安全配置的计划注意事项

  • 5 分钟

鉴于已启用 Arc 的服务器部署包含跨多个办公室处理业务关键工作负荷的数千台计算机,Wide World Importers 的安全是首要任务。 在规划安全部署时,请务必考虑如何结合使用访问角色、策略和网络,以确保资源的合规性和安全性。

已启用 Azure Arc 的服务器不仅受益于设计时仔细加密和数据共享的内置安全机制,而且还具有一系列已添加的安全配置。 为了确保安全部署,可能需要通过配置相应的访问控制、治理基础结构和高级网络选项,为已启用 Arc 的资源准备有效的登陆区域。 在本单元中,你将了解:

  1. 配置基于角色的访问控制 (RBAC):制定访问计划,控制谁有权管理已启用 Azure Arc 的服务器,以及从其他 Azure 服务查看其数据的能力。

  2. 制定 Azure Policy 治理计划:确定如何使用 Azure Policy 在订阅或资源组范围内实施混合服务器和计算机的治理。

  3. 选择“高级网络”选项:评估已启用 Arc 的服务器部署是否需要代理服务器或 Azure 专用链接。

安全标识和访问控制

每个已启用 Azure Arc 的服务器都有一个托管标识,作为 Azure 订阅中的资源组的一部分。 该标识表示在本地或其他云环境中运行的服务器。 标准 Azure 基于角色的访问控制 (RBAC) 控制对此资源的访问。 两个已启用 Arc 的服务器特定角色是 Azure Connected Machine 加入角色和 Azure Connected Machine 资源管理员角色。

Azure Connected Machine Onboarding 角色可用于进行大规模加入,只能在 Azure 中读取或创建新的已启用 Azure Arc 的服务器。 它不能删除已注册的服务器或用于管理扩展。 最佳做法是,建议仅将此角色分配给用于大规模载入计算机的 Microsoft Entra 服务主体。

具有 Azure Connected Machine 资源管理员角色的用户可以读取、修改、重新载入和删除计算机。 此角色旨在支持管理已启用 Azure Arc 的服务器,但不支持管理资源组或订阅中的其他资源。

此外,Azure Connected Machine Agent 使用公钥身份验证与 Azure 服务进行通信。 将服务器载入 Azure Arc 后,私钥将保存到磁盘,并在代理与 Azure 通信时使用。 如果被盗,私钥可以在另一台服务器上用来与服务通信,就如同该服务器是原始服务器一样。 被盗的私钥还可以访问系统分配的标识以及该标识有权访问的任何资源。 私钥文件受到保护,只允许 HIMDS 帐户访问来读取它。 为了防止脱机攻击,我们强烈建议在服务器的作系统卷上使用完整磁盘加密(例如 BitLocker、dm-crypt 等)。

Azure Policy 治理

Azure Policy 中的法规合规性为与不同合规性标准相关的合规域和安全控件提供 Microsoft 创建和管理的计划定义(称为内置)。 某些法规合规性 Azure 策略包括:

  • 澳大利亚政府 ISM PROTECTED
  • Azure 安全基准
  • Azure 安全基准 v1
  • 加拿大联邦 PBMM
  • CMMC 级别 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 2016 年 9 月
  • ISO 27001:2013
  • 新西兰 ISM 已限制
  • NIST SP 800-171 R2
  • NIST SP 800-53 修订版 4
  • NIST SP 800-53 修订版 5
  • UK OFFICIAL 和 UK NHS

在将已启用 Azure Arc 的服务器部署到资源组之前,可以在资源组、订阅或管理组级别系统性地定义和分配 Azure 策略及其各自的修正任务。 通过提前配置 Azure 策略,可确保审核和合规性防护措施到位。

除了公共终结点以外,已启用 Azure Arc 的服务器的其他两个安全网络选项是代理服务器和 Azure 专用链接。

如果计算机通过代理服务器进行通信以连接到 Internet,则可以指定计算机用来与代理服务器通信的代理服务器 IP 地址或名称和端口号。 生成脚本以将多台计算机加入 Arc 时,可直接在 Azure 门户中编写此规范。

对于高安全性方案,Azure 专用链接允许使用专用终结点将 Azure PaaS 服务安全地链接到虚拟网络。 对于很多服务,一个资源只需设置一个终结点即可。 这意味着你可以使用 Azure Arc 连接本地或多云服务器,并通过 Azure ExpressRoute 或站点到站点 VPN 连接(而不是使用公用网络)发送所有流量。 将专用链接和已启用 Arc 的服务器结合使用,你可以:

  • 以专用方式连接到 Azure Arc,无需开放任何公共网络访问权限。
  • 确保仅通过授权的专用网络访问已启用 Azure Arc 的计算机或服务器中的数据。
  • 使用 ExpressRoute 和专用链接将你的专用本地网络安全地连接到 Azure Arc。
  • 将所有流量保留在 Microsoft Azure 主干网络中。

此图显示了通过 Azure 专用链接为已启用 Azure Arc 的服务器建立安全网络。