1. 双 NIC 安全模型
NIC | 准入对象 | 防护机制 |
Management NIC | 部署/排障的有限命令 | 客户提供的证书(bootstrap 阶段) |
External/Ingress NIC | 网络中的普通用户/服务 | 走身份提供方 + RBAC |
Management vNIC 与 Ingress vNIC 分别承担管理面和用户访问面,两者通过 Appliance 内部安全边界隔离,外部访问策略也不同。
2. 默认启用项
- 传输加密:TLS 1.2 / TLS 1.3 / DTLS 1.2、SMB 3.x signed & encryption(全部传输中数据)
- 存储加密:BitLocker AES-XTS 256(Appliance VM 数据卷)
- 反恶意软件:Microsoft Defender
- 启动完整性:Secure Boot
- 应用白名单:Windows Application Control(WDAC,仅允许受信代码在 Appliance VM 内运行)
3. BitLocker 恢复密钥(必须留存)
3.1 为什么必须管
官方原文:"Disconnected operations for Azure Local manages BitLocker recovery passwords for data at rest encryption. You don't need to provide these passwords for regular operations or during system startup.However, support scenarios might require these passwords to bring the system online. Without these passwords, some support scenarios can cause data loss and require system redeployment."
一旦丢失 BitLocker 恢复密钥 → 部分支持场景会数据丢失 + 必须重部署。恢复密钥对应 Appliance VM 数据卷,而不是 Azure Local 宿主机 BitLocker。
3.2 获取命令
# 1. 导入 OperationsModule Import-Module "C:\azurelocal\OperationsModule\Azure.Local.DisconnectedOperations.psd1" -Force # 2. 建立 client context $password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" # 3. 拉取恢复密钥 $recoveryKeys = Get-ApplianceBitLockerRecoveryKeys $context $recoveryKeys.recoverykeyset输出形如:
protectorid recoverypassword ----------- ---------------- {DCA51B1F-...} 1141015-055275-382305-1911114-363957-150975-55 {264FB985-...} 186516-209792-097229-117040-638286-147048-26 ...3.3 储存要求(官方建议)
"Get your BitLocker recovery passwords and store them in a secure locationoutside Azure Local or the Azure Local host."
- ❌ 不要存在 Azure Local 本机
- ✅ 建议存在 HSM/离线介质/企业密码保险箱/双人保管
- 推荐立刻备份、立刻验证一次解密可行性
4. Host Guardian Service(HGS)证书导出
新增工作负载集群时,每个 workload 节点都需要这两个 .pfx:
C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-encryption.pfx C:\Users\Administrator\AppData\Roaming\AzureLocal\AzsVmHostGuardian-IRVM01-signing.pfx这正是 known-issues 里"Other cluster deployments fail - Host Guardian certificates aren't available"这条 issue 的根因。每新增一个 Workload Cluster,都需要 Appliance 提供 HGS Signing 与 Encryption 证书,否则受保护 VM 无法完成信任建立。
导出命令:
$password = ConvertTo-SecureString "RETRACTED" -AsPlainText -Force $context = Set-DisconnectedOperationsClientContext ` -ManagementEndpointClientCertificatePath "${env:localappdata}\AzureLocalOpModuleDev\certs\ManagementEndpoint\ManagementEndpointClientAuth.pfx" ` -ManagementEndpointClientCertificatePassword $password ` -ManagementEndpointIpAddress "169.254.53.25" Export-ApplianceHGSCertificates -Path C:\AzureLocalDisconnectedOperations\HGSBackup5. Syslog 转发(推到 SIEM)
Appliance VM 内置 syslog agent,可转发安全事件到外部 SIEM。
5.1 REST 参数表
参数 | 类型 | 必填 | 说明 |
ClientCertificateThumbprint | String | 否 | 与 syslog server 通信用的客户端证书 |
Enabled | Flag | 是 | 启用/禁用 syslog agent;禁用 = 删除配置并停止 forwarder |
NoEncryption | Flag | 否 | 明文发送(生产禁用) |
OutputSeverity | String | 否 |
|
ServerName | String | 否 | syslog server FQDN 或 IP |
ServerPort | UInt16 | 否 | syslog 端口 |
SkipServerCertificateCheck | Flag | 否 | 跳过 TLS server 证书校验(生产禁用) |
SkipServerCNCheck | Flag | 否 | 跳过证书 CN 校验(生产禁用) |
UseUDP | Flag | 否 | 用 UDP 而非 TCP |
5.2 默认推荐配置(官方原文)
"By default, TCP with authentication and encryption is used, which is the minimum level of security recommended for production.Don't use the
-SkipServerCertificateCheckflag in production environments."
生产最小配置:TCP + TLS + 服务端证书验证。
6. 我额外注意到的"官方没明说"的事项
- 文档没说"BitLocker 恢复密钥多久轮换一次"——官方未说明恢复密钥轮换策略,建议按照企业密钥管理制度进行管理。
- Syslog 输出遵循标准 Syslog 协议,具体事件格式以微软后续版本为准。
- HGS 证书必须在"新增工作负载集群"前存在;如缺失只能 redownload(无法跨 appliance 重建)
- 文档没写"管理端 Management NIC 的客户证书轮换流程"
- 微软官方未说明 Air-gapped 模式下 Microsoft Defender 特征库的更新机制。企业应根据自身离线运维流程制定病毒定义更新策略,并参考 Windows Defender 离线更新最佳实践。
7.安全基线(Best Practice)
建议 | 推荐 |
TLS 1.3 | ✅ |
LDAPS | ✅ |
企业 CA | ✅ |
HGS 证书离线备份 | ✅ |
BitLocker Recovery 离线备份 | ✅ |
Syslog → SIEM | ✅ |
WDAC 保持默认 | ✅ |
Secure Boot | 不关闭 |
8.安全架构图
如下所示:
9.部署流程
如下图所示: