Az Azure Stack HCI biztonsági szempontjai

A következőkre vonatkozik: Azure Stack HCI, 22H2 és 21H2 verzió; Windows Server 2022, Windows Server 2019

Ez a cikk az Azure Stack HCI operációs rendszerrel kapcsolatos biztonsági szempontokat és javaslatokat tartalmaz:

• Az 1. rész az operációs rendszer hatékonyabbá tételéhez szükséges alapvető biztonsági eszközöket és technológiákat, valamint az adatok és identitások védelmét ismerteti, hogy hatékonyan építhesse ki a szervezet biztonságos alapjait.
• A 2. rész a Felhőhöz készült Microsoft Defender keresztül elérhető erőforrásokat ismerteti. Lásd a Microsoft Defender for Cloud bevezetést.
• A 3. rész részletesebb biztonsági szempontokat tartalmaz, amelyek tovább erősítik a szervezet biztonsági pozícióját ezeken a területeken.

Miért fontosak a biztonsági szempontok?

A biztonság a szervezet minden tagját érinti a felső szintű felügyelettől az információs feldolgozóig. A nem megfelelő biztonság valós kockázatot jelent a szervezetek számára, mivel a biztonsági incidensek potenciálisan megzavarhatják az összes normális vállalkozást, és leálltathatják a szervezetet. Minél hamarabb észleli a potenciális támadást, annál gyorsabban enyhítheti a biztonsági kockázatokat.

Miután megvizsgálták a környezet gyenge pontjait, hogy kihasználják őket, a támadók általában a kezdeti kompromisszumtól számított 24–48 órán belül eszkalálhatják a jogosultságokat, hogy átvegyék az irányítást a hálózati rendszerek felett. A megfelelő biztonsági intézkedések megkeményítik a környezet rendszereit, hogy meghosszabbítsa azt az időt, amely alatt a támadó óráktól hetekig vagy akár hónapokig is átveheti az irányítást a támadó mozgásának blokkolásával. A jelen cikkben szereplő biztonsági javaslatok végrehajtása arra helyezi a szervezetet, hogy a lehető leggyorsabban észlelje és reagáljon az ilyen támadásokra.

1. rész: Biztonságos alap létrehozása

A következő szakaszok biztonsági eszközöket és technológiákat javasolnak, hogy biztonságos alapokat építsenek ki a környezetben az Azure Stack HCI operációs rendszert futtató kiszolgálók számára.

A környezet megkeményítése

Ez a szakasz az operációs rendszeren futó szolgáltatások és virtuális gépek (VM-ek) védelmét ismerteti:

• Az Azure Stack HCI-tanúsítvánnyal rendelkező hardver konzisztens Biztonságos rendszerindítási, UEFI- és TPM-beállításokat biztosít a dobozon kívül. A virtualizációalapú biztonság és a minősített hardver kombinálása segít megvédeni a biztonsági szempontból érzékeny számítási feladatokat. Ezt a megbízható infrastruktúrát csatlakoztathatja a Felhőhöz készült Microsoft Defender a viselkedéselemzés és a jelentéskészítés aktiválásához, hogy figyelembe vegye a gyorsan változó számítási feladatokat és fenyegetéseket.

  • A biztonságos rendszerindítás a pc-iparág által kifejlesztett biztonsági szabvány, amely biztosítja, hogy az eszköz csak az eredeti berendezésgyártó (OEM) által megbízható szoftvereket használjon. További információ: Biztonságos rendszerindítás.
  • A United Extensible Firmware Interface (UEFI) szabályozza a kiszolgáló indítási folyamatát, majd átadja az irányítást a Windowsnak vagy egy másik operációs rendszernek. További információkért tekintse meg az UEFI belső vezérlőprogramra vonatkozó követelményeit.
  • A megbízható platformmodul (TPM) technológia hardveralapú, biztonsággal kapcsolatos funkciókat biztosít. A TPM-chip egy biztonságos kriptoprocesszor, amely kriptográfiai kulcsokat generál, tárol és korlátozza. További információ: Megbízható platformmodulok technológiájának áttekintése.

  Az Azure Stack HCI-tanúsítvánnyal rendelkező hardverszolgáltatókkal kapcsolatos további információkért tekintse meg az Azure Stack HCI-megoldások webhelyét.

