Recursos de segurança para o Azure Stack HCI, versão 23H2

Aplica-se a: Azure Stack HCI, versão 23H2

O Azure Stack HCI é um produto seguro por padrão que tem mais de 300 configurações de segurança habilitadas desde o início. As configurações de segurança padrão fornecem uma linha de base de segurança consistente para garantir que os dispositivos comecem em um estado válido conhecido.

Este artigo fornece uma breve visão geral conceitual dos vários recursos de segurança associados ao cluster do Azure Stack HCI. Os recursos incluem padrões de segurança, Windows Defender para Controle de Aplicativo (WDAC), criptografia de volume por meio do BitLocker, rotação de segredos, contas de usuário internas locais, Microsoft Defender para Nuvem e muito mais.

Padrões de segurança

O Azure Stack HCI tem configurações de segurança habilitadas por padrão que fornecem uma linha de base de segurança consistente, um sistema de gerenciamento de linha de base e um mecanismo de controle de descompasso.

Você pode monitorar as configurações de linha de base de segurança e núcleo seguro durante a implantação e o runtime. Você também pode desabilitar o controle de descompasso durante a implantação ao definir as configurações de segurança.

Com o controle de descompasso aplicado, as configurações de segurança são atualizadas a cada 90 minutos. Esse intervalo de atualização garante a correção de quaisquer alterações do estado desejado. O monitoramento contínuo e a autoremediação permitem uma postura de segurança consistente e confiável durante todo o ciclo de vida do dispositivo.

Linha de base segura no Azure Stack HCI:

  • Melhora a postura de segurança desabilitando protocolos herdados e criptografias.
  • Reduz o OPEX com um mecanismo de proteção de descompasso interno que permite o monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
  • Permite que você atenda aos requisitos de parâmetro de comparação do CIS (Center for Internet Security) e do STIG (Guia de Implementação Técnica de Segurança) da DISA (Defense Information System Agency) para o sistema operacional e a linha de base de segurança recomendada.

Para obter mais informações, consulte Gerenciar padrões de segurança no Azure Stack HCI.

Controle de Aplicativos do Windows Defender

O WDAC é uma camada de segurança baseada em software que reduz a superfície de ataque impondo uma lista explícita de software que tem permissão para ser executado. O WDAC é habilitado por padrão e limita os aplicativos e o código que você pode executar na plataforma principal. Para obter mais informações, consulte Gerenciar Windows Defender Controle de Aplicativos para o Azure Stack HCI, versão 23H2.

O WDAC fornece dois modos de operação main, modo de imposição e Modo de auditoria. No modo de imposição, o código não confiável é bloqueado e os eventos são registrados. No modo auditoria, o código não confiável tem permissão para ser executado e os eventos são registrados. Para saber mais sobre eventos relacionados ao WDAC, consulte Lista de eventos.

Importante

Para minimizar o risco de segurança, sempre execute o WDAC no modo de imposição.

Sobre o design de política do WDAC

A Microsoft fornece políticas assinadas de base no Azure Stack HCI para o modo de imposição e o modo de auditoria. Além disso, as políticas incluem um conjunto predefinido de regras de comportamento de plataforma e regras de bloqueio a serem aplicadas à camada de controle do aplicativo.

Composição de políticas base

As políticas base do Azure Stack HCI incluem as seguintes seções:

  • Metadados: os metadados definem propriedades exclusivas da política, como o nome da política, a versão, o GUID e muito mais.
  • Regras de opção: essas regras definem o comportamento da política. As políticas complementares só podem ser diferentes de um pequeno conjunto de regras de opção vinculadas à política base.
  • Regras de permissão e negação: essas regras definem limites de confiança de código. As regras podem ser baseadas em Publicadores, Signatários, Hash de Arquivo e muito mais.

Regras de opção

Esta seção discutiu as regras de opção habilitadas pela política base.

Para a política imposta, as seguintes regras de opção são habilitadas por padrão:

Regra de opção Valor
habilitado UMCI
Obrigatório WHQL
habilitado Permitir Políticas Complementares
habilitado Revogado expirado como não assinado
Desabilitado Assinatura de Voo
habilitado Política de integridade do sistema não assinada (padrão)
habilitado Segurança de código dinâmico
habilitado Menu Opções avançadas de inicialização
Desabilitado Imposição de script
habilitado Instalador Gerenciado
habilitado Política de Atualização Sem Reinicialização

A política de auditoria adiciona as seguintes regras de opção à política base:

Regra de opção Valor
habilitado Modo de auditoria (padrão)

Para obter mais informações, consulte a Lista completa de regras de opção.

Regras de permissão e negação

As regras de permissão na política base permitem que todos os componentes da Microsoft fornecidos pelo sistema operacional e pelas implantações de nuvem sejam confiáveis. As regras de negação bloqueiam aplicativos de modo de usuário e componentes de kernel considerados inseguros para a postura de segurança da solução.

Observação

As regras Permitir e Negar na política base são atualizadas regularmente para melhorar a funtionalidade do produto e maximizar a proteção da sua solução.

Para saber mais sobre regras de negação, confira:

Criptografia de BitLocker

A criptografia de dados em repouso é habilitada em volumes de dados criados durante a implantação. Esses volumes de dados incluem volumes de infraestrutura e volumes de carga de trabalho. Ao implantar o cluster, você pode modificar as configurações de segurança.

Por padrão, a criptografia de dados em repouso é habilitada durante a implantação. Recomendamos que você aceite a configuração padrão.

Depois que o Azure Stack HCI for implantado com êxito, você poderá recuperar as chaves de recuperação do BitLocker. Você deve armazenar chaves de recuperação do BitLocker em um local seguro fora do sistema.

Para obter mais informações sobre a criptografia BitLocker, consulte:

Contas de usuário internas locais

Nesta versão, os seguintes usuários internos locais associados RID 500 a e RID 501 estão disponíveis em seu sistema Azure Stack HCI:

Nome na imagem inicial do sistema operacional Nome após a implantação Habilitado por padrão Descrição
Administrador ASBuiltInAdmin True Conta interna para administrar o computador/domínio.
Convidado ASBuiltInGuest Falso Conta interna para acesso de convidado ao computador/domínio, protegida pelo mecanismo de controle de descompasso da linha de base de segurança.

Importante

Recomendamos que você crie sua própria conta de administrador local e desabilite a conta de usuário conhecida RID 500 .

Criação e rotação de segredos

O orquestrador no Azure Stack HCI requer vários componentes para manter comunicações seguras com outros recursos e serviços de infraestrutura. Todos os serviços em execução no cluster têm certificados de autenticação e criptografia associados a eles.

Para garantir a segurança, implementamos recursos internos de criação e rotação de segredos. Ao examinar os nós de cluster, você verá vários certificados criados no caminho LocalMachine/Repositório de certificados pessoais (Cert:\LocalMachine\My).

Nesta versão, os seguintes recursos estão habilitados:

  • A capacidade de criar certificados durante a implantação e após operações de escala de cluster.
  • Autootação automatizada antes da expiração dos certificados e uma opção para girar certificados durante o tempo de vida do cluster.
  • A capacidade de monitorar e alertar se os certificados ainda são válidos.

Observação

As operações de criação e rotação de segredo levam cerca de dez minutos para serem concluídas, dependendo do tamanho do cluster.

Para obter mais informações, consulte Gerenciar rotação de segredos.

Encaminhamento Syslog de eventos de segurança

Para clientes e organizações que exigem seu próprio sistema SIEM (gerenciamento de eventos e informações de segurança local), o Azure Stack HCI versão 23H2 inclui um mecanismo integrado que permite encaminhar eventos relacionados à segurança para um SIEM.

O Azure Stack HCI tem um encaminhador de syslog integrado que, uma vez configurado, gera mensagens de syslog definidas em RFC3164, com a carga no CEF (Formato de Evento Comum).

O diagrama a seguir ilustra a integração do Azure Stack HCI com um SIEM. Todas as auditorias, logs de segurança e alertas são coletados em cada host e expostos por meio de syslog com o conteúdo do CEF.

O diagrama a seguir descreve a integração do Azure Stack HCI com um sistema SIEM (gerenciamento de eventos e informações de segurança externo).

Os agentes de encaminhamento do Syslog são implantados em cada host do Azure Stack HCI para encaminhar mensagens de syslog para o servidor syslog configurado pelo cliente. Os agentes de encaminhamento do Syslog trabalham independentemente uns dos outros, mas podem ser gerenciados juntos em qualquer um dos hosts.

O encaminhador do syslog no Azure Stack HCI dá suporte a várias configurações com base no encaminhamento de syslog com TCP ou UDP, se a criptografia está habilitada ou não e se há autenticação unidirecional ou bidirecional.

Para obter mais informações, consulte Gerenciar encaminhamento de syslog.

Microsoft Defender para Nuvem (versão prévia)

Microsoft Defender para Nuvem é uma solução de gerenciamento de postura de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar a segurança status de sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e resolver ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem por meio de provisionamento automático e proteção com serviços do Azure, sem sobrecarga de implantação.

Com o plano básico do Defender para Nuvem, você obtém recomendações sobre como melhorar a postura de segurança do sistema Azure Stack HCI sem custo adicional. Com o plano pago do Defender para Servidores, você obtém recursos de segurança aprimorados, incluindo alertas de segurança para servidores individuais e VMs arc.

Para obter mais informações, consulte Gerenciar a segurança do sistema com Microsoft Defender para Nuvem (versão prévia).

Próximas etapas