Considerações de planejamento para uma configuração segura

  • 5 minutos

Dado que a implantação de servidores habilitados para Arc abrange milhares de máquinas em vários escritórios que lidam com cargas de trabalho críticas para os negócios, a segurança é a principal preocupação da Wide World Importers. Ao planejar uma implantação segura, é importante considerar como você pode aplicar funções de acesso, políticas e rede em conjunto para garantir a conformidade e a proteção dos recursos.

Os servidores com Azure Arc ativado não só se beneficiam da segurança incorporada com criptografia eficaz e partilha de dados concebida de raiz, mas também dispõem de uma variedade de configurações de segurança adicionais. Para garantir uma implantação segura, talvez seja necessário preparar uma zona de aterrissagem eficaz para recursos habilitados para Arc, configurando os controles de acesso apropriados, a infraestrutura de governança e as opções avançadas de rede. Nesta unidade, você aprende a:

  1. Configurar RBAC (controle de acesso baseado em função): desenvolva um plano de acesso para controlar quem tem acesso para gerenciar servidores com suporte Azure Arc e capacidade de visualizar os seus dados a partir de outros serviços do Azure.

  2. Desenvolver um plano de governança da Política do Azure: determine como você deseja implementar a governança de servidores e máquinas híbridos no escopo da assinatura ou do grupo de recursos com a Política do Azure.

  3. Selecione Opções avançadas de rede: avalie se o Servidor Proxy ou o Azure Private Link são necessários para sua implantação de servidor habilitado para Arc.

Identidades seguras e controle de acesso

Cada servidor habilitado para Azure Arc tem uma identidade gerenciada como parte de um grupo de recursos dentro de uma assinatura do Azure. Essa identidade representa o servidor em execução no local ou em outro ambiente de nuvem. O RBAC (controle de acesso baseado em função) padrão do Azure controla o acesso a esse recurso. Duas funções específicas do Servidor habilitado para Arc são a função de Integração de Máquina Conectada do Azure e a função de Administrador de Recursos de Máquina Conectada do Azure.

A função de Integração de Máquina Conectada do Azure está disponível para integração em escala e só pode ler ou criar novos servidores habilitados para Azure Arc no Azure. Ele não pode excluir servidores já registrados ou gerenciar extensões. Como melhor prática, sugerimos que essa função seja atribuída apenas ao principal de serviço Microsoft Entra utilizado para a integração em larga escala de máquinas.

Os usuários com a função de Administrador de Recursos de Máquina Conectada do Azure podem ler, modificar, reintegrar e excluir uma máquina. Essa função foi projetada para dar suporte ao gerenciamento de servidores habilitados para Azure Arc, mas não outros recursos no grupo de recursos ou assinatura.

Além disso, o agente de Máquina Conectada do Azure usa a autenticação de chave pública para se comunicar com o serviço do Azure. Depois de integrar um servidor ao Azure Arc, uma chave privada é salva no disco e usada sempre que o agente se comunica com o Azure. Se roubada, a chave privada pode ser usada em outro servidor para se comunicar com o serviço e agir como se fosse o servidor original. Uma chave privada roubada também pode obter acesso à identidade atribuída pelo sistema e a quaisquer recursos aos quais essa identidade tenha acesso. O arquivo de chave privada é protegido para permitir que apenas a conta HIMDS acesse para lê-lo. Para evitar ataques offline, recomendamos vivamente a utilização de encriptação total do disco (por exemplo, BitLocker, dm-crypt, etc.) no volume do sistema operativo do servidor.

Governança de políticas do Azure

A Conformidade Regulamentar no Azure Policy proporciona à Microsoft definições de iniciativa criadas e geridas, conhecidas como incorporadas, para os domínios de conformidade e controlos de segurança relacionados com diferentes padrões de conformidade. Algumas Políticas do Azure de Conformidade Regulatória incluem:

  • Protegido ISM do Governo Australiano
  • Azure Security Benchmark
  • Azure Security Benchmark v1
  • PBMM Federal do Canadá
  • CMMC Nível 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9,2
  • IRS 1075 setembro 2016
  • Certificação ISO 27001:2013
  • Nova Zelândia - ISM Restrito
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • Oficial do Reino Unido e Serviço Nacional de Saúde do Reino Unido

Antes de implantar servidores habilitados para Azure Arc em um grupo de recursos, você pode definir e atribuir sistemicamente as Políticas do Azure com suas respetivas tarefas de correção no nível do grupo de recursos, da assinatura ou do grupo de gerenciamento. Ao configurar suas Políticas do Azure antecipadamente, você garante que as proteções de auditoria e conformidade estejam em vigor.

Além do ponto de extremidade público, duas outras opções de rede segura para servidores com Azure Arc ativado são o Servidor Proxy e o Azure Private Link.

Se sua máquina estiver se comunicando através de um servidor proxy para se conectar à Internet, você poderá especificar o endereço IP do servidor proxy ou o nome e o número da porta que a máquina usa para se comunicar com o servidor proxy. Você pode fazer essa especificação diretamente no portal do Azure ao gerar um script para integrar várias máquinas ao Arc.

Para cenários de alta segurança, o Azure Private Link permite que você vincule com segurança os serviços PaaS do Azure à sua rede virtual usando pontos de extremidade privados. Para muitos serviços, basta configurar um endpoint por recurso. Isso significa que você pode conectar seus servidores locais ou multicloud ao Azure Arc e enviar todo o tráfego por uma Rota Expressa do Azure ou conexão VPN site a site em vez de usar redes públicas. Ao utilizar o Private Link com servidores habilitados para Arc, você pode:

  • Conecte-se de forma privada ao Azure Arc sem abrir nenhum acesso à rede pública.
  • Certifique-se de que os dados da máquina ou servidor habilitado para Azure Arc só sejam acessados por meio de redes privadas autorizadas.
  • Conecte com segurança sua rede local privada ao Azure Arc usando o ExpressRoute e o Private Link.
  • Mantenha todo o tráfego dentro da rede de backbone do Microsoft Azure.

Ilustração mostrando a rede segura para servidores habilitados para Azure Arc por meio do Azure Private Link.