• A Biztonsági eszköz natív módon érhető el a Windows Felügyeleti központban az egykiszolgálós és az Azure Stack HCI-fürtökhöz is, hogy megkönnyítse a biztonságkezelést és -vezérlést. Az eszköz központosítja a kiszolgálók és fürtök néhány kulcsfontosságú biztonsági beállítását, beleértve a rendszerek védett magállapotának megtekintését is.

  További információ: Védett magú kiszolgáló.

• Device Guard és Credential Guard. A Device Guard védelmet nyújt az olyan kártevők ellen, amelyek nem tartalmaznak ismert aláírást, aláíratlan kódot és olyan kártevőket, amelyek hozzáférést kapnak a kernelhez bizalmas információk rögzítéséhez vagy a rendszer károsodásához. A Windows Defender Credential Guard virtualizációalapú biztonsággal elkülöníti a titkos kulcsokat, hogy csak a kiemelt rendszerszoftverek férhessenek hozzá hozzájuk.

  További információ: Windows Defender Credential Guard kezelése és a Device Guard és a Credential Guard hardverkészségi eszközének letöltése.

• A Windows- és belső vezérlőprogram-frissítések elengedhetetlenek a fürtökön, kiszolgálókon (beleértve a vendég virtuális gépeket) és a számítógépeken annak érdekében, hogy mind az operációs rendszer, mind a rendszer hardvere védve legyen a támadókkal szemben. A Windows Felügyeleti központ frissítési eszközével frissítéseket alkalmazhat az egyes rendszerekre. Ha a hardverszolgáltató támogatja a Windows Felügyeleti központot az illesztőprogramok, a belső vezérlőprogram és a megoldásfrissítések lekéréséhez, ezeket a frissítéseket a Windows frissítésekkel egy időben szerezheti be; ellenkező esetben kérje le őket közvetlenül a szállítótól.

  További információ: A klaszter frissítése.

  Ha egyszerre több fürtön és kiszolgálón szeretné kezelni a frissítéseket, érdemes lehet feliratkozni az opcionális Azure Update Management szolgáltatásra, amely a Windows Felügyeleti központtal van integrálva. További információ: Azure Update Management a Windows Felügyeleti központ használatával.

Adatok védelme

Ez a szakasz azt ismerteti, hogyan használható a Windows Felügyeleti központ az operációs rendszer adatainak és számítási feladatainak védelmére:

• A BitLocker a Tárolóhelyekhez védi a nyugalmi állapotú adatokat. A BitLocker használatával titkosíthatja Tárolóhelyek adatkötetek tartalmát az operációs rendszeren. A BitLocker adatainak védelme segíthet a szervezeteknek a kormányzati, regionális és iparágspecifikus szabványoknak, például a FIPS 140-2 és a HIPAA szabványnak való megfelelésben.

  A BitLocker Windows Felügyeleti központban való használatáról további információt a kötettitkosítás, a deduplikáció és a tömörítés engedélyezése című témakörben talál .

• A Windows hálózatkezelés SMB-titkosítása védi az átvitel alatt lévő adatokat. A kiszolgálói üzenetblokk (SMB) egy hálózati fájlmegosztási protokoll, amely lehetővé teszi a számítógépen lévő alkalmazások számára a fájlok olvasását és írását, valamint a kiszolgálói programoktól való szolgáltatások kérését a számítógép-hálózaton.

  Az SMB-titkosítás engedélyezéséhez tekintse meg az SMB biztonsági fejlesztéseit.

• A Windows Defender víruskereső védi az operációs rendszert az ügyfeleken és kiszolgálókon a vírusok, kártevők, kémprogramok és egyéb fenyegetések ellen. További információ: Microsoft Defender víruskereső a Windows Serveren.

Identitások védelme

Ez a szakasz bemutatja, hogyan használható a Windows Felügyeleti központ a kiemelt identitások védelmére:

• A hozzáférés-vezérlés javíthatja a felügyeleti környezet biztonságát. Ha Windows Admin Center-kiszolgálót használ (vagy Windows 10 rendszerű számítógépen fut), a Windows Felügyeleti központhoz való hozzáférés két szintjét szabályozhatja: az átjárófelhasználókat és az átjáró-rendszergazdákat. Az átjáró-rendszergazdai identitásszolgáltató beállításai a következők:

  • Active Directory- vagy helyi gépcsoportok az intelligenskártya-hitelesítés kikényszerítéséhez.
  • Microsoft Entra-azonosító a feltételes hozzáférés és a többtényezős hitelesítés kényszerítéséhez.

