Fonctionnalités de sécurité pour Azure Local, version 23H2
S’applique à : Azure Local, version 23H2
Azure Local est un produit sécurisé par défaut qui a plus de 300 paramètres de sécurité activés dès le début. Les paramètres de sécurité par défaut fournissent une base de référence de sécurité cohérente pour s’assurer que les appareils démarrent dans un état correct connu.
Cet article fournit une brève vue d’ensemble conceptuelle des différentes fonctionnalités de sécurité associées à votre instance Locale Azure. Les fonctionnalités incluent les valeurs par défaut de sécurité, Windows Defender pour Application Control (WDAC), le chiffrement du volume via BitLocker, la rotation des secrets, les comptes d’utilisateurs intégrés locaux, les Microsoft Defender pour le cloud, etc.
Paramètres de sécurité par défaut
Vos paramètres de sécurité Azure Local sont activés par défaut, qui fournissent une base de référence de sécurité cohérente, un système de gestion de base et un mécanisme de contrôle de dérive.
Vous pouvez surveiller les paramètres de base de sécurité et de base sécurisé pendant le déploiement et l’exécution. Vous pouvez également désactiver le contrôle de dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.
Avec le contrôle de dérive appliqué, les paramètres de sécurité sont actualisés toutes les 90 minutes. Cet intervalle d’actualisation garantit la correction des modifications apportées à l’état souhaité. La surveillance continue et la saisie automatique permettent une posture de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil.
Base de référence sécurisée sur Azure Local :
- Améliore la posture de sécurité en désactivant les protocoles et les chiffrements hérités.
- Réduit OPEX avec un mécanisme de protection de dérive intégré qui permet une surveillance cohérente à grande échelle via la base de référence Azure Arc Hybrid Edge.
- Vous permet de répondre aux critères de référence CIS (Center for Internet Security) et DISA (Defense Information System Agency) Security Technical Implementation Guide (STIG) pour le système d’exploitation et la base de référence de sécurité recommandée.
Pour plus d’informations, consultez Gérer les paramètres de sécurité par défaut sur Azure Local.
Windows Defender Application Control
WDAC est une couche de sécurité basée sur un logiciel qui réduit la surface d’attaque en appliquant une liste explicite de logiciels autorisés à s’exécuter. WDAC est activé par défaut et limite les applications et le code que vous pouvez exécuter sur la plateforme principale. Pour plus d’informations, consultez Gérer windows Defender Application Control pour Azure Local, version 23H2.
WDAC fournit deux modes d’opération principaux, le mode Application et le mode Audit. En mode Application, le code non approuvé est bloqué et les événements sont enregistrés. En mode Audit, le code non approuvé est autorisé à s’exécuter et les événements sont enregistrés. Pour en savoir plus sur les événements liés à WDAC, consultez Liste des événements.
Important
Pour réduire le risque de sécurité, exécutez toujours WDAC en mode Application.
À propos de la conception de stratégie WDAC
Microsoft fournit des stratégies signées de base sur Azure Local pour le mode d’application et le mode Audit. En outre, les stratégies incluent un ensemble prédéfini de règles de comportement de plateforme et des règles de bloc à appliquer à la couche de contrôle d’application.
Composition des stratégies de base
Les stratégies de base locale Azure incluent les sections suivantes :
- Métadonnées : les métadonnées définissent des propriétés uniques de la stratégie, telles que le nom de la stratégie, la version, le GUID, etc.
- Règles d’option : ces règles définissent le comportement de la stratégie. Les stratégies supplémentaires ne peuvent différer que d’un petit ensemble de règles d’option liées à leur stratégie de base.
- Autoriser et refuser des règles : ces règles définissent des limites d’approbation de code. Les règles peuvent être basées sur les serveurs de publication, les signataires, le hachage de fichier, etc.
Règles d’option
Cette section a abordé les règles d’option activées par la stratégie de base.
Pour la stratégie appliquée, les règles d’option suivantes sont activées par défaut :
| Règle d’option | Valeur |
|---|---|
| Activé(e) | UMCI |
| Requis | WHQL |
| Activé(e) | Autoriser les stratégies supplémentaires |
| Activé(e) | Révoqué comme non signé |
| Désactivé | Signature de version d’évaluation |
| Activé(e) | Stratégie d’intégrité du système non signée (valeur par défaut) |
| Activé(e) | Sécurité du code dynamique |
| Activé(e) | Menu Options de démarrage avancées |
| Désactivé | Application de script |
| Activé(e) | Programme d’installation managé |
| Activé(e) | Mettre à jour la stratégie sans redémarrage |
La stratégie d’audit ajoute les règles d’option suivantes à la stratégie de base :
| Règle d’option | Valeur |
|---|---|
| Activé(e) | Mode audit (par défaut) |
Pour plus d’informations, consultez la liste complète des règles d’option.
Autoriser et refuser des règles
Autoriser les règles dans la stratégie de base autoriser tous les composants Microsoft fournis par le système d’exploitation et les déploiements cloud à être approuvés. Les règles de refus bloquent les applications en mode utilisateur et les composants du noyau considérés comme dangereux pour la posture de sécurité de la solution.
Remarque
Les règles d’autorisation et de refus dans la stratégie de base sont mises à jour régulièrement pour améliorer la fontionnalité du produit et optimiser la protection de votre solution.
Pour en savoir plus sur les règles de refus, consultez :
Liste de blocage du pilote.
Liste de blocs en mode utilisateur.
Chiffrement BitLocker
Le chiffrement de données au repos est activé sur les volumes de données créés pendant le déploiement. Ces volumes de données incluent les volumes d’infrastructure et les volumes de charge de travail. Lorsque vous déployez votre système, vous pouvez modifier les paramètres de sécurité.
Par défaut, le chiffrement de données au repos est activé pendant le déploiement. Nous vous recommandons d’accepter le paramètre par défaut.
Une fois qu’Azure Local est correctement déployé, vous pouvez récupérer les clés de récupération BitLocker. Vous devez stocker les clés de récupération BitLocker dans un emplacement sécurisé en dehors du système.
Pour plus d’informations sur le chiffrement BitLocker, consultez :
- Utilisez BitLocker avec des volumes partagés de cluster (CSV).
- Gérer le chiffrement BitLocker sur Azure Local.
Comptes d’utilisateur intégrés locaux
Dans cette version, les utilisateurs intégrés locaux suivants associés RID 500 à votre système local Azure sont RID 501 disponibles sur votre système local Azure :
| Nom dans l’image initiale du système d’exploitation | Nom après le déploiement | Activé par défaut | Description |
|---|---|---|---|
| Administrateur | ASBuiltInAdmin | True | Compte intégré pour l’administration de l’ordinateur/domaine. |
| Invité | ASBuiltInGuest | False | Compte intégré pour l’accès invité à l’ordinateur/domaine, protégé par le mécanisme de contrôle de dérive de la base de référence de sécurité. |
Important
Nous vous recommandons de créer votre propre compte d’administrateur local et de désactiver le compte d’utilisateur connu RID 500 .
Création et rotation des secrets
L’orchestrateur dans Azure Local nécessite plusieurs composants pour maintenir des communications sécurisées avec d’autres ressources et services d’infrastructure. Tous les services s’exécutant sur le système ont des certificats d’authentification et de chiffrement associés.
Pour garantir la sécurité, nous implémentons des fonctionnalités de création et de rotation de secrets internes. Lorsque vous passez en revue vos nœuds système, vous voyez plusieurs certificats créés sous le chemin LocalMachine/Magasin de certificats personnel (Cert:\LocalMachine\My).
Dans cette version, les fonctionnalités suivantes sont activées :
- Possibilité de créer des certificats pendant le déploiement et après les opérations de mise à l’échelle du système.
- Autorotation automatisée avant l’expiration des certificats et option permettant de faire pivoter les certificats pendant la durée de vie du système.
- Possibilité de surveiller et d’alerter si les certificats sont toujours valides.
Remarque
Les opérations de création et de rotation des secrets prennent environ dix minutes, en fonction de la taille du système.
Pour plus d’informations, consultez Gérer la rotation des secrets.
Transfert Syslog des événements de sécurité
Pour les clients et les organisations qui nécessitent leur propre système SIEM (Security Information and Event Management), Azure Local, version 23H2 inclut un mécanisme intégré qui vous permet de transférer des événements liés à la sécurité vers un SIEM.
Azure Local a un redirecteur syslog intégré qui, une fois configuré, génère des messages syslog définis dans RFC3164, avec la charge utile au format d’événement commun (CEF).
Le diagramme suivant illustre l’intégration d’Azure Local à un SIEM. Tous les audits, journaux de sécurité et alertes sont collectés sur chaque hôte et exposés via syslog avec la charge utile CEF.
Les agents de transfert Syslog sont déployés sur chaque hôte local Azure pour transférer des messages syslog vers le serveur syslog configuré par le client. Les agents de transfert Syslog fonctionnent indépendamment les uns des autres, mais peuvent être gérés ensemble sur l’un des hôtes.
Le redirecteur syslog dans Azure Local prend en charge différentes configurations basées sur le transfert syslog avec TCP ou UDP, si le chiffrement est activé ou non, et s’il existe une authentification unidirectionnelle ou bidirectionnelle.
Pour plus d’informations, consultez Gérer le transfert syslog.
Microsoft Defender pour le cloud (préversion)
Microsoft Defender pour le cloud est une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud via le provisionnement automatique et la protection avec les services Azure, sans surcharge de déploiement.
Avec le plan de base Defender pour le cloud, vous obtenez des recommandations sur la façon d’améliorer la posture de sécurité de votre système local Azure sans coût supplémentaire. Avec le plan Defender pour serveurs payant, vous bénéficiez de fonctionnalités de sécurité améliorées, notamment des alertes de sécurité pour des machines individuelles et des machines virtuelles Arc.
Pour plus d’informations, consultez Gérer la sécurité du système avec Microsoft Defender pour le cloud (préversion).
Étapes suivantes
- Évaluez la préparation du déploiement via le vérificateur d’environnement.
- Lisez le livre de sécurité local Azure.
- Affichez les normes de sécurité locales Azure.