共用方式為

已啟用 Azure Arc 之伺服器的治理、安全性和合規性基準

  • 發行項

本文涵蓋實作已啟用 Azure Arc 的伺服器部署的安全性、治理和合規性時的主要設計考慮和最佳做法。 雖然企業級登陸區域文件涵蓋「治理」和「安全性」作為個別主題,但針對已啟用 Azure Arc 的伺服器,這些重要的設計區域會合併為單一主題。

定義並套用適當的控制機制在任何雲端實作中都是關鍵,因為它是保持安全且符合規範的基礎元素。 在傳統環境中,這些機制通常涉及檢閱程式和手動控件。 不過,雲端引進了使用自動化護欄和檢查進行IT治理的新方法。 Azure 原則 和 適用於雲端的 Microsoft Defender 是雲端原生工具,可讓您以自動化方式實作這些控件、報表和補救工作。 藉由將它們與 Azure Arc 結合,您可以將治理原則和安全性延伸至公用或私人雲端中的任何資源。

本文結束時,您將瞭解安全性、治理和合規性的重要設計領域,並提供明確的Microsoft指引。

架構

下圖顯示概念參考架構,示範已啟用 Azure Arc 的伺服器的安全性、合規性和治理設計區域:

圖表描述 Azure 概念性參考架構上已啟用 Azure Arc 之伺服器的企業級安全性、治理和合規性。

設計考量

當您的混合式和多重雲端資源成為 Azure Resource Manager 的一部分時,可以使用 Azure 工具來管理和管理它們,就像 Azure 原生 VM 一樣。

身分識別和存取管理

  • 代理程式安全性許可權: 檢閱伺服器上具有本機系統管理員許可權的使用者,以保護對 Azure 連線機器代理程式的存取。
  • 受控識別:搭配已啟用 Azure Arc 的伺服器使用受控識別。 定義策略,以識別在已啟用 Azure Arc 的伺服器上執行的應用程式可以使用Microsoft Entra 令牌。
  • Azure 角色型訪問控制 (RBAC): 定義組織內的系統管理、作業和工程角色。 這有助於在混合式環境中配置日常作業。 將每個小組對應至動作和責任,將決定 Azure RBAC 角色和設定。 請考慮使用 RACI 矩陣,以支援這項工作,並將控件建置到您定義的管理範圍階層中,同時遵循資源一致性和清查管理指引。 如需詳細資訊,請檢閱 已啟用 Azure Arc 之伺服器的身分識別和存取管理。

資源組織

治理專業領域

管理專業領域

  • 代理程式管理:Azure 連線的計算機代理程式在混合式作業中扮演重要角色。 它可讓您管理裝載於 Azure 外部的 Windows 和 Linux 機器,並強制執行治理原則。 請務必實作追蹤無回應代理程序的解決方案。
  • 記錄管理策略: 規劃混合式資源的計量和記錄收集到Log Analytics工作區,以進一步分析和稽核。

平臺自動化

  • 代理程式布建: 定義一種策略,以布建已啟用 Azure Arc 的伺服器,並保護對上線認證的存取。 請考慮大量註冊的自動化層級和方法。 請考慮如何建構 試驗和生產部署 ,並建立正式計劃。 部署的範圍和計劃應考慮目標、選擇準則、成功準則、訓練計劃、復原和風險。
  • 軟體更新:
    • 定義策略,以評估可用更新的狀態,以維護安全性合規性,以及操作系統的重要和安全性更新。
    • 定義清查 Windows 作業系統版本並監視終止支援期限的策略。 對於無法移轉至 Azure 或升級的伺服器,請規劃 透過 Azure Arc 進行延伸安全性更新 (ESU)。

設計建議

代理程式布建

如果使用服務主體來佈建已啟用 Azure Arc 的伺服器,請考慮如何安全地儲存和散發服務主體密碼。

代理程式管理

Azure 連線的電腦代理程式是已啟用 Azure Arc 的伺服器的關鍵部分。 它包含數個邏輯元件,在安全性、治理和管理作業中扮演角色。 如果 Azure 連線的機器代理程式停止將活動訊號傳送至 Azure,或離線,您將無法對它執行作業工作。 因此,必須 開發通知和響應的計劃

