Sicherheit und Schutz von Daten für Azure Stack Edge Pro 2, Azure Stack Edge Pro R und Azure Stack Edge Mini R
GILT FÜR:Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Sicherheit ist bei der Einführung neuer Technologien immer ein zentrales Anliegen. Das gilt insbesondere, wenn die Technologie mit vertraulichen oder proprietären Daten verwendet wird. Mit Azure Stack Edge Pro R und Azure Stack Edge Mini R können Sie sicherstellen, dass Ihre Daten nur von autorisierten Entitäten angezeigt, geändert oder gelöscht werden können.
In diesem Artikel werden die Sicherheitsfeatures von Azure Stack Edge Pro R und Azure Stack Edge Mini R beschrieben, mit denen die einzelnen Komponenten der Lösung und die darin gespeicherten Daten geschützt werden.
Die Lösung besteht aus vier Hauptkomponenten, die untereinander interagieren:
- Azure Stack Edge-Dienst, in der öffentlichen Azure- oder der Azure Government-Cloud gehostet: Die Verwaltungsressource zum Erstellen des Geräteauftrags, zum Konfigurieren des Geräts sowie zum anschließenden Nachverfolgen des Auftrags bis zur Erfüllung
- Widerstandsfähiges Azure Stack Edge-Gerät: Das widerstandsfähige physische Gerät, das an Sie geschickt wird, damit Sie Ihre lokalen Daten in die öffentliche Azure- oder die Azure Government-Cloud importieren können. Hierbei kann es sich um ein Azure Stack Edge Pro R- oder Azure Stack Edge Mini R-Gerät handeln.
- Mit dem Gerät verbundene Clients/Hosts: Die Clients in Ihrer Infrastruktur, die mit dem Gerät verbunden werden und zu schützende Daten enthalten.
- Cloudspeicher: Der Speicherort auf der Azure-Cloudplattform, an dem die Daten gespeichert werden. Hierbei handelt es sich in der Regel um das Speicherkonto, das mit der von Ihnen erstellten Azure Stack Edge-Ressource verknüpft ist.
Dienstschutz
Der Azure Stack Edge-Dienst ist ein in Azure gehosteter Verwaltungsdienst. Der Dienst wird zum Konfigurieren und Verwalten des Geräts verwendet.
- Um auf den Data Box Edge-Dienst zugreifen zu können, muss Ihr Unternehmen über ein Enterprise Agreement- (EA-) oder Cloud Solution Provider-Abonnement (CSP-Abonnement) verfügen. Weitere Informationen finden Sie unter Sign up for Microsoft Azure (Registrieren für Microsoft Azure).
- Da dieser Verwaltungsdienst in Azure gehostet wird, ist er durch die Azure-Sicherheitsfeatures geschützt. Weitere Informationen zu den Sicherheitsfeatures, die von Azure bereitgestellt werden, finden Sie im Microsoft Azure Trust Center.
- Für SDK-Verwaltungsvorgänge können Sie den Verschlüsselungsschlüssel für Ihre Ressource aus Geräteeigenschaften abrufen. Sie können den Verschlüsselungsschlüssel nur anzeigen, wenn Sie über Berechtigungen für die Resource Graph-API verfügen.
Geräteschutz
Hierbei handelt es sich um ein lokales Gerät, das Sie bei der Datentransformation unterstützt. Hierzu werden die Daten lokal verarbeitet und anschließend an Azure gesendet. Für Ihr Gerät gilt Folgendes:
Es benötigt einen Aktivierungsschlüssel für den Zugriff auf den Azure Stack Edge-Dienst.
Es ist jederzeit durch ein Gerätekennwort geschützt.
Es ist ein gesperrtes Gerät. Der Baseboard-Verwaltungscontroller (Baseboard Management Controller, BMC) und das BIOS des Geräts sind kennwortgeschützt. Der BMS ist durch die Einschränkung des Benutzerzugriffs geschützt.
„Secure Boot“ ist aktiviert, um sicherzustellen, dass das Gerät nur mit der vertrauenswürdigen Software von Microsoft gestartet wird.
Die Windows Defender-Anwendungssteuerung (Windows Defender Application Control, WDAC) wird ausgeführt. Hiermit wird sichergestellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden können, die Sie in Ihren Codeintegritätsrichtlinien definieren.
Es ist ein Trusted Platform Module (TPM) für hardwarebasierte Sicherheitsfunktionen vorhanden. Mit dem TPM werden Geheimnisse und Daten verwaltet und geschützt, die dauerhaft auf dem Gerät gespeichert werden müssen.
Auf dem Gerät werden nur die erforderlichen Ports geöffnet, und alle anderen Ports werden blockiert. Weitere Informationen finden Sie in der Liste mit den Portanforderungen für Geräte.
Der gesamte Zugriff auf die Gerätehardware und -software wird protokolliert.
- Für die Gerätesoftware werden Firewall-Standardprotokolle für den ein- und ausgehenden Datenverkehr des Geräts erfasst. Diese Protokolle sind im Supportpaket zusammengefasst.
- Für die Gerätehardware werden alle Ereignisse für das Gerätegehäuse, z. B. Öffnen und Schließen, für das Gerät protokolliert.
Weitere Informationen zu den spezifischen Protokollen, die die Informationen zu den erfolgten Hardware- und Softwareeingriffen enthalten, und zum Abrufen der Protokolle finden Sie unter Sammeln erweiterter Sicherheitsprotokolle.
Schützen des Geräts mittels Aktivierungsschlüssel
Dem in Ihrem Azure-Abonnement erstellten Azure Stack Edge-Dienst kann nur ein autorisiertes Azure Stack Edge Pro R- oder Azure Stack Edge Mini R-Gerät hinzugefügt werden. Um ein Gerät zu autorisieren, müssen Sie es mithilfe eines Aktivierungsschlüssels für den Azure Stack Edge-Dienst aktivieren.
Für den verwendeten Aktivierungsschlüssel gilt Folgendes:
- Ist ein microsoft Entra ID-basierter Authentifizierungsschlüssel.
- Er läuft nach drei Tagen ab.
- Er wird nach der Geräteaktivierung nicht mehr verwendet.
Nachdem Sie ein Gerät aktiviert haben, werden für dieses Gerät Token für die Kommunikation mit Azure verwendet.
Weitere Informationen finden Sie unter Abrufen des Aktivierungsschlüssels.
Schützen des Geräts mittels Kennwort
Mit Kennwörtern wird sichergestellt, dass nur autorisierte Benutzer Zugriff auf Ihre Daten haben. Azure Stack Edge Pro R-Geräte sind nach dem Start gesperrt.
Sie können Folgendes ausführen:
- Stellen Sie über einen Browser eine Verbindung mit der lokalen Webbenutzeroberfläche des Geräts her, und geben Sie ein Kennwort an, um sich bei dem Gerät anzumelden.
- Stellen Sie eine HTTP-Remoteverbindung mit der PowerShell-Schnittstelle des Geräts her. Die Remoteverwaltung ist standardmäßig aktiviert. Darüber hinaus ist für die Remoteverwaltung auch die minimale Administration (Just Enough Administration, JEA) konfiguriert, um die Möglichkeiten für Benutzer einzuschränken. Anschließend können Sie das Gerätekennwort angeben, um sich bei dem Gerät anzumelden. Weitere Informationen finden Sie unter Verwalten eines Azure Stack Edge Pro-GPU-Geräts mithilfe von Windows PowerShell.
- Der lokale Edge-Benutzer auf dem Gerät hat eingeschränkten Zugriff auf das Gerät, um die Erstkonfiguration und die Problembehandlung durchführen zu können. Auf die auf dem Gerät ausgeführten Computeworkloads, die Datenübertragung und den Speicher kann jeweils über das öffentliche Azure-Portal oder das Government-Portal für die Ressource in der Cloud zugegriffen werden.