  További információ: Felhasználói hozzáférés beállításai a Windows Felügyeleti központtal , valamint a felhasználói hozzáférés-vezérlés és -engedélyek konfigurálása.

• A Windows Felügyeleti központba irányuló böngészőforgalom HTTPS-t használ. A Windows Felügyeleti központból kezelt kiszolgálókhoz irányuló forgalom szabványos PowerShellt és Windows Management Instrumentationt (WMI) használ a Windows Remote Management (WinRM) segítségével. A Windows Felügyeleti központ támogatja a helyi rendszergazdai jelszómegoldást (LAPS), az erőforrás-alapú korlátozott delegálást, az Active Directory (AD) vagy a Microsoft Entra ID használatával történő átjáró-hozzáférés-vezérlést, valamint a Szerepköralapú hozzáférés-vezérlést (RBAC) a Windows Felügyeleti központ átjárójának kezeléséhez.

  A Windows Felügyeleti központ támogatja a Microsoft Edge-t (Windows 10, 1709-es vagy újabb verzió), a Google Chrome-ot és a Windows 10-es Microsoft Edge Insidert. A Windows Felügyeleti központot Windows 10 rendszerű pc-n vagy Windows-kiszolgálón is telepítheti.

  Ha a Windows Felügyeleti központot egy kiszolgálóra telepíti, az átjáróként fut, felhasználói felület nélkül a gazdakiszolgálón. Ebben a forgatókönyvben a rendszergazdák egy HTTPS-munkameneten keresztül jelentkezhetnek be a kiszolgálóra, amelyet a gazdagép önaláírt biztonsági tanúsítványa biztosít. Érdemes azonban megbízható hitelesítésszolgáltatótól származó megfelelő SSL-tanúsítványt használni a bejelentkezési folyamathoz, mert a támogatott böngészők az önaláírt kapcsolatot nem biztonságosnak tekintik, még akkor is, ha a kapcsolat egy megbízható VPN-en keresztüli helyi IP-címhez kapcsolódik.

  Ha többet szeretne megtudni a szervezet telepítési lehetőségeiről, olvassa el a megfelelő telepítési típust ismertető témakört.

• CredSSP egy hitelesítési szolgáltató, amelyet a Windows Felügyeleti központ néhány esetben használ hitelesítő adatok átadására a kezelni kívánt kiszolgálón túli gépeknek. A Windows Felügyeleti központhoz jelenleg a CredSSP szükséges:

  • Új csoport létrehozása.
  • Lépjen a Frissítések eszközre a Feladatátvételi fürtözés vagy a fürtök frissítése funkciók használatához.
  • A nem összesített SMB-tároló kezelése virtuális gépeken.

  További információ: A Windows Felügyeleti központ a CredSSP-t használja?

• A Windows Felügyeleti központban az identitások kezelésére és védelmére használható biztonsági eszközök közé tartoznak többek között az Active Directory, a Tanúsítványok, a Tűzfal, a Helyi felhasználók és csoportok.

  További információ: Kiszolgálók kezelése a Windows Felügyeleti központtal.

2. rész: Felhőhöz készült Microsoft Defender (MDC) használata

Felhőhöz készült Microsoft Defender egy egységes infrastruktúrabiztonsági felügyeleti rendszer, amely erősíti az adatközpontok biztonsági pozícióját, és fejlett fenyegetésvédelmet biztosít a hibrid számítási feladatokhoz a felhőben és a helyszínen. Felhőhöz készült Defender eszközöket biztosít a hálózat biztonsági állapotának felméréséhez, a számítási feladatok védelméhez, a biztonsági riasztások létrehozásához, valamint konkrét javaslatok követéséhez a támadások elhárításához és a jövőbeli fenyegetések kezeléséhez. A Defender for Cloud nagy sebességgel hajtja végre ezeket a szolgáltatásokat a felhőben, és nincs üzembe helyezési többletterhelés az Azure-szolgáltatások automatikus kiépítésével és védelmével.

