Zabezpieczenia i ochrona danych dla usługi Azure Stack Edge Pro 2, Azure Stack Edge Pro R i Azure Stack Edge Mini R
DOTYCZY: Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Bezpieczeństwo jest głównym problemem podczas wdrażania nowej technologii, zwłaszcza jeśli technologia jest używana z poufnymi lub zastrzeżonymi danymi. Usługi Azure Stack Edge Pro R i Azure Stack Edge Mini R pomagają upewnić się, że tylko autoryzowane jednostki mogą wyświetlać, modyfikować lub usuwać dane.
W tym artykule opisano funkcje zabezpieczeń Azure Stack Edge Pro R i Azure Stack Edge Mini R, które pomagają chronić poszczególne składniki rozwiązania i przechowywane w nich dane.
Rozwiązanie składa się z czterech głównych składników, które współdziałają ze sobą:
- Usługa Azure Stack Edge hostowana w chmurze publicznej platformy Azure lub w chmurze Azure Government. Zasób zarządzania używany do tworzenia zamówienia urządzenia, konfigurowania urządzenia, a następnie śledzenia zamówienia do ukończenia.
- Urządzenie odporne na urządzenia usługi Azure Stack Edge. Odporne, fizyczne urządzenie, które jest dostarczane, dzięki czemu można zaimportować dane lokalne do chmury publicznej platformy Azure lub platformy Azure Government. Urządzenie może być urządzeniem Azure Stack Edge Pro R lub Azure Stack Edge Mini R.
- Klienci/hosty połączeni z urządzeniem. Klienci w infrastrukturze, którzy łączą się z urządzeniem i zawierają dane, które muszą być chronione.
- Magazyn w chmurze. Lokalizacja na platformie Azure w chmurze, w której są przechowywane dane. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z utworzonym zasobem usługi Azure Stack Edge.
Ochrona usługi
Usługa Azure Stack Edge to usługa zarządzania hostowana na platformie Azure. Usługa służy do konfigurowania urządzenia i zarządzania nim.
- Aby uzyskać dostęp do usługi Data Box Edge, organizacja musi mieć subskrypcję Umowa Enterprise (EA) lub Dostawca rozwiązań w chmurze (CSP). Aby uzyskać więcej informacji, zobacz Rejestrowanie się w celu uzyskania subskrypcji platformy Azure.
- Ponieważ ta usługa zarządzania jest hostowana na platformie Azure, jest chroniona przez funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń udostępnianych przez platformę Azure, przejdź do Centrum zaufania platformy Microsoft Azure.
- W przypadku operacji zarządzania zestawem SDK można uzyskać klucz szyfrowania zasobu we właściwościach urządzenia. Klucz szyfrowania można wyświetlić tylko wtedy, gdy masz uprawnienia do interfejsu API usługi Resource Graph.
Ochrona urządzenia
Odporne urządzenie to urządzenie lokalne, które ułatwia przekształcanie danych przez przetwarzanie ich lokalnie, a następnie wysyłanie ich na platformę Azure. Urządzenie:
Wymaga klucza aktywacji, aby uzyskać dostęp do usługi Azure Stack Edge.
Jest chroniony przez cały czas przy użyciu hasła urządzenia.
Jest zablokowanym urządzeniem. Kontroler zarządzania płytą główną urządzenia (BMC) i system BIOS są chronione hasłem. Kontroler BMC jest chroniony przez ograniczony dostęp użytkowników.
Ma włączony bezpieczny rozruch, który zapewnia rozruch urządzenia tylko przy użyciu zaufanego oprogramowania dostarczonego przez firmę Microsoft.
Uruchamia program Windows Defender Application Control (WDAC). Usługa WDAC umożliwia uruchamianie tylko zaufanych aplikacji zdefiniowanych w zasadach integralności kodu.
Ma moduł TPM (Trusted Platform Module), który wykonuje funkcje związane ze sprzętem i zabezpieczeniami. W szczególności moduł TPM zarządza wpisami tajnymi i danymi, które muszą być utrwalane na urządzeniu i chroni je.
Tylko wymagane porty są otwierane na urządzeniu i wszystkie inne porty są blokowane. Aby uzyskać więcej informacji, zobacz listę wymagań dotyczących portów dla urządzenia .
Rejestrowany jest cały dostęp do sprzętu urządzenia oraz oprogramowania.
- W przypadku oprogramowania urządzenia domyślne dzienniki zapory są zbierane dla ruchu przychodzącego i wychodzącego z urządzenia. Te dzienniki są powiązane z pakietem pomocy technicznej.
- W przypadku sprzętu urządzenia wszystkie zdarzenia obudowy urządzenia, takie jak otwieranie i zamykanie obudowy urządzenia, są rejestrowane w urządzeniu.
Aby uzyskać więcej informacji na temat określonych dzienników zawierających zdarzenia włamań sprzętu i oprogramowania oraz instrukcje pobierania dzienników, zobacz Zbieranie zaawansowanych dzienników zabezpieczeń.
Ochrona urządzenia za pomocą klucza aktywacji
Tylko autoryzowane urządzenie Azure Stack Edge Pro R lub Azure Stack Edge Mini R może dołączyć do usługi Azure Stack Edge utworzonej w ramach subskrypcji platformy Azure. Aby autoryzować urządzenie, musisz użyć klucza aktywacji, aby aktywować urządzenie za pomocą usługi Azure Stack Edge.
Używany klucz aktywacji:
- Jest kluczem uwierzytelniania opartym na identyfikatorze Entra firmy Microsoft.
- Wygasa po trzech dniach.
- Nie jest używany po aktywacji urządzenia.
Po aktywowaniu urządzenia używa tokenów do komunikowania się z platformą Azure.
Aby uzyskać więcej informacji, zobacz Pobieranie klucza aktywacji.
Ochrona urządzenia za pomocą hasła
Hasła zapewniają, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do Twoich danych. Urządzenia Azure Stack Edge Pro R są uruchamiane w stanie zablokowanym.
Masz następujące możliwości:
- Połącz się z lokalnym internetowym interfejsem użytkownika urządzenia za pośrednictwem przeglądarki, a następnie podaj hasło, aby zalogować się do urządzenia.
- Zdalne nawiązywanie połączenia z interfejsem programu PowerShell urządzenia za pośrednictwem protokołu HTTP. Zdalne zarządzanie jest domyślnie włączone. Zdalne zarządzanie jest również skonfigurowane do używania funkcji Just Enough Administration (JEA), aby ograniczyć możliwości użytkowników. Następnie możesz podać hasło urządzenia, aby zalogować się do urządzenia. Aby uzyskać więcej informacji, zobacz Podłączanie zdalnie do urządzenia.
- Użytkownik lokalnej przeglądarki Edge na urządzeniu ma ograniczony dostęp do urządzenia w celu konfiguracji początkowej i rozwiązywania problemów. Do obciążeń obliczeniowych uruchomionych na urządzeniu, transferze danych i magazynie można uzyskać dostęp z portalu publicznego platformy Azure lub portalu dla instytucji rządowych dla zasobu w chmurze.
Należy pamiętać o następujących najlepszych rozwiązaniach:
- Zalecamy przechowywanie wszystkich haseł w bezpiecznym miejscu, aby nie trzeba było resetować hasła, jeśli nie zostanie zapomniane. Usługa zarządzania nie może pobrać istniejących haseł. Można je zresetować tylko za pośrednictwem witryny Azure Portal. Jeśli zresetujesz hasło, pamiętaj, aby powiadomić wszystkich użytkowników przed zresetowaniem.
- Dostęp do interfejsu programu Windows PowerShell urządzenia można uzyskać zdalnie za pośrednictwem protokołu HTTP. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest użycie protokołu HTTP tylko w zaufanych sieciach.
- Upewnij się, że hasła urządzeń są silne i dobrze chronione. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi haseł.
- Użyj lokalnego internetowego interfejsu użytkownika, aby zmienić hasło. Jeśli zmienisz hasło, pamiętaj, aby powiadomić wszystkich użytkowników dostępu zdalnego, aby nie mieli problemów z logowaniem.
Ustanawianie zaufania z urządzeniem za pośrednictwem certyfikatów
Urządzenie azure Stack Edge rugged umożliwia korzystanie z własnych certyfikatów i instalowanie tych, które mają być używane dla wszystkich publicznych punktów końcowych. Aby uzyskać więcej informacji, zobacz Przekazywanie certyfikatu. Aby uzyskać listę wszystkich certyfikatów, które można zainstalować na urządzeniu, zobacz Zarządzanie certyfikatami na urządzeniu.
- Podczas konfigurowania obliczeń na urządzeniu tworzone jest urządzenie IoT i urządzenie usługi IoT Edge. Te urządzenia są automatycznie przypisywane symetryczne klucze dostępu. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest regularne obracanie tych kluczy za pośrednictwem usługi IoT Hub.
