Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются ключевые факторы проектирования и рекомендации по настройке безопасности, управления и соответствия серверам с поддержкой Azure Arc. Документация по целевой зоне корпоративного масштаба охватывает "Управление" и "Безопасность" как отдельные темы. Эта статья объединяет их для серверов с поддержкой Azure Arc.
Настройка правильных элементов управления является ключом в любом облачном развертывании. Надежные элементы управления помогают обеспечить безопасность и соответствие требованиям. В традиционной настройке эти элементы управления обычно включают шаги проверки и ручные проверки. Но облачные технологии привнесли новый подход к управлению ИТ с автоматизированными ограничениями и проверками. Политика Azure и Microsoft Defender для облака — это облачные инструменты. Они автоматизируют эти контроли, отчёты и исправления. С помощью Azure Arc вы можете расширить политики управления и безопасность для любого ресурса в любом облаке.
В этой статье описываются ключевые области проектирования для обеспечения безопасности, управления и соответствия требованиям. Она содержит четкие рекомендации Майкрософт.
Architecture
На следующем рисунке показана эталонная архитектура для областей проектирования безопасности, соответствия требованиям и управления для серверов с поддержкой Azure Arc.
Рекомендации по проектированию
Гибридные и многооблачные ресурсы становятся частью Azure Resource Manager. Затем средства Azure могут управлять ими, как собственные виртуальные машины Azure.
Управление удостоверениями и доступом
- Разрешения безопасности агента: Обеспечьте безопасный доступ к агенту подключенного компьютера Azure, проверяя пользователей с правами локального администратора на сервере.
- Управляемое удостоверение: Используйте управляемые удостоверения на серверах с поддержкой Azure Arc. Определите, какие приложения, работающие на серверах с поддержкой Azure Arc, могут использовать токен Microsoft Entra.
- Управление доступом на основе ролей Azure (RBAC): Определение ролей администратора, операций и инженерных ролей в организации. Это помогает назначать повседневные задачи в гибридной настройке. Сопоставите каждую команду с действиями и обязанностями, чтобы задать роли и конфигурации Azure RBAC. Рассмотрите возможность использования матрицы RACI для поддержки этих усилий. Создайте элементы управления на заданных уровнях области управления. Следуйте инструкциям по обеспечению согласованности ресурсов и управлению инвентаризацией. Дополнительные сведения см. в статье об управлении удостоверениями и доступом для серверов с поддержкой Azure Arc.
Организация ресурсов
- Отслеживание изменений и инвентаризация:отслеживание изменений в ОС, файлах приложений и реестре. Это помогает найти проблемы безопасности и операций в локальной среде и других облачных настройках.
Дисциплины управления
- Защита от угроз и управление безопасностью в облаке: Добавьте элементы управления для обнаружения неправильной настройки безопасности и отслеживания соответствия требованиям. Кроме того, используйте аналитику Azure для защиты гибридных рабочих нагрузок от угроз. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc. Это обеспечивает базовый мониторинг безопасности, управление состоянием и защиту от угроз.
- Управление секретами и сертификатами: Включите Azure Key Vault для защиты учетных данных субъекта-службы. Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc.
- Управление политиками и отчеты: Определите план управления для гибридных серверов и компьютеров. Переведите это в политики Azure и ремедиационные задачи.
- Место расположения данных: Выберите регион Azure, используемый для серверов с поддержкой Azure Arc. Также просмотрите метаданные, собранные с этих компьютеров .
- Безопасный открытый ключ: Защита открытого ключа агента виртуальной машины Azure, используемого для подключения к службе Azure.
- Непрерывность бизнес-процессов и аварийное восстановление: Ознакомьтесь с рекомендациями по непрерывности бизнес-процессов и аварийному восстановлению для целевых зон корпоративного масштаба. Проверьте, соответствует ли он вашим потребностям предприятия.
- Просмотрите область проектирования безопасности, управления и соответствия требованиям целевой зоны Azure в масштабе предприятия. Проверьте, как серверы с поддержкой Azure Arc влияют на общую модель безопасности и управления.
