Azure Stack Edge Pro 2、Azure Stack Edge Pro R および Azure Stack Edge Mini R のセキュリティとデータ保護
適用対象:Azure Stack Edge Pro 2Azure Stack Edge ProAzure Stack Edge Mini R
セキュリティは、新しいテクノロジを導入している場合、特にそのテクノロジが機密データや独自のデータに対して使用される場合の大きな関心事です。 Azure Stack Edge Pro R と Azure Stack Edge Mini R は、承認されたエンティティのみがデータを表示、変更、または削除できるようにするために役立ちます。
この記事では、各ソリューション コンポーネントや、そこに格納されているデータを保護するのに役立つ Azure Stack Edge Pro R と Azure Stack Edge Mini R のセキュリティ機能について説明します。
このソリューションは、相互連携する 4 つの主要コンポーネントで構成されます。
- Azure パブリックまたは Azure Government クラウド内でホストされている Azure Stack Edge サービス。 デバイスの注文を作成し、そのデバイスを構成した後、その注文を完了まで追跡するために使用する管理リソース。
- Azure Stack Edge ラグド デバイス。 オンプレミスのデータを Azure パブリックまたは Azure Government クラウドにインポートできるように、ユーザーに発送される物理ラグド デバイス。 そのデバイスは、Azure Stack Edge Pro R または Azure Stack Edge Mini R の可能性があります。
- デバイスに接続されるクライアント/ホスト。 デバイスに接続し、保護する必要があるデータが含まれるインフラストラクチャ内のクライアント。
- クラウド ストレージ。 データが格納されている Azure クラウド プラットフォーム内の場所。 この場所は通常、作成する Azure Stack Edge リソースにリンクされたストレージ アカウントです。
サービスの保護
Azure Stack Edge サービスは、Azure でホストされる管理サービスです。 このサービスは、デバイスを構成および管理するために使用します。
- Data Box Edge サービスにアクセスするには、組織にマイクロソフト エンタープライズ契約 (EA) またはクラウド ソリューション プロバイダー (CSP) サブスクリプションが必要です。 詳細については、Azure サブスクリプションへのサインアップに関するページを参照してください。
- この管理サービスは Azure でホストされるため、Azure のセキュリティ機能によって保護されます。 Azure によって提供されるセキュリティ機能の詳細については、Microsoft Azure セキュリティ センターにアクセスしてください。
- SDK の管理操作の場合は、[デバイスのプロパティ] でリソースの暗号化キーを取得できます。 暗号化キーを表示できるのは、Resource Graph API のアクセス許可がある場合のみです。
デバイス保護
ラグド デバイスは、データをローカルで処理し、それを Azure に送信することによってデータを変換するのに役立つオンプレミスのデバイスです。 お客様のデバイスは...
Azure Stack Edge サービスにアクセスするには、アクティブ化キーが必要です。
デバイスのパスワードで常に保護されます。
ロックダウンされます。 デバイスのベースボード管理コントローラー (BMC) と BIOS は、パスワードで保護されています。 BMC は、制限されたユーザー アクセスによって保護されています。
セキュア ブートが有効になっています。これにより、Microsoft が提供する信頼されたソフトウェアのみを使用してデバイスが起動されるようになります。
Windows Defender アプリケーション制御 (WDAC) を実行しています。 WDAC を使用すると、コード整合性ポリシーで定義した信頼されたアプリケーションのみを実行できます。
ハードウェア ベースのセキュリティ関連機能を実行するトラステッド プラットフォーム モジュール (TPM) を搭載しています。 具体的には、TPM により、デバイスに保存する必要があるシークレットとデータを管理および保護します。
必要なポートだけがデバイス上で開かれ、他のすべてのポートはブロックされます。 詳細については、デバイスのポート要件に関するページを参照してください。
デバイス ハードウェアおよびソフトウェアへのすべてのアクセスがログされます。
- デバイス ソフトウェアについては、受信および送信トラフィックを対象に既定のファイアウォール ログがデバイスから収集されます。 これらのログは、サポート パッケージにバンドルされます。
- デバイス ハードウェアについては、デバイスのシャーシの開閉などのすべてのデバイス シャーシ イベントがデバイスに記録されます。
ハードウェアおよびソフトウェアの侵入イベントを含む特定のログと、ログを取得する方法の詳細については、高度なセキュリティ ログの収集に関するページを参照してください。
アクティブ化キーでデバイスを保護する
Azure サブスクリプションで作成した Azure Stack サービスに参加できるのは、承認された Azure Stack Edge Pro R または Azure Stack Edge Mini R デバイスのみです。 デバイスを承認するには、アクティブ化キーを使用して Azure Stack Edge サービスでデバイスをアクティブ化する必要があります。
使用するアクティブ化キーは...
- Microsoft Entra ID ベースの認証キーです。
- 3 日で有効期限が切れます。
- デバイスがアクティブ化された後は使用されません。
デバイスをアクティブ化すると、そのデバイスはトークンを使用して Azure と通信します。
詳細については、「アクティブ化キーの取得」を参照してください。
パスワードでデバイスを保護する
パスワードにより、承認されたユーザーのみがデータにアクセスできるようになります。 Azure Stack Edge Pro R デバイスはロックされた状態で起動します。
次のことを実行できます。
- ブラウザー経由でデバイスのローカル Web UI に接続し、パスワードを指定してデバイスにサインインします。
- HTTP 経由でデバイスの PowerShell インターフェイスにリモートで接続します。 既定ではリモート管理がオンになっています。 また、リモート管理は、ユーザーが実行できることを制限するために Just Enough Administration (JEA) を使用するように構成されています。 デバイスのパスワードを指定してデバイスにサインインできます。 詳細については、デバイスへのリモート接続に関するページを参照してください。
- デバイス上のローカルの Edge ユーザーは、デバイスに対して、初期構成およびトラブルシューティングのための限定的なアクセス権を持ちます。 デバイスで実行されているコンピューティング ワークロード、データ転送、およびストレージはすべて、クラウド内のリソースの Azure パブリックまたは Government ポータルからアクセスできます。
次のベスト プラクティスに注意してください。
- 忘れた場合にパスワードをリセットしなくても済むように、すべてのパスワードをセキュリティで保護された場所に格納することをお勧めします。 管理サービスは既存のパスワードを取得できません。 可能なのは、そのパスワードを Azure Portal 経由でリセットすることだけです。 パスワードをリセットする場合は、リセットする前に、必ずすべてのユーザーに通知してください。
- HTTP 経由でお使いのデバイスの Windows PowerShell インターフェイスにリモートでアクセスすることができます。 セキュリティのベスト プラクティスとして、信頼できるネットワークのみで HTTP を使用する必要があります。
- デバイスのパスワードが強力であり、適切に保護されていることを確認してください。 パスワードのベスト プラクティスに従ってください。
- パスワードを変更するには、ローカル Web UI を使用します。 パスワードを変更する場合は、サインインの問題が発生しないように、必ずすべてのリモート アクセス ユーザーに通知してください。
証明書を使用してデバイスとの信頼関係を確立する
Azure Stack Edge のラグド デバイスを使用すると、独自の証明書を持ち込み、すべてのパブリック エンドポイントに使用するためにインストールできます。 詳細については、証明書のアップロードに関するページを参照してください。 デバイスにインストールできるすべての証明書の一覧については、デバイスでの証明書の管理に関するページを参照してください。
- デバイス上でコンピューティングを構成すると、IoT デバイスと IoT Edge デバイスが作成されます。 これらのデバイスには、対称のアクセス キーが自動的に割り当てられます。 セキュリティのベスト プラクティスとして、これらのキーは IoT Hub サービスを通じて定期的にローテーションされます。
データを保護する
このセクションでは、移動中および格納されたデータを保護するセキュリティ機能について説明します。
保存データの保護
デバイス上の保存データはすべて二重に暗号化され、データへのアクセスが制御されます。デバイスが非アクティブになると、データはデータ ディスクから安全な方法で消去されます。
データの二重暗号化
ディスク上のデータは、2 つの暗号化レイヤーによって保護されます。
- 暗号化の最初のレイヤーは、データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化です。
- 2 番目のレイヤーは、暗号化が組み込まれたハード ディスクです。
- OS ボリュームには、単一の暗号化レイヤーとして BitLocker が搭載されています。
Note
OS ディスクには、単一レイヤーの BitLocker XTS-AES-256 ソフトウェア暗号化が使用されます。
デバイスをアクティブ化する前に、デバイスで保存時の暗号化を構成する必要があります。 これは必須の設定であり、これが正常に構成されないとデバイスをアクティブにすることができません。
工場でデバイスがイメージ化されると、ボリューム レベルの BitLocker 暗号化が有効になります。 デバイスを受け取った後、保存時の暗号化を構成する必要があります。 ストレージ プールとボリュームが再作成されます。保存時の暗号化を有効にする BitLocker キーを指定することにより、保存データに対する別の暗号化レイヤーを作成できます。
保存時の暗号化キーは、自分で作成した、Base-64 でエンコードされた 32 文字のキーであり、これは実際の暗号化キーを保護するために使用されます。 保存時の暗号化キーはお客様のデータを保護するもので、Microsoft がこれにアクセスすることはできません。 キーは、デバイスがアクティブになった後、 [Cloud details](クラウドの詳細) ページのキー ファイルに保存されます。
デバイスがアクティブになると、キー ファイルを保存するように求められます。これには、デバイスが起動しない場合にデバイス上のデータを回復するのに役立つ回復キーが格納されます。 特定の回復シナリオでは、保存したキー ファイルを求められます。 キー ファイルには、次の回復キーがあります。
- 暗号化の最初の層のロックを解除するキー。
- データ ディスクのハードウェア暗号化のロックを解除するキー。
- OS ボリュームのデバイス構成を回復するのに役立つキー。
- Azure サービスを経由するデータを保護するキー。
重要