Azure 活動記錄可用來設定 資源健康情況通知。 實作查詢,以掌握 Azure 連線機器代理程式的目前和歷程記錄健全狀態。

代理程式安全性許可權

控制可存取已啟用 Azure Arc 之伺服器上的 Azure 連線機器代理程序的人員。 組成此代理程式的服務可控制已啟用 Azure Arc 的伺服器至 Azure 的所有通訊和互動。 Windows 上的本機系統管理員群組成員,以及 Linux 上具有根許可權的使用者具有管理代理程式的許可權。

評估使用本機代理程式安全性控制來限制擴充功能和計算機設定功能,只允許必要的管理動作,特別是鎖定或敏感性機器。

受控識別

建立時,Microsoft Entra 系統指派的身分識別只能用來更新已啟用 Azure Arc 的伺服器狀態(例如,「上次看到」活動訊號)。 在授與此系統指派的身分識別對 Azure 資源的額外存取權時,您可以允許伺服器上的應用程式使用系統指派的身分識別來存取 Azure 資源(例如,向 金鑰保存庫 要求秘密)。 您應該:

  • 請考慮伺服器應用程式 要取得存取令牌 和存取 Azure 資源的合法使用案例,同時規劃這些資源的訪問控制。
  • 在已啟用 Azure Arc 的伺服器上控制特殊許可權使用者角色(Windows 上的本機系統管理員或混合式代理程式擴充功能應用程式群組的成員,以及 Linux 上的 himds 群組成員),以避免系統管理的身分識別被誤用,以取得未經授權的 Azure 資源存取權。
  • 使用 Azure RBAC 來控制和管理已啟用 Azure Arc 的伺服器受控識別的許可權,並針對這些身分識別執行定期存取權檢閱。

秘密和憑證管理

請考慮使用 Azure 金鑰保存庫 來管理已啟用 Azure Arc 之伺服器上的憑證。 已啟用 Azure Arc 的伺服器具有受控識別,由連線的電腦和其他 Azure 代理程式用來向各自的服務進行驗證。 密鑰保存庫 VM 擴充功能可讓您管理 WindowsLinux 機器上的憑證生命週期。

下圖顯示概念參考架構,示範已啟用 Azure Arc 之伺服器的 Azure 金鑰保存庫 整合:

描述已啟用 Azure Arc 之伺服器之 Azure 金鑰保存庫 整合的圖表。

提示

瞭解如何在 Azure Arc Jumpstart 專案中搭配已啟用 Azure Arc 的 Linux 伺服器使用 金鑰保存庫 受控憑證。

原則管理和報告

原則驅動的治理是雲端原生作業和 雲端採用架構 的基本原則。 Azure 原則 提供機制來強制執行公司標準,並大規模評估合規性。 您可以實作治理以取得部署、合規性、控制成本的一致性,以及改善安全性狀態。 透過其合規性儀錶板,您將取得整體狀態和補救功能的匯總檢視。

已啟用 Azure Arc 的伺服器支援在 Azure 資源管理層 Azure 原則,以及使用電腦設定原則的電腦作業系統。

瞭解 Azure 原則 的範圍,以及可以套用的位置(管理群組、訂用帳戶、資源群組或個別資源層級)。 根據 雲端採用架構 企業級中所述的建議做法,建立管理群組設計

下圖顯示概念參考架構,示範已啟用 Azure Arc 的伺服器的原則和合規性報告設計區域:

描繪 Azure 概念參考架構上已啟用 Azure Arc 之伺服器的 Azure 原則 圖表。

記錄管理原則

設計和規劃Log Analytics工作區部署。 它會是收集、匯總及稍後分析數據的容器。 Log Analytics 工作區代表數據的地理位置、數據隔離,以及數據保留等設定的範圍。 您必須識別所需的工作區數目,以及其對應至組織結構的方式。 建議您使用單一 Azure 監視器 Log Analytics 工作區集中管理 RBAC,以取得可見度和報告,如管理與監視 雲端採用架構 的最佳做法中所述

檢閱設計 Azure 監視器記錄部署中的最佳做法。

威脅防護和雲端安全性狀態管理

適用於雲端的 Microsoft Defender 提供統一的安全性管理平臺,並分割為雲端安全性狀態管理 (CSPM) 和雲端工作負載保護平臺 (CWPP)。 若要提高混合式登陸區域的安全性,請務必保護 Azure 和其他地方所裝載的數據和資產。 適用於伺服器的 Microsoft Defender 會將這些功能延伸至已啟用 Azure Arc 的伺服器,適用於端點的 Microsoft Defender 提供 端點偵測及回應 (EDR)。 若要加強混合式登陸區域的安全性,請考慮下列事項:

  • 使用已啟用 Azure Arc 的伺服器,在 適用於雲端的 Microsoft Defender將混合式資源上線。
  • 實作 Azure 原則 計算機設定,以確保所有資源都符合規範,並將其安全性數據收集到Log Analytics工作區中。
  • 為所有訂用帳戶啟用 Microsoft Defender,並使用 Azure 原則 來確保合規性。
  • 使用安全性資訊和事件管理與 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 整合。
  • 使用 適用於雲端的 Microsoft Defender 與 適用於端點的 Microsoft Defender 整合來保護端點。
  • 若要保護已啟用 Azure Arc 的伺服器與 Azure 之間的連線,請參閱 本指南的已啟用 Azure Arc 的伺服器 網路連線一節。

變更追蹤和清查

集中式記錄磁碟驅動器報告,這些報告可作為額外的安全性層級,並減少可觀察性差距的機會。 變更追蹤和清查 Azure 自動化 轉寄,並在 Log Analytics 工作區中收集數據。 使用適用於伺服器的 Microsoft Defender 時,您會取得檔案完整性監視 (FIM) 來檢查和追蹤軟體變更,以在已啟用 Azure Arc 的伺服器上檢查和追蹤 Windows 服務和 Linux 精靈。

軟體更新

使用已啟用 Azure Arc 的伺服器,您可以使用集中式管理和大規模監視來管理企業資產。 更具體來說,它會提供警示和建議給IT小組,其中包含管理Windows和Linux VM更新的完整作業可見度。

評估及更新您的操作系統應該是整體管理策略的一部分,以便在發行時維持重要和安全性更新的安全性合規性。 使用 Azure 更新管理員作為 Azure 和混合式資源的長期修補機制。 使用 Azure 原則 來確保並強制執行所有 VM 的維護設定,包括已啟用 Azure Arc 的伺服器和擴充安全性更新 (ESU) 部署至已啟用 Windows 版本的 Azure Arc 伺服器,這些伺服器已終止支援。 如需詳細資訊,請參閱 Azure Update Manager 概觀

角色型存取控制 (RBAC)

遵循最低許可權原則,以「參與者」或「擁有者」或「Azure 連線機器資源管理員」等角色指派的使用者、群組或應用程式,能夠執行部署延伸模組等作業,這些作業基本上在已啟用 Azure Arc 的伺服器上具有根存取權。 這些角色應謹慎使用,以限制可能的爆炸半徑,或最終由自定義角色取代。

若要限制用戶的許可權,並只允許他們將伺服器上線至 Azure,Azure Connected Machine Onboarding 角色是合適的。 此角色只能用來將伺服器上線,且無法重新上線或刪除伺服器資源。 請務必檢閱 已啟用 Azure Arc 的伺服器安全性概觀 ,以取得訪問控制的詳細資訊。

如需更多身分識別和存取相關內容,請檢閱本指南中已啟用 Azure Arc 之伺服器的身分識別和存取管理一節。

此外,也請考慮傳送至 Azure 監視器 Log Analytics 工作區的敏感數據,應該將相同的 RBAC 原則套用至數據本身。 已啟用 Azure Arc 的伺服器可為 Log Analytics 代理程式所收集的記錄數據提供 RBAC 存取權,並儲存在電腦註冊的 Log Analytics 工作區中。 在設計 Azure 監視器記錄部署檔中,檢閱如何實作細微的 Log Analytics 工作區存取權。

保護公鑰

Azure 連線機器代理程式會使用公鑰驗證來與 Azure 服務通訊。 將伺服器上線至 Azure Arc 之後,私密金鑰會儲存到磁碟,並在代理程式與 Azure 通訊時使用。

如果遭竊,則可以在另一部伺服器上使用私密金鑰來與服務通訊,並將其用作原始伺服器。 這包括取得系統指派身分識別的存取權,以及身分識別可存取的任何資源。

私鑰檔案受到保護,只允許混合式實例元數據服務 (himds) 帳戶存取來讀取它。 為了防止脫機攻擊,我們強烈建議使用完整磁碟加密(例如 BitLocker、dm-crypt 等等)。 在伺服器的操作系統磁碟區上。 建議您使用 Azure 原則 計算機組態來稽核已安裝指定應用程式的 Windows 或 Linux 機器,例如所述的電腦。

下一步

如需混合式雲端採用旅程的更多指引,請檢閱下列各項: