Funkce zabezpečení pro Azure Stack HCI, verze 23H2

Platí pro: Azure Stack HCI verze 23H2

Azure Stack HCI je ve výchozím nastavení zabezpečený produkt, který má od začátku povolených více než 300 nastavení zabezpečení. Výchozí nastavení zabezpečení poskytují konzistentní standardní hodnoty zabezpečení, aby se zajistilo, že se zařízení spustí ve známém dobrém stavu.

Tento článek poskytuje stručný koncepční přehled různých funkcí zabezpečení přidružených ke clusteru Azure Stack HCI. Mezi funkce patří výchozí nastavení zabezpečení, Windows Defender pro řízení aplikací (WDAC), šifrování svazků přes BitLocker, obměně tajných kódů, místní integrované uživatelské účty, Microsoft Defender pro cloud a další.

Výchozí nastavení zabezpečení

Vaše služba Azure Stack HCI má ve výchozím nastavení povolená nastavení zabezpečení, která poskytují konzistentní standardní hodnoty zabezpečení, systém správy směrného plánu a mechanismus řízení posunu.

Standardní hodnoty zabezpečení a nastavení zabezpečených jader můžete monitorovat během nasazování i za běhu. Při konfiguraci nastavení zabezpečení můžete také zakázat řízení posunu během nasazení.

Při použití řízení posunu se nastavení zabezpečení aktualizují každých 90 minut. Tento interval aktualizace zajišťuje nápravu všech změn z požadovaného stavu. Nepřetržité monitorování a autoremediace umožňují konzistentní a spolehlivý stav zabezpečení po celou dobu životního cyklu zařízení.

Standardní hodnoty zabezpečení v Azure Stack HCI:

  • Zlepšuje stav zabezpečení zakázáním starších protokolů a šifer.
  • Omezuje technologii OPEX s integrovaným mechanismem ochrany proti posunu, který umožňuje konzistentní monitorování ve velkém měřítku prostřednictvím standardních hodnot hybridního hraničního zařízení Azure Arc.
  • Umožňuje splnit požadavky srovnávacího testu Cis (Center for Internet Security) a disasního průvodce technickou implementací zabezpečení (STIG) pro operační systém a doporučené standardní hodnoty zabezpečení.

Další informace najdete v tématu Správa výchozích nastavení zabezpečení v Azure Stack HCI.

Řízení aplikací programu Windows Defender

WDAC je softwarová vrstva zabezpečení, která omezuje prostor pro útoky tím, že vynucuje explicitní seznam softwaru, který může běžet. WdAC je ve výchozím nastavení povolené a omezuje aplikace a kód, které můžete spouštět na základní platformě. Další informace najdete v tématu Správa řízení aplikací Windows Defender pro Azure Stack HCI verze 23H2.

WDAC poskytuje dva hlavní režimy operací: režim vynucení a režim auditování. V režimu vynucení se zablokuje nedůvěryhodný kód a zaznamenávají se události. V režimu auditování je možné spustit nedůvěryhodný kód a zaznamenávat události. Další informace o událostech souvisejících s WDAC najdete v seznamu událostí.

Důležité

Pokud chcete minimalizovat bezpečnostní riziko, vždy spusťte WDAC v režimu vynucení.

Návrh zásad WDAC

Microsoft poskytuje základní podepsané zásady na Azure Stack HCI pro režim vynucení i režim auditování. Zásady navíc zahrnují předdefinovanou sadu pravidel chování platformy a pravidla blokování, která se použijí na vrstvu řízení aplikací.

Složení základních zásad

Základní zásady Azure Stack HCI zahrnují následující části:

  • Metadata: Metadata definují jedinečné vlastnosti zásad, jako je název zásady, verze, IDENTIFIKÁTOR GUID a další.
  • Pravidla možností: Tato pravidla definují chování zásad. Doplňkové zásady se můžou lišit pouze od malé sady pravidel možností svázaných s jejich základními zásadami.
  • Pravidla povolit a odepřít: Tato pravidla definují hranice důvěryhodnosti kódu. Pravidla můžou být založená na vydavatelích, podepisujících, hodnotě hash souboru a dalších.

Pravidla možností

Tato část popisuje pravidla možností povolená základní zásadou.

Pro vynucené zásady jsou ve výchozím nastavení povolená následující pravidla možností:

Pravidlo možnosti Hodnota
Povoleno UMCI
Vyžadováno WHQL
Povoleno Povolit doplňkové zásady
Povoleno Odvolaný konec platnosti jako nepodepsaný
Zakázáno Podepisování letů
Povoleno Nepodepsané zásady integrity systému (výchozí)
Povoleno Dynamické zabezpečení kódu
Povoleno Nabídka rozšířených možností spuštění
Zakázáno Vynucení skriptů
Povoleno Spravovaný instalační program
Povoleno Aktualizace zásad bez restartování

Zásady auditu přidají do základní zásady následující pravidla možností:

Pravidlo možnosti Hodnota
Povoleno Režim auditování (výchozí)

Další informace najdete v úplném seznamu pravidel možností.

Pravidla povolit a odepřít

Povolit pravidla v základních zásadách umožňují, aby byly důvěryhodné všechny komponenty Microsoftu dodávané operačním systémem a cloudovými nasazeními. Pravidla zamítnutí blokují aplikace v uživatelském režimu a komponenty jádra, které jsou z hlediska zabezpečení řešení považovány za nebezpečné.

Poznámka

Pravidla Povolit a Odepřít v základních zásadách se pravidelně aktualizují, aby se zlepšila funkčnost produktu a maximalizovala ochrana vašeho řešení.

Další informace o pravidlech zamítnutí najdete tady:

Šifrování nástrojem BitLocker

Šifrování neaktivních uložených dat je povolené u datových svazků vytvořených během nasazení. Tyto datové svazky zahrnují svazky infrastruktury i svazky úloh. Při nasazování clusteru můžete upravit nastavení zabezpečení.

Ve výchozím nastavení je šifrování neaktivních uložených dat během nasazení povolené. Doporučujeme, abyste přijali výchozí nastavení.

Po úspěšném nasazení Azure Stack HCI můžete načíst obnovovací klíče nástroje BitLocker. Obnovovací klíče nástroje BitLocker je nutné uložit na bezpečném místě mimo systém.

Další informace o šifrování nástrojem BitLocker najdete tady:

Místní předdefinované uživatelské účty

V této verzi jsou ve vašem systému Azure Stack HCI k dispozici následující místní předdefinované uživatele přidružené RID 500 k RID 501 a :

Název v počáteční imagi operačního systému Název po nasazení Ve výchozím nastavení povolená Description
Správce ASBuiltInAdmin Ano Předdefinovaný účet pro správu počítače nebo domény.
Host ASBuiltInGuest Ne Integrovaný účet pro přístup hostů k počítači nebo doméně, chráněný mechanismem řízení posunu standardních hodnot zabezpečení.

Důležité

Doporučujeme, abyste si vytvořili vlastní účet místního správce a tento dobře známý RID 500 uživatelský účet zakázali.

Vytvoření a obměně tajných kódů

Orchestrátor v Azure Stack HCI vyžaduje několik komponent pro zajištění zabezpečené komunikace s dalšími prostředky a službami infrastruktury. Všechny služby spuštěné v clusteru mají přidružené ověřovací a šifrovací certifikáty.

Abychom zajistili zabezpečení, implementujeme možnosti vytváření a obměně interních tajných kódů. Když zkontrolujete uzly clusteru, uvidíte několik certifikátů vytvořených v cestě Úložiště certifikátů LocalMachine/Personal (Cert:\LocalMachine\My).

V této verzi jsou povolené následující funkce:

  • Možnost vytvářet certifikáty během nasazení a po operacích škálování clusteru.
  • Automatizovaná autorotace před vypršením platnosti certifikátů a možnost obměna certifikátů během doby životnosti clusteru.
  • Možnost monitorovat a upozorňovat na to, jestli jsou certifikáty stále platné.

Poznámka

Operace vytvoření a obměně tajných kódů trvá v závislosti na velikosti clusteru přibližně deset minut.

Další informace najdete v tématu Správa obměně tajných kódů.

Předávání událostí zabezpečení v syslogu

Pro zákazníky a organizace, které vyžadují vlastní místní systém pro správu událostí a informací o zabezpečení (SIEM), obsahuje Azure Stack HCI verze 23H2 integrovaný mechanismus, který umožňuje předávat události související se zabezpečením do systému SIEM.

Azure Stack HCI má integrovaný nástroj pro předávání syslogu, který po nakonfigurování generuje zprávy syslogu definované v RFC3164 s datovou částí ve formátu CEF (Common Event Format).

Následující diagram znázorňuje integraci Azure Stack HCI se systémem SIEM. Všechny audity, protokoly zabezpečení a výstrahy se shromažďují na každém hostiteli a zveřejňují se prostřednictvím syslogu s datovou částí CEF.

Následující diagram popisuje integraci Azure Stack HCI s externím systémem správy událostí a informací o zabezpečení (SIEM).

Agenti předávání syslogu jsou nasazeni na každém hostiteli Azure Stack HCI za účelem předávání zpráv syslogu na server syslog nakonfigurovaný zákazníkem. Agenti předávání Syslog fungují nezávisle na sobě, ale dají se spravovat společně na libovolném z hostitelů.

Nástroj pro předávání syslogu v Azure Stack HCI podporuje různé konfigurace v závislosti na tom, jestli se předávání syslogu provádí pomocí protokolu TCP nebo UDP, jestli je šifrování povolené nebo ne a jestli se používá jednosměrné nebo obousměrné ověřování.

Další informace najdete v tématu Správa předávání syslogu.

Microsoft Defender pro cloud (Preview)

Microsoft Defender for Cloud je řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, generování výstrah zabezpečení a dodržování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokou rychlostí v cloudu prostřednictvím automatického zřizování a ochrany pomocí služeb Azure bez režijních nákladů na nasazení.

Se základním plánem Defenderu for Cloud získáte doporučení, jak bez dalších nákladů zlepšit stav zabezpečení systému Azure Stack HCI. S placeným plánem Defenderu pro servery získáte vylepšené funkce zabezpečení, včetně výstrah zabezpečení pro jednotlivé servery a virtuální počítače Arc.

Další informace najdete v tématu Správa zabezpečení systému pomocí Microsoft Defender for Cloud (Preview).

Další kroky