Sécurité et protection des données pour Azure Stack Edge Pro 2, Azure Stack Edge Pro R et Azure Stack Edge Mini R
S’APPLIQUE À :Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
La sécurité est une préoccupation majeure pour toute nouvelle technologie, surtout si cette technologie est utilisée avec des données confidentielles ou propriétaires. Azure Stack Edge Pro R et Azure Stack Edge Mini R vous permettent de vous assurer que seules des entités autorisées peuvent consulter, modifier ou supprimer vos données.
Cet article décrit les fonctionnalités de sécurité d’Azure Stack Edge Pro R et Azure Stack Edge Mini R qui permettent de protéger chaque composant de la solution et les données qui y sont stockées.
La solution se compose de quatre éléments principaux qui interagissent les uns avec les autres :
- Service Azure Stack Edge, hébergé dans Azure (public) ou Azure Government Cloud : la ressource de gestion qui vous permet de créer la commande de l’appareil, de configurer l’appareil et de suivre la commande jusqu’à son achèvement.
- Appareil robuste Azure Stack Edge : l’appareil physique et robuste qui vous est livré pour que vous puissiez importer vos données locales dans Azure (public) ou Azure Government Cloud. L’appareil peut être Azure Stack Edge Pro R ou Azure Stack Edge Mini R.
- Clients/hôtes connectés à l’appareil : les clients de votre infrastructure se connectant à l’appareil et contenant des données devant être protégées.
- Stockage cloud : emplacement dans la plateforme cloud Azure où les données sont stockées. Il s’agit généralement du compte de stockage lié à la ressource Azure Stack Edge que vous créez.
Protection des services
Le service Data Box Edge est un service de gestion hébergé dans Azure. Ce service est utilisé pour configurer et gérer l’appareil.
- Pour accéder au service Data Box Edge, votre organisation doit avoir un abonnement Contrat Entreprise (EA) ou Fournisseur de solutions cloud (CSP). Pour plus d’informations, consultez Souscription à un abonnement Azure.
- Étant donné que ce service de gestion est hébergé dans Azure, il est protégé par les fonctionnalités de sécurité Azure. Pour plus d’informations sur les fonctionnalités de sécurité fournies par Azure, accédez au Centre de confidentialité Microsoft Azure.
- Pour les opérations de gestion du kit de développement logiciel (SDK), vous pouvez obtenir la clé de chiffrement pour votre ressource dans Propriétés de l’appareil. Vous ne pouvez afficher la clé de chiffrement que si vous disposez d’autorisations pour l’API Resource Graph.
Protection de l’appareil
L’appareil robuste est un appareil local qui vous permet de transformer vos données en les traitant localement, avant de les envoyer vers Azure. Votre appareil :
a besoin d’une clé d’activation pour accéder au service Azure Stack Edge.
Est protégé à tout moment par un mot de passe d’appareil.
Est un appareil verrouillé. Le contrôleur de gestion de la carte de base (BMC) et le BIOS sont protégés par mot de passe. Le BMC est protégé par accès utilisateur limité.
Active le démarrage sécurisé, qui garantit que l’appareil démarre uniquement à l’aide des logiciels approuvés fournis par Microsoft.
Exécute le contrôle d’application Windows Defender (WDAC). WDAC vous permet d’exécuter uniquement les applications approuvées que vous définissez dans vos stratégies d’intégrité du code.
Dispose d’un Module de plateforme sécurisée (TPM) qui effectue des fonctions matérielles et liées à la sécurité. Plus précisément, le TPM gère et protège les secrets et les données qui doivent être rendus persistants sur l’appareil.
Seuls les ports requis sont ouverts sur l’appareil et tous les autres ports sont bloqués. Pour plus d’informations, consultez la liste des exigences relatives aux ports pour l’appareil.
L’ensemble de l’accès au matériel de l’appareil, ainsi qu’au logiciel, est consigné.
- Pour le logiciel de l’appareil, les journaux de pare-feu par défaut sont collectés pour le trafic entrant et sortant à partir de l’appareil. Ces journaux sont regroupés dans le package de support.
- Pour le matériel de l’appareil, tous les événements de châssis de périphérique, tels que l’ouverture et la fermeture du châssis de l’appareil, sont enregistrés dans l’appareil.
Pour plus d’informations sur les journaux spécifiques qui contiennent les événements d’intrusion matérielle et logicielle et sur la façon d’obtenir les journaux, accédez à Collecter des journaux de sécurité avancés.
Protéger l’appareil via une clé d’activation
Seul un appareil Azure Stack Edge Pro R et Azure Stack Edge Mini R autorisé est autorisé à rejoindre le service Azure Stack Edge que vous créez dans votre abonnement Azure. Pour autoriser un appareil, vous devez utiliser une clé d’activation pour activer l’appareil auprès du service Azure Stack Edge.
La clé d’activation que vous utilisez :
- Est une clé d’authentification basée sur Microsoft Entra ID.
- Expire au bout de trois jours.
- N’est pas utilisé après l’activation de l’appareil.
Une fois activé, un appareil utilise des jetons pour communiquer avec Azure.
Pour plus d’informations, consultez Obtenir une clé d’activation.
Protéger l’appareil via un mot de passe
Les mots de passe garantissent que seuls les utilisateurs autorisés accèdent à vos données. Les appareils Azure Stack Edge Pro R démarrent en état verrouillé.
Vous pouvez :
- Vous connecter à l’interface utilisateur web locale de l’appareil via un navigateur, puis indiquer un mot de passe pour vous connecter à l’appareil.
- Vous connecter à distance à l’interface PowerShell de l’appareil via HTTP. La gestion à distance est désactivée par défaut. La gestion à distance est également configurée pour utiliser JEA (Just Enough Administration) afin de limiter ce que les utilisateurs peuvent faire. Vous pouvez ensuite fournir le mot de passe pour vous connecter à l’appareil. Pour plus d’informations, consultez Connexion à distance à votre appareil.
- L’utilisateur Edge local sur l’appareil dispose d’un accès limité à l’appareil pour la configuration initiale et la résolution des problèmes. Les charges de travail de calcul qui s’exécutent sur l’appareil, le transfert de données et le stockage sont tous accessibles à partir du portail public ou gouvernemental Azure pour la ressource dans le cloud.
Gardez à l'esprit ces meilleures pratiques :
- Nous vous recommandons de stocker tous les mots de passe dans un endroit sûr, afin de ne pas être obligé de réinitialiser un mot de passe en cas d’oubli. Le service de gestion ne peut pas récupérer des mots de passe existants. Il peut uniquement les réinitialiser via le portail Azure. Si vous réinitialisez un mot de passe, veillez à informer tous les utilisateurs au préalable.
- Vous pouvez accéder à l’interface Windows PowerShell de votre appareil à distance via HTTP. Comme meilleure pratique de sécurité, vous devez utiliser HTTP uniquement sur des réseaux approuvés.
- Assurez-vous que les mots de passe des appareils sont robustes et bien protégés. Suivez les Meilleures pratiques relatives aux mots de passe.
- Utilisez l’interface utilisateur web locale pour Modifier le mot de passe. Si vous modifiez le mot de passe, veillez à informer tous les utilisateurs à distance afin qu’ils ne connaissent pas de problème de connexion.
Établir une relation de confiance avec l’appareil via des certificats
L’appareil robuste Azure Stack Edge vous permet d’apporter vos propres certificats et d’installer ceux qui seront utilisés pour tous les points de terminaison publics. Pour plus d’informations, consultez la page Charger votre certificat. Pour obtenir la liste de tous les certificats qui peuvent être installés sur votre appareil, accédez à Gérer des certificats sur votre appareil.
- Lorsque vous configurez le calcul sur votre appareil, un appareil IoT et un appareil IoT Edge sont créés. Des clés d’accès symétriques sont affectées automatiquement à ces appareils. Conformément aux meilleures pratiques de sécurité, le service IoT Hub veille à une rotation régulière de ces clés.
Protéger vos données
Cette section décrit les fonctionnalités de sécurité visant à protéger les données transmises et stockées.
Protection des données au repos
Toutes les données au repos sur l’appareil sont chiffrées doublement, l’accès aux données est contrôlé et une fois que l’appareil est désactivé, les données sont effacées de façon sécurisée des disques de données.
Double-chiffrement des données
Les données de vos disques sont protégées par deux couches de chiffrement :
- La première couche de chiffrement est le chiffrement BitLocker XTS-AES 256 bits sur les volumes de données.
- La deuxième couche est celle des disques durs dotés d’un chiffrement intégré.
- Le volume du système d’exploitation a BitLocker comme couche unique de chiffrement.
Remarque
Le disque du système d’exploitation possède un chiffrement de logiciel BitLocker XTS-AES-256 à couche unique.
Avant d’activer l’appareil, vous devez configurer le chiffrement au repos sur votre appareil. Il s’agit d’un paramètre obligatoire. Tant qu’il n’est pas configuré correctement, vous ne pouvez pas activer l’appareil.
En usine, une fois les appareils imagés, le chiffrement BitLocker du niveau de volume est activé. Une fois que vous recevez l’appareil, vous devez configurer le chiffrement au repos. Le pool de stockage et les volumes sont recréés et vous pouvez fournir des clés BitLocker pour activer le chiffrement au repos et ainsi créer une autre couche de chiffrement pour vos données au repos.
La clé de chiffrement au repos est une clé codée Base-64 de 32 caractères, que vous fournissez et qui est utilisée pour protéger la clé de chiffrement réelle. Microsoft n’a pas accès à cette clé de chiffrement au repos qui protège vos données. La clé est enregistrée dans un fichier de clé dans la page Détails du cloud après l’activation de l’appareil.
Lorsque l’appareil est activé, vous êtes invité à enregistrer le fichier de clé qui contient des clés de récupération permettant de récupérer les données sur l’appareil si ce dernier ne démarre pas. Certains scénarios de récupération vous inviteront à saisir le fichier de clé que vous avez enregistré. Le fichier de clé possède les clés de récupération suivantes :
- Une clé qui déverrouille la première couche de chiffrement.
- Une clé qui déverrouille le chiffrement matériel dans les disques de données.
- Une clé qui permet de récupérer la configuration de l’appareil sur les volumes du système d’exploitation.
- Une clé qui protège les données transitant par le service Azure.
Important
Enregistrez le fichier de clé dans un emplacement sécurisé en dehors de l’appareil. Si l’appareil ne démarre pas et que vous n’avez pas la clé, cela peut entraîner une perte de données.
Accès restreint aux données
L’accès aux données stockées dans les partages et les comptes de stockage est limité.
- Les clients SMB qui accèdent aux données partagées ont besoin des informations d’identification utilisateur associées au partage. Ces informations d’identification sont définies lorsque le partage est créé.
- Les clients NFS qui accèdent à un partage doivent avoir leur adresse IP ajoutée explicitement lors de la création du partage.
- Les comptes de stockage Edge créés sur l’appareil sont locaux et sont protégés par le chiffrement sur les disques de données. Les comptes de stockage Azure auxquels ces comptes de stockage Edge sont mappés sont protégés par l’abonnement et deux clés d’accès de stockage 512 bits associées au compte de stockage Edge (ces clés sont différentes de celles associées à vos comptes de stockage Azure). Pour plus d’informations, consultez Protection des données dans les comptes de stockage.
- Le chiffrement BitLocker XTS-AES de 256 bits est utilisé pour protéger les données locales.
Sécuriser l’effacement des données
Lorsque l’appareil subit une réinitialisation matérielle, une réinitialisation sécurisée est effectuée sur l’appareil. La réinitialisation sécurisée effectue l’effacement des données sur les disques à l’aide de la purge NIST SP 800-88r1.
Protection des données à la volée
Pour les données à la volée :
Standard Transport Layer Security (TLS) 1.2 est utilisé pour les données qui transitent entre l’appareil et Azure. Il n’existe aucun protocole de secours pour TLS 1.1 et versions antérieures. Les communications de l’agent seront bloquées si TLS 1.2 n’est pas pris en charge. TLS 1.2 est également requis pour la gestion du portail et du Kit de développement logiciel (SDK).
Lorsque les clients accèdent à votre appareil via l’interface utilisateur web locale d’un navigateur, Standard TLS 1.2 est utilisé comme protocole sécurisé par défaut.
- La meilleure pratique consiste à configurer votre navigateur pour utiliser TLS 1.2.
- Votre appareil prend en charge uniquement TLS 1.2 et ne prend pas en charge les versions antérieures TLS 1.1 ou TLS 1.0.
Nous vous recommandons d’utiliser SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.
Protection des données dans les comptes de stockage
Votre appareil est associé à un compte de stockage qui est utilisé en tant que destination pour vos données dans Azure. L’accès au compte de stockage est contrôlé par l’abonnement et deux clés d’accès au stockage de 512 bits associées à ce compte de stockage.
L’une des clés est utilisée pour l’authentification quand l’appareil Azure Stack Edge accède au compte de stockage. L’autre clé est gardée en réserve, ce qui permet une rotation régulière des clés.
De nombreux centres de données ont recours à la rotation des clés pour des raisons de sécurité. Nous vous recommandons de suivre ces méthodes recommandées pour la rotation des clés :
- Votre clé de compte de stockage est similaire au mot de passe racine pour votre compte de stockage. Protégez soigneusement votre clé de compte. Ne communiquez pas le mot de passe à d’autres utilisateurs, ne le codez pas en dur et ne l’enregistrez pas en texte brut, où que ce soit.
- Régénérez votre clé de compte via le portail Azure si vous pensez qu’elle a été compromise.
- Votre administrateur Azure doit changer ou régénérer régulièrement la clé primaire ou secondaire à l’aide de la section Stockage du portail Azure pour accéder directement au compte de stockage.
- Vous pouvez aussi utiliser votre propre clé de chiffrement pour protéger les données de votre compte de stockage Azure. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. Pour plus d’informations sur la sécurisation de vos données, consultez Activer les clés gérées par le client pour votre compte de stockage Azure.
- Faites tourner puis synchronisez vos clés de compte de stockage régulièrement pour mieux protéger votre compte de stockage des utilisateurs non autorisés.
Gestion des informations personnelles
Le service Azure Stack Edge collecte des informations personnelles dans les scénarios suivants :
Détails de la commande. Une fois la commande créée, l’adresse de livraison, l’adresse e-mail, et les informations de contact de l’utilisateur sont stockées dans le portail Azure. Les informations enregistrées incluent :
Nom du contact
Numéro de téléphone
Adresse de messagerie
Adresse postale
City
Code postal
State
Pays/région/province
Numéro de suivi d’expédition
Les détails de la commande sont chiffrés et stockés dans le service. Le service conserve les informations jusqu’à ce que vous supprimiez explicitement la ressource ou la commande. La suppression de la ressource et de la commande correspondante est bloquée à partir du moment où l’appareil est livré jusqu'à ce que l’appareil retourne à Microsoft.
Adresse de livraison. Une fois la commande passée, le service Data Box fournit l’adresse de livraison aux transporteurs tiers tels que UPS.
Utilisateurs de partage. Les utilisateurs sur votre appareil peuvent aussi accéder aux données situées sur les partages. La liste de ces utilisateurs peut être consultée. Elle est par ailleurs supprimée à la suppression des partages.
Pour afficher la liste des utilisateurs qui ont accès à un partage ou qui peuvent supprimer un partage, suivez les étapes décrites dans Gérer les partages sur Azure Stack Edge.
Pour plus d’informations, consultez la Politique de confidentialité Microsoft dans le Centre de gestion de la confidentialité.