Fitur keamanan untuk Azure Local
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru
Penting
Azure Stack HCI sekarang menjadi bagian dari Azure Local. Pelajari lebih lanjut.
Azure Local adalah produk aman secara default yang mengaktifkan lebih dari 300 pengaturan keamanan sejak awal. Pengaturan keamanan default menyediakan garis besar keamanan yang konsisten untuk memastikan bahwa perangkat dimulai dalam keadaan baik yang diketahui.
Artikel ini memberikan gambaran umum konseptual singkat tentang berbagai fitur keamanan yang terkait dengan instans Azure Local Anda. Fitur termasuk default keamanan, Kontrol Aplikasi, enkripsi volume melalui BitLocker, pemutaran rahasia, akun pengguna bawaan lokal, Microsoft Defender untuk Cloud, dan banyak lagi.
Default keamanan
Azure Local Anda mengaktifkan pengaturan keamanan secara default yang menyediakan garis besar keamanan yang konsisten, sistem manajemen garis besar, dan mekanisme kontrol penyimpangan.
Anda dapat memantau garis besar keamanan dan pengaturan inti aman selama penyebaran dan runtime. Anda juga dapat menonaktifkan kontrol penyimpangan selama penyebaran saat mengonfigurasi pengaturan keamanan.
Dengan pengendalian perubahan diterapkan, pengaturan keamanan diperbarui setiap 90 menit. Interval refresh ini memastikan remediasi perubahan apa pun dari status yang diinginkan. Pemantauan dan remediasi otomatis berkelanjutan memungkinkan postur keamanan yang konsisten dan andal sepanjang siklus hidup perangkat.
Dasar keamanan di Azure Local
- Meningkatkan postur keamanan dengan menonaktifkan protokol dan sandi warisan.
- Mengurangi OPEX dengan mekanisme perlindungan deviasi bawaan yang memungkinkan pemantauan skala besar yang konsisten melalui baseline Azure Arc Hybrid Edge.
- Memungkinkan Anda memenuhi persyaratan tolok ukur Center for Internet Security (CIS) dan Panduan Implementasi Teknis Keamanan (STIG) dari Badan Sistem Informasi Pertahanan (DISA) untuk sistem operasi dan garis besar keamanan yang direkomendasikan.
Untuk informasi selengkapnya, lihat Mengelola default keamanan di Azure Local.
Kontrol Aplikasi
Kontrol Aplikasi adalah lapisan keamanan berbasis perangkat lunak yang mengurangi permukaan serangan dengan memberlakukan daftar eksplisit perangkat lunak yang diizinkan untuk dijalankan. Kontrol Aplikasi diaktifkan secara default dan membatasi aplikasi dan kode yang dapat Anda jalankan di platform inti. Untuk informasi selengkapnya, lihat Mengelola Kontrol Aplikasi untuk Azure Local.
Kontrol Aplikasi menyediakan dua mode operasi utama, mode Penegakan dan mode Audit. Dalam mode Penegakan, kode yang tidak tepercaya diblokir dan peristiwa direkam. Dalam mode Audit, kode yang tidak tepercaya diizinkan untuk dijalankan dan peristiwa direkam. Untuk mempelajari selengkapnya tentang peristiwa terkait Kontrol Aplikasi, lihat Daftar Peristiwa.
Penting
Untuk meminimalkan risiko keamanan, selalu jalankan Kontrol Aplikasi dalam mode Penegakan.
Tentang desain kebijakan Kontrol Aplikasi
Microsoft menyediakan kebijakan bertanda tangan dasar di Azure Local untuk mode Penegakan dan mode Audit. Selain itu, kebijakan mencakup sekumpulan aturan perilaku platform yang telah ditentukan sebelumnya dan aturan blokir untuk diterapkan ke lapisan kontrol aplikasi.
Komposisi kebijakan dasar
Kebijakan dasar Azure Local mencakup bagian berikut:
- Metadata: Metadata menentukan properti unik kebijakan seperti nama kebijakan, versi, GUID, dan banyak lagi.
- Aturan Opsi: Aturan ini menentukan perilaku kebijakan. Kebijakan tambahan hanya dapat berbeda dari sekumpulan kecil aturan opsi yang terkait dengan kebijakan dasarnya.
- Izinkan dan Tolak Aturan: Aturan ini menentukan batas kepercayaan kode. Aturan dapat didasarkan pada Penerbit, Penanda tangan, Hash File, dan banyak lagi.
Aturan opsi
Bagian ini membahas aturan opsi yang diaktifkan oleh kebijakan dasar.
Untuk kebijakan yang diberlakukan, aturan opsi berikut diaktifkan secara default:
| Aturan opsi | Nilai |
|---|---|
| Diaktifkan | UMCI |
| Wajib | WHQL |
| Diaktifkan | Perbolehkan Kebijakan Tambahan |
| Diaktifkan | Dicabut karena kedaluwarsa sebagai tidak ditandatangani |
| Nonaktif | Penandatanganan Penerbangan |
| Diaktifkan | Kebijakan Integritas Sistem yang Belum Ditandatangani (Default) |
| Diaktifkan | Keamanan Kode Dinamis |
| Diaktifkan | Menu Opsi Boot Tingkat Lanjut |
| Nonaktif | Penegakan Naskah |
| Diaktifkan | Alat Penginstal Terkelola |
| Diaktifkan | Perbarui Kebijakan Tanpa Boot Ulang |
Kebijakan audit menambahkan aturan opsi berikut ke kebijakan dasar:
| Aturan opsi | Nilai |
|---|---|
| Diaktifkan | Mode Audit (Default) |
Untuk informasi selengkapnya, lihat Daftar lengkap aturan opsi.
Aturan Izinkan dan Tolak
Izinkan aturan dalam kebijakan dasar memungkinkan semua komponen Microsoft yang dikirimkan oleh OS dan penyebaran cloud tepercaya. Aturan penolakan memblokir aplikasi mode pengguna dan komponen kernel yang dianggap tidak aman bagi keamanan sistem solusi.
Catatan
Aturan Izinkan dan Tolak dalam kebijakan dasar diperbarui secara teratur untuk meningkatkan fungsionalitas produk dan memaksimalkan perlindungan solusi Anda.
Untuk mempelajari selengkapnya tentang aturan Tolak, lihat:
Daftar blokir driver.
Enkripsi BitLocker
Enkripsi data tidak aktif diaktifkan pada volume data yang dibuat selama penyebaran. Volume data ini mencakup volume infrastruktur dan volume beban kerja. Saat menyebarkan sistem, Anda dapat mengubah pengaturan keamanan.
Secara bawaan, enkripsi data saat istirahat diaktifkan selama penyebaran. Kami menyarankan agar Anda menerima pengaturan default.
Setelah Azure Local berhasil disebarkan, Anda dapat mengambil kunci pemulihan BitLocker. Anda harus menyimpan kunci pemulihan BitLocker di lokasi yang aman di luar sistem.
Untuk informasi selengkapnya tentang enkripsi BitLocker, lihat:
Akun pengguna bawaan lokal
Dalam rilis ini, pengguna bawaan lokal berikut yang terkait dengan RID 500 dan RID 501 tersedia di sistem Azure Local Anda:
| Nama dalam gambar OS awal | Nama setelah penugasan | Diaktifkan secara default | Deskripsi |
|---|---|---|---|
| Administrator | ASBuiltInAdmin | Benar | Akun bawaan untuk mengelola komputer/domain. |
| Tamu | ASBuiltInGuest | Salah | Akun bawaan untuk akses tamu ke komputer/domain, dilindungi oleh mekanisme kontrol penyimpangan garis besar keamanan. |
Penting
Kami menyarankan agar Anda membuat akun administrator lokal Anda sendiri, dan menonaktifkan akun pengguna terkenal RID 500 .
Pembuatan dan rotasi rahasia
Orkestrator di Azure Local memerlukan beberapa komponen untuk mempertahankan komunikasi yang aman dengan sumber daya dan layanan infrastruktur lainnya. Semua layanan yang berjalan pada sistem memiliki sertifikat autentikasi dan enkripsi yang terkait dengannya.
Untuk memastikan keamanan, kami menerapkan kemampuan dalam pembentukan dan perputaran rahasia internal. Saat Anda meninjau simpul-simpul sistem Anda, Anda akan melihat beberapa sertifikat yang dibuat di bawah jalur Penyimpanan Sertifikat LocalMachine/Personal (Cert:\LocalMachine\My).
Dalam rilis ini, kemampuan berikut diaktifkan:
- Kemampuan untuk membuat sertifikat selama penyebaran dan setelah operasi skala sistem.
- Otomatisasi otomatis sebelum sertifikat kedaluwarsa, dan opsi untuk memutar sertifikat selama masa pakai sistem.
- Kemampuan untuk memantau dan memperingatkan apakah sertifikat masih valid.
Catatan
Operasi pembuatan dan rotasi rahasia membutuhkan waktu sekitar 10 menit untuk diselesaikan, tergantung pada ukuran sistem.
Untuk informasi selengkapnya, lihat Mengelola rotasi rahasia.
Penerusan peristiwa keamanan melalui Syslog
Untuk pelanggan dan organisasi yang memerlukan sistem manajemen peristiwa dan informasi keamanan lokal (SIEM) mereka sendiri, Azure Local menyertakan mekanisme terintegrasi yang memungkinkan Anda meneruskan peristiwa terkait keamanan ke SIEM.
Azure Local memiliki forwarder syslog terintegrasi yang, setelah dikonfigurasi, menghasilkan pesan syslog yang ditentukan dalam RFC3164, dengan payload dalam Common Event Format (CEF).
Diagram berikut mengilustrasikan integrasi Azure Local dengan SIEM. Semua audit, log keamanan, dan pemberitahuan dikumpulkan di setiap host dan diekspos melalui syslog dengan payload CEF.
Agen penerusan Syslog disebarkan di setiap host Azure Local untuk meneruskan pesan syslog ke server syslog yang dikonfigurasi pelanggan. Agen penerusan Syslog bekerja secara independen satu sama lain tetapi dapat dikelola bersama pada salah satu host.
Penerus syslog di Azure Local mendukung berbagai konfigurasi berdasarkan apakah penerusan syslog dengan TCP atau UDP, apakah enkripsi diaktifkan atau tidak, dan apakah ada autentikasi searah atau dua arah.
Untuk informasi selengkapnya, lihat Mengelola penerusan syslog.
Antivirus Pertahanan Microsoft
Azure Local dilengkapi dengan Antivirus Pertahanan Microsoft diaktifkan dan dikonfigurasi secara default. Kami sangat menyarankan Agar Anda menggunakan Antivirus Pertahanan Microsoft dengan instans Lokal Azure Anda. Microsoft Defender Antivirus menyediakan perlindungan real-time, perlindungan berbasis cloud, dan pengiriman sampel otomatis.
Meskipun sebaiknya gunakan Antivirus Pertahanan Microsoft untuk Azure Lokal, jika Anda lebih suka perangkat lunak antivirus dan keamanan non-Microsoft, kami menyarankan untuk memilih salah satu yang telah divalidasi oleh Vendor Perangkat Lunak Independen (ISV) Anda untuk Azure Local untuk meminimalkan potensi masalah fungsionalitas.
Untuk informasi selengkapnya, lihat kompatibilitas Antivirus Pertahanan Microsoft dengan produk keamanan lainnya.
Dalam kasus yang jarang Anda mengalami masalah fungsionalitas dengan Azure Local saat menggunakan perangkat lunak antivirus selain Microsoft, Anda dapat mengecualikan jalur berikut:
- C:\Agents\*
- C:\CloudContent\*
- C:\CloudDeployment\*
- C:\ClusterStorage\*
- C:\EceStore\*
- C:\MASLogs\*
- C:\NugetStore\*
- C:\deploymentpackage\*
- C:\ProgramData\GuestConfig\extension_logs\*
Catatan
Jika Anda menghapus fitur Microsoft Defender Antivirus, biarkan pengaturan yang terkait dengan fitur tersebut dari dasar keamanan tetap apa adanya. Anda tidak perlu menghapus pengaturan ini.
Microsoft Defender untuk Layanan Cloud (pratinjau)
Microsoft Defender untuk Cloud adalah solusi manajemen postur keamanan dengan kemampuan perlindungan ancaman tingkat lanjut. Ini memberi Anda alat untuk menilai status keamanan infrastruktur Anda, melindungi beban kerja, meningkatkan pemberitahuan keamanan, dan mengikuti rekomendasi khusus untuk memulihkan serangan dan mengatasi ancaman di masa mendatang. Ini menjalankan semua layanan ini dengan kecepatan tinggi di cloud melalui penyediaan otomatis dan perlindungan dengan layanan Azure, tanpa biaya penyebaran tambahan.
Dengan paket Defender untuk Cloud dasar, Anda mendapatkan rekomendasi tentang cara meningkatkan postur keamanan sistem Azure Local Anda tanpa biaya tambahan. Dengan paket Defender for Server berbayar, Anda mendapatkan fitur keamanan yang ditingkatkan termasuk pemberitahuan keamanan untuk masing-masing komputer dan VM Arc.
Untuk informasi selengkapnya, lihat:
- Mengelola keamanan sistem dengan Microsoft Defender untuk Cloud (pratinjau).
- Microsoft Defender Antivirus dan solusi antivirus non-Microsoft tanpa Defender untuk Endpoint.
Langkah berikutnya
- Menilai kesiapan penyebaran melalui Pemeriksa Lingkungan.
- Baca buku keamanan Lokal Azure.
- Lihat standar keamanan Lokal Azure.