Felhőhöz készült Defender windowsos és Linux rendszerű kiszolgálók virtuális gépeit is védi a Log Analytics-ügynök ezen erőforrásokra való telepítésével. Az Azure korrelálja az ügynökök által gyűjtött eseményeket az Ön által a számítási feladatok biztonságossá tétele érdekében végrehajtott javaslatokba (megkeményítési feladatokba). A biztonsági ajánlott eljárásokon alapuló megkeményítési feladatok közé tartozik a biztonsági szabályzatok kezelése és betartatása. Ezután nyomon követheti az eredményeket, és felügyelheti a megfelelőséget és az irányítást a Felhőhöz készült Defender szolgáltatás monitorozásával, miközben csökkenti a támadási felületet minden erőforrásnál.

Annak kezelése, hogy ki férhet hozzá az Azure-erőforrásokhoz és -előfizetésekhez, az Azure-szabályozási stratégia fontos részét képezi. Az Azure RBAC az Azure-beli hozzáférés kezelésének elsődleges módja. További információ: Azure-környezethez való hozzáférés kezelése szerepköralapú hozzáférés-vezérléssel.

A Defender for Cloud a Windows Felügyeleti központban való használatához Azure-előfizetésre van szükség. Első lépésként tekintse meg a Microsoft Defender for Cloud segítségével védje a Windows Admin Center erőforrásait című témakört. Első lépésként tekintse meg a Defender kiszolgáló üzembe helyezésének megtervezését ismertető témakört. A Defender for Servers (kiszolgálócsomagok) licencelésével kapcsolatban lásd: Defender for Servers-csomag kiválasztása.

Regisztráció után nyissa meg az MDC-t a Windows Felügyeleti központban: A Minden kapcsolat lapon válasszon ki egy kiszolgálót vagy virtuális gépet az Eszközök területen, válassza a Felhőhöz készült Microsoft Defender, majd a Bejelentkezés az Azure-ba lehetőséget.

További információért lásd: Mi a Microsoft Defender for Cloud?

3. rész: Speciális biztonság hozzáadása

A következő szakaszok speciális biztonsági eszközöket és technológiákat javasolnak az Azure Stack HCI operációs rendszert futtató kiszolgálók további védelméhez a környezetben.

A környezet megkeményítése

• A Microsoft biztonsági alapkonfigurációi a Microsoft által a kereskedelmi szervezetekkel és az Amerikai Egyesült Államok kormányával( például a Védelmi Minisztériummal) folytatott partnerségen alapuló biztonsági javaslatokon alapulnak. A biztonsági alapkonfigurációk közé tartoznak a Windows Tűzfal, a Windows Defender és sok más ajánlott biztonsági beállítások.

  A biztonsági alapkonfigurációkat csoportházirend-objektum (GPO) biztonsági másolatokként biztosítjuk, amelyeket importálhat Active Directory-tartományi szolgáltatásokba (AD DS), és ezután üzembe helyezheti a tartományhoz csatlakoztatott kiszolgálókra, hogy megerősítse a környezet biztonságosságát. A helyi szkripteszközökkel önálló (nem tartományhoz csatlakoztatott) kiszolgálókat is konfigurálhat biztonsági alapkonfigurációkkal. A biztonsági alapkonfigurációk használatának megkezdéséhez töltse le a Microsoft Security Compliance Toolkit 1.0-t.

  További információkért tekintse meg a Microsoft biztonsági alapkonfigurációit.

Adatok védelme

• A Hyper-V környezet megkeményítéséhez meg kell edzeni a virtuális gépen futó Windows Servert, ahogyan a fizikai kiszolgálón futó operációs rendszert is. Mivel a virtuális környezetekben általában több virtuális gép osztozik ugyanazon a fizikai gazdagépen, elengedhetetlen a fizikai gazdagép és a rajta futó virtuális gépek védelme is. Egy támadó, aki kompromittálja a gazdagépet, több virtuális gépet is érinthet, aminek nagyobb hatása lehet a számítási feladatokra és a szolgáltatásokra. Ez a szakasz a Következő módszereket ismerteti, amelyekkel a Windows Servert megerősítheti Hyper-V környezetben:

  • A Windows Server virtuális platformmodulja (vTPM) támogatja a virtuális gépek TPM-ét, amely lehetővé teszi a fejlett biztonsági technológiák, például a BitLocker használatát a virtuális gépeken. A TPM-támogatást bármely 2. generációs Hyper-V virtuális gépen engedélyezheti a Hyper-V Manager vagy a Enable-VMTPM Windows PowerShell-parancsmag használatával.