Дисциплины управления
- Управление агентами:Агент подключенного компьютера Azure играет ключевую роль в гибридных операциях. Она позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure, и применять политики управления. Настройте решения для отслеживания неответственных агентов.
- Стратегия управления журналами: Запланируйте сбор метрик и журналов из гибридных ресурсов в рабочую область Log Analytics для проверки и аудита.
Автоматизация платформы
- Подготовка агента: Планирование настройки серверов с поддержкой Azure Arc и защиты доступа к учетным данным подключения. Рассмотрим уровень и метод автоматизации для массовой регистрации. Рассмотрим структуру пилотных и рабочих развертываний и создание формального плана. Область и план должны охватывать цели, критерии выбора и успеха, обучение, откат и риски.
-
Обновления программного обеспечения:
- Проверьте доступные обновления для обеспечения соответствия безопасности.
- Планируйте составление списка версий ОС Windows и отслеживание сроков окончания их поддержки. Для серверов, которые не могут быть перемещены в Azure или обновлены, планируйте расширенные обновления системы безопасности (ESUS) через Azure Arc.
Рекомендации по проектированию
Подготовка агента
Для настройки серверов с поддержкой Azure Arc можно использовать учетную запись службы. В этом случае запланируйте безопасное хранение и общий доступ к паролю.
Управление агентами
Агент подключенного компьютера Azure — это ключевой элемент для серверов с поддержкой Azure Arc. Он содержит части, которые помогают в обеспечении безопасности, управлении и управлении. Если агент подключенного компьютера Azure прекращает отправку сигналов сердцебиения в Azure или переходит в режим офлайн, вы не сможете выполнять задачи на этой машине. Поэтому разработайте план для оповещений и ответов.
Используйте журнал действий Azure для настройки уведомлений о работоспособности ресурсов. Отслеживайте текущую и последнюю работоспособность агента подключенного компьютера Azure, настроив запрос.
Разрешения безопасности агента
Возможность управлять доступом к агенту подключенной машины Azure на серверах с поддержкой Azure Arc. Службы, составляющие этот агент, обрабатывают весь поток данных между серверами с поддержкой Azure Arc и Azure. Члены локальной группы администрирования в Windows и пользователи с корневым доступом в Linux могут управлять агентом.
Рассмотрите возможность ограничения расширений и функций конфигурации компьютера с помощью элементов управления безопасностью локального агента. Разрешать только необходимые действия, главным образом для заблокированных или конфиденциальных компьютеров.
Манажируемая идентичность
В момент создания назначенное системой удостоверение Microsoft Entra может обновлять только состояние серверов с поддержкой Azure Arc. Примером является "последний просмотр" пульса. Если предоставить этому удостоверению больше доступа к ресурсам Azure, приложения на сервере могут использовать его для их доступа. Например, приложение может запрашивать секреты из Key Vault. Вы должны:
- Найдите допустимые варианты использования для серверных приложений, чтобы получить маркеры доступа и получить доступ к ресурсам Azure. Кроме того, планируйте управление доступом этих ресурсов.
- Управление привилегированными ролями пользователей на серверах с поддержкой Azure Arc. В Windows это означает, что члены локального администратора или группы приложений расширений гибридного агента. В Linux это означает членов группы himds. Это предотвращает злоупотребление управляемыми системой идентификаторами для получения нежелательного доступа к ресурсам Azure.
- Используйте Azure RBAC для управления разрешениями для управляемых удостоверений серверов с поддержкой Azure Arc. Запускайте регулярные проверки доступа для этих учетных записей.
Управление секретами и сертификатами
Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Серверы с поддержкой Azure Arc имеют управляемую идентичность. Подключенный компьютер и другие агенты Azure используют его для входа в свои службы. Расширение виртуальной машины хранилища ключей позволяет управлять жизненным циклом сертификатов на компьютерах Windows и Linux .
На следующем рисунке показана эталонная архитектура интеграции Azure Key Vault с серверами с поддержкой Azure Arc:
Подсказка
Узнайте, как использовать управляемые сертификаты Key Vault с серверами Linux с поддержкой Azure Arc в проекте Azure Arc Jumpstart .
