控制 (RBAC):定义组织中的管理、运营和工程角色。 这将有助于在混合环境中分配日常操作。 将每个团队映射到操作和职责将确定 Azure RBAC 角色和配置。 考虑使用 RACI 矩阵来支持这项工作,并将控制措施内置到定义的管理范围层次结构中,同时遵循资源一致性和清单管理指导。 有关详细信息,请参阅已启用 Azure Arc 的服务器的标识和访问管理

资源组织

治理原则

  • 威胁防护和云安全态势管理:引入控制措施以检测错误的安全配置并跟踪合规性。 还可以使用 Azure 的智能功能保护混合工作负载免受威胁。 为所有包含已启用 Azure Arc 的服务器的订阅启用 Microsoft Defender for Servers,以进行安全基线监视、安全态势管理和威胁防护。
  • 机密和证书管理:启用 Azure Key Vault 以保护服务主体凭据。 请考虑在已启用 Azure Arc 的服务器上使用 Azure Key Vault 进行证书管理。
  • 策略管理和报告:为混合服务器和计算机定义治理计划,该计划将转换为 Auzre 策略和修正任务
  • 数据驻留:请考虑要将已启用 Azure Arc 的服务器预配到哪个 Azure 区域,并了解从这些计算机收集的元数据
  • 安全公钥:保护 Azure Connected Machine Agent 公钥身份验证以与 Azure 服务进行通信
  • 业务连续性和灾难恢复:查看企业级登陆区域的业务连续性和灾难恢复指南,以确定是否满足企业要求。
  • 查看 Azure 登陆区域企业级的安全性、治理和合规性设计区域,评估已启用 Azure Arc 的服务器对整体安全性和治理模型的影响。

管理规则

  • Azure 管理:Azure Connected Machine Agent 在混合操作中具有关键作用。 它使你能够管理在 Azure 外部托管的 Windows 和 Linux 计算机,并强制实施治理策略。 请务必实现用于跟踪无响应代理的解决方案。
  • 日志管理策略:计划将混合资源的指标和日志收集到 Log Analytics 工作区中,以便进一步分析和审核

平台自动化

  • 代理预配:定义策略,用于预配已启用 Azure Arc 的服务器以及保护对加入凭据的访问。 考虑批量注册的自动化级别和方法。 考虑如何构建试点和生产部署并建立正式计划。 部署的范围和计划应考虑到目标、选择标准、成功标准、培训计划、回滚和风险。
  • 软件更新:
    • 定义一种策略,以评估可用更新的状态,以维护安全符合性,以及操作系统的关键和安全更新。
    • 定义一个策略来清点 Windows 操作系统版本并监视支持截止时间的结束时间。 对于无法迁移到 Azure 或升级的服务器,请通过 Azure Arc 规划 扩展安全更新 (ESU)。

设计建议

代理预配

如果使用服务主体预配已启用 Azure Arc 的服务器,请考虑如何安全地存储和分发服务主体密码。

代理管理

Azure Connected Machine Agent 是已启用 Azure Arc 的服务器的关键部分。 它包含多个在安全性、治理和管理操作中发挥作用的逻辑组件。 如果 Azure Connected Machine Agent 停止向 Azure 发送检测信号或进入脱机状态,则无法在它上面执行操作任务。 因此,有必要为通知和响应制定计划

Azure 活动日志可用于设置资源运行状况通知。 通过实现查询,保持对 Azure Connected Machine Agent 的当前运行状况和历史运行状况的了解。

代理安全权限

控制谁有权访问已启用 Azure Arc 的服务器上的 Azure Connected Machine Agent。 构成此代理的服务控制从已启用 Azure Arc 的服务器到 Azure 的所有通信和交互。 Windows 上的本地管理员组的成员和 Linux 上具有根权限的用户有权管理代理。

使用本地代理安全控制来评估限制扩展和计算机配置功能,以仅允许必要的管理操作,尤其是对于锁定或敏感计算机。

托管的标识

创建时,Microsoft Entra 系统分配的标识只能用于更新已启用 Azure Arc 的服务器的状态(例如“上次看到”检测信号)。 在授予此系统分配的标识对 Azure 资源的额外访问权限时,可以允许服务器上的应用程序使用系统分配的标识访问 Azure 资源(例如,从密钥库请求机密)。 你应该:

  • 考虑服务器应用程序存在哪些合法用例来获取访问令牌和访问 Azure 资源,同时还要规划对这些资源的访问控制。
  • 控制已启用 Azure Arc 的服务器(Windows 上的本地管理员或混合代理扩展应用程序组的成员和 Linux 上的 himds的成员)上的特权用户角色,以避免系统托管标识被滥用,从而获得对 Azure 资源的未经授权的访问。
  • 使用 Azure RBAC 控制和管理已启用 Azure Arc 的服务器托管标识的权限,并对这些标识执行定期访问审查。

机密和证书管理

请考虑在已启用 Azure Arc 的服务器上使用 Azure Key Vault 进行证书管理。 已启用 Azure Arc 的服务器具有托管标识,连接的计算机和其他 Azure 代理使用该标识向各自的服务进行身份验证。 密钥保管库 VM 扩展允许在 WindowsLinux 计算机上管理证书生命周期。

下图显示了概念性的参考体系结构,该体系结构演示已启用 Azure Arc 的服务器的 Azure Key Vault 集成:

描述已启用 Azure Arc 的服务器的 Azure Key Vault 集成的示意图。

提示

Azure Arc 快速入门项目中了解如何将 Key Vault 托管证书与已启用 Azure Arc 的 Linux 服务器配合使用。

策略管理和报告

策略驱动的治理是云原生操作和云采用框架的基本原则。 Azure Policy 提供用于强制实施企业标准和大规模评估合规性的机制。 可以实施治理措施来实现部署一致性和合规性,控制成本并改善安全态势。 借助其合规性仪表板,你将获得总体状态的聚合视图和修正功能。

已启用 Azure Arc 的服务器在 Azure 资源管理层以及计算机操作系统中使用计算机配置策略支持 Azure Policy

了解 Azure Policy 的范围以及可在何处应用它(管理组、订阅、资源组或单个资源级别)。 根据云采用框架企业规模中所述的建议做法创建管理组设计

下图显示了概念性的参考体系结构,该体系结构演示已启用 Azure Arc 的服务器的策略和合规性报告设计领域:

示意图:Azure 概念性的参考体系结构上已启用 Azure Arc 的服务器的 Azure Policy。

日志管理策略

设计和规划 Log Analytics 工作区部署。 它将是收集、聚合和以后分析数据的容器。 Log Analytics 工作区表示数据的地理位置、数据隔离和数据保留等配置的范围。 必须确定所需的工作区数及其映射到组织结构的方式。 建议使用单个 Azure Monitor Log Analytics 工作区集中管理 RBAC 和报告以实现可见性,如云采用框架的管理和监视最佳做法中所述。

查看设计 Azure Monitor 日志部署中的最佳做法。

威胁防护和云安全态势管理

Microsoft Defender for Cloud 提供一个统一的安全管理平台,该平台划分为云安全态势管理 (CSPM) 和云工作负载保护平台 (CWPP)。 为了提高混合登陆区域的安全性,请务必保护托管在 Azure 和其他位置的数据和资产。 Microsoft Defender for Servers 将这些功能扩展到已启用 Azure Arc 的服务器,Microsoft Defender for Endpoint提供终结点检测和响应 (EDR)。 若要增强混合登陆区域的安全性,请考虑以下事项:

