Omówienie zabezpieczeń serwerów z obsługą usługi Azure Arc

  • Artykuł

W tym artykule opisano zagadnienia dotyczące zabezpieczeń i mechanizmy kontroli dostępne podczas korzystania z serwerów z obsługą usługi Azure Arc. Niezależnie od tego, czy jesteś operatorem ds. zabezpieczeń, czy operatorem IT, informacje zawarte w tym artykule pozwalają pewnie skonfigurować usługę Azure Arc w sposób spełniający wymagania organizacji dotyczące zabezpieczeń.

Zakres odpowiedzialności

Bezpieczeństwo wdrożenia serwerów z obsługą usługi Azure Arc jest wspólną odpowiedzialnością między Użytkownikiem a firmą Microsoft. Firma Microsoft jest odpowiedzialna za:

  • Zabezpieczanie usługi w chmurze, która przechowuje metadane systemu i organizuje operacje dla agentów łączących się z usługą.
  • Zabezpieczanie i ochrona prywatności metadanych systemu przechowywanych na platformie Azure.
  • Dokumentowanie opcjonalnych funkcji zabezpieczeń w celu zrozumienia korzyści i wad opcji wdrażania.
  • Publikowanie regularnych aktualizacji agenta przy użyciu ulepszeń zabezpieczeń, jakości, wydajności i funkcji.

Odpowiadasz za:

  • Zarządzanie dostępem RBAC do zasobów z obsługą usługi Azure Arc i monitorowanie go w ramach subskrypcji platformy Azure.
  • Ochrona i regularne obracanie poświadczeń wszystkich kont używanych do zarządzania serwerami z obsługą usługi Azure Arc. Obejmuje to wszystkie wpisy tajne lub poświadczenia jednostki usługi używane do dołączania nowych serwerów.
  • Określenie, czy i w jaki sposób jakiekolwiek funkcje zabezpieczeń opisane w tym dokumencie (na przykład listy dozwolonych rozszerzeń) powinny być stosowane do wdrażanych agentów usługi Azure Connected Machine.
  • Aktualizowanie agenta i rozszerzeń połączonej maszyny platformy Azure.
  • Określanie zgodności usługi Azure Arc z przepisami prawnymi i prawnymi oraz wewnętrznymi zobowiązaniami dotyczącymi zasad w organizacji.
  • Zabezpieczanie samego serwera, w tym infrastruktury obliczeniowej, magazynu i sieci używanej do uruchamiania serwera.

Omówienie architektury

Serwery z obsługą usługi Azure Arc to usługa oparta na agentach. Interakcja z usługą Azure Arc odbywa się głównie za pośrednictwem interfejsów API, portalu i zarządzania platformy Azure. Widoczne dane i akcje podejmowane na platformie Azure są przekazywane za pośrednictwem agenta połączonej maszyny platformy Azure zainstalowanego na każdym serwerze zarządzanym. Platforma Azure jest źródłem prawdy dla agenta. Jedynym sposobem, aby poinformować agenta o zrobieniu czegoś (na przykład zainstalowanie rozszerzenia) jest podjęcie akcji na reprezentacji serwera na platformie Azure. Dzięki temu kontrola dostępu oparta na rolach organizacji i przypisania zasad mogą ocenić żądanie przed wprowadzeniem jakichkolwiek zmian.

Agent azure Connected Machine to przede wszystkim platforma włączania dla innych usług platformy Azure i innych firm. Podstawowe funkcje obejmują:

  • Ustanawianie relacji między maszyną a subskrypcją platformy Azure
  • Udostępnianie tożsamości zarządzanej dla agenta i innych aplikacji do użycia podczas uwierzytelniania za pomocą platformy Azure
  • Włączanie innych funkcji (agentów, skryptów) z rozszerzeniami
  • Ocenianie i wymuszanie ustawień na serwerze

Po zainstalowaniu agenta połączonej maszyny platformy Azure możesz włączyć inne usługi platformy Azure na serwerze, aby spełnić wymagania dotyczące monitorowania, zarządzania poprawkami, dostępu zdalnego lub innych potrzeb. Rolą usługi Azure Arc jest umożliwienie tym usługom pracy poza własnymi centrami danych platformy Azure.

Za pomocą usługi Azure Policy można ograniczyć możliwości użytkowników organizacji w usłudze Azure Arc. Ograniczenia oparte na chmurze, takie jak Azure Policy, to doskonały sposób stosowania mechanizmów kontroli zabezpieczeń na dużą skalę przy zachowaniu elastyczności w celu dostosowania ograniczeń w dowolnym momencie. Jednak czasami potrzebujesz jeszcze silniejszych mechanizmów kontroli, aby chronić się przed legalnie uprzywilejowanym kontem używanym do obejścia środków zabezpieczeń (na przykład wyłączania zasad). Aby to uwzględnić, agent usługi Azure Connected Machine ma również własne mechanizmy kontroli zabezpieczeń, które mają pierwszeństwo przed wszelkimi ograniczeniami ustawionymi w chmurze.

Diagram architecure opisujący sposób działania agenta połączonej maszyny platformy Azure.

Usługi agenta

Agent azure Connected Machine to kombinacja czterech usług/demonów, które działają na serwerze i pomagają połączyć się z platformą Azure. Są one instalowane razem jako pojedyncza aplikacja i są zarządzane centralnie przy użyciu interfejsu wiersza polecenia azcmagent.

Usługa metadanych wystąpienia hybrydowego

Usługa metadanych wystąpienia hybrydowego (HIMDS) to "podstawowa" usługa w agencie i odpowiada za zarejestrowanie serwera na platformie Azure, trwającej synchronizacji metadanych (pulsów), operacji tożsamości zarządzanej i hostowaniu lokalnego interfejsu API REST, który inne aplikacje mogą wykonywać zapytania dotyczące połączenia urządzenia z platformą Azure. Ta usługa jest nieuprzywilejowana i działa jako konto wirtualne (NT SERVICE\himds z identyfikatorem SID S-1-5-80-4215458991-20342522225-2287069555-1155419622-2701885083) w systemie Windows lub konto użytkownika standardowego (himds) w systemach operacyjnych Linux.

Menedżer rozszerzeń

Menedżer rozszerzeń jest odpowiedzialny za instalowanie, konfigurowanie, uaktualnianie i usuwanie dodatkowego oprogramowania na maszynie. Usługa Azure Arc nie wie, jak wykonywać takie czynności, jak monitorować lub poprawiać maszynę. Zamiast tego, gdy zdecydujesz się korzystać z tych funkcji, menedżer rozszerzeń pobiera i włącza te możliwości. Menedżer rozszerzeń działa jako system lokalny w systemie Windows i root w systemie Linux, ponieważ instalowane oprogramowanie może wymagać pełnego dostępu do systemu. Możesz ograniczyć rozszerzenia, które menedżer rozszerzeń może instalować lub wyłączać w całości, jeśli nie zamierzasz używać rozszerzeń.

Konfiguracja gości

Usługa konfiguracji gościa ocenia i wymusza zasady konfiguracji maszyny platformy Azure (gościa) na serwerze. Są to specjalne zasady platformy Azure napisane w konfiguracji żądanego stanu programu PowerShell, aby sprawdzić ustawienia oprogramowania na serwerze. Usługa konfiguracji gościa regularnie ocenia i raportuje zgodność z tymi zasadami, a jeśli zasady są skonfigurowane w trybie wymuszania, zmieni ustawienia w systemie, aby przywrócić zgodność maszyny w razie potrzeby. Usługa konfiguracji gościa działa jako system lokalny w systemie Windows i root w systemie Linux, aby upewnić się, że ma dostęp do wszystkich ustawień w systemie. Możesz wyłączyć funkcję konfiguracji gościa, jeśli nie zamierzasz używać zasad konfiguracji gościa.

Serwer proxy usługi Azure Arc

Usługa serwera proxy usługi Azure Arc jest odpowiedzialna za agregowanie ruchu sieciowego z usług agenta połączonej maszyny platformy Azure oraz wszelkich zainstalowanych rozszerzeń i decydowania o tym, gdzie kierować te dane. Jeśli używasz usługi Azure Arc Gateway do uproszczenia punktów końcowych sieci, usługa Azure Arc Proxy jest składnikiem lokalnym, który przekazuje żądania sieciowe za pośrednictwem usługi Azure Arc Gateway zamiast trasy domyślnej. Serwer proxy usługi Azure Arc działa jako usługa sieciowa w systemie Windows i konto użytkownika standardowego (arcproxy) w systemie Linux. Jest ona domyślnie wyłączona do momentu skonfigurowania agenta do korzystania z bramy usługi Azure Arc.

Zagadnienia dotyczące zabezpieczeń zasobów warstwy 0

Zasoby warstwy 0, takie jak kontroler domena usługi Active Directory, serwer urzędu certyfikacji lub wysoce poufny serwer aplikacji biznesowych, mogą być połączone z usługą Azure Arc z dodatkową starannością, aby zapewnić, że tylko żądane funkcje zarządzania i autoryzowani użytkownicy mogą zarządzać serwerami. Te zalecenia nie są wymagane, ale zdecydowanie zaleca się zachowanie stanu zabezpieczeń zasobów warstwy 0.

Dedykowana subskrypcja platformy Azure

Dostęp do serwerów z obsługą usługi Azure Arc jest często określany przez hierarchię organizacyjną, do której należy na platformie Azure. Każdy administrator subskrypcji lub grupy zarządzania powinien traktować jako odpowiednik administratora lokalnego w zasobach warstwy 0, ponieważ może używać swoich uprawnień do dodawania nowych przypisań ról do zasobu usługi Azure Arc. Ponadto zasady stosowane na poziomie subskrypcji lub grupy zarządzania mogą mieć również uprawnienia do wprowadzania zmian na serwerze.

Aby zminimalizować liczbę kont i zasad z dostępem do zasobów warstwy 0, rozważ użycie dedykowanej subskrypcji platformy Azure, która może być ściśle monitorowana i skonfigurowana przy użyciu jak najmniejszej liczby trwałych administratorów. Przejrzyj zasady platformy Azure w dowolnych nadrzędnych grupach zarządzania, aby upewnić się, że są one dopasowane do intencji tych serwerów.

Wyłączanie niepotrzebnych funkcji zarządzania

W przypadku zasobu warstwy 0 należy użyć mechanizmów kontroli zabezpieczeń agenta lokalnego, aby wyłączyć wszystkie nieużywane funkcje agenta, aby zapobiec zamierzonemu lub przypadkowemu użyciu tych funkcji w celu wprowadzenia zmian na serwerze. Obejmuje to:

  • Wyłączanie możliwości dostępu zdalnego
  • Ustawianie listy dozwolonych rozszerzeń dla rozszerzeń, których chcesz użyć, lub wyłączenie menedżera rozszerzeń, jeśli nie używasz rozszerzeń
  • Wyłączanie agenta konfiguracji maszyny, jeśli nie zamierzasz używać zasad konfiguracji maszyny

W poniższym przykładzie pokazano, jak zablokować agenta połączonej maszyny platformy Azure dla kontrolera domeny, który musi używać agenta usługi Azure Monitor do zbierania dzienników zabezpieczeń dla usług Microsoft Sentinel i Microsoft Defender dla serwerów w celu ochrony przed złośliwym oprogramowaniem:

azcmagent config set incomingconnections.enabled false

azcmagent config set guestconfiguration.enabled false

azcmagent config set extensions.allowlist “Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows”