Az Azure Local biztonsági funkciói
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Fontos
Az Azure Stack HCI mostantól az Azure Local része. További információ.
Az Azure Local egy alapértelmezett biztonsági termék, amely már az elejétől kezdve több mint 300 biztonsági beállítást engedélyez. Az alapértelmezett biztonsági beállítások egységes biztonsági alapkonfigurációt biztosítanak annak biztosításához, hogy az eszközök jól ismert állapotban induljanak el.
Ez a cikk rövid fogalmi áttekintést nyújt az Azure Local-példányhoz társított különböző biztonsági funkciókról. A funkciók közé tartoznak a biztonsági alapértékek, az Alkalmazásvezérlés, a BitLockeren keresztüli kötettitkosítás, a titkos kulcsok rotálása, a helyi beépített felhasználói fiókok, a Microsoft Defender for Cloud stb.
Alapértelmezett biztonsági szabályok
Az Azure Local alapértelmezés szerint engedélyezve van olyan biztonsági beállításokkal, amelyek konzisztens biztonsági alapkonfigurációt, alapkonfigurációs felügyeleti rendszert és sodródás-vezérlési mechanizmust biztosítanak.
A biztonsági alapkonfigurációt és a biztonságos magbeállításokat az üzembe helyezés és a futtatókörnyezet során is figyelheti. A biztonsági beállítások konfigurálásakor az üzembe helyezés során is letilthatja az eltolódás-vezérlést.
Az eltolódás-vezérlés alkalmazásával a biztonsági beállítások 90 percenként frissülnek. Ez a frissítési időköz biztosítja a kívánt állapot változásainak szervizelését. A folyamatos monitorozás és az automatikus szervizelés egységes és megbízható biztonsági helyzetet biztosít az eszköz teljes életciklusa során.
Biztonságos alapkonfiguráció az Azure Local-ban:
- Az örökölt protokollok és titkosítások letiltásával javítja a biztonsági helyzetet.
- Az OPEX-et egy beépített sodródásvédelmi mechanizmussal csökkenti, amely lehetővé teszi a konzisztens helyszíni monitorozást az Azure Arc Hybrid Edge alapkonfigurációján keresztül.
- Lehetővé teszi, hogy megfeleljen a Center for Internet Security (CIS) benchmark and Defense Information System Agency (DISA) Security Technical Implementation Guide (STIG) követelményeinek az operációs rendszerre és az ajánlott biztonsági alapkonfigurációra vonatkozóan.
További információt az Azure Local biztonsági alapértelmezett beállításainak kezelése című témakörben talál.
Alkalmazásvezérlő
Az Application Control egy szoftveralapú biztonsági réteg, amely a futtatható szoftverek explicit listájának kikényszerítésével csökkenti a támadási felületet. Az Alkalmazásvezérlés alapértelmezés szerint engedélyezve van, és korlátozza az alapplatformon futtatható alkalmazásokat és kódot. További információ: Az Azure Helyialkalmazásvezérlésének kezelése.
Az Application Control két fő üzemmódot biztosít, a kényszerítési módot és a naplózási módot. Kényszerítési módban a rendszer letiltja a nem megbízható kódot, és rögzíti az eseményeket. Naplózási módban a nem megbízható kód futtatása és az események rögzítése engedélyezett. Az alkalmazásvezérléssel kapcsolatos eseményekről további információt Események listájacímű témakörben talál.
Fontos
A biztonsági kockázat minimalizálása érdekében mindig futtassa az Alkalmazásvezérlést kényszerítési módban.
Tudnivalók az Alkalmazásvezérlési szabályzatok kialakításáról
A Microsoft alapszintű aláírt szabályzatokat biztosít a Helyi Azure-ban mind a kényszerítési módhoz, mind a naplózási módhoz. Emellett a szabályzatok tartalmazzák a platform viselkedési szabályainak előre definiált készletét, valamint az alkalmazásvezérlő rétegre alkalmazandó blokkszabályokat.
Az alapszabályzatok összetétele
Az Azure helyi alapszabályzatai a következő szakaszokat tartalmazzák:
- Metaadatok: A metaadatok a szabályzat egyedi tulajdonságait határozzák meg, például a szabályzat nevét, verzióját, GUID-azonosítóját és egyebeket.
- Beállítási szabályok: Ezek a szabályok határozzák meg a szabályzat viselkedését. A kiegészítő szabályzatok csak az alapszabályzatukhoz kötött beállítási szabályok kis halmazától térhetnek el.
- Engedélyezési és megtagadási szabályok: Ezek a szabályok határozzák meg a kódmegbízhatósági határokat. A szabályok alapulhatnak kiadókon, aláírókon, fájlhash-eken és további tényezőkön.
Beállítási szabályok
Ez a szakasz az alapszabályzat által engedélyezett beállítási szabályokat tárgyalta.