  • 使用已启用 Azure Arc 的服务器在 Microsoft Defender for Cloud 中加入混合资源。
  • 实现 Azure Policy 计算机配置,以确保所有资源都合规,并将其安全数据收集到 Log Analytics 工作区中。
  • 为所有订阅启用 Microsoft Defender,并使用 Azure Policy 以确保合规性。
  • 使用安全信息和事件管理与 Microsoft Defender for Cloud 和 Microsoft Sentinel 的集成。
  • 通过 Microsoft Defender for Cloud 与 Microsoft Defender for Endpoint 的集成来保护终结点。
  • 若要保护已启用 Azure Arc 的服务器与 Azure 之间的连接,请查看本指南中已启用 Azure Arc 的服务器的网络连接部分。

更改跟踪和清单

集中日志有助于建立可用作附加安全层的报告,并降低出现可观测性缺口的可能性。 在 Azure 自动化中更改跟踪和清单转发并收集 Log Analytics 工作区中的数据。 使用 Microsoft Defender for Servers 时,你将获得文件完整性监视 (FIM),以便检查和跟踪已启用 Azure Arc 的服务器上的 Windows 服务和 Linux 守护程序的软件更改。

软件更新

使用已启用 Azure Arc 的服务器,可以通过集中式管理和大规模监视来管理企业资产。 更具体地说,它向 IT 团队提供警报和建议,并提供完整的操作可见性,包括管理 Windows 和 Linux VM 的更新。

整体管理策略应包括评估和更新操作系统,以便通过发布的关键安全更新保持安全合规性。 将 Azure 更新管理器用作 Azure 和混合资源的长期修补机制。 使用 Azure Policy 确保并强制实施所有 VM 的维护配置,包括已启用 Azure Arc 的服务器和 扩展安全更新 (ESU) 部署到已启用 Azure Arc 的服务器,这些服务器具有已终止支持的 Windows 版本。 有关详细信息,请参阅 Azure 更新管理器概述

基于角色的访问控制 (RBAC)

遵循最低特权原则,分配有“参与者”或“所有者”或“Azure 连接计算机资源管理员”等角色的用户、组或应用程序能够执行部署扩展等操作,这些扩展基本上在已启用 Azure Arc 的服务器上具有根访问权限。 应慎用这些角色,以限制可能的“冲击范围”或最终被自定义角色取代。

若要限制用户的特权并仅允许他们将服务器载入 Azure,可以分配“Azure Connected Machine 加入”角色。 此角色只能用于加入服务器,不能重新载入或删除服务器资源。 请务必查看已启用 Azure Arc 的服务器安全概述,了解有关访问控制的更多信息。

如需更多的标识和访问相关内容,请参阅本指南的已启用 Azure Arc 的服务器的标识和访问管理部分。

此外,请考虑发送到 Azure Monitor Log Analytics 工作区的敏感数据,应将同样的 RBAC 原则应用于数据本身。 启用了Azure Arc 的服务器提供对 Log Analytics 代理收集的日志数据的 RBAC 访问权限,这些数据存储在计算机注册到的 Log Analytics 工作区中。 在设计 Azure Monitor 日志部署文档中查看如何实现精细的 Log Analytics 工作区访问。

保护公钥

Azure Connected Machine Agent 使用公钥身份验证与 Azure 服务进行通信。 将服务器加入 Azure Arc 后,私钥将保存到磁盘,并在代理与 Azure 通信时使用。

如果被盗,则可以在另一台服务器上使用私钥与服务进行通信,让该服务器充当原始服务器。 这包括获取对系统分配的标识以及标识有权访问的任何资源的访问权限。

私钥文件受到保护,仅允许混合实例元数据服务(himds)帐户访问读取它。 为了防止脱机攻击,我们强烈建议在服务器的操作系统卷上使用完整磁盘加密。 (例如 BitLocker、dm-crypt 等)。 建议使用 Azure Policy 计算机配置来 审核已安装指定应用程序的 Windows 或 Linux 计算机 ,例如提到的。

后续步骤

有关混合云采用之旅的更多指导,请参阅以下内容: