Baseline di governance, sicurezza e conformità per i server abilitati per Azure Arc

  • Articolo

Questo articolo illustra le principali considerazioni sulla progettazione e le procedure consigliate per l'implementazione di distribuzioni di server abilitati per Azure Arc. Sebbene la documentazione della zona di destinazione su scala aziendale includa "Governance" e "Sicurezza" come argomenti separati, per i server abilitati per Azure Arc, queste aree di progettazione critiche vengono consolidate come singolo argomento.

La definizione e l'applicazione dei meccanismi di controllo appropriati sono fondamentali in qualsiasi implementazione del cloud, poiché è l'elemento fondamentale per rimanere protetti e conformi. In un ambiente tradizionale, questi meccanismi in genere implicano processi di revisione e controlli manuali. Tuttavia, il cloud ha introdotto un nuovo approccio alla governance IT con protezioni e controlli automatizzati. Criteri di Azure e Microsoft Defender per il cloud sono strumenti nativi del cloud che consentono l'implementazione di questi controlli, report e attività di correzione in modo automatizzato. Combinandoli con Azure Arc, è possibile estendere i criteri di governance e la sicurezza a qualsiasi risorsa nei cloud pubblici o privati.

Al termine di questo articolo verranno fornite informazioni sulle aree di progettazione critiche per la sicurezza, la governance e la conformità con indicazioni chiare su Microsoft.

Architettura

L'immagine seguente mostra l'architettura di riferimento concettuale che illustra le aree di progettazione di sicurezza, conformità e governance per i server abilitati per Azure Arc:

Diagramma che illustra la sicurezza, la governance e la conformità su scala aziendale per i server abilitati per Azure Arc nell'architettura di riferimento concettuale di Azure.

Considerazioni relative alla progettazione

Man mano che le risorse ibride e multicloud diventano parte di Azure Resource Manager, possono essere gestite e gestite con gli strumenti di Azure, proprio come le macchine virtuali native di Azure.

Gestione delle identità e dell'accesso

  • Autorizzazioni di sicurezza dell'agente: proteggere l'accesso all'agente del computer connesso di Azure esaminando gli utenti con privilegi di amministratore locale nel server.
  • Identità gestita: usare le identità gestite con i server abilitati per Azure Arc. Definire una strategia per identificare le applicazioni in esecuzione nei server abilitati per Azure Arc possono usare un token Microsoft Entra.
  • Controllo degli accessi in base al ruolo di Azure: definire ruoli amministrativi, operativi e di progettazione all'interno dell'organizzazione. Ciò consentirà di allocare operazioni quotidiane nell'ambiente ibrido. Il mapping di ogni team alle azioni e alle responsabilità determinerà i ruoli e la configurazione del controllo degli accessi in base al ruolo di Azure. Prendere in considerazione l'uso di una matrice RACI per supportare questo sforzo e creare controlli nella gerarchia dell'ambito di gestione definita, seguendo le indicazioni sulla coerenza delle risorse e sulla gestione dell'inventario. Per altre informazioni, vedere Gestione delle identità e degli accessi per i server abilitati per Azure Arc.

Organizzazione delle risorse

  • Rilevamento modifiche e inventario: Tenere traccia delle modifiche nel sistema operativo, nei file dell'applicazione e nel Registro di sistema per identificare i problemi operativi e di sicurezza in locale e in altri ambienti cloud.

Discipline di governance

  • Protezione dalle minacce e gestione del comportamento di sicurezza cloud: introdurre controlli per rilevare errori di configurazione della sicurezza e tenere traccia della conformità. Usare anche l'intelligenza di Azure per proteggere i carichi di lavoro ibridi dalle minacce. Abilitare Microsoft Defender per i server per tutte le sottoscrizioni contenenti server abilitati per Azure Arc per il monitoraggio della baseline di sicurezza, la gestione del comportamento di sicurezza e la protezione dalle minacce.
  • Gestione dei segreti e dei certificati: abilitare Azure Key Vault per proteggere le credenziali dell'entità servizio. Prendere in considerazione l'uso di Azure Key Vault per la gestione dei certificati nei server abilitati per Azure Arc.
  • Gestione e creazione di report dei criteri: definire un piano di governance per i server e i computer ibridi che si traducono in criteri di Azure e attività di correzione.
  • Residenza dei dati: prendere in considerazione l'area di Azure in cui si vuole eseguire il provisioning dei server abilitati per Azure Arc e comprendere i metadati raccolti da questi computer.
  • Proteggere la chiave pubblica: proteggere l'autenticazione della chiave pubblica dell'agente del computer connesso di Azure per comunicare con il servizio di Azure.
  • Continuità aziendale e ripristino di emergenza: esaminare le linee guida per la continuità aziendale e il ripristino di emergenza per le zone di destinazione su scala aziendale per determinare se i requisiti aziendali sono soddisfatti.
  • Esaminare l'area di progettazione della sicurezza, della governance e della conformità della zona di destinazione di Azure su scala aziendale per valutare l'impatto dei server abilitati per Azure Arc sul modello complessivo di sicurezza e governance.

Discipline di gestione

  • Gestione degli agenti: l'agente del computer connesso di Azure svolge un ruolo critico nelle operazioni ibride. Consente di gestire i computer Windows e Linux, ospitati all'esterno di Azure e di applicare i criteri di governance. È importante implementare soluzioni che tengano traccia degli agenti che non rispondono.
  • Strategia di gestione dei log: pianificare le metriche e la raccolta di log delle risorse ibride in un'area di lavoro Log Analytics per ulteriori analisi e controllo.

Automazione della piattaforma

  • Provisioning dell'agente: definire una strategia per il provisioning dei server abilitati per Azure Arc e proteggere l'accesso alle credenziali di onboarding. Considerare il livello e il metodo di automazione per la registrazione in blocco. Si consideri come strutturare le distribuzioni pilota e di produzione e stabilire un piano formale. L'ambito e il piano per una distribuzione devono tenere conto di obiettivi, criteri di selezione, criteri di successo, piani di training, rollback e rischi.
  • Aggiornamenti software:
    • Definire una strategia per valutare lo stato degli aggiornamenti disponibili per mantenere la conformità alla sicurezza, con aggiornamenti critici e della sicurezza dei sistemi operativi.
    • Definire una strategia per l'inventario delle versioni del sistema operativo Windows e monitorare le scadenze di fine del supporto. Per i server che non possono essere migrati in Azure o aggiornati, pianificare gli aggiornamenti della sicurezza estesa tramite Azure Arc.

Suggerimenti per la progettazione

Provisioning dell'agente

Se si usa un'entità servizio per effettuare il provisioning dei server abilitati per Azure Arc, prendere in considerazione come archiviare e distribuire in modo sicuro la password dell'entità servizio.

Gestione dell'agente

L'agente del computer connesso di Azure è la parte chiave per i server abilitati per Azure Arc. Contiene diversi componenti logici che svolgono un ruolo nelle operazioni di sicurezza, governance e gestione. Se l'agente del computer connesso di Azure smette di inviare heartbeat ad Azure o passa offline, non sarà possibile eseguire attività operative. Di conseguenza, è necessario sviluppare un piano per le notifiche e le risposte.

Il log attività di Azure può essere usato per configurare le notifiche sull'integrità delle risorse. Rimanere informati sullo stato di integrità corrente e cronologico dell'agente del computer connesso di Azure implementando una query.

Autorizzazioni di sicurezza dell'agente

Controllare chi può accedere all'agente del computer connesso di Azure nei server abilitati per Azure Arc. I servizi che compongono questo agente controllano tutte le comunicazioni e l'interazione per i server abilitati per Azure Arc. I membri del gruppo di amministratori locali in Windows e gli utenti con privilegi radice in Linux hanno le autorizzazioni per gestire l'agente.

Valutare la limitazione delle estensioni e delle funzionalità di configurazione del computer con i controlli di sicurezza dell'agente locale per consentire solo le azioni di gestione necessarie, in particolare per i computer bloccati o sensibili.

Identità gestita

Al momento della creazione, l'identità assegnata dal sistema Microsoft Entra può essere usata solo per aggiornare lo stato dei server abilitati per Azure Arc, ad esempio l'heartbeat "ultimo visto". Per concedere a questa identità assegnata dal sistema l'accesso aggiuntivo alle risorse di Azure, diventa possibile consentire a un'applicazione nel server di usare l'identità assegnata dal sistema per accedere alle risorse di Azure, ad esempio per richiedere segreti da un insieme di credenziali delle chiavi. È necessario effettuare le operazioni seguenti:

  • Considerare quali casi d'uso legittimi esistono per le applicazioni server per ottenere token di accesso e accedere alle risorse di Azure, pianificando anche il controllo di accesso di queste risorse.
  • Controllare i ruoli utente con privilegi nei server abilitati per Azure Arc (membri degli amministratori locali o del gruppo applicazioni delle estensioni dell'agente ibrido in Windows e membri del gruppo himds in Linux) per evitare che le identità gestite dal sistema vengano usate in modo improprio per ottenere l'accesso non autorizzato alle risorse di Azure.
  • Usare il controllo degli accessi in base al ruolo di Azure per controllare e gestire l'autorizzazione per le identità gestite dei server abilitati per Azure Arc ed eseguire verifiche di accesso periodiche per queste identità.

Gestione dei segreti e dei certificati

Prendere in considerazione l'uso di Azure Key Vault per gestire i certificati nei server abilitati per Azure Arc. I server abilitati per Azure Arc hanno un'identità gestita, usata dal computer connesso e da altri agenti di Azure per eseguire l'autenticazione ai rispettivi servizi. L'estensione della macchina virtuale dell'insieme di credenziali delle chiavi consente di gestire il ciclo di vita del certificato nei computer Windows e Linux .

L'immagine seguente mostra l'architettura di riferimento concettuale che illustra l'integrazione di Azure Key Vault per i server abilitati per Azure Arc:

Diagramma che illustra l'integrazione di Azure Key Vault per i server abilitati per Azure Arc.

Suggerimento

Informazioni su come usare i certificati gestiti di Key Vault con server Linux abilitati per Azure Arc nel progetto Jumpstart di Azure Arc.

Gestione e creazione di report dei criteri

La governance basata su criteri è un principio fondamentale delle operazioni native del cloud e di Cloud Adoption Framework. Criteri di Azure fornisce il meccanismo per applicare gli standard aziendali e valutare la conformità su larga scala. È possibile implementare la governance per coerenza delle distribuzioni, conformità, controllo dei costi e migliorare il comportamento di sicurezza. Con il relativo dashboard di conformità, si otterrà una visualizzazione aggregata dello stato complessivo e delle funzionalità di correzione.

I server abilitati per Azure Arc supportano Criteri di Azure a livello di gestione delle risorse di Azure e anche all'interno del sistema operativo del computer usando i criteri di configurazione del computer.

Comprendere l'ambito di Criteri di Azure e dove può essere applicato (gruppo di gestione, sottoscrizione, gruppo di risorse o singolo livello di risorsa). Creare una progettazione di un gruppo di gestione in base alle procedure consigliate descritte in Cloud Adoption Framework su scala aziendale

  • Determinare i criteri di Azure necessari definendo i requisiti aziendali, normativi e di sicurezza per i server abilitati per Azure Arc.
  • Applicare l'assegnazione di tag e implementare attività di correzione.
  • Comprendere e valutare le definizioni predefinite di Criteri di Azure per i server abilitati per Azure Arc.
  • Comprendere e valutare i criteri e le iniziative di configurazione dei computer predefiniti.
  • Valutare la necessità di creare criteri di configurazione del computer personalizzati.
  • Definire un criterio di monitoraggio e avviso che identifichi i server abilitati per Azure Arc non integri.
  • Abilitare gli avvisi di Azure Advisor per identificare i server abilitati per Azure Arc con agenti obsoleti installati.
  • Applicare gli standard dell'organizzazione e valutare la conformità su larga scala.
  • Usare le attività di Criteri di Azure e correzione per eseguire l'onboarding degli agenti del servizio di gestione tramite la funzionalità di gestione delle estensioni.
  • Abilitare Monitoraggio di Azure per la conformità e il monitoraggio operativo dei server abilitati per Azure Arc.

L'immagine seguente mostra l'architettura di riferimento concettuale che illustra le aree di progettazione dei report di conformità e dei criteri per i server abilitati per Azure Arc:

Diagramma che illustra le Criteri di Azure per i server abilitati per Azure Arc nell'architettura di riferimento concettuale di Azure.

Strategia di gestione dei log

Progettare e pianificare la distribuzione dell'area di lavoro Log Analytics. Sarà il contenitore in cui vengono raccolti, aggregati e analizzati in un secondo momento. Un'area di lavoro Log Analytics rappresenta una posizione geografica dei dati, dell'isolamento dei dati e dell'ambito per configurazioni come la conservazione dei dati. Sarà necessario identificare il numero di aree di lavoro necessarie e il relativo mapping alla struttura organizzativa. È consigliabile usare una singola area di lavoro Log Analytics di Monitoraggio di Azure per gestire il controllo degli accessi in base al ruolo centralmente, per la visibilità e la creazione di report, come descritto in Procedure consigliate per la gestione e il monitoraggio di Cloud Adoption Framework.

Esaminare le procedure consigliate in Progettazione della distribuzione dei log di Monitoraggio di Azure.

Protezione dalle minacce e gestione del comportamento di sicurezza cloud

Microsoft Defender per il cloud offre una piattaforma unificata di gestione della sicurezza segmentata come cloud security posture management (CSPM) e cloud workload protection platform (CWPP). Per aumentare la sicurezza nella zona di destinazione ibrida, è importante proteggere i dati e gli asset ospitati in Azure e altrove. Microsoft Defender per server estende queste funzionalità ai server abilitati per Azure Arc e Microsoft Defender per endpoint fornisce rilevamento e reazione dagli endpoint (EDR). Per rafforzare la sicurezza della zona di destinazione ibrida, considerare quanto segue:

  • Usare i server abilitati per Azure Arc per eseguire l'onboarding di risorse ibride in Microsoft Defender per il cloud.
  • Implementare una configurazione del computer Criteri di Azure per assicurarsi che tutte le risorse siano conformi e che i relativi dati di sicurezza vengano raccolti nelle aree di lavoro Log Analytics.
  • Abilitare Microsoft Defender per tutte le sottoscrizioni e usare Criteri di Azure per garantire la conformità.
  • Usare l'integrazione delle informazioni di sicurezza e della gestione degli eventi con Microsoft Defender per il cloud e Microsoft Sentinel.
  • Proteggere gli endpoint con l'integrazione di Microsoft Defender per il cloud con Microsoft Defender per endpoint.
  • Per proteggere la connettività tra i server abilitati per Azure Arc e Azure, vedere la sezione Connettività di rete per i server abilitati per Azure Arc di questa guida.

Rilevamento modifiche e inventario

La centralizzazione dei log determina i report che possono essere usati come livelli aggiuntivi di sicurezza e riduce le probabilità di lacune nell'osservabilità. Rilevamento modifiche e inventario in Automazione di Azure inoltrare e raccogliere i dati in un'area di lavoro Log Analytics. Quando si usa Microsoft Defender per server, si ottiene il monitoraggio dell'integrità dei file (FIM) per esaminare e tenere traccia delle modifiche software, per i servizi Windows e i daemon Linux nei server abilitati per Azure Arc.

