当前位置: 首页 > news >正文

Azure Local离线模式安全机制(系列篇之四)

1. 双 NIC 安全模型

NIC

准入对象

防护机制

Management NIC

部署/排障的有限命令

客户提供的证书(bootstrap 阶段)

External/Ingress NIC

网络中的普通用户/服务

走身份提供方 + RBAC

Management vNIC 与 Ingress vNIC 分别承担管理面和用户访问面,两者通过 Appliance 内部安全边界隔离,外部访问策略也不同。


2. 默认启用项

  • 传输加密:TLS 1.2 / TLS 1.3 / DTLS 1.2、SMB 3.x signed & encryption(全部传输中数据
  • 存储加密:BitLocker AES-XTS 256(Appliance VM 数据卷)
  • 反恶意软件:Microsoft Defender
  • 启动完整性:Secure Boot
  • 应用白名单:Windows Application Control(WDAC,仅允许受信代码在 Appliance VM 内运行)

3. BitLocker 恢复密钥(必须留存)

3.1 为什么必须管

官方原文:"Disconnected operations for Azure Local manages BitLocker recovery passwords for data at rest encryption. You don't need to provide these passwords for regular operations or during system startup.However, support scenarios might require these passwords to bring the system online. Without these passwords, some support scenarios can cause data loss and require system redeployment."

一旦丢失 BitLocker 恢复密钥 → 部分支持场景会数据丢失 + 必须重部署。恢复密钥对应 Appliance VM 数据卷,而不是 Azure Local 宿主机 BitLocker。

3.2 获取命令

# 1. 导入 OperationsModule Import-Module "C:\azurelocal\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -Force # 2. 建立 client context $password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" # 3. 拉取恢复密钥 $recoveryKeys = Get-ApplianceBitLockerRecoveryKeys $context $recoveryKeys.recoverykeyset

输出形如:

protectorid recoverypassword ----------- ---------------- {DCA51B1F-...} 1141015-055275-382305-1911114-363957-150975-55 {264FB985-...} 186516-209792-097229-117040-638286-147048-26 ...

3.3 储存要求(官方建议)

"Get your BitLocker recovery passwords and store them in a secure locationoutside Azure Local or the Azure Local host."

  • ❌ 不要存在 Azure Local 本机
  • ✅ 建议存在 HSM/离线介质/企业密码保险箱/双人保管
  • 推荐立刻备份、立刻验证一次解密可行性

4. Host Guardian Service(HGS)证书导出

新增工作负载集群时,每个 workload 节点都需要这两个 .pfx:

C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-encryption.pfx C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-signing.pfx

这正是 known-issues 里"Other cluster deployments fail - Host Guardian certificates aren't available"这条 issue 的根因。每新增一个 Workload Cluster,都需要 Appliance 提供 HGS Signing 与 Encryption 证书,否则受保护 VM 无法完成信任建立。

导出命令:

$password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" Export-ApplianceHGSCertificates -Path C:\AzureLocalDisconnectedOperations\HGSBackup

5. Syslog 转发(推到 SIEM)

Appliance VM 内置 syslog agent,可转发安全事件到外部 SIEM。

5.1 REST 参数表

参数

类型

必填

说明

ClientCertificateThumbprint

String

与 syslog server 通信用的客户端证书

Enabled

Flag

启用/禁用 syslog agent;禁用 = 删除配置并停止 forwarder

NoEncryption

Flag

明文发送(生产禁用

OutputSeverity

String

Default(warn/crit/error)或Verbose(全部)

ServerName

String

syslog server FQDN 或 IP

ServerPort

UInt16

syslog 端口

SkipServerCertificateCheck

Flag

跳过 TLS server 证书校验(生产禁用

SkipServerCNCheck

Flag

跳过证书 CN 校验(生产禁用

UseUDP

Flag

用 UDP 而非 TCP

5.2 默认推荐配置(官方原文)

"By default, TCP with authentication and encryption is used, which is the minimum level of security recommended for production.Don't use the-SkipServerCertificateCheckflag in production environments."

生产最小配置:TCP + TLS + 服务端证书验证


6. 我额外注意到的"官方没明说"的事项

  • 文档没说"BitLocker 恢复密钥多久轮换一次"——官方未说明恢复密钥轮换策略,建议按照企业密钥管理制度进行管理。
  • Syslog 输出遵循标准 Syslog 协议,具体事件格式以微软后续版本为准。
  • HGS 证书必须在"新增工作负载集群"前存在;如缺失只能 redownload(无法跨 appliance 重建)
  • 文档没写"管理端 Management NIC 的客户证书轮换流程"
  • 微软官方未说明 Air-gapped 模式下 Microsoft Defender 特征库的更新机制。企业应根据自身离线运维流程制定病毒定义更新策略,并参考 Windows Defender 离线更新最佳实践。

7.安全基线(Best Practice)

建议

推荐

TLS 1.3

LDAPS

企业 CA

HGS 证书离线备份

BitLocker Recovery 离线备份

Syslog → SIEM

WDAC 保持默认

Secure Boot

不关闭

8.安全架构图

如下所示:


9.部署流程

如下图所示:

http://www.gsyq.cn/news/1626664.html

相关文章:

  • 软考论文评分标准白皮书(2024版):仅限考前72小时开放下载,内含阅卷组未公开的“加分信号词清单”
  • 科技功能性面料销量预测算法,恒温,防水,抗菌面料分场景预估季节销量。
  • CardEditor卡牌批量生成器:3分钟制作100张专业桌游卡牌的终极指南
  • 基于深度学习的口罩佩戴检测系统
  • 紫微斗数排盘实用工具:天府Agent帮你解读命理趋势
  • 小鹏与理想VLA技术路线深度对比:感知驱动vs意图驱动
  • 矿山低速重载轴承润滑脂推荐——基于工程逻辑的美孚产品选型指南
  • 什么叫做种草
  • 如何快速掌握Adobe-GenP:新手3天精通完整指南
  • 电源选型指南:线性稳压器与开关稳压器 6 大核心维度深度对比
  • Dify平台MCP框架:AI应用可观测性与性能优化实战
  • 2026免费图片去水印工具推荐:网页端APP电脑软件全汇总
  • 推荐系统-矩阵分解
  • 影刀RPA新手教程:输入文字完全指南——让影刀自动在输入框里打字
  • 如何5步实现百度网盘高速下载:直链解析工具高效实用指南
  • 论文只剩90分钟?用“模块化填空模板”抢回47%写作时间,资深命题组成员首次公开应急结构库
  • 遗传算法工程化实战:参数调优、编码选择与四层反馈环设计
  • 2026年降AI工具改写对论文逻辑影响深度解读:改写前后论文论证链完整性分析
  • 5分钟快速上手:WPS-Zotero插件完整安装与使用指南
  • 华为光猫配置解密工具:快速免费的网络运维终极解决方案
  • Anthropic Agent SDK 计费风波背后的 Agent 经济学焦虑
  • 软考机考倒计时15分钟崩溃?资深监考官亲授“强制刷新+本地缓存抢救法”,已助4217名考生挽回成绩
  • WordPress 4.6 PHPMailer漏洞深度解析:从命令执行到绕过实战
  • 2026年英文论文降AI攻略:Turnitin AI检测超标4.8元快速解决完整方案
  • 华为光猫配置解密实战指南:网络运维的高效解决方案
  • 遗传算法工程实践指南:从原理到稳定收敛的落地方法
  • 软考高级机考答题节奏掌控:5步时间切割法+实时监控技巧,92%考生不知道的抢分密钥
  • 遗传算法核心三要素:选择、交叉、变异的工程化调优指南
  • FreeRouting完整教程:5步掌握PCB自动布线,让电路设计效率翻倍
  • Node.js异步编程:Promise.all并行处理与错误处理实战