Säkerhetsfunktioner för Azure Stack HCI, version 23H2

Gäller för: Azure Stack HCI, version 23H2

Azure Stack HCI är en säker produkt som standard och har fler än 300 säkerhetsinställningar aktiverade redan från början. Standardsäkerhetsinställningar ger en konsekvent säkerhetsbaslinje för att säkerställa att enheterna startar i ett känt bra tillstånd.

Den här artikeln innehåller en kort översikt över de olika säkerhetsfunktioner som är associerade med ditt Azure Stack HCI-kluster. Funktionerna omfattar standardinställningar för säkerhet, Windows Defender för programkontroll (WDAC), volymkryptering via BitLocker, hemlig rotation, lokala inbyggda användarkonton, Microsoft Defender för molnet med mera.

Standardinställningar för säkerhet

Din Azure Stack HCI har säkerhetsinställningar aktiverade som standard som ger en konsekvent säkerhetsbaslinje, ett baslinjehanteringssystem och en mekanism för driftkontroll.

Du kan övervaka säkerhetsbaslinjen och inställningarna för skyddade kärnor under både distribution och körning. Du kan också inaktivera driftkontroll under distributionen när du konfigurerar säkerhetsinställningar.

När driftkontrollen tillämpas uppdateras säkerhetsinställningarna var 90:e minut. Det här uppdateringsintervallet säkerställer reparation av eventuella ändringar från önskat tillstånd. Kontinuerlig övervakning och automatisk förmedling möjliggör en konsekvent och tillförlitlig säkerhetsstatus under hela enhetens livscykel.

Säker baslinje på Azure Stack HCI:

  • Förbättrar säkerhetsstatusen genom att inaktivera äldre protokoll och chiffer.
  • Minskar OPEX med en inbyggd driftskyddsmekanism som möjliggör konsekvent övervakning i stor skala via Azure Arc Hybrid Edge-baslinjen.
  • Gör att du kan uppfylla STIG-kraven (Center for Internet Security) och DISA (Defense Information System Agency) security technical implementation guide (STIG) för operativsystemet och rekommenderad säkerhetsbaslinje.

Mer information finns i Hantera standardinställningar för säkerhet på Azure Stack HCI.

Windows Defender Application Control

WDAC är ett programvarubaserat säkerhetslager som minskar attackytan genom att framtvinga en explicit lista över programvara som tillåts köras. WDAC är aktiverat som standard och begränsar de program och den kod som du kan köra på kärnplattformen. Mer information finns i Manage Windows Defender Application Control for Azure Stack HCI, version 23H2.

WDAC tillhandahåller två huvudsakliga åtgärdslägen: Tvingande läge och Granskningsläge. I tvingande läge blockeras obetrodd kod och händelser registreras. I granskningsläge tillåts obetrodd kod att köras och händelser registreras. Mer information om WDAC-relaterade händelser finns i Lista över händelser.

Viktigt

För att minimera säkerhetsrisken kör du alltid WDAC i tvingande läge.

Om WDAC-principdesign

Microsoft tillhandahåller grundläggande signerade principer på Azure Stack HCI för både tvingande läge och granskningsläge. Dessutom innehåller principer en fördefinierad uppsättning regler för plattformsbeteende och blockregler som ska tillämpas på programkontrolllagret.

Sammansättningen av basprinciper

Grundprinciperna för Azure Stack HCI innehåller följande avsnitt:

  • Metadata: Metadata definierar unika egenskaper för principen, till exempel principnamn, version, GUID med mera.
  • Alternativregler: Dessa regler definierar principbeteende. Kompletterande principer kan bara skilja sig från en liten uppsättning alternativregler som är knutna till deras basprincip.
  • Tillåt och neka regler: Dessa regler definierar gränser för kodförtroende. Regler kan baseras på utgivare, undertecknare, filhash med mera.

Alternativregler

I det här avsnittet diskuterades de alternativregler som aktiveras av basprincipen.

För den framtvingade principen är följande alternativregler aktiverade som standard:

Alternativregel Värde
Enabled UMCI
Obligatorisk WHQL
Enabled Tillåt kompletterande principer
Enabled Återkallad har upphört att gälla som osignerad
Inaktiverad Signering av förhandsversion
Enabled Osignerad systemintegritetsprincip (standard)
Enabled Dynamisk kodsäkerhet
Enabled Menyn Avancerade startalternativ
Inaktiverad Skripttillämpning
Enabled Hanterat installationsprogram
Enabled Uppdatera princip ingen omstart

Granskningsprincip lägger till följande alternativregler i basprincipen:

Alternativregel Värde
Enabled Granskningsläge (standard)

Mer information finns i den fullständiga listan över alternativregler.

Tillåt och neka regler

Tillåt att regler i basprincipen tillåter att alla Microsoft-komponenter som levereras av operativsystemet och molndistributionerna är betrodda. Neka-regler blockerar program i användarläge och kernelkomponenter som anses vara osäkra för lösningens säkerhetsstatus.

Anteckning

Reglerna Tillåt och Neka i basprincipen uppdateras regelbundet för att förbättra produktens funtionalitet och maximera skyddet av din lösning.

Mer information om att neka regler finns i:

BitLocker-kryptering

Kryptering av vilande data aktiveras på datavolymer som skapas under distributionen. Dessa datavolymer omfattar både infrastrukturvolymer och arbetsbelastningsvolymer. När du distribuerar klustret kan du ändra säkerhetsinställningarna.

Som standard aktiveras kryptering av vilande data under distributionen. Vi rekommenderar att du godkänner standardinställningen.

När Azure Stack HCI har distribuerats kan du hämta BitLocker-återställningsnycklar. Du måste lagra BitLocker-återställningsnycklar på en säker plats utanför systemet.

Mer information om BitLocker-kryptering finns i:

Lokala inbyggda användarkonton

I den här versionen är följande lokala inbyggda användare associerade med RID 500 och RID 501 tillgängliga i ditt Azure Stack HCI-system:

Namn i den första OS-avbildningen Namn efter distribution Aktiverat som standard Description
Administratör ASBuiltInAdmin Sant Inbyggt konto för att administrera datorn/domänen.
Gäst ASBuiltInGuest Falskt Inbyggt konto för gäståtkomst till datorn/domänen, skyddat av säkerhetsbaslinjens driftkontrollmekanism.

Viktigt

Vi rekommenderar att du skapar ett eget lokalt administratörskonto och inaktiverar det välkända RID 500 användarkontot.

Skapa och rotera hemligheter

Orchestrator i Azure Stack HCI kräver flera komponenter för att upprätthålla säker kommunikation med andra infrastrukturresurser och tjänster. Alla tjänster som körs i klustret har autentiserings- och krypteringscertifikat kopplade till sig.

För att säkerställa säkerheten implementerar vi skapande- och rotationsfunktioner för interna hemligheter. När du granskar dina klusternoder visas flera certifikat som skapats under sökvägen LocalMachine/Personligt certifikatarkiv (Cert:\LocalMachine\My).

I den här versionen är följande funktioner aktiverade:

  • Möjligheten att skapa certifikat under distributionen och efter klusterskalningsåtgärder.
  • Automatisk autorotation innan certifikaten upphör att gälla och ett alternativ för att rotera certifikat under klustrets livslängd.
  • Möjligheten att övervaka och avisera om certifikat fortfarande är giltiga.

Anteckning

Det tar ungefär tio minuter att skapa och rotera hemligheter, beroende på klustrets storlek.

Mer information finns i Hantera rotering av hemligheter.

Syslog-vidarebefordran av säkerhetshändelser

För kunder och organisationer som kräver ett eget siem-system (lokal säkerhetsinformation och händelsehantering) innehåller Azure Stack HCI version 23H2 en integrerad mekanism som gör att du kan vidarebefordra säkerhetsrelaterade händelser till en SIEM.

Azure Stack HCI har en integrerad syslog-vidarebefordrare som när den har konfigurerats genererar syslog-meddelanden som definierats i RFC3164, med nyttolasten i Common Event Format (CEF).

Följande diagram illustrerar integreringen av Azure Stack HCI med en SIEM. Alla granskningar, säkerhetsloggar och aviseringar samlas in på varje värd och exponeras via syslog med CEF-nyttolasten.

I följande diagram beskrivs integreringen av Azure Stack HCI med ett externt SIEM-system (säkerhetsinformation och händelsehantering).

Syslog-vidarebefordran agenter distribueras på varje Azure Stack HCI-värd för att vidarebefordra syslog-meddelanden till den kundkonfigurerade syslog-servern. Syslog-vidarebefordran agenter fungerar oberoende av varandra men kan hanteras tillsammans på någon av värdarna.

Syslog-vidarebefordraren i Azure Stack HCI stöder olika konfigurationer baserat på om syslog-vidarebefordran är med TCP eller UDP, om krypteringen är aktiverad eller inte och om det finns enkelriktad eller dubbelriktad autentisering.

Mer information finns i Hantera syslog-vidarebefordran.

Microsoft Defender för molnet (förhandsversion)

Microsoft Defender för molnet är en lösning för hantering av säkerhetsstatus med avancerade funktioner för skydd mot hot. Det ger dig verktyg för att utvärdera säkerhetsstatusen för din infrastruktur, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Den utför alla dessa tjänster med hög hastighet i molnet genom automatisk avetablering och skydd med Azure-tjänster, utan några omkostnader för distributionen.

Med den grundläggande Defender for Cloud-planen får du rekommendationer om hur du kan förbättra säkerhetsstatusen för ditt Azure Stack HCI-system utan extra kostnad. Med den betalda Defender for Servers-planen får du förbättrade säkerhetsfunktioner, inklusive säkerhetsaviseringar för enskilda servrar och virtuella Arc-datorer.

Mer information finns i Hantera systemsäkerhet med Microsoft Defender för molnet (förhandsversion).

Nästa steg