Considerações de planejamento para uma configuração segura

  • 5 minutos

Considerando que a implantação de servidores habilitados para Arc abrange milhares de máquinas em vários escritórios que lidam com cargas de trabalho comercialmente críticas, a segurança é essencial para importadores do Wide World. Ao planejar uma implantação segura, é importante considerar como você pode aplicar as funções de acesso, as políticas e a rede em conjunto para garantir a conformidade e a proteção dos recursos.

Servidores habilitados para Azure Arc não apenas se beneficiam da segurança integrada com criptografia cuidadosa e compartilhamento de dados incorporado desde o início, mas também têm um conjunto de configurações de segurança adicionais. Para garantir uma implantação segura, talvez seja necessário preparar uma zona de destino efetiva para recursos habilitados para Arc configurando os controles de acesso apropriados, a infraestrutura de governança e as opções avançadas de rede. Nesta unidade, você aprenderá a:

  1. Configurar o controle de acesso Baseado em função (RBAC): Desenvolva um plano de acesso para controlar quem tem acesso para gerenciar os servidores habilitados para Azure Arc e capacidade de exibir seus dados de outros serviços do Azure.

  2. Desenvolver um plano de governança do Azure Policy: determine como você deseja implementar a governança de servidores e computadores híbridos no escopo da assinatura ou do grupo de recursos com o Azure Policy.

  3. Selecione opções de Rede Avançada: avalie se o Servidor Proxy ou o Link Privado do Azure são necessários para a implantação do servidor habilitado para Arc.

Identidades seguras e Controle de Acesso

Todos os servidores habilitados para Azure Arc têm uma identidade gerenciada como parte de um grupo de recursos dentro de uma assinatura do Azure. Essa identidade representa o servidor em execução no local ou em outro ambiente de nuvem. O RBAC (controle de acesso baseado em função) padrão do Azure controla o acesso a esse recurso. Duas funções específicas do servidor habilitado para Arc são a função de Integração do Azure Connected Machine e a função de Administrador de Recursos do Azure Connected Machine.

A função de Integração do Azure Connected Machine está disponível para a integração em escala e só é capaz de ler ou criar servidores habilitados para Azure Arc no Azure. Ele não pode excluir servidores já registrados ou gerenciar extensões. Como prática recomendada, recomendamos atribuir apenas essa função à entidade de serviço do Microsoft Entra usada para integrar computadores em escala.

Os usuários com a função Administrador de Recursos do Computador Conectado do Azure podem ler, modificar, reonboardar e excluir um computador. Essa função foi projetada para dar suporte ao gerenciamento de servidores habilitados para Azure Arc, mas não a outros recursos no grupo de recursos ou na assinatura.

Além disso, o Azure Connected Machine Agent usa a autenticação de chave pública para se comunicar com o serviço do Azure. Depois de integrar um servidor ao Arc do Azure, uma chave privada é salva no disco e usada sempre que o agente se comunica com o Azure. Se for roubado, a chave privada poderá ser usada em outro servidor para se comunicar com o serviço e agir como se fosse o servidor original. Uma chave privada roubada também pode obter acesso à identidade atribuída pelo sistema e a todos os recursos aos quais essa identidade tem acesso. O arquivo de chave privada é protegido para permitir que apenas a conta do HIMDS o leia. Para evitar ataques offline, recomendamos enfaticamente o uso de criptografia de disco completo (por exemplo, BitLocker, DM-cript, etc.) no volume do sistema operacional do seu servidor.

Governança do Azure Policy

A Conformidade Regulatória no Azure Policy fornece definições de iniciativas criadas e geridas pela Microsoft, conhecidas como predefinidas, para os domínios de conformidade e os controles de segurança associados a diferentes padrões normativos. Algumas políticas de conformidade regulatória do Azure incluem:

  • PROTEGIDO por ISM do Governo Australiano
  • Azure Security Benchmark
  • Azure Security Benchmark v1
  • PBMM Federal do Canadá
  • CMMC nível 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAAA HITRUST 9.2
  • IRS 1075 de setembro de 2016
  • ISO 27001:2013
  • ISM restrito da Nova Zelândia
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL e UK NHS

Antes de implantar servidores habilitados para Azure Arc em um grupo de recursos, você pode definir e atribuir de forma sistemática as Políticas do Azure com suas respectivas tarefas de correção nos níveis de grupo de recursos, assinatura ou grupo de gerenciamento. Ao configurar suas Políticas do Azure antecipadamente, você garante que os guardrails de auditoria e conformidade estejam em vigor.

Além do ponto de extremidade público, duas outras opções de rede seguras para os servidores habilitados para Azure Arc são o Servidor Proxy e o Link Privado do Azure.

Se o computador estiver se comunicando por meio de um servidor proxy para se conectar à Internet, você poderá especificar o endereço IP do servidor proxy ou o nome e o número da porta que o computador usa para se comunicar com o servidor proxy. Você pode fazer essa especificação diretamente no portal do Azure ao gerar um script para a integração de vários computadores com o Arc.

Para cenários de alta segurança, o Link Privado do Azure permite vincular com segurança os serviços de PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Em muitos serviços, basta definir um endpoint por recurso. Isso significa que você pode conectar seus servidores locais ou de várias nuvens ao Azure Arc e enviar todo o tráfego por uma conexão VPN site a site ou do Azure ExpressRoute em vez de usar redes públicas. Ao utilizar o Link Privado com servidores habilitados para Arc, você pode:

  • Conectar-se de maneira particular ao Azure Arc sem abrir nenhum acesso de rede pública.
  • Garantir que os dados do computador ou do servidor habilitado para Azure Arc só sejam acessados por meio de redes privadas autorizadas.
  • Conectar sua rede local privada ao Azure Arc com segurança usando o ExpressRoute e o Link Privado.
  • Manter todo o tráfego dentro da rede de backbone do Microsoft Azure.

Ilustração mostrando a rede segura para servidores habilitados para Azure Arc por meio do Link Privado do Azure.