A kényszerített szabályzat esetében alapértelmezés szerint a következő beállítási szabályok vannak engedélyezve:
| Opciós szabály | Érték |
|---|---|
| Engedélyezve | UMCI |
| Kötelező | WHQL |
| Engedélyezve | Kiegészítő szabályzatok engedélyezése |
| Engedélyezve | Visszavonva lejárt, mint aláíratlan |
| Letiltva | Járat aláírása |
| Engedélyezve | Aláíratlan rendszerintegritási szabályzat (alapértelmezett) |
| Engedélyezve | Dinamikus kód biztonsága |
| Engedélyezve | Speciális rendszerindítási beállítások menü |
| Letiltva | Szkript előírások érvényesítése |
| Engedélyezve | Felügyelt telepítő |
| Engedélyezve | Frissítési házirend újraindítás nélkül |
A naplózási szabályzat az alábbi beállítási szabályokat adja hozzá az alapszabályzathoz:
| Opciós szabály | Érték |
|---|---|
| Engedélyezve | Audit mód (alapértelmezett) |
További információkért tekintse meg a beállítási szabályok teljes listáját.
Szabályok engedélyezése és megtagadása
Az alapszabályzatban lévő szabályok lehetővé teszik, hogy az operációs rendszer és a felhőbeli telepítések által biztosított összes Microsoft-összetevő megbízhatónak minősüljön. A tiltó szabályok letiltják a felhasználói módú alkalmazásokat és a rendszermag-összetevőket, amelyeket nem biztonságosnak tekinthetők a megoldás biztonsági szempontjából.
Feljegyzés
Az alapszabályzat engedélyezési és megtagadási szabályai rendszeresen frissülnek a termékfunkciók javítása és a megoldás teljes védelme érdekében.
A megtagadási szabályokkal kapcsolatos további információkért lásd:
BitLocker-titkosítás
A inaktív adatok titkosítása engedélyezve van az üzembe helyezés során létrehozott adatköteteken. Ezek az adatkötetek tartalmazzák az infrastruktúra-köteteket és a számítási feladatok köteteit is. A rendszer telepítésekor módosíthatja a biztonsági beállításokat.
Alapértelmezés szerint a inaktív adatok titkosítása engedélyezve van az üzembe helyezés során. Javasoljuk, hogy fogadja el az alapértelmezett beállítást.
Az Azure Local sikeres üzembe helyezése után lekérheti a BitLocker helyreállítási kulcsait. A BitLocker helyreállítási kulcsait a rendszeren kívüli biztonságos helyen kell tárolnia.
További információ a BitLocker titkosításáról:
- A BitLocker használata fürtmegosztott kötetekkel (CSV).
- BitLocker-titkosítás kezelése az Azure Local-on.
Helyi beépített felhasználói fiókok
Ebben a kiadásban az Azure Local rendszerben a következő helyi beépített felhasználók, amelyek társítva vannak RID 500 és RID 501, érhetők el:
| Név a kezdeti operációs rendszer lemezképében | Név az üzembe helyezés után | Alapértelmezés szerint engedélyezve | Leírás |
|---|---|---|---|
| Rendszergazda | ASBuiltInAdmin | Igaz | Beépített fiók a számítógép/tartomány felügyeletéhez. |
| Vendég | ASBuiltInGuest | Hamis | Beépített fiók a számítógéphez/tartományhoz való vendéghozzáféréshez, amelyet a biztonsági alapkonfigurációs eltérés-vezérlési mechanizmus véd. |
Fontos
Javasoljuk, hogy hozzon létre saját helyi rendszergazdai fiókot, és tiltsa le a jól ismert RID 500 felhasználói fiókot.
Titkos kódok létrehozása és forgatása
Az Azure Local vezénylőjének több összetevőre van szüksége ahhoz, hogy biztonságos kommunikációt tartson fenn más infrastruktúra-erőforrásokkal és szolgáltatásokkal. A rendszeren futó összes szolgáltatáshoz hitelesítési és titkosítási tanúsítványok vannak társítva.
A biztonság érdekében belső titkos kódlétrehozási és -rotációs képességeket valósítunk meg. A rendszercsomópontok áttekintésekor több tanúsítvány is létrejön a LocalMachine/Personal tanúsítványtároló (Cert:\LocalMachine\My) elérési úton.
Ebben a kiadásban a következő képességek engedélyezettek:
- Tanúsítványok létrehozása az üzembe helyezés és a rendszerskálázási műveletek után.
- Automatikus automatikus hitelesítés a tanúsítványok lejárata előtt, valamint a tanúsítványok elforgatásának lehetősége a rendszer élettartama alatt.
- Annak figyelése és riasztása, hogy a tanúsítványok továbbra is érvényesek-e.