キー ファイルは、デバイス自体の外部にある安全な場所に保存してください。 デバイスが起動しない場合にキーがないと、データが失われる可能性があります。
データへの制限付きアクセス
共有およびストレージ アカウントに格納されたデータへのアクセスは制限されます。
- 共有データにアクセスする SMB クライアントには、その共有に関連付けられたユーザー資格情報が必要です。 これらの資格情報は、その共有が作成されるときに定義されます。
- 共有にアクセスする NFS クライアントの IP アドレスが、その共有の作成時に明示的に追加される必要があります。
- デバイス上に作成される Edge ストレージ アカウントはローカルであり、データ ディスクに対する暗号化によって保護されます。 このような Edge ストレージ アカウントがマップされている Azure ストレージ アカウントは、Edge ストレージ アカウントに関連付けられているサブスクリプションと 2 つの 512 ビット ストレージ アクセス キーによって保護されます (これらのキーは、Azure ストレージ アカウントに関連付けられているものとは異なります)。 詳細については、「ストレージ アカウント内のデータの保護」を参照してください。
- ローカル データの保護には BitLocker XTS-AES 256 ビット暗号化が使用されます。
データ消去のセキュリティ保護
デバイスがハード リセットされると、セキュリティで保護されたワイプがデバイスに対して実行されます。 セキュリティで保護されたワイプにより、NIST SP 800-88r1 purge を使用してディスク上のデータ消去が実行されます。
移動中のデータの保護
移動中のデータの場合:
デバイスと Azure の間を移動するデータには標準トランスポート層セキュリティ (TLS) 1.2 が使用されます。 TLS 1.1 以前へのフォールバックはありません。 TLS 1.2 がサポートされていない場合は、エージェント通信がブロックされます。 TLS 1.2 はまた、ポータルや SDK の管理にも必要です。
クライアントがブラウザーのローカル Web UI 経由でデバイスにアクセスする場合は、標準 TLS 1.2 が既定のセキュリティで保護されたプロトコルとして使用されます。
- ベスト プラクティスとして、TLS 1.2 を使用するようにブラウザーを構成することをお勧めします。
- お使いのデバイスでは TLS 1.2 のみがサポートされ、それより古いバージョン (TLS 1.1 も TLS 1.0 も) はサポートされません。
データ サーバーからデータをコピーする場合は、そのデータを保護するために暗号化付き SMB 3.0 を使用することをお勧めします。
ストレージ アカウント内のデータの保護
デバイスは、Azure 内のデータの宛先として使用されるストレージ アカウントに関連付けられています。 ストレージ アカウントへのアクセスは、各ストレージ アカウントに関連付けられたサブスクリプションと 2 つの 512 ビット ストレージ アクセス キーによって制御されます。
Azure Stack Edge デバイスがストレージ アカウントにアクセスするときに、いずれかのキーが認証に使用されます。 もう一方のキーは予備で保持されているため、それらのキーを定期的にローテーションできます。
セキュリティ上の理由から、多くのデータ センターでキーのローテーションが義務化されています。 キーのローテーションに関しては、以下のベスト プラクティスに従うようお勧めします。
- ストレージ アカウント キーは、ストレージ アカウントの root パスワードに似ています。 アカウント キーは慎重に保護してください。 このパスワードを他のユーザーに配布したり、ハード コードしたり、他のユーザーからアクセスできるプレーンテキストで保存したりしないでください。
- 侵害される可能性があると考えられる場合は、Azure Portal 経由でアカウント キーを再生成します。
- Azure 管理者は、Azure Portal の [ストレージ] セクションを使用してストレージ アカウントに直接アクセスすることにより、プライマリまたはセカンダリ キーを定期的に変更または再生成する必要があります。
- 独自の暗号化キーを使用して、Azure ストレージ アカウントのデータを保護することもできます。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 データをセキュリティで保護する方法の詳細については、Azure Storage アカウントに対するカスタマー マネージド キーの有効化に関する記事を参照してください。
- 承認されていないユーザーからのストレージ アカウントの保護に役立つように、定期的にストレージ アカウント キーをローテーションし、その後同期します。
個人情報の管理
Azure Stack Edge サービスは、次のシナリオで個人情報を収集します。
注文の詳細。 注文が作成されると、ユーザーの配送先住所、メール アドレス、および連絡先情報が Azure Portal に格納されます。 たとえば、次の情報が保存の対象となります。
連絡先名
電話番号
メール アドレス
番地
市
ZIP コード/郵便番号
完了状態
国/地域/都道府県
配送追跡番号
注文の詳細は暗号化され、サービスに格納されます。 このサービスは、ユーザーがリソースまたは注文を明示的に削除するまで情報を保持します。 リソースとそれに対応する注文の削除は、デバイスが発送された時点から、そのデバイスが Microsoft に戻るまでブロックされます。
配送先住所。 注文を受けると、Data Box サービスは、配送先住所を UPS などのサードパーティの運送業者に提供します。
共有ユーザー。 デバイス上のユーザーはまた、共有に格納されたデータにもアクセスできます。 共有データにアクセスできるユーザーの一覧を表示できます。 共有が削除されると、この一覧も削除されます。
共有にアクセスできる、または削除できるユーザーの一覧を表示するには、Azure Stack Edge での共有の管理に関するページにある手順に従ってください。
詳細については、セキュリティ センターで Microsoft のプライバシー ポリシーを確認してください。