Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются вопросы безопасности и элементы управления, доступные при использовании серверов с поддержкой Azure Arc. Независимо от того, являетесь ли вы специалистом по безопасности или ИТ-оператором, информация в этой статье позволяет уверенно настроить Azure Arc таким образом, чтобы соответствовать требованиям безопасности вашей организации.
Обязанности
Безопасность развертывания серверов с поддержкой Azure Arc является общей ответственностью между вами и корпорацией Майкрософт. Корпорация Майкрософт несет ответственность за:
- Защита облачной службы, в которой хранятся системные метаданные и осуществляется оркестрация операций для агентов, которые подключаются к службе.
- Обеспечение и защита конфиденциальности метаданных вашей системы, хранящихся в Azure.
- Документирование дополнительных функций безопасности, чтобы понять преимущества и недостатки параметров развертывания.
- Регулярная публикация обновлений агента с улучшениями в области безопасности, качества, производительности и реализации новых функций.
Вы несете ответственность за:
- Управление и мониторинг доступа RBAC к ресурсам с поддержкой Azure Arc в вашей подписке Azure.
- Защита и регулярное смена учетных данных всех учетных записей, используемых для управления серверами с поддержкой Azure Arc. Сюда входят все секреты или учетные данные субъектов служб, используемые для подключения новых серверов.
- Определить, следует ли и каким образом применять какие-либо функции безопасности, описанные в этом документе (например, списки разрешений расширений), к агентам подключенных машин Azure, которые вы развертываете.
- Поддержание актуальности агента и расширений подключённой машины Azure.
- Определение соответствия Azure Arc юридическим, регуляторным и внутренним политикам вашей организации.
- Защита самого сервера, включая вычислительные ресурсы, хранилище и сетевую инфраструктуру, используемую для запуска сервера.
Обзор архитектуры
Серверы с поддержкой Azure Arc — это служба на основе агента. Взаимодействие с Azure Arc в основном осуществляется через API, портал и интерфейсы управления Azure. Отображаемые данные и действия, выполняемые в Azure, передаются через агент подключенного компьютера Azure, установленный на каждом управляемом сервере. Azure — источник истины для агента. Единственный способ сообщить агенту что-то сделать (например, установить расширение) — выполнить действие в представлении сервера в Azure. Это помогает убедиться, что RBAC и политические назначения вашей организации могут оценивать запрос до внесения изменений.
Агент для подключенных машин Azure в первую очередь является платформой поддержки для других служб Azure и сторонних сервисов. К ее основным функциям относятся:
- Установка связи между компьютером и подпиской Azure
- Предоставление управляемого удостоверения для агента и других приложений, используемых при проверке подлинности с помощью Azure
- Включение других возможностей (агентов, скриптов) с расширениями
- Оценка и применение параметров на сервере
После установки агента подключенного компьютера Azure вы можете включить другие службы Azure на сервере, чтобы обеспечить мониторинг, управление исправлениями, удаленный доступ или другие потребности. Роль Azure Arc заключается в том, чтобы помочь этим службам работать за пределами собственных центров обработки данных Azure.
Вы можете использовать Политика Azure, чтобы ограничить возможности пользователей вашей организации с помощью Azure Arc. Облачные ограничения, такие как Политика Azure, являются отличным способом применять элементы управления безопасностью в масштабе, сохраняя гибкость для настройки ограничений в любое время. Однако иногда требуется еще более строгий контроль для защиты от законно привилегированной учетной записи, используемой для обхода мер безопасности (например, отключения политик). Для этого агент подключенного компьютера Azure также имеет собственные элементы управления безопасностью, которые имеют приоритет над любыми ограничениями, установленными в облаке.
Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.
Службы агента
Агент подключенного компьютера Azure — это сочетание четырех служб и управляющих программ, которые выполняются на сервере и помогают подключить его к Azure. Они устанавливаются вместе как одно приложение и управляются централизованно с помощью интерфейса командной строки azcmagent.
Служба метаданных гибридного экземпляра
Служба метаданных гибридного экземпляра (HIMDS) выступает в качестве "ядра" агента и отвечает за регистрацию сервера в Azure, регулярную синхронизацию метаданных (heartbeat-сообщения), выполнение операций с управляемыми удостоверениями и размещение локального REST API, который могут запрашивать другие приложения для получения информации о подключении устройства к Azure. Эта служба является непривилегированной и выполняется как виртуальная учетная запись (NT SERVICE\himds с SID S-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083) в Windows или стандартная учетная запись пользователя (himds) в операционных системах Linux.
Диспетчер расширений
Диспетчер расширений отвечает за установку, настройку, обновление и удаление дополнительного программного обеспечения на компьютере. Из коробки Azure Arc не знает, как выполнять такие действия, как мониторинг или исправление компьютера. Вместо этого при выборе использования этих функций диспетчер расширений скачивает и включает эти возможности. Диспетчер расширений запускается от имени локальной системной учетной записи в Windows и от имени root в Linux, поскольку программное обеспечение, которое он устанавливает, может потребовать полного доступа ко всей системе. Вы можете ограничить, какие расширения диспетчер расширений может устанавливать или отключать его полностью, если вы не планируете использовать расширения.
Гостевая конфигурация
Служба настройки гостевых систем проверяет и применяет политики конфигурации виртуальных машин Azure (гостей) на вашем сервере. Это специальные политики Azure, написанные в PowerShell Desired State Configuration для проверки параметров программного обеспечения на сервере. Служба гостевой конфигурации регулярно оценивает и сообщает о соответствии этим политикам, а если политика настроена в принудительном режиме, при необходимости изменит параметры в системе, чтобы вернуть компьютер в соответствие. Служба гостевой конфигурации выполняется от имени локальной системы в Windows и от имени root в Linux, чтобы обеспечить доступ ко всем настройкам вашей системы. Вы можете отключить функцию гостевой конфигурации, если вы не планируете использовать политики гостевой конфигурации.
Прокси-сервер Azure Arc
Служба прокси-сервера Azure Arc отвечает за агрегирование сетевого трафика из служб агента подключенного компьютера Azure и всех установленных расширений и принятия решений о том, куда направлять эти данные. Если вы используете шлюз Azure Arc для упрощения сетевых конечных точек, служба прокси-сервера Azure Arc — это локальный компонент, который перенаправит сетевые запросы через шлюз Azure Arc вместо маршрута по умолчанию. Прокси-сервер Azure Arc выполняется как сетевая служба в Windows и стандартная учетная запись пользователя (arcproxy) в Linux. Он отключен по умолчанию, пока агент не будет настроен для использования шлюза Azure Arc.
Рекомендации по безопасности для ресурсов уровня 0
Ресурсы уровня 0, такие как контроллер домен Active Directory, сервер центра сертификации или сервер бизнес-приложений с высокой степенью конфиденциальности, можно подключить к Azure Arc с дополнительной осторожностью, чтобы обеспечить только нужные функции управления и авторизованных пользователей могут управлять серверами. Эти рекомендации не требуются, но настоятельно рекомендуется поддерживать состояние безопасности ресурсов уровня 0.
Выделенная подписка Azure
Доступ к серверам с поддержкой Azure Arc часто определяется иерархией организации, к которой она принадлежит в Azure. Вы должны рассматривать любую подписку или администратора группы управления как эквивалентную локальному администратору в ресурсах уровня 0, так как они могут использовать свои разрешения для добавления новых назначений ролей в ресурс Azure Arc. Кроме того, политики, применяемые на уровне подписки или группы управления, также могут иметь разрешение на внесение изменений на сервер.
Чтобы свести к минимуму количество учетных записей и политик с доступом к ресурсам уровня 0, рекомендуется использовать выделенную подписку Azure, которую можно внимательно отслеживать и настраивать с помощью максимально мало постоянных администраторов. Просмотрите политики Azure в любых родительских группах управления, чтобы убедиться, что они согласованы с вашим намерением для этих серверов.
Отключение ненужных функций управления
Для ресурса уровня 0 следует использовать элементы управления безопасностью локального агента, чтобы ограничить или отключить любые неиспользуемые функции в агенте, чтобы предотвратить любое намеренное или случайное использование этих функций для внесения изменений на сервер. Сюда входит следующее:
- Отключение возможностей удаленного доступа
- Настройка списка разрешений расширения для расширений, которые вы планируете использовать, или отключение диспетчера расширений, если вы не используете расширения
- Отключение агента конфигурации компьютера, если вы не планируете использовать политики конфигурации компьютера
Например, если вы не планируете использовать расширение пользовательского скрипта для удаленного выполнения кода, рекомендуется отключить его использование, так как он может использоваться злоумышленниками для удаленного выполнения команд для размещения вредоносных программ или другого вредоносного кода на виртуальной машине. Можно использовать механизм списка разрешений, чтобы отключить использование расширения пользовательского скрипта, если его использование не соответствует вашим требованиям безопасности.
В следующем примере показано, как заблокировать агент подключенного компьютера Azure для контроллера домена, который должен использовать агент Azure Monitor для сбора журналов безопасности для Microsoft Sentinel и Microsoft Defender для серверов для защиты от вредоносных программ:
azcmagent config set incomingconnections.enabled false
azcmagent config set guestconfiguration.enabled false
azcmagent config set extensions.allowlist "Microsoft.Azure.Monitor/AzureMonitorWindowsAgent,Microsoft.Azure.AzureDefenderForServers/MDE.Windows"