Zagadnienia dotyczące planowania bezpiecznej konfiguracji

  • 5 min

Biorąc pod uwagę, że wdrożenie serwerów z obsługą usługi Arc obejmuje tysiące maszyn w wielu biurach obsługujących obciążenia krytyczne dla działania firmy, bezpieczeństwo jest najważniejsze dla firmy Wide World Importers. Podczas planowania bezpiecznego wdrożenia należy wziąć pod uwagę sposób stosowania ról dostępu, zasad i sieci w celu zapewnienia zgodności i ochrony zasobów.

Serwery z obsługą usługi Azure Arc nie tylko korzystają z wbudowanych zabezpieczeń dzięki starannemu szyfrowaniu i udostępnianiu danych zgodnie z projektem, ale także mają szereg dodanych konfiguracji zabezpieczeń. Aby zapewnić bezpieczne wdrożenie, może być konieczne przygotowanie efektywnej strefy lądowania dla zasobów z obsługą Arc poprzez skonfigurowanie odpowiednich mechanizmów kontroli dostępu, infrastruktury zarządzania i zaawansowanych opcji sieciowych. W tej lekcji nauczysz się:

  1. Konfigurowanie kontroli dostępu opartej na rolach (RBAC): opracuj plan dostępu, aby kontrolować, kto ma dostęp do zarządzania serwerami z obsługą usługi Azure Arc i możliwością wyświetlania danych z innych usług platformy Azure.

  2. Opracuj plan zarządzania za pomocą Azure Policy: określ, jak chcesz zaimplementować zarządzanie serwerami hybrydowymi i maszynami na poziomie subskrypcji lub grupy zasobów za pomocą Azure Policy.

  3. Wybierz pozycję Zaawansowane opcje sieci: sprawdź, czy serwer proxy, czy usługa Azure Private Link jest niezbędna do wdrożenia serwera z obsługą usługi Arc.

Zabezpieczanie tożsamości i kontrola dostępu

Każdy serwer z obsługą usługi Azure Arc ma tożsamość zarządzaną w ramach grupy zasobów w ramach subskrypcji platformy Azure. Ta tożsamość reprezentuje serwer działający lokalnie lub w innym środowisku chmury. Standardowa kontrola dostępu oparta na rolach (RBAC) platformy Azure kontroluje dostęp do tego zasobu. Dwie role specyficzne dla serwera z obsługą usługi Arc to rola dołączania maszyny połączonej platformy Azure i rola Administratora zasobów połączonej maszyny platformy Azure.

Rola dołączania maszyny połączonej platformy Azure jest dostępna na potrzeby dołączania na dużą skalę i może tylko odczytywać lub tworzyć nowe serwery z obsługą usługi Azure Arc na platformie Azure. Nie można usunąć serwerów, które zostały już zarejestrowane ani zarządzać rozszerzeniami. Najlepszym rozwiązaniem jest przypisanie tej roli tylko do jednostki usługi Microsoft Entra używanej do dołączania maszyn na dużą skalę.

Użytkownicy z rolą administratora zasobów połączonej maszyny platformy Azure mogą odczytywać, modyfikować, ponownie dołączać i usuwać maszynę. Ta rola jest przeznaczona do obsługi zarządzania serwerami z obsługą usługi Azure Arc, ale nie innymi zasobami w grupie zasobów lub subskrypcji.

Ponadto agent usługi Azure Connected Machine używa uwierzytelniania klucza publicznego do komunikowania się z usługą platformy Azure. Po dołączeniu serwera do usługi Azure Arc klucz prywatny jest zapisywany na dysku i używany za każdym razem, gdy agent komunikuje się z platformą Azure. W przypadku kradzieży klucz prywatny może być używany na innym serwerze do komunikowania się z usługą i działać tak, jakby był to oryginalny serwer. Skradziony klucz prywatny może również uzyskać dostęp do tożsamości przypisanej przez system i wszystkich zasobów, do których ta tożsamość ma dostęp. Plik klucza prywatnego jest chroniony, aby zezwolić na dostęp do konta HIMDS tylko do jego odczytu. Aby zapobiec atakom w trybie offline, zdecydowanie zalecamy użycie pełnego szyfrowania dysku (na przykład funkcji BitLocker, narzędzia dm-crypt itp.) na woluminie systemu operacyjnego serwera.

Zarządzanie usługą Azure Policy

Zgodność z przepisami w usłudze Azure Policy udostępnia utworzone i zarządzane przez firmę Microsoft definicje inicjatyw, znane jako elementy wbudowane, dla domen zgodności i mechanizmów zabezpieczeń związanych z różnymi standardami zgodności. Niektóre zasady zgodności z przepisami dotyczące platformy Azure obejmują:

  • Australijski Rząd ISM PROTECTED
  • Wzorzec Zabezpieczeń Azure
  • Test porównawczy zabezpieczeń platformy Azure w wersji 1
  • Kanada Federalny PBMM
  • CMMC Poziom 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 września 2016 r.
  • ISO 27001:2013
  • Restricja ISM w Nowej Zelandii
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • Brytyjski urząd i Brytyjska NHS

Przed wdrożeniem serwerów z obsługą Azure Arc w grupie zasobów można systemowo definiować i przypisywać zasady platformy Azure przy użyciu odpowiednich zadań korygujących na poziomie grupy zasobów, subskrypcji lub grupy zarządzania. Konfigurując zasady platformy Azure z góry, upewnij się, że są spełnione zabezpieczenia inspekcji i zgodności.

Poza publicznym punktem końcowym dwie inne bezpieczne opcje sieci dla serwerów z obsługą usługi Azure Arc to serwer proxy i usługa Azure Private Link.

Jeśli maszyna komunikuje się za pośrednictwem serwera proxy w celu nawiązania połączenia z Internetem, możesz określić adres IP serwera proxy lub nazwę i numer portu używany przez maszynę do komunikowania się z serwerem proxy. Tę specyfikację można ustawić bezpośrednio w witrynie Azure Portal podczas generowania skryptu do dołączania wielu maszyn do usługi Arc.

W przypadku scenariuszy o wysokim poziomie zabezpieczeń usługa Azure Private Link umożliwia bezpieczne łączenie usług PaaS platformy Azure z siecią wirtualną przy użyciu prywatnych punktów końcowych. W przypadku wielu usług wystarczy skonfigurować punkt końcowy dla każdego zasobu. Oznacza to, że można połączyć lokalne lub wielochmurowe serwery z usługą Azure Arc i wysyłać cały ruch przez usługę Azure ExpressRoute lub połączenie sieci VPN typu lokacja-lokacja zamiast korzystać z sieci publicznych. Korzystając z usługi Private Link z serwerami z obsługą usługi Arc, można wykonywać następujące czynności:

  • Połącz się prywatnie z usługą Azure Arc bez otwierania dostępu do sieci publicznej.
  • Upewnij się, że dane z maszyny lub serwera z obsługą usługi Azure Arc są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych.
  • Bezpiecznie połącz prywatną sieć lokalną z usługą Azure Arc przy użyciu usługi ExpressRoute i usługi Private Link.
  • Zachowaj cały ruch wewnątrz sieci szkieletowej platformy Microsoft Azure.

Ilustracja przedstawiająca bezpieczną sieć dla serwerów z obsługą usługi Azure Arc za pośrednictwem usługi Azure Private Link.