Базовые показатели управления, безопасности и соответствия для серверов с поддержкой Azure Arc

В этой статье рассматриваются основные рекомендации по проектированию и рекомендации по реализации развертываний серверов с поддержкой Azure Arc, а также безопасности, управления и соответствия требованиям. В то время как документация по целевой зоне корпоративного масштаба охватывает "Управление" и "Безопасность" в виде отдельных разделов для серверов с поддержкой Azure Arc, эти критически важные области проектирования объединяются как один раздел.

Определение и применение надлежащих механизмов управления является ключевым в любой облачной реализации, так как это базовый элемент для обеспечения безопасности и соответствия требованиям. В традиционной среде эти механизмы обычно включают процессы проверки и элементы управления вручную. Однако облако ввело новый подход к управлению ИТ с автоматизированными механизмами контроля и проверки. Политика Azure и Microsoft Defender для облака — это облачные средства, которые позволяют реализовать эти элементы управления, отчеты и задачи исправления автоматически. Сочетая их с Azure Arc, вы можете расширить политики управления и безопасность для любого ресурса в общедоступных или частных облаках.

В конце этой статьи вы узнаете о важных областях проектирования для обеспечения безопасности, управления и соответствия четким рекомендациям Майкрософт.

Architecture

На следующем рисунке показана концептуальная эталонная архитектура, демонстрирующая области проектирования безопасности, соответствия и управления для серверов с поддержкой Azure Arc:

Рекомендации по проектированию

Так как гибридные и многооблачные ресурсы становятся частью Azure Resource Manager, они могут управляться и контролироваться с помощью инструментов Azure, как и собственные виртуальные машины Azure.

Управление удостоверениями и доступом

• Разрешения безопасности агента: Обеспечьте безопасный доступ к агенту подключенного компьютера Azure путем проверки пользователей с правами локального администратора на сервере.
• Управляемое удостоверение: Используйте управляемые удостоверения на серверах с поддержкой Azure Arc. Определите стратегию определения приложений, работающих на серверах с поддержкой Azure Arc, с помощью маркера Microsoft Entra.
• Управление доступом на основе ролей Azure (RBAC): Определение административных, операционных и инженерных ролей в организации. Это поможет выделить повседневные операции в гибридной среде. Определение действий и обязанностей для каждой команды позволяет определить роли и конфигурацию Azure RBAC. Рассмотрите возможность использования матрицы RACI для поддержки этих усилий и создания элементов управления в определенной иерархии области управления, следуя рекомендациям по обеспечению согласованности ресурсов и управлению инвентаризацией. Дополнительные сведения см. в статье об управлении удостоверениями и доступом для серверов с поддержкой Azure Arc.

Организация ресурсов

• Отслеживание изменений и инвентаризация:отслеживание изменений в операционной системе, файлах приложений и реестре для выявления операционных и проблем безопасности в локальных и других облачных средах.

Дисциплины управления

• Защита от угроз и управление безопасностью в облаке: Введите элементы управления для обнаружения неправильной настройки безопасности и отслеживания соответствия требованиям. Кроме того, используйте аналитику Azure для защиты гибридных рабочих нагрузок от угроз. Включите Microsoft Defender для серверов для всех подписок, содержащих серверы с поддержкой Azure Arc, для мониторинга базовых показателей безопасности, управления безопасностью и защиты от угроз.
• Управление секретами и сертификатами: Включите Azure Key Vault для защиты учетных данных субъекта-службы. Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc.
• Управление политиками и отчетность: Определите план управления для ваших гибридных серверов и устройств, который преобразуется в политики Azure и задачи по исправлению.
• Место расположения данных: Рассмотрим, в каком регионе Azure необходимо подготовить серверы с поддержкой Azure Arc, и понять метаданные, собранные с этих компьютеров .
• Безопасный публичный ключ: Обеспечьте защиту аутентификации агента виртуальной машины Azure для взаимодействия со службой Azure с использованием публичного ключа.
• Непрерывность бизнес-процессов и аварийное восстановление: Ознакомьтесь с рекомендациями по непрерывности бизнес-процессов и аварийному восстановлению для целевых зон масштаба предприятия, чтобы определить, выполнены ли ваши корпоративные требования.
• Просмотрите область проектирования безопасности, управления и соответствия требованиям целевой зоны Azure корпоративного масштаба, чтобы оценить влияние серверов с поддержкой Azure Arc на общую модель безопасности и управления.

Дисциплины управления

• Управление агентами:Агент подключенного компьютера Azure играет важную роль в гибридных операциях. Он позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure, и применять политики управления. Важно реализовать решения, которые отслеживают неотвечающих агентов.
• Стратегия управления журналами: Планирование сбора метрик и журналов с гибридных ресурсов в рабочую область Log Analytics для дальнейшего анализа и аудита.

Автоматизация платформы

• Подготовка агента: Определите стратегию подготовки серверов с поддержкой Azure Arc и защиты доступа к учетным данным подключения. Рассмотрим уровень и метод автоматизации для массовой регистрации. Рассмотрим структуру пилотных и рабочих развертываний и создание официального плана. Область и план развертывания должны учитывать цели, критерии выбора, критерии успешности, планы обучения, откат и риски.
• Обновления программного обеспечения:
  • Определите стратегию оценки состояния доступных обновлений для поддержания соответствия требованиям безопасности, с учетом критических и системных обновлений безопасности вашей операционной системы.
  • Определите стратегию инвентаризации версий операционной системы Windows и мониторинг окончания срока поддержки. Для серверов, которые не могут быть перенесены в Azure или обновлены, планируйте расширенные обновления системы безопасности (ESUs) через Azure Arc.

Рекомендации по проектированию

Подготовка агента

При использовании сервисного принципала для настройки серверов с поддержкой Azure Arc подумайте о безопасном хранении и распределении пароля сервисного принципала.

Управление агентами

Агент подключенного компьютера Azure — это ключевой элемент для серверов с поддержкой Azure Arc. Он содержит несколько логических компонентов, которые играют роль в операциях безопасности, управления и администрирования. Если агент подключенного компьютера Azure перестает отправлять пульс в Azure или переходит в автономный режим, вы не сможете выполнять в нем операционные задачи. Поэтому необходимо разработать план уведомлений и ответов.

Журнал действий Azure можно использовать для настройки уведомлений о работоспособности ресурсов. Оставайтесь в курсе текущего и исторического состояния работоспособности агента для подключенных машин Azure с помощью запроса.

Разрешения безопасности агента

Возможность управлять доступом к агенту подключенной машины Azure на серверах с поддержкой Azure Arc. Службы, составляющие этот агент, управляют всеми связями и взаимодействием серверов с поддержкой Azure Arc в Azure. Члены локальной группы администраторов в Windows и пользователей с правами root в Linux имеют разрешения на управление агентом.

Оцените ограничения расширений и возможностей конфигурации компьютера с помощью элементов управления безопасностью локального агента , чтобы разрешить только необходимые действия управления, особенно для заблокированных или конфиденциальных компьютеров.

Манажируемая идентичность

При создании удостоверение, назначаемое системой Microsoft Entra, можно использовать только для обновления состояния серверов с поддержкой Azure Arc (например, пульс последнего просмотра). При предоставлении этим назначаемым системой удостоверениям дополнительного доступа к ресурсам Azure возможно разрешить приложению на вашем сервере использовать удостоверения системы, чтобы получить доступ к ресурсам Azure (например, для запроса секретов из Key Vault). Вы должны:

• Рассмотрим, какие допустимые варианты использования существуют для серверных приложений для получения маркеров доступа и доступа к ресурсам Azure, а также планирования контроля доступа к этим ресурсам.
• Управляйте привилегированными ролями пользователей на серверах с поддержкой Azure Arc (члены группы локальных администраторов или Hybrid Agent Extensions Applications group в Windows и члены группы himds в Linux), чтобы избежать неправильного использования управляемых системой удостоверений для получения несанкционированного доступа к ресурсам Azure.
• Используйте Azure RBAC для управления разрешениями управляемых удостоверений серверов с поддержкой Azure Arc и выполнения периодической оценки доступа для этих удостоверений.

Управление секретами и сертификатами

Рекомендуется использовать Azure Key Vault для управления сертификатами на серверах с поддержкой Azure Arc. Серверы с поддержкой Azure Arc имеют управляемое удостоверение, которое используется подключенной машиной и другими агентами Azure для проверки подлинности обратно в соответствующие службы. Расширение виртуальной машины хранилища ключей позволяет управлять жизненным циклом сертификатов на компьютерах Windows и Linux .

На следующем рисунке показана концептуальная эталонная архитектура, демонстрирующая интеграцию Azure Key Vault для серверов с поддержкой Azure Arc:

Управление политиками и отчеты

Управление на основе политик — это базовый принцип облачных операций и Cloud Adoption Framework. Политика Azure предоставляет механизм для применения корпоративных стандартов и оценки соответствия в масштабе. Вы можете реализовать управление для обеспечения согласованности развертываний, соответствия требованиям, управления затратами и повышения уровня безопасности. С помощью панели мониторинга соответствия вы получите агрегированное представление общего состояния и возможностей исправления.

Серверы с поддержкой Azure Arc поддерживают политику Azure на уровне управления ресурсами Azure, а также в операционной системе компьютера с помощью политик конфигурации компьютера.

Сведения о области политики Azure и ее применении (группа управления, подписка, группа ресурсов или отдельный уровень ресурсов). Создание структуры группы управления в соответствии с рекомендациями, описанными в корпоративном масштабе Cloud Adoption Framework

• Определите, какие политики Azure требуются путем определения бизнес-, нормативных требований и требований безопасности для серверов с поддержкой Azure Arc.
• Применение тегов и реализация задач исправления.
• Изучите и оцените встроенные определения политики Azure для серверов с поддержкой Azure Arc.
• Ознакомьтесь со встроенными политиками иинициативами конфигурации компьютера и оцените их.
• Оцените необходимость создания пользовательских политик конфигурации компьютера.
• Определите политику мониторинга и оповещения, которая определяет неработоспособные серверы с поддержкой Azure Arc.
• Включение оповещений Помощника по Azure для идентификации серверов с поддержкой Azure Arc с установленными устаревшими агентами.
• Применение стандартов организации и оценка соответствия на масштабируемом уровне.
• Используйте политику Azure и задачи исправления для включения агентов службы управления с помощью функции управления расширениями.
• Включите Azure Monitor для обеспечения соответствия требованиям и оперативного мониторинга серверов с поддержкой Azure Arc.

На следующем рисунке показана концептуальная эталонная архитектура, демонстрирующая области проектирования отчетов о политике и соответствия требованиям для серверов с поддержкой Azure Arc:

Стратегия управления журналами

Проектирование и планирование развертывания рабочей области Log Analytics. Это будет контейнер, в котором данные собираются, агрегируются и позже анализируются. Область Log Analytics отображает географическое расположение ваших данных, изоляцию данных и охват конфигураций, таких как хранение данных. Вам потребуется определить количество необходимых рабочих областей и их сопоставление со структурой организации. Рекомендуется использовать одну рабочую область Azure Monitor Log Analytics для централизованного управления RBAC для видимости и создания отчетов, как описано в рекомендациях по управлению и мониторингу Cloud Adoption Framework.

Ознакомьтесь с рекомендациями по проектированию развертывания журналов Azure Monitor.

Защита от угроз и управление безопасностью в облаке

Microsoft Defender для Облака предоставляет единую платформу управления безопасностью, сегментированную как управление безопасностью в облаке (CSPM) и платформу защиты облачных рабочих нагрузок (CWPP). Чтобы повысить безопасность в вашей гибридной посадочной зоне, важно защитить данные и активы, размещенные в Azure и за его пределами. Microsoft Defender для серверов расширяет эти возможности на серверах с поддержкой Azure Arc, а Microsoft Defender для конечной точки обеспечивает обнаружение конечных точек и ответ (EDR). Чтобы укрепить безопасность вашей гибридной зоны приземления, рассмотрите следующее:

• Используйте серверы с поддержкой Azure Arc для подключения гибридных ресурсов в Microsoft Defender для Облака.
• Реализуйте машинную конфигурацию политики Azure, чтобы все ресурсы соответствовали требованиям и данные безопасности собирались в рабочие области Log Analytics.
• Включите Microsoft Defender для всех подписок и используйте политику Azure для обеспечения соответствия требованиям.
• Используйте интеграцию сведений о безопасности и управлении событиями с Microsoft Defender для облака и Microsoft Sentinel.
• Защита конечных точек с помощью интеграции Microsoft Defender для облака с Microsoft Defender для конечной точки.
• Чтобы защитить подключение между серверами с поддержкой Azure Arc и Azure, ознакомьтесь с разделом "Сетевое подключение для серверов с поддержкой Azure Arc " этого руководства.

Отслеживание изменений и инвентаризация

Централизация журналов порождает отчеты, которые могут использоваться в качестве дополнительных уровней безопасности и снижают вероятность пробелов в наблюдаемости. Отслеживание изменений и инвентаризация в службе автоматизации Azure пересылает и собирает данные в рабочей области Log Analytics. При использовании Microsoft Defender для серверов вы получаете мониторинг целостности файлов (FIM) для проверки и отслеживания изменений программного обеспечения для служб Windows и управляющих программ Linux на серверах с поддержкой Azure Arc.

Обновления программного обеспечения

С помощью серверов с поддержкой Azure Arc вы можете управлять корпоративной инфраструктурой, используя централизованное управление и мониторинг на большом масштабе. В частности, он предоставляет оповещения и рекомендации ИТ-командам с полной оперативной видимостью, которая включает управление обновлениями виртуальных машин Windows и Linux.

Оценка и обновление операционных систем должны быть частью общей стратегии управления для поддержания соответствия требованиям безопасности посредством критически важных и безопасных обновлений по мере их выпуска. Используйте Azure Update Manager в качестве долгосрочного механизма исправления для ресурсов Azure и гибридных ресурсов. Используйте политику Azure, чтобы обеспечить и применить конфигурации обслуживания всех виртуальных машин, включая серверы с поддержкой Azure Arc и развертывание расширенных обновлений безопасности (ESUs) на серверах с поддержкой Azure Arc, имеющих версии Windows, которые достигли окончания поддержки. Дополнительные сведения см. в обзоре Диспетчера обновлений Azure.

Управление доступом на основе ролей (RBAC)

После минимального принципа привилегий пользователи, группы или приложения, назначенные ролями, такими как "участник" или "владелец" или "Администратор ресурсов подключенного компьютера Azure", могут выполнять такие операции, как развертывание расширений, которые в основном имеют корневой доступ на серверах с поддержкой Azure Arc. Эти роли следует использовать с осторожностью, чтобы ограничить возможный радиус взрыва или в конечном итоге заменить пользовательскими ролями.

Чтобы ограничить привилегии пользователя и разрешить только подключать серверы к Azure, подходит роль подключения машин к Azure. Эта роль может использоваться только для подключения серверов и не может повторно подключить или удалить ресурс сервера. Ознакомьтесь с обзором безопасности серверов с поддержкой Azure Arc для получения дополнительных сведений об элементах управления доступом.

Ознакомьтесь с разделом "Управление идентификацией и доступом для серверов, совместимых с Azure Arc" в этом руководстве для получения дополнительной информации, связанной с идентификацией и доступом.

Кроме того, учитывайте конфиденциальные данные, отправляемые в рабочую область Azure Monitor Log Analytics, тот же принцип RBAC должен применяться к самому данным. Серверы с поддержкой Azure Arc предоставляют доступ RBAC к данным журнала, собранным агентом Log Analytics, хранящимся в рабочей области Log Analytics, на котором зарегистрирован компьютер. Узнайте, как реализовать подробный доступ к рабочей области Log Analytics в документации по развертыванию журналов Azure Monitor.

Безопасный открытый ключ

Агент подключенного компьютера Azure использует проверку подлинности с открытым ключом для взаимодействия со службой Azure. После подключения сервера к Azure Arc закрытый ключ сохраняется на диске и используется всякий раз, когда агент взаимодействует с Azure.

При краже закрытый ключ можно использовать на другом сервере для взаимодействия со службой и действовать так, как если бы он был исходным сервером. Это включает в себя получение доступа к удостоверению, назначенному системой, и к любым ресурсам, которыми может пользоваться это удостоверение.

Файл закрытого ключа защищен, чтобы разрешить доступ к нему только учетной записи службы метаданных гибридного инстанса (HIMDS) для его чтения. Чтобы предотвратить автономные атаки, настоятельно рекомендуется использовать полное шифрование дисков (например, BitLocker, dm-crypt и т. д.). На разделе операционной системы сервера. Мы рекомендуем использовать конфигурацию компьютера политики Azure для аудита компьютеров Windows или Linux с установленными указанными приложениями, такими как упомянутые.

Дальнейшие шаги

Дополнительные рекомендации по внедрению гибридного облака см. в следующих статьях:

• Просмотр сценариев Запуска Azure Arc
• Просмотрите предварительные требования для серверов с поддержкой Azure Arc
• Планирование масштабируемого развертывания серверов с поддержкой Azure Arc
• Общие сведения об управлении гибридными и многооблачными средами
• Дополнительные сведения о Azure Arc см. в схеме обучения Azure Arc.