Partilhar via

Segurança e proteção de dados do Azure Stack Edge

  • Artigo

Importante

Os dispositivos FPGA do Azure Stack Edge Pro atingiram o fim da vida útil em fevereiro de 2024.

A segurança é uma grande preocupação quando você está adotando uma nova tecnologia, especialmente se a tecnologia for usada com dados confidenciais ou proprietários. O Azure Stack Edge ajuda você a garantir que apenas entidades autorizadas possam exibir, modificar ou excluir seus dados.

Este artigo descreve os recursos de segurança do Azure Stack Edge que ajudam a proteger cada um dos componentes da solução e os dados armazenados neles.

O Azure Stack Edge consiste em quatro componentes principais que interagem entre si:

  • Serviço Azure Stack Edge, hospedado no Azure. O recurso de gerenciamento que você usa para criar a ordem do dispositivo, configurar o dispositivo e, em seguida, acompanhar a ordem até a conclusão.
  • Dispositivo FPGA do Azure Stack Edge Pro. O dispositivo de transferência enviado para você para que você possa importar seus dados locais para o Azure.
  • Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo FPGA do Azure Stack Edge Pro e contêm dados que precisam ser protegidos.
  • Armazenamento na nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local normalmente é a conta de armazenamento vinculada ao recurso Azure Stack Edge que você cria.

Proteção do serviço Azure Stack Edge

O serviço Azure Stack Edge é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.

  • Para acessar o serviço Azure Stack Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou CSP (Cloud Solution Provider). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
  • Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
  • Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode exibir a chave de criptografia somente se tiver permissões para a API do Resource Graph.

Proteção de dispositivo do Azure Stack Edge

O dispositivo Azure Stack Edge é um dispositivo local que ajuda a transformar seus dados processando-os localmente e, em seguida, enviando-os para o Azure. O seu dispositivo:

  • Precisa de uma chave de ativação para acessar o serviço Azure Stack Edge.
  • Está sempre protegido por uma palavra-passe de dispositivo.
  • É um dispositivo bloqueado. O dispositivo BMC e BIOS são protegidos por senha. O BIOS é protegido por acesso limitado do usuário.
  • Tem inicialização segura habilitada.
  • Executa o Windows Defender Device Guard. O Device Guard permite executar apenas aplicativos confiáveis definidos em suas políticas de integridade de código.

Proteja o dispositivo através da chave de ativação

Somente um dispositivo autorizado do Azure Stack Edge tem permissão para ingressar no serviço Azure Stack Edge que você cria em sua assinatura do Azure. Para autorizar um dispositivo, você precisa usar uma chave de ativação para ativar o dispositivo com o serviço Azure Stack Edge.

A chave de ativação que você usa:

  • É uma chave de autenticação baseada no Microsoft Entra ID.
  • Expira após três dias.
  • Não é usado após a ativação do dispositivo.

Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.

Para obter mais informações, consulte Obter uma chave de ativação.

Proteja o dispositivo através de palavra-passe

As palavras-passe garantem que apenas utilizadores autorizados podem aceder aos seus dados. Os dispositivos do Azure Stack Edge são inicializados em um estado bloqueado.

Pode:

  • Conecte-se à interface do usuário da Web local do dispositivo por meio de um navegador e, em seguida, forneça uma senha para entrar no dispositivo.
  • Conecte-se remotamente à interface do PowerShell do dispositivo por HTTP. O gerenciamento remoto está ativado por padrão. Em seguida, pode fornecer a palavra-passe do dispositivo para iniciar sessão no dispositivo. Para obter mais informações, consulte Conectar-se remotamente ao seu dispositivo FPGA do Azure Stack Edge Pro.

Tenha estas práticas recomendadas em mente:

  • Recomendamos que guarde todas as palavras-passe num local seguro para não ter de repor uma palavra-passe se esta for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-los por meio do portal do Azure. Se você redefinir uma senha, certifique-se de notificar todos os usuários antes de redefini-la.
  • Você pode acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como prática recomendada de segurança, você deve usar HTTP somente em redes confiáveis.
  • Certifique-se de que as palavras-passe dos dispositivos são fortes e estão bem protegidas. Siga as práticas recomendadas de senha.
  • Use a interface do usuário da Web local para alterar a senha. Se alterar a palavra-passe, certifique-se de que notifica todos os utilizadores de acesso remoto para que não tenham problemas em iniciar sessão.

