安全設定的規劃考量

  • 5 分鐘

鑑於已啟用 Arc 的伺服器部署包含跨多個辦公室處理業務關鍵負載的數千台機器,Wide World Importers 將安全性視為首要考量。 當您規劃安全部署時,請務必考慮如何同時套用存取角色、原則和網路功能,以確保資源的合規性和保護。

已啟用 Azure Arc 的伺服器不僅受益於內建安全性,並透過設計進行仔細加密和資料共用,也具有一系列新增的安全性設定。 若要確保安全部署,您可能需要設定適當的存取控制、治理基礎結構和進階網路選項,為已啟用 Arc 的資源準備有效的登陸區域。 在本單元中,您將了解:

  1. 設定角色型存取控制 (RBAC):開發存取方案,以控制誰有權管理已啟用 Azure Arc 的伺服器,以及能夠檢視其在其他 Azure 服務中的資料。

  2. 開發 Azure 原則治理計劃:決定您想要如何使用 Azure 原則,在訂用帳戶或資源群組範圍實作混合式伺服器和機器的治理。

  3. 選取 [進階網络] 選項:評估已啟用Arc的伺服器部署是否需要 Proxy 伺服器或 Azure Private Link。

保護身分識別和存取控制

每個已啟用 Azure Arc 的伺服器在 Azure 訂用帳戶內都有一個受控身分識別作為資源群組的一部分。 該身分識別代表執行內部部署或其他雲端環境的伺服器。 標準 Azure 角色型存取控制 (RBAC) 可控制此資源的存取。 已啟用 Arc 的兩個伺服器特定角色是 Azure Connected Machine 上線角色和 Azure Connected Machine 資源管理員角色。

Azure Connected Machine 上線角色適用於大規模上線,而且只能在 Azure 中讀取或建立新的已啟用 Azure Arc 的伺服器。 其無法刪除已註冊的伺服器或管理延伸模組。 最佳做法是,建議只將此角色指派給用來大規模將機器上線的 Microsoft Entra 服務主體。

具有 Azure 連線機器資源管理員角色的使用者可以讀取、修改、重新登入和刪除電腦。 此角色旨在支援管理已啟用 Azure Arc 的伺服器,但不支援資源群組或訂用帳戶中的其他資源。

此外,Azure Connected Machine 代理程式會使用公開金鑰驗證來與 Azure 服務通訊。 將伺服器上線至 Azure Arc 之後,私密金鑰會儲存到磁碟,並在代理程式與 Azure 通訊時使用。 如果遭竊,則可以在另一部伺服器上使用私密金鑰來與服務通訊,並將其用作原始伺服器。 遭竊的私鑰也可以存取系統指派的身分識別,以及該身分識別可存取的任何資源。 私密金鑰檔案受到保護,只允許 HIMDS 帳戶存取權加以讀取。 為了防止離線攻擊,強烈建議您在伺服器的作業系統磁碟區上使用完整磁碟加密 (例如 BitLocker、dm-crypt) 等。

Azure 原則治理

Azure Policy 中的法規合規性提供由 Microsoft 建立和管理的組合定義(稱為內建項目),以涵蓋與不同合規性標準相關的合規性領域和安全控制。 某些法規合規性 Azure 原則包括:

  • 受澳洲政府 ISM 保護
  • Azure 安全性基準
  • Azure 安全性效能評定 v1
  • 加拿大聯邦 PBMM
  • CMMC 第 3 級
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 2016 年 9 月
  • ISO 27001:2013
  • 紐西蘭 ISM 限制
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rev. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL 與 UK NHS

在將 Azure Arc 啟用的伺服器部署至資源群組之前,您可以在資源群組、訂用帳戶或管理群組層級,系統性地定義和指派 Azure 原則及其對應的補救工作。 藉由預先設定您的 Azure 原則,您可以確定稽核和合規性防護措施已就緒。

除了公用端點之外,已啟用 Azure Arc 的伺服器還有兩個其他安全網路選項,分別是 Proxy 伺服器和 Azure Private Link。

如果您的機器是透過 Proxy 伺服器進行通訊以連線到因特網,您可以指定 Proxy 伺服器 IP 位址或電腦用來與 Proxy 伺服器通訊的名稱和埠號碼。 產生指令碼以將多部電腦上線至 Arc 時,您可以直接在 Azure 入口網站中建立此規格。

對於高安全性案例,Azure Private Link 可讓您使用私人端點,將 Azure PaaS 服務安全地連結至您的虛擬網路。 如果有許多服務,您只需為每個資源設定一個端點。 這表示您可以使用 Azure Arc 連線內部部署或多雲端伺服器,並透過 Azure ExpressRoute 或站對站 VPN 連線來傳送所有流量,而不是使用公用網路。 使用已啟用 Arc 的伺服器搭配 Private Link,您可以:

  • 私下連線至 Azure Arc,而不需要開啟任何公用網路存取。
  • 請確定僅透過授權的私人網路存取已啟用 Azure Arc 的機器或伺服器中的資料。
  • 使用 ExpressRoute 和 Private Link,將您的私人內部部署網路安全地連線至 Azure Arc。
  • 讓所有的流量都在 Microsoft Azure 骨幹網路內。

插圖顯示啟用 Azure Arc 的伺服器透過 Azure Private Link 的安全網路。