    Feljegyzés

    A vTPM engedélyezése hatással lesz a virtuális gépek mobilitására: manuális műveletekre van szükség ahhoz, hogy a virtuális gép az eredetileg engedélyezett vTPM-től eltérő gazdagépen induljon el.

    További információ: Enable-VMTPM.

  • Az Azure Stack HCI és a Windows Server szoftveralapú hálózatkezelése (SDN) központilag konfigurálja és kezeli a virtuális hálózati eszközöket, például a szoftveres terheléselosztót, az adatközpont tűzfalát, az átjárókat és a virtuális kapcsolókat az infrastruktúrában. A virtuális hálózati elemek, például a Hyper-V virtuális kapcsoló, a Hyper-V hálózatvirtualizálás és a RAS Gateway úgy vannak kialakítva, hogy az SDN-infrastruktúra szerves elemei legyenek.

    További információ: Szoftveralapú hálózatkezelés (SDN).

    Feljegyzés

    A Gazdagép-őrző szolgáltatás által védett virtuális gépek nem támogatottak az Azure Stack HCI-ben.

Identitások védelme

• A helyi rendszergazdai jelszómegoldás (LAPS) egy egyszerű mechanizmus az Active Directory tartományhoz csatlakoztatott rendszerekhez, amelyek rendszeresen beállítják az egyes számítógépek helyi rendszergazdai fiók jelszavát egy új véletlenszerű és egyedi értékre. A jelszavak egy biztonságos bizalmas attribútumban vannak tárolva az Active Directory megfelelő számítógép-objektumán, ahol csak a kifejezetten jogosult felhasználók kérhetik le őket. A LAPS a helyi fiókokat használja a távoli számítógép-felügyelethez, ami bizonyos előnyöket nyújt a tartományi fiókok használatával szemben. További információ: A helyi fiókok távoli használata: A LAPS mindent megváltoztat.

  A LAPS használatának megkezdéséhez töltse le a helyi rendszergazdai jelszómegoldást (LAPS).

• A Microsoft Advanced Threat Analytics (ATA) egy helyszíni termék, amellyel észlelheti a kiemelt identitásokat veszélyeztetni próbáló támadókat. Az ATA elemzi a hálózati forgalmat a hitelesítés, az engedélyezés és az információgyűjtési protokollok, például a Kerberos és a DNS esetében. Az ATA az adatokat a felhasználók és más entitások viselkedési profiljainak létrehozására használja a hálózaton az anomáliák és az ismert támadási minták észlelésére.

  További információ: Mi az Advanced Threat Analytics?

• A Windows Defender Remote Credential Guard távoli asztali kapcsolaton keresztül védi a hitelesítő adatokat a Kerberos-kérések visszairányításával a kapcsolatot kérő eszközre. Emellett egyszeri bejelentkezést (SSO) is biztosít a távoli asztali munkamenetekhez. Távoli asztali munkamenet során, ha a céleszköz biztonsága sérül, a hitelesítő adatok nem lesznek közzétéve, mert a hitelesítő adatok és a hitelesítő adatok származékai soha nem kerülnek át a hálózaton a céleszközre.

  További információ: A Windows Defender hitelesítő adatainak védelme.

• A(z) Microsoft Defender for Identities a felhasználói viselkedés és tevékenységek monitorozásával, a támadási felület csökkentésével, az Active Directory Federation Services (AD FS) védelmével hibrid környezetben, valamint a gyanús tevékenységek és a fejlett támadások azonosításával segít a kibertámadási lánc különböző szakaszaiban.

  További információ: Mi az a Microsoft Defender for Identity?

Következő lépések

További információ a biztonságról és a jogszabályi megfelelőségről:

• Biztonsági és garancia.