当前位置: 首页 > news >正文

Azure Local离线模式安全机制(系列篇之四)

1. 双 NIC 安全模型

NIC

准入对象

防护机制

Management NIC

部署/排障的有限命令

客户提供的证书(bootstrap 阶段)

External/Ingress NIC

网络中的普通用户/服务

走身份提供方 + RBAC

Management vNIC 与 Ingress vNIC 分别承担管理面和用户访问面,两者通过 Appliance 内部安全边界隔离,外部访问策略也不同。


2. 默认启用项

  • 传输加密:TLS 1.2 / TLS 1.3 / DTLS 1.2、SMB 3.x signed & encryption(全部传输中数据
  • 存储加密:BitLocker AES-XTS 256(Appliance VM 数据卷)
  • 反恶意软件:Microsoft Defender
  • 启动完整性:Secure Boot
  • 应用白名单:Windows Application Control(WDAC,仅允许受信代码在 Appliance VM 内运行)

3. BitLocker 恢复密钥(必须留存)

3.1 为什么必须管

官方原文:"Disconnected operations for Azure Local manages BitLocker recovery passwords for data at rest encryption. You don't need to provide these passwords for regular operations or during system startup.However, support scenarios might require these passwords to bring the system online. Without these passwords, some support scenarios can cause data loss and require system redeployment."

一旦丢失 BitLocker 恢复密钥 → 部分支持场景会数据丢失 + 必须重部署。恢复密钥对应 Appliance VM 数据卷,而不是 Azure Local 宿主机 BitLocker。

3.2 获取命令

# 1. 导入 OperationsModule Import-Module "C:\azurelocal\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -Force # 2. 建立 client context $password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" # 3. 拉取恢复密钥 $recoveryKeys = Get-ApplianceBitLockerRecoveryKeys $context $recoveryKeys.recoverykeyset

输出形如:

protectorid recoverypassword ----------- ---------------- {DCA51B1F-...} 1141015-055275-382305-1911114-363957-150975-55 {264FB985-...} 186516-209792-097229-117040-638286-147048-26 ...

3.3 储存要求(官方建议)

"Get your BitLocker recovery passwords and store them in a secure locationoutside Azure Local or the Azure Local host."

  • ❌ 不要存在 Azure Local 本机
  • ✅ 建议存在 HSM/离线介质/企业密码保险箱/双人保管
  • 推荐立刻备份、立刻验证一次解密可行性

4. Host Guardian Service(HGS)证书导出

新增工作负载集群时,每个 workload 节点都需要这两个 .pfx:

C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-encryption.pfx C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-signing.pfx

这正是 known-issues 里"Other cluster deployments fail - Host Guardian certificates aren't available"这条 issue 的根因。每新增一个 Workload Cluster,都需要 Appliance 提供 HGS Signing 与 Encryption 证书,否则受保护 VM 无法完成信任建立。

导出命令:

$password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" Export-ApplianceHGSCertificates -Path C:\AzureLocalDisconnectedOperations\HGSBackup

5. Syslog 转发(推到 SIEM)

Appliance VM 内置 syslog agent,可转发安全事件到外部 SIEM。

5.1 REST 参数表

参数

类型

必填

说明

ClientCertificateThumbprint

String

与 syslog server 通信用的客户端证书

Enabled

Flag

启用/禁用 syslog agent;禁用 = 删除配置并停止 forwarder

NoEncryption

Flag

明文发送(生产禁用

OutputSeverity

String

Default(warn/crit/error)或Verbose(全部)

ServerName

String

syslog server FQDN 或 IP

ServerPort

UInt16

syslog 端口

SkipServerCertificateCheck

Flag

跳过 TLS server 证书校验(生产禁用

SkipServerCNCheck

Flag

跳过证书 CN 校验(生产禁用

UseUDP

Flag

用 UDP 而非 TCP

5.2 默认推荐配置(官方原文)

"By default, TCP with authentication and encryption is used, which is the minimum level of security recommended for production.Don't use the-SkipServerCertificateCheckflag in production environments."