Управление политиками и отчеты
Политически контролируемое управление является критическим элементом задач, специфичных для облачных технологий, и Cloud Adoption Framework. Политика Azure позволяет применять корпоративные стандарты и проверять соответствие требованиям в масштабе. Вы можете настроить управление для устойчивых развертываний, соответствия требованиям, управления затратами и более надежной системы безопасности. Панель мониторинга соответствия обеспечивает объединенное представление общего состояния и параметров исправления.
Серверы с поддержкой Azure Arc поддерживают политику Azure на уровне управления ресурсами Azure. Они также поддерживают политику в ОС компьютера с помощью политик конфигурации компьютера.
Узнайте о области политики Azure и о том, где его можно применить. Уровни области включают группу управления, подписку, группу ресурсов или один ресурс. Создайте проект группы управления, следуя наилучшим практикам в рамках Cloud Adoption Framework в масштабе предприятия.
- Найдите необходимые политики Azure, определив бизнес-требования, нормативные требования и безопасность для серверов с поддержкой Azure Arc.
- Обеспечить использование тегов и настройку задач исправления.
- Просмотрите встроенные определения политики Azure для серверов с поддержкой Azure Arc.
- Ознакомьтесь со встроенными политиками конфигурации компьютера и инициативами.
- Определите, нужны ли пользовательские политики конфигурации компьютера.
- Определите политику мониторинга и оповещения для поиска неработоспособных серверов с поддержкой Azure Arc.
- Включите оповещения консультанта Azure для поиска серверов с поддержкой Azure Arc с устаревшими агентами.
- Применение стандартов организации и проверка соответствия требованиям в масштабе.
- Используйте политику Azure и задачи по исправлению, чтобы подключить сервисных агентов через функцию расширения.
- Включите Azure Monitor для мониторинга соблюдения нормативных требований и операций на серверах с поддержкой Azure Arc.
На следующем рисунке показана эталонная архитектура для областей проектирования отчетов о политиках и соответствия требованиям для серверов с поддержкой Azure Arc:
Стратегия управления журналами
Разработка и планирование настройки рабочей области Log Analytics. Этот контейнер собирает, объединяет и проверяет данные. Рабочая область Log Analytics определяет географическое расположение данных, изоляцию данных и области конфигураций, таких как хранение данных. Определите, сколько рабочих областей вам нужно и как они сопоставляются со структурой организации. Мы рекомендуем использовать одну рабочую область Azure Monitor Log Analytics для централизованного управления RBAC для получения аналитических сведений и отчетов. Ознакомьтесь с рекомендациями по управлению и мониторингу Cloud Adoption Framework.
Ознакомьтесь с рекомендациями по проектированию развертывания журналов Azure Monitor.
Защита от угроз и управление безопасностью в облаке
Microsoft Defender для Облака — это объединенная платформа безопасности. Она включает управление безопасностью облака (CSPM) и платформу защиты облачных рабочих нагрузок (CWPP). Чтобы повысить безопасность вашей гибридной посадочной зоны, защитите данные и ресурсы, размещенные в Azure и других местах. Microsoft Defender для серверов расширяет эти функции на серверах с поддержкой Azure Arc. Microsoft Defender для Endpoint предоставляет обнаружение и реагирование на конечных точках (EDR). Чтобы повысить безопасность гибридной посадочной зоны, выполните следующие действия.
- Используйте серверы с поддержкой Azure Arc для подключения гибридных ресурсов в Microsoft Defender для Облака.
- Настройте конфигурацию компьютера политики Azure , чтобы убедиться, что все ресурсы соответствуют требованиям. Убедитесь, что их данные безопасности передаются в рабочие области Log Analytics.
- Включите Microsoft Defender для всех подписок и используйте политику Azure для обеспечения соответствия требованиям.
- Используйте интеграцию SIEM с Microsoft Defender для облака и Microsoft Sentinel.
- Защита конечных точек с помощью интеграции Microsoft Defender для облака с Microsoft Defender для конечной точки.
- Чтобы защитить связь между серверами с поддержкой Azure Arc и Azure, ознакомьтесь с разделом " Сетевое подключение для серверов с поддержкой Azure Arc ".