Beachten Sie diese bewährten Methoden:
- Es empfiehlt sich, alle Kennwörter an einem sicheren Ort zu speichern, sodass Sie ein Kennwort nicht zurücksetzen müssen, wenn Sie es vergessen haben. Der Verwaltungsdienst kann vorhandene Kennwörter nicht abrufen. Er kann diese nur über das Azure-Portal zurücksetzen. Wenn Sie ein Kennwort zurücksetzen, dürfen Sie nicht vergessen, zuvor alle Benutzer zu benachrichtigen.
- Auf die Windows PowerShell-Oberfläche Ihres Geräts können Sie remote über HTTP zugreifen. Aus Sicherheitsgründen empfiehlt es sich, HTTP nur in vertrauenswürdigen Netzwerken zu verwenden.
- Gerätekennwörter müssen sicher und gut geschützt sein. Berücksichtigen Sie die bewährten Methoden für Kennwörter.
- Verwenden Sie zum Ändern des Kennworts die lokale Webbenutzeroberfläche. Sollten Sie das Kennwort ändern, benachrichtigen Sie alle Benutzer mit Remotezugriff, damit bei ihnen keine Anmeldefehler auftreten.
Einrichten der Vertrauensstellung mit dem Gerät über Zertifikate
Beim widerstandsfähigen Azure Stack Edge-Gerät können Sie Ihre eigenen Zertifikate nutzen und installieren, damit sie für alle öffentlichen Endpunkte verwendet werden können. Weitere Informationen finden Sie unter Hochladen von Zertifikaten. Eine Liste mit allen Zertifikaten, die auf Ihrem Gerät installiert werden können, finden Sie unter Verwenden von Zertifikaten mit einem Azure Stack Edge Pro-GPU-Gerät.
- Wenn Sie Compute auf Ihrem Gerät konfigurieren, werden ein IoT-Gerät und ein IoT Edge-Gerät erstellt. Diesen Geräten werden automatisch symmetrische Zugriffsschlüssel zugewiesen. Diese Schlüssel werden aus Sicherheitsgründen regelmäßig über den IoT Hub-Dienst rotiert.
Ihre Daten schützen
In diesem Abschnitt werden die Sicherheitsfeatures für Daten während der Übertragung sowie für gespeicherte Daten beschrieben.
Schutz gespeicherter Daten
Alle ruhenden Daten auf dem Gerät sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nachdem das Gerät deaktiviert wurde, werden die Daten auf sichere Weise von den Datenträgern gelöscht.
Doppelte Verschlüsselung von Daten
Die Daten auf Ihren Datenträgern sind durch zwei Verschlüsselungsebenen geschützt:
- Die erste Verschlüsselungsebene ist eine Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes.
- Die zweite Ebene ist die integrierte Verschlüsselung der Festplatten.
- Für das Betriebssystemvolume wird BitLocker als alleinige Verschlüsselungsebene verwendet.
Hinweis
Für den Betriebssystemdatenträger wird für die Softwareverschlüsselung nur eine Ebene vom Typ „BitLocker XTS-AES-256“ genutzt.
Bevor Sie das Gerät aktivieren, müssen Sie die Verschlüsselung ruhender Daten auf Ihrem Gerät konfigurieren. Dies ist eine erforderliche Einstellung. Das Gerät kann erst aktiviert werden, wenn diese Einstellung erfolgreich konfiguriert wurde.
Im Werk wird die BitLocker-Verschlüsselung auf Volumeebene aktiviert, nachdem die Geräte mit einem Image versehen wurden. Nachdem Sie das Gerät erhalten haben, müssen Sie die Verschlüsselung ruhender Daten konfigurieren. Speicherpool und Volumes werden neu erstellt, und Sie können BitLocker-Schlüssel angeben, um die Verschlüsselung ruhender Daten zu aktivieren und so eine weitere Verschlüsselungsebene für Ihre ruhenden Daten zu erhalten.
Der Schlüssel für die Verschlüsselung ruhender Daten ist ein von Ihnen bereitgestellter Base64-codierter Schlüssel mit einer Länge von 32 Zeichen und wird zum Schutz des eigentlichen Verschlüsselungsschlüssels verwendet. Microsoft hat keinen Zugriff auf diesen Verschlüsselungsschlüssel für ruhende Daten, durch den Ihre Daten geschützt werden. Der Schlüssel wird in einer Schlüsseldatei auf der Seite Clouddetails gespeichert, nachdem das Gerät aktiviert wurde.
Beim Aktivieren des Geräts werden Sie aufgefordert, die Schlüsseldatei mit Wiederherstellungsschlüsseln zu speichern, mit denen die Daten auf dem Gerät wiederhergestellt werden können, falls es nicht gestartet werden kann. Bei bestimmten Wiederherstellungsszenarien werden Sie zur Eingabe der von Ihnen gespeicherten Schlüsseldatei aufgefordert. Die Schlüsseldatei verfügt über folgende Wiederherstellungsschlüssel:
- Einen Schlüssel zum Entsperren der ersten Verschlüsselungsebene
- Einen Schlüssel zum Entsperren der Hardwareverschlüsselung auf den Datenträgern
- Einen Schlüssel zum Wiederherstellen der Gerätekonfiguration auf den Betriebssystemvolumes
- Einen Schlüssel zum Schutz der Daten, die den Azure-Dienst durchlaufen
Wichtig
Speichern Sie die Schlüsseldatei an einem sicheren Ort außerhalb des Geräts. Wenn das Gerät nicht gestartet werden kann und Sie nicht über den Schlüssel verfügen, kann dies unter Umständen zu Datenverlust führen.
Eingeschränkter Zugriff auf Daten
Der Zugriff auf die Daten, die auf Freigaben und in Speicherkonten gespeichert werden, ist eingeschränkt.
- SMB-Clients, die auf Freigabedaten zugreifen, benötigen Benutzeranmeldeinformationen, die der Freigabe zugeordnet sind. Diese Anmeldeinformationen werden definiert, wenn die Freigabe erstellt wird.
- Für NFS-Clients, die auf eine Freigabe zugreifen, muss die IP-Adresse während der Erstellung der Freigabe explizit hinzugefügt werden.
- Die Edge-Speicherkonten, die auf dem Gerät erstellt werden, sind lokale Konten und durch die Verschlüsselung auf den Datenträgern geschützt. Die Azure-Speicherkonten, denen diese Edge-Speicherkonten zugeordnet sind, sind nach Abonnement und mit zwei 512-Bit-Speicherzugriffsschlüsseln für das Edge-Speicherkonto geschützt (diese Schlüssel unterscheiden sich von den Schlüsseln, die Ihren Azure Storage-Konten zugeordnet sind). Weitere Informationen finden Sie unter Schützen von Daten in Speicherkonten.
- BitLocker XTS-AES-256-Bit-Verschlüsselung wird verwendet, um lokale Daten zu schützen.
Schützen vor Datenlöschung
Wenn für das Gerät ein Kaltstart erfolgt, wird auf dem Gerät ein geschützter Zurücksetzungsvorgang (Secure Wipe) durchgeführt. Hierbei werden die Daten auf den Datenträgern gelöscht, indem eine Bereinigung vom Typ „NIST SP 800-88r1“ erfolgt.
Schützen von Daten während der Übertragung
Für Daten während einer Übertragung:
Standardmäßiges TLS 1.2 (Transport Layer Security) wird für Daten verwendet, die zwischen dem Gerät und Azure übertragen werden. Es erfolgt kein Fallback auf TLS 1.1 oder auf ältere Versionen. Agent-Kommunikation wird blockiert, wenn TLS 1.2 nicht unterstützt wird. TLS 1.2 wird auch für Portal- und SDK-Verwaltung benötigt.
Wenn Clients über die lokale Webbenutzeroberfläche eines Browsers auf Ihr Gerät zugreifen, wird standardmäßiges TLS 1.2 als sicheres Standardprotokoll verwendet.
- Es empfiehlt sich, Ihren Browser für die Verwendung von TLS 1.2 zu konfigurieren.
- Ihr Gerät unterstützt nur TLS 1.2 und nicht die älteren Versionen TLS 1.1 oder TLS 1.0.
