Aspekte der Planung einer sicheren Konfiguration

  • 5 Minuten

Angesichts der Tatsache, dass die Bereitstellung von Arc-fähigen Servern Tausende von Computern in mehreren Büros umfasst, die geschäftskritische Workloads verarbeiten, ist die Sicherheit für Wide World Importers am wichtigsten. Bei der Planung einer sicheren Bereitstellung müssen Sie sich überlegen, wie Zugriffsrollen, Richtlinien und Netzwerke gemeinsam eingesetzt werden können, um Konformität und den Schutz von Ressourcen sicherzustellen.

Server mit Azure Arc-Unterstützung profitieren nicht nur von den integrierten Sicherheitsfunktionen mit standardmäßiger sorgfältiger Verschlüsselung und Datenfreigabe, sondern verfügen auch über eine Reihe von zusätzlichen Sicherheitskonfigurationen. Für die Gewährleistung einer sicheren Bereitstellung müssen Sie ggf. eine effektive Zielzone für Arc-fähige Ressourcen vorbereiten, indem Sie die entsprechenden Konfigurationen in Bezug auf Zugriffssteuerung, Governanceinfrastruktur und erweiterte Netzwerkoptionen vornehmen. In dieser Lerneinheit erfahren Sie Folgendes:

  1. Konfigurieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC): Sie entwickeln einen Zugriffsplan, um zu steuern, welche Personen Zugriff auf die Verwaltung der Server mit Azure Arc-Unterstützung haben und ihre Daten auch über andere Azure-Dienste anzeigen können.

  2. Entwickeln Sie einen Governance-Plan für Azure-Richtlinien: Bestimmen Sie, wie Sie die Governance von Hybridservern und Maschinen im Abonnement- oder Ressourcengruppenbereich mit Azure Policy implementieren möchten.

  3. Wählen Sie erweiterte Netzwerkoptionen aus: Bewerten Sie, ob Proxyserver oder Azure Private Link für Ihre Arc-fähige Serverbereitstellung erforderlich sind.

Sichere Identitäten und Zugriffssteuerung

Jeder Azure Arc-fähige Server verfügt über eine verwaltete Identität, die Teil einer Ressourcengruppe innerhalb eines Azure-Abonnements ist. Diese Identität stellt den Server dar, der lokal oder in einer anderen Cloudumgebung ausgeführt wird. Der standardmäßige rollenbasierte Zugriffssteuerung von Azure (RBAC) kontrolliert den Zugriff auf diese Ressource. Zwei spezifische Rollen für Server mit Azure Arc-Unterstützung sind „Onboarding von Azure Connected Machine“ und „Ressourcenadministrator für Azure Connected Machine“.

Die Rolle „Azure Connected Machine Onboarding“ ist für das groß angelegte Onboarding verfügbar und kann nur neue Azure Arc-fähige Server in Azure lesen oder erstellen. Sie kann nicht zum Löschen bereits registrierter Server oder zum Verwalten von Erweiterungen verwendet werden. Als bewährte Methode empfehlen wir, diese Rolle nur dem Microsoft Entra-Dienstprinzipal zuzuweisen, der zum Onboarding von Computern im großen Stil verwendet wird.

Benutzer mit der Rolle "Azure Connected Machine Resource Administrator" können eine Maschine anzeigen, ändern, erneut integrieren und löschen. Diese Rolle ist für die Unterstützung der Verwaltung von Azure Arc-fähigen Servern konzipiert, jedoch für keine anderen Ressourcen in der Ressourcengruppe oder im Abonnement.

Darüber hinaus wird für den Azure Connected Machine-Agent auch die Authentifizierung per öffentlichem Schlüssel für die Kommunikation mit dem Azure-Dienst genutzt. Nachdem Sie einen Server in Azure Arc integriert haben, wird ein privater Schlüssel auf dem Datenträger gespeichert und immer dann verwendet, wenn der Agent mit Azure kommuniziert. Bei Diebstahl kann der private Schlüssel auf einem anderen Server verwendet werden, um mit dem Dienst zu kommunizieren, und so agieren, als ob es sich um den ursprünglichen Server handelt. Ein gestohlener privater Schlüssel kann auch Zugriff auf die vom System zugewiesene Identität und alle Ressourcen erhalten, auf die diese Identität Zugriff hat. Die Datei mit dem privaten Schlüssel ist so geschützt, dass nur das HIMDS-Konto Lesezugriff darauf hat. Um Offlineangriffe zu verhindern, wird dringend empfohlen, die vollständige Datenträgerverschlüsselung (z. B. BitLocker, dm-crypt usw.) auf dem Betriebssystemvolume Ihres Servers zu verwenden.

Governance mit Azure Policy

Die Einhaltung gesetzlicher Bestimmungen in Azure Policy umfasst von Microsoft erstellte und verwaltete Initiativendefinitionen (als Integrationen bezeichnet) für die Compliancedomänen und Sicherheitskontrollen, die sich auf unterschiedliche Compliancestandards beziehen. Hier sind einige Beispiele für Azure-Richtlinien zur Einhaltung gesetzlicher Bestimmungen angegeben:

  • ISM PROTECTED der australischen Regierung
  • Vergleichstest für die Azure-Sicherheit
  • Azure-Sicherheitsvergleichstest v1
  • Kanada Bundes-PBMM
  • CMMC Ebene 3
  • FedRAMP Hoch
  • FedRAMP Moderat
  • HIPAA HITRUST 9.2
  • IRS 1075, September 2016
  • ISO 27001:2013
  • Durch New Zealand ISM eingeschränkt
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL und UK NHS

Bevor Sie Azure Arc-fähige Server in einer Ressourcengruppe bereitstellen, können Sie Azure-Richtlinien mit ihren jeweiligen Wartungsaufgaben auf Ressourcengruppe-, Abonnement- oder Verwaltungsgruppenebene systemisch definieren und zuweisen. Durch die Konfiguration Ihrer Azure-Richtlinien im Vorfeld stellen Sie sicher, dass Überwachung und Compliance-Schutzschienen vorhanden sind.

Neben dem öffentlichen Endpunkt sind der Proxyserver und Azure Private Link zwei weitere Optionen für sichere Netzwerke für Server mit Azure Arc-Unterstützung.

Wenn Ihr Computer über einen Proxyserver kommuniziert, um eine Verbindung mit dem Internet herzustellen, können Sie die IP-Adresse des Proxyservers oder den Namen und die Portnummer angeben, die der Computer für die Kommunikation mit dem Proxyserver verwendet. Sie können diese Angaben direkt im Azure-Portal vornehmen, wenn Sie ein Skript für das Arc-Onboarding mehrerer Computer generieren.

Bei hohen Sicherheitsanforderungen können Sie Azure PaaS-Dienste mithilfe von Azure Private Link auf sichere Weise mit Ihrem virtuellen Netzwerk verknüpfen, indem Sie private Endpunkte verwenden. Bei vielen Diensten richten Sie einfach für jede Ressource einen Endpunkt ein. Dies bedeutet, dass Sie Ihre lokalen Server oder Server in mehreren Clouds mit Azure Arc verbinden und den gesamten Datenverkehr über eine Azure ExpressRoute- oder Site-to-Site-VPN-Verbindung übertragen können, statt öffentliche Netzwerke zu verwenden. Wenn Sie Private Link mit Servern mit Azure Arc-Unterstützung nutzen, haben Sie folgende Möglichkeiten:

  • Herstellen einer privaten Verbindung mit Azure Arc ohne öffentlichen Netzwerkzugriff.
  • Sicherstellen, dass der Zugriff auf die Daten des Azure Arc-fähigen Computers oder Servers nur über autorisierte private Netzwerke erfolgt.
  • Sicheres Verbinden Ihres privaten lokalen Netzwerks mit Azure Arc über ExpressRoute und Private Link.
  • Den gesamten Datenverkehr innerhalb des Microsoft Azure-Backbone-Netzwerks halten.

Abbildung: Sicheres Netzwerk für Server mit Azure Arc-Unterstützung über Azure Private Link