Отслеживание изменений и инвентаризация
Центральные журналы создают отчеты, которые добавляют уровни безопасности и сокращают пробелы в охвате. Отслеживание изменений и инвентаризация в службе автоматизации Azure пересылает и собирает данные в рабочей области Log Analytics. При использовании Microsoft Defender для серверов вы получаете мониторинг целостности файлов (FIM). FIM отслеживает изменения программного обеспечения для служб Windows и управляющей программы Linux на серверах с поддержкой Azure Arc.
Обновления программного обеспечения
С помощью серверов с поддержкой Azure Arc вы можете управлять всем пулом ресурсов с помощью централизованного и масштабируемого мониторинга. Он предоставляет ИТ-специалистам оповещения и советы с полным пониманием обновлений для виртуальных машин Windows и Linux.
Проверьте и обновите операционную систему в рамках общего плана управления. Применяйте критические обновления и обновления безопасности по мере их выхода, чтобы оставаться в соответствии с требованиями. Используйте Azure Update Manager в качестве долгосрочного средства исправления для ресурсов Azure и гибридных ресурсов. Используйте политику Azure для принудительного применения конфигураций обслуживания для всех виртуальных машин, включая серверы с поддержкой Azure Arc. Также разверните расширенные обновления безопасности (ESUs) на серверах с поддержкой Azure Arc, на которые выполняются версии Windows после окончания поддержки. Дополнительные сведения см. в обзоре Диспетчера обновлений Azure.
Управление доступом на основе ролей (RBAC)
Следуйте принципу наименьших привилегий. Пользователи, группы или приложения с ролями, такими как "Участник", "Владелец" или "Администратор ресурсов подключенного компьютера Azure", могут развертывать расширения. Эти расширения предоставляют корневой доступ на серверах с поддержкой Azure Arc. Используйте эти роли с осторожностью, чтобы ограничить радиус взрыва или заменить их пользовательскими ролями.
Чтобы ограничить доступ пользователя и разрешить им только подключать серверы к Azure, используйте роль подключения машин Azure. Эта роль может быть использована только для настройки серверов. Он не может повторно подключить или удалить ресурс сервера. Дополнительные сведения об элементах управления доступом см. в обзоре безопасности серверов с поддержкой Azure Arc .
Дополнительные сведения см. в разделе "Управление удостоверениями и доступом для серверов с поддержкой Azure Arc ".
Кроме того, рассмотрите конфиденциальные данные, отправленные в рабочую область Azure Monitor Log Analytics. Примените тот же принцип RBAC к самим данным. Серверы с поддержкой Azure Arc предоставляют доступ RBAC к данным журнала, собранным агентом Log Analytics. Эти данные хранятся в рабочей области Log Analytics, на котором зарегистрирован компьютер. Узнайте, как настроить подробный доступ к рабочей области Log Analytics в руководстве по развертыванию журналов Azure Monitor.
Безопасный открытый ключ
Агент подключенного компьютера Azure использует открытый ключ для подключения к службе Azure. После подключения сервера к Azure Arc система сохраняет закрытый ключ на диск. Агент использует этот ключ всякий раз, когда он подключается к Azure.
При краже злоумышленник может использовать закрытый ключ на другом сервере для создания исходного кода. Это дает доступ к назначенному системой удостоверению и любым ресурсам, которые он может достичь.
Система защищает файл закрытого ключа, поэтому только учетная запись службы метаданных гибридного экземпляра (himds) может читать его. Чтобы предотвратить автономные атаки, мы настоятельно рекомендуем полное шифрование диска на томе ОС вашего сервера. Примеры включают BitLocker и dm-crypt. Мы рекомендуем использовать конфигурацию компьютера политики Azure для аудита компьютеров Windows или Linux с установленными определенными приложениями.
Дальнейшие шаги
Дополнительные рекомендации по пути внедрения гибридного облака см. в следующих ресурсах:
- Просмотр сценариев Запуска Azure Arc
- Просмотрите предварительные требования для серверов с поддержкой Azure Arc
- Планирование масштабируемого развертывания серверов с поддержкой Azure Arc
- Дополнительные сведения о Azure Arc см. в схеме обучения Azure Arc.