Безопасность и защита данных в Azure Stack Edge

Внимание

Устройства Azure Stack Edge Pro FPGA достигли окончания срока действия в феврале 2024 года.

Безопасность является серьезной проблемой, когда вы внедряете новую технологию, особенно если технология используется с конфиденциальными или проприетарными данными. Azure Stack Edge помогает гарантировать, что только авторизованные объекты могут просматривать, изменять или удалять ваши данные.

В этой статье описываются функции безопасности Azure Stack Edge, которые помогают защитить каждый из компонентов решения и данные, хранящиеся в них.

Azure Stack Edgeo состоит из четырех основных компонентов, которые взаимодействуют друг с другом:

• Служба Azure Stack Edge, размещенная в Azure. Ресурс управления, который используется для создания порядка устройств, настройки устройства и последующего отслеживания порядка до завершения.
• Устройство ППВМ в Azure Stack Edge Pro. Устройство передачи, которое вы получите, чтобы вы могли импортировать локальные данные в Azure.
• Клиенты/хосты, подключенные к устройству. Клиенты в вашей инфраструктуре, которые подключаются к устройству ППВМ в Azure Stack Edge Pro и содержат данные, которые необходимо защитить.
• Облачное хранилище. Место на облачной платформе Azure, где хранятся данные. Это расположение обычно является учетной записью хранения, связанной с созданным вами ресурсом Azure Stack Edge.

Защита службы Azure Stack Edge

Служба Azure Stack Edge — это служба управления, размещенная в Azure. Эта служба используется для настройки устройства и управления им.

• Для доступа к службе Azure Stack Edge у вашей организации должна быть подписка "Соглашение Enterprise (EA)" или "Поставщик облачных решений (CSP)". Дополнительные сведения см. в статье Регистрация подписки для Azure.
• Так как служба управления размещается в Azure, она защищена средствами безопасности Azure. Для получения дополнительной информации о средствах безопасности, предоставляемых Azure, перейдите в Центр управления безопасностью Microsoft Azure.
• Чтобы выполнять операции управления пакетом SDK, ключ шифрования для ресурса можно получить в Свойствах устройства. Ключ шифрования можно просматривать только при наличии разрешений для API Resource Graph.

Защита устройства Azure Stack Edge

Устройство Azure Stack Edge — это локальное устройство, которое помогает преобразовывать ваши данные, обрабатывая их локально и затем отправляя в Azure. Ваше устройство:

• Требуется ключ активации для доступа к службе Azure Stack Edge.
• всегда защищено паролем устройства.
• Это заблокированное устройство. BMC и BIOS устройства защищены паролем. BIOS защищается ограниченным доступом пользователя.
• Включена безопасная загрузка.
• Запускает Device Guard в Защитнике Windows. Device Guard позволяет запускать только доверенные приложения, определенные вами в политиках целостности кода.

Защитите устройство с помощью ключа активации

Только авторизованное устройство Azure Stack Edge может присоединиться к службе Azure Stack Edge, которую вы создаете в своей подписке Azure. Чтобы авторизовать устройство, вам необходимо использовать ключ активации для активации устройства с помощью службы Azure Stack Edge.

Используемый ключ активации:

• Ключ проверки подлинности на основе идентификатора Microsoft Entra.
• Срок действия истекает через три дня.
• Не используется после активации устройства.

После активации устройства для взаимодействия с Azure используются токены.

Для получения дополнительной информации см. Получение ключа активации.

Защита устройства с помощью пароля

Пароли гарантируют, что только авторизованные пользователи могут получить доступ к вашим данным. Устройства Azure Stack Edge загружаются в заблокированном состоянии.

Вы можете:

• Подключаться к локальному пользовательскому веб-интерфейсу устройства через браузер, а затем ввести пароль для входа.
• Удаленно подключаться к устройству через интерфейс PowerShell через HTTP. По умолчанию удаленное управление включено. Затем вы можете указать пароль устройства для входа на устройство. Дополнительные сведения см. в разделе Удаленное подключение к устройству ППВМ в Azure Stack Edge Pro.

Учитывайте следующие рекомендации:

• Рекомендуется хранить все пароли в безопасном расположении, чтобы вам не потребовалось сбрасывать пароль, если вы его забудете. Службе управления не удается получить существующие пароли. Их можно сбросить только на портале Azure. Если необходимо сбросить пароль, сообщите об этом всем пользователям.
• Вы можете удаленно обращаться к интерфейсу Windows PowerShell своего устройства по протоколу HTTP. Для обеспечения безопасности рекомендуется использовать протокол HTTP только в доверенных сетях.
• Убедитесь, что пароли устройств надежно и хорошо защищены. Следуйте рекомендациям по работе с паролями.

• Используйте локальный пользовательский веб-интерфейс для изменения пароля. Если вы измените пароль, обязательно сообщите об этом всем пользователям удаленного доступа, чтобы у них не возникло проблем со входом в систему.

Защита данных

В этом разделе описаны функции безопасности ППВМ в Azure Stack Edge Pro, которые защищают передаваемые и хранимые данные.

Защита хранящихся данных

Для неактивных данных:

• Доступ к данным, хранящимся в общих ресурсах, ограничен.

  • Клиентам SMB, которые обращаются к данным в общей папке, требуются учетные данные пользователя, связанные с общей папкой. Эти учетные данные определяются при создании общей папки.
  • При создании общей папки необходимо добавить IP-адреса клиентов NFS, которые будут обращаться к этой общей папке.

• Для защиты локальных данных используется 256-битное шифрование BitLocker XTS-AES.

Защитите данные в полете

Для передаваемых данных:

• Стандартный TLS 1.2 используется для данных, передаваемых между устройством и средой Azure. Откат к TLS 1.1 и более ранним версиям невозможен. Если TLS 1.2 не поддерживается, то взаимодействие с агентом будет заблокировано. Для управления порталом и пакетом SDK также требуется TLS 1.2.

• Когда клиенты обращаются к устройству через локальный пользовательский веб-интерфейс браузера, в качестве защищенного протокола по умолчанию используется стандартный TLS 1.2.

  • Рекомендуется настроить в браузере использование TLS 1.2.
  • Если браузер не поддерживает TLS 1.2, можно использовать TLS 1.1 или TLS 1.0.

• Рекомендуется использовать SMB 3.0 с шифрованием для защиты данных при копировании с серверов данных.

Защита данных с помощью учетных записей хранения

Ваше устройство связано с учетной записью хранения, которая используется в качестве места назначения для ваших данных в Azure. Управление доступом к учетной записи хранения осуществляется с помощью подписки и двух 512-разрядных ключей доступа, связанных с этой учетной записью хранения.

Один из ключей используется для проверки подлинности при доступе устройства Azure Stack Edge к учетной записи хранения. Другой ключ хранится в качестве резервного, что позволяет время от времени менять ключи.

В целях безопасности многие центры обработки данных требуют смену ключей. Рекомендации по смене ключей.

• Ключ учетной записи хранения похож на корневой пароль для вашей учетной записи хранения. Тщательно защитите ключ учетной записи. Не сообщайте пароль другим пользователям, не задавайте его явно в коде и не храните его нигде в виде обычного текста, доступного для других пользователей.
• Повторно создайте ключ учетной записи с помощью портала Azure, если вы полагаете, что он мог быть скомпрометирован. См. сведения о том, как управлять ключами доступа к учетной записи хранения.
• Чтобы обеспечить прямой доступ к учетной записи хранения, администратор Azure должен периодически менять или повторно создавать первичный или вторичный ключ в разделе "Хранилище" портала Azure.

• Регулярно меняйте и синхронизируйте ключи своей учетной записи хранения, чтобы защитить ее от неавторизованных пользователей.

Управление личной информацией

Служба Azure Stack Edge собирает личную информацию в следующих сценариях:

• Сведения о заказах. После создания заказа адрес доставки, адрес электронной почты и контактная информация пользователя хранятся на портале Azure. Сохраненная информация включает следующее.

  • Имя контакта

  • Номер телефона

  • Адрес электронной почты

  • Улица, дом

  • Город

  • Почтовый индекс

  • Штат

  • Страна, регион или провинция

  • номер отслеживания доставки.

    Сведения о заказе хранятся в службе в зашифрованном виде. Информация хранится в службе до момента, пока не будет явно удален ресурс или заказ. Удаление ресурса и соответствующего заказа блокируются с момента доставки устройства до тех пор, пока устройство не вернется в корпорацию Майкрософт.

• Адрес доставки. После размещения заказа служба Data Box предоставляет адрес доставки сторонним службам доставки, таким как UPS.

• Пользователи общего ресурса. Пользователи устройства также могут получать доступ к данным, расположенным в общих папках. Список пользователей, которым разрешен доступ к данным в общем ресурсе, доступен для просмотра. Этот список удаляется при удалении общих ресурсов.

Чтобы просмотреть список пользователей, которые могут получать доступ к общему ресурсу или удалять его, выполните шаги, описанные в статье Управление общими ресурсами в ППВМ Azure Stack Edge Pro.

Для получения дополнительных сведений ознакомьтесь с политикой конфиденциальности Майкрософт в Центре управления безопасностью.

Следующие шаги

Развертывание устройства ППВМ в Azure Stack Edge Pro