Aggiornamenti software

Con i server abilitati per Azure Arc, è possibile gestire l'ambiente aziendale con gestione centralizzata e monitoraggio su larga scala. In particolare, fornisce avvisi e consigli ai team IT, con visibilità operativa completa che include la gestione degli aggiornamenti delle macchine virtuali Windows e Linux.

La valutazione e l'aggiornamento dei sistemi operativi devono far parte della strategia di gestione complessiva, per mantenere la conformità alla sicurezza con gli aggiornamenti critici e della sicurezza man mano che vengono rilasciati. Usare Gestione aggiornamenti di Azure come meccanismo di applicazione di patch a lungo termine per le risorse di Azure e ibride. Usare Criteri di Azure per garantire e applicare le configurazioni di manutenzione di tutte le macchine virtuali, inclusi i server abilitati per Azure Arc e la distribuzione degli aggiornamenti della sicurezza estesa ai server abilitati per Azure Arc con versioni di Windows che hanno raggiunto la fine del supporto. Per altre informazioni, vedere Panoramica di Azure Update Manager.

Controllo degli accessi in base al ruolo

Seguendo il principio dei privilegi minimi, gli utenti, i gruppi o le applicazioni assegnati con ruoli come "collaboratore" o "proprietario" o "Amministratore risorse di Azure Connected Machine" sono in grado di eseguire operazioni come la distribuzione di estensioni, che fondamentalmente ha accesso radice nei server abilitati per Azure Arc. Questi ruoli devono essere usati con cautela, per limitare il possibile raggio di esplosione o eventualmente sostituito da ruoli personalizzati.

Per limitare il privilegio di un utente e consentire l'onboarding dei server in Azure, il ruolo Onboarding di Azure Connected Machine è adatto. Questo ruolo può essere usato solo per eseguire l'onboarding dei server e non può eseguire di nuovo l'onboarding o eliminare la risorsa server. Per altre informazioni sui controlli di accesso, vedere la panoramica della sicurezza dei server abilitati per Azure Arc.

Vedere la sezione Gestione delle identità e degli accessi per i server abilitati per Azure Arc di questa guida per altre informazioni sull'identità e l'accesso ai contenuti correlati.

Considerare anche i dati sensibili inviati all'area di lavoro Log Analytics di Monitoraggio di Azure, lo stesso principio di controllo degli accessi in base al ruolo deve essere applicato ai dati stessi. I server abilitati per Azure Arc forniscono l'accesso controllo degli accessi in base al ruolo ai dati di log raccolti dall'agente di Log Analytics, archiviati nell'area di lavoro Log Analytics in cui è registrato il computer. Esaminare come implementare l'accesso granulare all'area di lavoro Log Analytics nella documentazione sulla progettazione della distribuzione dei log di Monitoraggio di Azure.

Proteggere la chiave pubblica

L'agente del computer connesso di Azure usa l'autenticazione a chiave pubblica per comunicare con il servizio di Azure. Dopo aver eseguito l'onboarding di un server in Azure Arc, una chiave privata viene salvata nel disco e usata ogni volta che l'agente comunica con Azure.

Se rubata, la chiave privata può essere usata in un altro server per comunicare con il servizio e agire come se fosse il server originale. Ciò include il recupero dell'accesso all'identità assegnata dal sistema e alle risorse a cui l'identità ha accesso.

Il file di chiave privata è protetto per consentire solo all'account del servizio metadati dell'istanza ibrida di leggerlo. Per evitare attacchi offline, è consigliabile usare la crittografia completa del disco, ad esempio BitLocker, dm-crypt e così via. Nel volume del sistema operativo del server. È consigliabile usare Criteri di Azure configurazione del computer per controllare i computer Windows o Linux in cui sono installate le applicazioni specificate, ad esempio quelle indicate.

Passaggi successivi

Per altre indicazioni per il percorso di adozione del cloud ibrido, vedere quanto segue: