Azure Stack Edge のセキュリティとデータ保護
重要
Azure Stack Edge Pro FPGA デバイスは 2024 年 2 月に製造中止となります。 新しいデプロイをお考えの場合は、ワークロードに合わせて Azure Stack Edge Pro 2 または Azure Stack Edge Pro GPU デバイスを検討することをお勧めします。
セキュリティは、新しいテクノロジを導入している場合、特にそのテクノロジが機密データや独自のデータに対して使用される場合の大きな関心事です。 Azure Stack Edge は、承認されたエンティティのみがデータを表示、変更、または削除できるようにするために役立ちます。
この記事では、各ソリューション コンポーネントや、そこに格納されているデータを保護するのに役立つ Azure Stack Edge のセキュリティ機能について説明します。
Azure Stack Edge は、互いに連携する次の 4 つの主なコンポーネントで構成されています。
- Azure でホストされている Azure Stack Edge サービス。 デバイスの注文を作成し、そのデバイスを構成した後、その注文を完了まで追跡するために使用する管理リソース。
- Azure Stack Edge Pro FPGA デバイス。 ユーザーがオンプレミスのデータを Azure にインポートできるように、ユーザーに発送される転送デバイス。
- デバイスに接続されるクライアント/ホスト。 Azure Stack Edge Pro FPGA デバイスに接続し、保護する必要があるデータを含んでいるインフラストラクチャ内のクライアント。
- クラウド ストレージ。 データが格納されている Azure クラウド プラットフォーム内の場所。 この場所は通常、作成する Azure Stack Edge リソースにリンクされたストレージ アカウントです。
Azure Stack Edge サービスの保護
Azure Stack Edge サービスは、Azure でホストされる管理サービスです。 このサービスは、デバイスを構成および管理するために使用します。
- Azure Stack Edge サービスにアクセスするには、組織にマイクロソフト エンタープライズ契約 (EA) またはクラウド ソリューション プロバイダー (CSP) サブスクリプションが必要です。 詳細については、Azure サブスクリプションへのサインアップに関するページを参照してください。
- この管理サービスは Azure でホストされるため、Azure のセキュリティ機能によって保護されます。 Azure によって提供されるセキュリティ機能の詳細については、Microsoft Azure セキュリティ センターにアクセスしてください。
- SDK の管理操作の場合は、[デバイスのプロパティ] でリソースの暗号化キーを取得できます。 暗号化キーを表示できるのは、Resource Graph API のアクセス許可がある場合のみです。
Azure Stack Edge デバイスの保護
Azure Stack Edge デバイスは、データをローカルで処理し、それを Azure に送信することによってデータを変換するのに役立つオンプレミスのデバイスです。 お客様のデバイスは...
- Azure Stack Edge サービスにアクセスするには、アクティブ化キーが必要です。
- デバイスのパスワードで常に保護されます。
- ロックダウンされます。 デバイスの BMC と BIOS はパスワードで保護されています。 BIOS は、制限されたユーザー アクセスによって保護されています。
- セキュア ブートが有効です。
- Windows Defender Device Guard を実行します。 Device Guard を使用すると、コード整合性ポリシーで定義した信頼されたアプリケーションのみを実行できます。
アクティブ化キーでデバイスを保護する
Azure サブスクリプションで作成した Azure Stack Edge サービスに参加できるのは、承認された Azure Stack Edge デバイスのみです。 デバイスを承認するには、アクティブ化キーを使用して Azure Stack Edge サービスでデバイスをアクティブ化する必要があります。
使用するアクティブ化キーは...
- Microsoft Entra ID ベースの認証キーです。
- 3 日で有効期限が切れます。
- デバイスがアクティブ化された後は使用されません。
デバイスをアクティブ化すると、そのデバイスはトークンを使用して Azure と通信します。
詳細については、「アクティブ化キーの取得」を参照してください。
パスワードでデバイスを保護する
パスワードにより、承認されたユーザーのみがデータにアクセスできるようになります。 Azure Stack Edge デバイスはロック状態で起動します。
次のことを実行できます。
- ブラウザー経由でデバイスのローカル Web UI に接続し、パスワードを指定してデバイスにサインインします。
- HTTP 経由でデバイスの PowerShell インターフェイスにリモートで接続します。 既定ではリモート管理がオンになっています。 デバイスのパスワードを指定してデバイスにサインインできます。 詳細については、Azure Stack Edge Pro FPGA デバイスへのリモート接続に関する記事を参照してください。
次のベスト プラクティスに注意してください。
- 忘れた場合にパスワードをリセットしなくても済むように、すべてのパスワードをセキュリティで保護された場所に格納することをお勧めします。 管理サービスは既存のパスワードを取得できません。 可能なのは、そのパスワードを Azure Portal 経由でリセットすることだけです。 パスワードをリセットする場合は、リセットする前に、必ずすべてのユーザーに通知してください。
- HTTP 経由でお使いのデバイスの Windows PowerShell インターフェイスにリモートでアクセスすることができます。 セキュリティのベスト プラクティスとして、信頼できるネットワークのみで HTTP を使用する必要があります。
- デバイスのパスワードが強力であり、適切に保護されていることを確認してください。 パスワードのベスト プラクティスに従ってください。
- ローカル Web UI を使用してパスワードを変更します。 パスワードを変更する場合は、サインインの問題が発生しないように、必ずすべてのリモート アクセス ユーザーに通知してください。
データを保護する
このセクションでは、移動中のデータと格納されたデータを保護する Azure Stack Edge Pro FPGA のセキュリティ機能について説明します。
保存データの保護
保存データの場合:
共有に格納されたデータへのアクセスは制限されます。
- 共有データにアクセスする SMB クライアントには、その共有に関連付けられたユーザー資格情報が必要です。 これらの資格情報は、その共有が作成されるときに定義されます。
- 共有が作成されるときは、その共有にアクセスする NFS クライアントの IP アドレスを追加する必要があります。
- ローカル データの保護には BitLocker XTS-AES 256 ビット暗号化が使用されます。
移動中のデータの保護
移動中のデータの場合:
デバイスと Azure の間を移動するデータには標準 TLS 1.2 が使用されます。 TLS 1.1 以前へのフォールバックはありません。 TLS 1.2 がサポートされていない場合は、エージェント通信がブロックされます。 TLS 1.2 はまた、ポータルや SDK の管理にも必要です。
クライアントがブラウザーのローカル Web UI 経由でデバイスにアクセスする場合は、標準 TLS 1.2 が既定のセキュリティで保護されたプロトコルとして使用されます。
- ベスト プラクティスとして、TLS 1.2 を使用するようにブラウザーを構成することをお勧めします。
- ブラウザーで TLS 1.2 がサポートされていない場合は、TLS 1.1 または TLS 1.0 を使用できます。
データ サーバーからデータをコピーする場合は、そのデータを保護するために暗号化付き SMB 3.0 を使用することをお勧めします。
ストレージ アカウントによるデータの保護
デバイスは、Azure 内のデータの宛先として使用されるストレージ アカウントに関連付けられています。 ストレージ アカウントへのアクセスは、各ストレージ アカウントに関連付けられたサブスクリプションと 2 つの 512 ビット ストレージ アクセス キーによって制御されます。
Azure Stack Edge デバイスがストレージ アカウントにアクセスするときに、いずれかのキーが認証に使用されます。 もう一方のキーは予備で保持されているため、それらのキーを定期的にローテーションできます。
セキュリティ上の理由から、多くのデータ センターでキーのローテーションが義務化されています。 キーのローテーションに関しては、以下のベスト プラクティスに従うようお勧めします。
- ストレージ アカウント キーは、ストレージ アカウントの root パスワードに似ています。 アカウント キーは慎重に保護してください。 このパスワードを他のユーザーに配布したり、ハード コードしたり、他のユーザーからアクセスできるプレーンテキストで保存したりしないでください。
- 侵害される可能性があると考えられる場合は、Azure Portal 経由でアカウント キーを再生成します。 詳細については、「ストレージ アカウントのアクセス キーの管理」を参照してください。
- Azure 管理者は、Azure Portal の [ストレージ] セクションを使用してストレージ アカウントに直接アクセスすることにより、プライマリまたはセカンダリ キーを定期的に変更または再生成する必要があります。
- 承認されていないユーザーからのストレージ アカウントの保護に役立つように、定期的にストレージ アカウント キーをローテーションし、その後同期します。
個人情報の管理
Azure Stack Edge サービスは、次のシナリオで個人情報を収集します。
注文の詳細。 注文が作成されると、ユーザーの配送先住所、メール アドレス、および連絡先情報が Azure Portal に格納されます。 たとえば、次の情報が保存の対象となります。
連絡先名
電話番号
メール アドレス
番地
市
ZIP コード/郵便番号
完了状態
国/地域/都道府県
配送追跡番号
注文の詳細は暗号化され、サービスに格納されます。 このサービスは、ユーザーがリソースまたは注文を明示的に削除するまで情報を保持します。 リソースとそれに対応する注文の削除は、デバイスが発送された時点から、そのデバイスが Microsoft に戻るまでブロックされます。
配送先住所。 注文を受けると、Data Box サービスは、配送先住所を UPS などのサードパーティの運送業者に提供します。
共有ユーザー。 デバイス上のユーザーはまた、共有に格納されたデータにもアクセスできます。 共有データにアクセスできるユーザーの一覧を表示できます。 共有が削除されると、この一覧も削除されます。
共有にアクセスできる、または削除できるユーザーの一覧を表示するには、Azure Stack Edge Pro FPGA での共有の管理に関するページにある手順に従ってください。
詳細については、セキュリティ センターで Microsoft のプライバシー ポリシーを確認してください。