Ochrona danych
W tej sekcji opisano funkcje zabezpieczeń, które chronią dane podczas przesyłania i przechowywania.
Ochrona danych magazynowanych
Wszystkie dane magazynowane na urządzeniu są szyfrowane dwukrotnie, dostęp do danych jest kontrolowany, a po dezaktywacji urządzenia dane są bezpiecznie wymazane z dysków danych.
Podwójne szyfrowanie danych
Dane na dyskach są chronione przez dwie warstwy szyfrowania:
- Pierwsza warstwa szyfrowania to szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych.
- Druga warstwa to dyski twarde, które mają wbudowane szyfrowanie.
- Wolumin systemu operacyjnego ma funkcję BitLocker jako pojedynczą warstwę szyfrowania.
Uwaga
Dysk systemu operacyjnego ma szyfrowanie oprogramowania XTS-AES-256 w jednej warstwie.
Przed uaktywnieniem urządzenia należy skonfigurować szyfrowanie magazynowane na urządzeniu. Jest to wymagane ustawienie i dopóki nie zostanie pomyślnie skonfigurowane, nie będzie można aktywować urządzenia.
W fabryce po obrazie urządzeń szyfrowanie funkcji BitLocker na poziomie woluminu jest włączone. Po otrzymaniu urządzenia należy skonfigurować szyfrowanie magazynowane. Pula magazynów i woluminy są tworzone ponownie i można udostępnić klucze funkcji BitLocker, aby włączyć szyfrowanie magazynowane, a tym samym utworzyć kolejną warstwę szyfrowania dla danych magazynowanych.
Klucz szyfrowania w spoczynku to 32-znakowy klucz zakodowany w formacie Base-64, który podajesz, a ten klucz jest używany do ochrony rzeczywistego klucza szyfrowania. Firma Microsoft nie ma dostępu do tego klucza szyfrowania w spoczynku, który chroni dane. Klucz jest zapisywany w pliku klucza na stronie Szczegółów chmury po aktywowaniu urządzenia.
Po aktywowaniu urządzenia zostanie wyświetlony monit o zapisanie pliku klucza zawierającego klucze odzyskiwania, które pomagają odzyskać dane na urządzeniu, jeśli urządzenie nie zostanie uruchomione. W niektórych scenariuszach odzyskiwania zostanie wyświetlony monit o zapisanie pliku klucza. Plik klucza ma następujące klucze odzyskiwania:
- Klucz, który odblokuje pierwszą warstwę szyfrowania.
- Klucz, który odblokuje szyfrowanie sprzętowe na dyskach danych.
- Klucz, który pomaga odzyskać konfigurację urządzenia na woluminach systemu operacyjnego.
- Klucz, który chroni dane przepływające przez usługę platformy Azure.
Ważne
Zapisz plik klucza w bezpiecznej lokalizacji poza samym urządzeniem. Jeśli urządzenie nie zostanie uruchomiony i nie masz klucza, może to spowodować utratę danych.
Ograniczony dostęp do danych
Dostęp do danych przechowywanych w udziałach i kontach magazynu jest ograniczony.
- Klienci SMB, którzy uzyskują dostęp do danych udziałów, potrzebują poświadczeń użytkownika skojarzonych z udziałem. Te poświadczenia są definiowane podczas tworzenia udziału.
- Klienci systemu plików NFS uzyskujący dostęp do udziału muszą mieć jawnie dodany adres IP podczas tworzenia udziału.
- Konta magazynu usługi Edge utworzone na urządzeniu są lokalne i są chronione przez szyfrowanie na dyskach danych. Konta magazynu platformy Azure mapowane na te konta magazynu edge są chronione przez subskrypcję i dwa 512-bitowe klucze dostępu magazynu skojarzone z kontem magazynu usługi Edge (te klucze są inne niż te skojarzone z kontami usługi Azure Storage). Aby uzyskać więcej informacji, zobacz Ochrona danych na kontach magazynu.
- Szyfrowanie 256-bitowe XTS-AES funkcji BitLocker służy do ochrony danych lokalnych.
Bezpieczne wymazywanie danych
Po przejściu twardego resetowania urządzenia na urządzeniu jest wykonywane bezpieczne czyszczenie danych. Bezpieczne czyszczenie wykonuje wymazywanie danych na dyskach przy użyciu przeczyszczania NIST SP 800-88r1.
Ochrona danych w locie
W przypadku danych w locie:
Standard Transport Layer Security (TLS) 1.2 jest używany na potrzeby danych przesyłanych między urządzeniem a platformą Azure. Nie ma powrotu do protokołu TLS 1.1 i starszych wersji. Komunikacja z agentem zostanie zablokowana, jeśli protokół TLS 1.2 nie jest obsługiwany. Protokół TLS 1.2 jest również wymagany do zarządzania portalem i zestawem SDK.
Gdy klienci uzyskują dostęp do urządzenia za pośrednictwem lokalnego internetowego interfejsu użytkownika przeglądarki, standardowy protokół TLS 1.2 jest używany jako domyślny bezpieczny protokół.
- Najlepszym rozwiązaniem jest skonfigurowanie przeglądarki do korzystania z protokołu TLS 1.2.
- Urządzenie obsługuje tylko protokół TLS 1.2 i nie obsługuje starszych wersji protokołu TLS 1.1 ani TLS 1.0.
Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
Ochrona danych na kontach magazynu
Urządzenie jest skojarzone z kontem magazynu, które jest używane jako miejsce docelowe danych na platformie Azure. Dostęp do konta magazynu jest kontrolowany przez subskrypcję oraz dwa 512-bitowe klucze dostępu do magazynu skojarzone z tym kontem magazynu.
Jeden z tych kluczy jest używany do uwierzytelniania, gdy urządzenie Azure Stack Edge próbuje uzyskać dostęp do konta magazynu. Drugi klucz jest przechowywany jako rezerwowy, dzięki czemu można wymieniać klucze okresowo.
Ze względów bezpieczeństwa wiele centrów danych wymaga wymiany kluczy. Zalecamy przestrzeganie następujących najlepszych rozwiązań dotyczących wymiany kluczy:
- Klucz konta magazynu jest podobny do hasła głównego konta magazynu. Starannie chroń klucz konta. Nie udostępniaj hasła innym użytkownikom, nie umieszczaj go trwale w kodzie ani nie zapisuj w postaci zwykłego tekstu, który jest dostępny dla innych osób.
- Wygeneruj ponownie klucz konta za pośrednictwem witryny Azure Portal, jeśli uważasz, że może to zostać naruszone.
- Administrator platformy Azure powinien okresowo zmieniać lub ponownie wygenerować klucz podstawowy lub pomocniczy przy użyciu sekcji Storage w witrynie Azure Portal, aby uzyskać bezpośredni dostęp do konta magazynu.
- Możesz również użyć własnego klucza szyfrowania, aby chronić dane na koncie usługi Azure Storage. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Aby uzyskać więcej informacji na temat zabezpieczania danych, zobacz Włączanie kluczy zarządzanych przez klienta dla konta usługi Azure Storage.
- Obracanie i regularne synchronizowanie kluczy konta magazynu w celu ochrony konta magazynu przed nieautoryzowanymi użytkownikami.
Zarządzanie danymi osobowymi
Usługa Azure Stack Edge zbiera dane osobowe w następujących scenariuszach:
Szczegóły zamówienia. Po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkownika są przechowywane w witrynie Azure Portal. Zapisane informacje obejmują:
Nazwa kontaktu
Numer telefonu
Adres e-mail
Ulica
City
Kod pocztowy/kod pocztowy
Stan
Kraj/region/prowincja
Numer śledzenia dostawy
Szczegóły zamówienia są szyfrowane i przechowywane w usłudze. Usługa zachowuje informacje do momentu jawnego usunięcia zasobu lub zamówienia. Usunięcie zasobu i odpowiedniego zamówienia jest blokowane od momentu wysłania urządzenia do momentu powrotu urządzenia do firmy Microsoft.
Adres wysyłkowy. Po złożeniu zamówienia usługa Data Box dostarcza adres wysyłkowy do przewoźników innych firm, takich jak UPS.
Udostępnianie użytkowników. Użytkownicy na urządzeniu mogą również uzyskiwać dostęp do danych znajdujących się w udziałach. Można wyświetlić listę użytkowników, którzy mogą uzyskiwać dostęp do danych udziału. Po usunięciu udziałów ta lista również zostanie usunięta.
Aby wyświetlić listę użytkowników, którzy mogą uzyskać dostęp do udziału lub usunąć go, wykonaj kroki opisane w temacie Zarządzanie udziałami w usłudze Azure Stack Edge.
Aby uzyskać więcej informacji, zapoznaj się z zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.