Feljegyzés
A titkos kódok létrehozása és forgatása a rendszer méretétől függően körülbelül 10 percet vesz igénybe.
További információ: Titkos kódok rotálásának kezelése.
Biztonsági események továbbítása a syslog protokollal
Azoknak az ügyfeleknek és szervezeteknek, amelyek saját helyi biztonsági információkat és eseménykezelési (SIEM) rendszert igényelnek, az Azure Local egy integrált mechanizmust tartalmaz, amely lehetővé teszi a biztonsággal kapcsolatos események SIEM-be való továbbítását.
Az Azure Local rendelkezik egy integrált syslog-továbbítóval, amely a konfigurálást követően létrehoz egy RFC3164-ben definiált syslog-üzeneteket, és a hasznos adatok common event format (CEF) formátumban vannak megadva.
Az alábbi ábra az Azure Local és egy SIEM integrációját mutatja be. A rendszer minden auditot, biztonsági naplót és riasztást összegyűjt minden egyes gazdagépen, és a CEF adatcsomaggal a syslogon keresztül teszi közzé.
A syslog-továbbítási ügynökök minden azure-beli helyi gazdagépen üzembe vannak helyezve, hogy a rendszernapló-üzeneteket továbbíthassák az ügyfél által konfigurált syslog-kiszolgálónak. A syslog továbbítási ügynökök egymástól függetlenül működnek, de bármelyik házirendszeren együtt kezelhetők.
Az Azure Local rendszernapló-továbbítója különböző konfigurációkat támogat attól függően, hogy a syslog-továbbítás TCP-vel vagy UDP-vel van-e, engedélyezve van-e a titkosítás, vagy sem, és hogy van-e egyirányú vagy kétirányú hitelesítés.
További információ: Syslog-továbbítás kezelése.
Microsoft Defender víruskereső
Az Azure Local alapértelmezés szerint engedélyezve és konfigurálva van a Microsoft Defender víruskeresővel. Határozottan javasoljuk, hogy a Microsoft Defender Antivírust használja az Azure helyi példányokkal. A Microsoft Defender víruskereső valós idejű védelmet, felhőalapú védelmet és automatikus mintaküldést biztosít.
Bár azt javasoljuk, hogy a Microsoft Defender víruskeresőt használja az Azure Local-hoz, ha a nem Microsoft víruskereső és biztonsági szoftvereket részesíti előnyben, azt javasoljuk, hogy válasszon egyet, amelyet független szoftverszállítója (ISV) ellenőrzött az Azure Local a lehetséges funkciókkal kapcsolatos problémák minimalizálása érdekében.
További információ: Microsoft Defender víruskereső kompatibilitása más biztonsági termékekkel.
Abban a ritka esetben, amikor az Azure Local nem Microsoft víruskereső szoftverrel kapcsolatos funkcióival kapcsolatos problémákat tapasztal, kizárhatja a következő elérési utakat:
- C:\Agents\*
- C:\CloudContent\*
- C:\CloudDeployment\*
- C:\ClusterStorage\*
- C:\EceStore\*
- C:\MASLogs\*
- C:\NugetStore\*
- C:\deploymentpackage\*
- C:\ProgramData\GuestConfig\extension_logs\*
Feljegyzés
Ha eltávolítja a Microsoft Defender víruskereső szolgáltatást, hagyja meg a szolgáltatáshoz társított beállításokat a biztonsági alapkonfigurációban as-is. Ezeket a beállításokat nem kell eltávolítania.
Felhőhöz készült Microsoft Defender (előzetes verzió)
Felhőhöz készült Microsoft Defender egy fejlett veszélyforrások elleni védelemmel rendelkező biztonsági helyzetkezelési megoldás. Eszközöket biztosít az infrastruktúra biztonsági állapotának felméréséhez, a számítási feladatok védelméhez, a biztonsági riasztások létrehozásához, valamint a támadások elhárításához és a jövőbeli fenyegetések kezeléséhez szükséges konkrét javaslatok követéséhez. Ezeket a szolgáltatásokat nagy sebességgel hajtja végre a felhőben az Azure-szolgáltatások automatikus kiépítésével és védelmével, üzembe helyezési többletterhelés nélkül.
Az alapszintű Felhőhöz készült Defender csomaggal további költségek nélkül javaslatokat kaphat az Azure Local rendszer biztonsági helyzetének javításához. A fizetős Defender for Servers csomaggal továbbfejlesztett biztonsági funkciókhoz juthat, beleértve az egyes gépekre és arc virtuális gépekre vonatkozó biztonsági riasztásokat.
További információ:
- Rendszerbiztonság kezelése a Microsoft Defender for Cloud (előzetes verzió).
- A Microsoft Defender Antivirus és a nem Microsoft víruskereső megoldások, amelyek nem tartalmazzák a Defender for Endpoint szolgáltatást.