Proteger os seus dados

Esta seção descreve os recursos de segurança do Azure Stack Edge Pro FPGA que protegem dados em trânsito e armazenados.

Proteger os dados inativos

Para dados em repouso:

  • O acesso aos dados armazenados em partilhas é restrito.

    • Os clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
    • Os endereços IP dos clientes NFS que acessam um compartilhamento precisam ser adicionados quando o compartilhamento é criado.
  • A criptografia BitLocker XTS-AES de 256 bits é usada para proteger dados locais.

Proteja os dados durante o voo

Para dados em voo:

  • O TLS 1.2 padrão é usado para dados que viajam entre o dispositivo e o Azure. Não há fallback para TLS 1.1 e anteriores. A comunicação do agente será bloqueada se o TLS 1.2 não for suportado. O TLS 1.2 também é necessário para o gerenciamento de portal e SDK.

  • Quando os clientes acessam seu dispositivo por meio da interface do usuário da Web local de um navegador, o TLS 1.2 padrão é usado como o protocolo seguro padrão.

    • A prática recomendada é configurar seu navegador para usar o TLS 1.2.
    • Se o navegador não suportar TLS 1.2, você poderá usar TLS 1.1 ou TLS 1.0.

  • Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.

Proteja os dados através de contas de armazenamento

O dispositivo encontra-se associado a uma conta de armazenamento que é utilizada como destino para os dados no Azure. O acesso à conta de armazenamento é controlado pela subscrição e estão associadas a essa conta de armazenamento duas chaves de acesso de armazenamento de 512 bits.

Uma das chaves é utilizada para autenticação quando o dispositivo do Azure Stack Edge acede à conta de armazenamento. A outra chave é mantida como reserva, para que possa rodar as chaves periodicamente.

Por motivos de segurança, muitos datacenters exigem a rotação de chaves. Recomendamos que siga estas melhores práticas para a rotação de chaves:

  • A chave da conta de armazenamento é semelhante à palavra-passe de raiz da conta de armazenamento. Proteja cuidadosamente a chave da conta. Não distribua a palavra-passe a outros utilizadores, não a codifique nem a guarde num local em texto simples que seja acessível a outras pessoas.
  • Regenere sua chave de conta por meio do portal do Azure se achar que ela pode ser comprometida. Para obter mais informações, veja Gerir as chaves de acesso à conta de armazenamento.
  • Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar a conta de armazenamento diretamente.
  • Rode e sincronize as chaves da sua conta de armazenamento regularmente para ajudar a proteger a sua conta de armazenamento de utilizadores não autorizados.

Gerenciar informações pessoais

O serviço Azure Stack Edge coleta informações pessoais nos seguintes cenários:

  • Detalhes da encomenda. Quando um pedido é criado, o endereço de entrega, o endereço de email e as informações de contato do usuário são armazenados no portal do Azure. As informações guardadas incluem:

    • Nome do contacto

    • Número de telefone

    • Endereço de e-mail

    • Endereço

    • City

    • CEP/código postal

    • Estado

    • País/região/província

    • Número de controlo de envio

      Os detalhes da encomenda são encriptados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou pedido. A exclusão do recurso e a ordem correspondente é bloqueada a partir do momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.

  • Endereço de envio. Depois que um pedido é feito, o serviço Data Box fornece o endereço de entrega para transportadoras terceirizadas, como a UPS.

  • Partilhe utilizadores. Os utilizadores no seu dispositivo também podem aceder aos dados localizados nas partilhas. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser visualizada. Quando os compartilhamentos são excluídos, essa lista também é excluída.

Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no FPGA do Azure Stack Edge Pro.

Para obter mais informações, consulte a política de privacidade da Microsoft na Central de Confiabilidade.

Próximos passos

Implantar seu dispositivo FPGA do Azure Stack Edge Pro