Sie sollten SMB 3.0 mit Verschlüsselung verwenden, um Daten zu schützen, wenn Sie diese von Ihren Datenservern kopieren.
Schützen von Daten in Speicherkonten
Ihr Gerät ist einem Speicherkonto zugeordnet, das als Ziel für Ihre Daten in Azure verwendet wird. Der Zugriff auf das Speicherkonto wird über das Abonnement und zwei Zugriffsschlüssel mit 512 Bit gesteuert, die dem Speicherkonto zugeordnet sind.
Einer der Schlüssel dient zur Authentifizierung, wenn das Azure Stack Edge-Gerät auf das Speicherkonto zugreift. Der andere Schlüssel wird in Reserve gehalten, sodass Sie die Schlüssel regelmäßig rotieren können.
Aus Sicherheitsgründen ist in vielen Datencentern eine Schlüsselrotation erforderlich. Es wird empfohlen, diese bewährten Methoden für die Schlüsselrotation zu befolgen:
- Ihr Speicherkontoschlüssel ähnelt dem Stammkennwort für das Speicherkonto. Achten Sie darauf, dass Ihr Kontoschlüssel immer gut geschützt ist. Geben Sie das Kennwort nicht an andere Benutzer weiter, vermeiden Sie, es hart zu codieren, und speichern Sie es nicht als Klartext an einem Ort, auf den andere Benutzer Zugriff haben.
- Generieren Sie Ihren Kontoschlüssel neu über das Azure-Portal, wenn Sie denken, er könnte gefährdet sein.
- Der Azure-Administrator sollte den primären oder sekundären Schlüssel regelmäßig über den Abschnitt „Storage“ im Azure-Portal ändern oder neu generieren, um direkt auf das Speicherkonto zuzugreifen.
- Sie können auch Ihren eigenen Verschlüsselungsschlüssel verwenden, um die Daten Ihres Azure Storage-Kontos zu schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Weitere Informationen zum Schützen Ihrer Daten finden Sie unter Aktivieren von kundenseitig verwalteten Schlüsseln für Ihr Azure Storage-Konto.
- Rotieren und synchronisieren Sie Ihre Speicherkontoschlüssel regelmäßig, um zu vermeiden, dass nicht autorisierte Benutzer auf Ihr Speicherkonto zugreifen können.
Verwalten persönlicher Informationen
Der Azure Stack Edge-Dienst erfasst persönliche Informationen in folgenden Szenarien:
Auftragsdetails. Wenn ein Auftrag erstellt wird, werden die Versandadresse, die E-Mail-Adresse und die Kontaktinformationen des Benutzers im Azure-Portal gespeichert. Zu den gespeicherten Informationen gehört Folgendes:
Kontaktname
Telefonnummer
E-Mail-Adresse
Postadresse
City
Postleitzahl
Zustand
Land/Region/Provinz
Nachverfolgungsnummer für den Versand
Auftragsdetails werden verschlüsselt und im Dienst gespeichert. Der Dienst bewahrt die Informationen auf, bis Sie die Ressource oder den Auftrag explizit löschen. Ab dem Versand des Geräts und bis zu dem Zeitpunkt, zu dem das Gerät wieder bei Microsoft eingeht, ist das Löschen der Ressource und des entsprechenden Auftrags nicht möglich.
Lieferanschrift. Nach einer Auftragserteilung gibt der Data Box-Dienst die Lieferanschrift an externe Transportdienstleister (etwa UPS) weiter.
Freigabebenutzer. Benutzer Ihres Geräts können auch auf die Daten zugreifen, die sich auf den Freigaben befinden. Eine Liste der Benutzer, die auf die Freigabedaten zugreifen können, kann angezeigt werden. Wenn die Freigaben gelöscht werden, wird diese Liste ebenfalls gelöscht.
Eine Anleitung zum Anzeigen der Liste mit den Benutzern, die auf eine Freigabe zugreifen oder sie löschen können, finden Sie unter Verwalten von Freigaben auf der Azure Stack Edge-Ressource.
Weitere Informationen finden Sie im Trust Center in der Microsoft-Datenschutzrichtlinie.