生产最小配置:TCP + TLS + 服务端证书验证


6. 我额外注意到的"官方没明说"的事项

  • 文档没说"BitLocker 恢复密钥多久轮换一次"——官方未说明恢复密钥轮换策略,建议按照企业密钥管理制度进行管理。
  • Syslog 输出遵循标准 Syslog 协议,具体事件格式以微软后续版本为准。
  • HGS 证书必须在"新增工作负载集群"前存在;如缺失只能 redownload(无法跨 appliance 重建)
  • 文档没写"管理端 Management NIC 的客户证书轮换流程"
  • 微软官方未说明 Air-gapped 模式下 Microsoft Defender 特征库的更新机制。企业应根据自身离线运维流程制定病毒定义更新策略,并参考 Windows Defender 离线更新最佳实践。

7.安全基线(Best Practice)

建议

推荐

TLS 1.3

LDAPS

企业 CA

HGS 证书离线备份

BitLocker Recovery 离线备份

Syslog → SIEM

WDAC 保持默认

Secure Boot

不关闭

8.安全架构图

如下所示:


9.部署流程

如下图所示:

http://www.jsqmd.com/news/1114687/

相关文章:

  • 2026马鞍山撕碎机厂家怎么选?看准这三点不踩坑
  • Node.js DNS解析性能优化实战与缓存策略
  • Python+Appium+MuMu模拟器:安卓自动化测试环境搭建与脚本编写实战
  • 当你的中文设计遇到瓶颈时,思源宋体CN的7种字重如何帮你破局?
  • Xshell实训:sort,grep,tar
  • 快速解决Windows热键冲突:Hotkey Detective完整指南
  • 科技功能性面料销量预测算法,恒温,防水,抗菌面料分场景预估季节销量。
  • 大模型评测与AI产品质量保障:第11篇 大模型为什么“胡说八道”:幻觉成因深度解析
  • 软考论文评分标准白皮书(2024版):仅限考前72小时开放下载,内含阅卷组未公开的“加分信号词清单”
  • 如何找到海外网红合作?品牌筛选海外红人的 8 个实用技巧
  • 基于深度学习的口罩佩戴检测系统
  • 软考最后冲刺清单:仅剩48小时,这6类图表题+9个公式模板必须闭眼默写!
  • CardEditor卡牌批量生成器:3分钟制作100张专业桌游卡牌的终极指南
  • Adobe-GenP 3.0终极破解教程:3分钟免费解锁Adobe全家桶完整指南
  • 紫微斗数排盘实用工具:天府Agent帮你解读命理趋势
  • 九大网盘直链解析工具:如何突破下载限制获取真实文件地址
  • 小鹏与理想VLA技术路线深度对比:感知驱动vs意图驱动
  • 服饰流行周期计算程序,输入单品上线数据,预判款式衰退清仓最佳时间点。
  • 快速解决Windows热键冲突的终极指南:Hotkey Detective完全教程
  • 遗传算法工程落地:编码选择、选择压强与自适应变异实战
  • 如何快速定位Windows热键冲突:专业检测工具终极指南
  • 自建完整的 Agent 和 类OpenClaw客户端
  • 独立产品上线检查:从能跑到能被用户使用
  • 2026年博士论文降AI攻略:博士学位论文AIGC检测超严标准4.8元完整通过方案
  • 矿山低速重载轴承润滑脂推荐——基于工程逻辑的美孚产品选型指南
  • 什么叫做种草
  • AI率总超标?2026年AI论文写作软件排行榜权威发布,轻松定稿不是梦!
  • 软考案例分析临考72小时冲刺指南:3套模板+2类万能话术+1张得分自查表
  • 3种方法实现Switch游戏画面传输:SysDVR开源投屏终极方案
  • 2026免费图片去水印工具推荐:网页端APP电脑软件全汇总