共用方式為


Azure Stack Edge Pro 2、Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 的安全性與資料保護

適用於:是,適用於 Pro 2 SKUAzure Stack Edge Pro 2是,適用於 Pro R SKUAzure Stack Edge Pro R是,適用於 Mini R SKUAzure Stack Edge Mini R

安全性是在採用新技術時的主要考量,尤其是當技術用於機密或專屬資料時。 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 可協助確保只有獲得授權的實體可以檢視、修改或刪除您的資料。

本文說明 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 安全性功能,協助保護每個解決方案元件及其中所儲存的資料。

解決方案是由四個彼此互動的主要元件組成:

  • Azure Stack Edge 服務,裝載於 Azure 公用雲端或 Azure Government 雲端。 可供您用來建立裝置訂單、設定裝置,然後追蹤訂單直到完成的管理資源。
  • Azure Stack Edge 堅固裝置。 出貨運送給您的堅固耐用實體裝置,您可用來將內部部署資料匯入 Azure 公用雲端或 Azure Government 雲端。 此裝置可以是 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R。
  • 連線到裝置的用戶端/主機。 基礎結構中的用戶端,連線至裝置且包含必須保護的資料。
  • 雲端儲存體。 Azure 雲端平台中儲存資料的位置。 此位置通常是儲存體帳戶,且連結到您所建立的 Azure Stack Edge 資源。

服務保護

Azure Stack Edge 服務是裝載在 Azure 中的管理服務。 服務是用來設定和管理裝置。

  • 若要存取 Data Box Edge 服務,您的組織必須擁有 Enterprise 合約 (EA) 或雲端解決方案提供者 (CSP) 訂用帳戶。 如需詳細資訊,請參閱註冊 Azure 訂用帳戶
  • 因為此管理服務裝載於 Azure 中,所以會受到 Azure 安全性功能的保護。 如需 Azure 提供的安全性功詳細資訊,請前往 Microsoft Azure 信任中心
  • 針對 SDK 管理作業,您可以在 [裝置屬性] 中取得資源的加密金鑰。 只有在您具有 Resource Graph API 的權限時,才能檢視加密金鑰。

裝置保護

堅固裝置是一種內部部署裝置,可在本機處理資料後傳送至 Azure,藉此來轉換您的資料。 您的裝置:

  • 需要啟用金鑰才能存取 Azure Stack Edge 服務。

  • 隨時受裝置密碼保護。

  • 是鎖定的裝置。 裝置基礎板管理控制器 (BMC) 和 BIOS 受到密碼保護。 BMC 受到受限的使用者存取保護。

  • 已啟用安全開機,可確保裝置只能使用 Microsoft 提供的信任軟體開機。

  • 執行 Windows Defender 應用程式控制 (WDAC)。 WDAC 可讓您只執行您在程式碼完整性原則中所定義的信任應用程式。

  • 具有信賴平台模組 (TPM),可執行硬體式的安全性相關功能。 具體而言,TPM 可管理及保護必須持續保存在裝置上的秘密和資料。

  • 只開啟裝置上必要的連接埠,所有其他連接埠都會遭到封鎖。 如需詳細資訊,請參閱裝置的連接埠需求清單。

  • 系統會記錄裝置硬體和軟體的所有存取。

    • 針對裝置軟體,系統會收集裝置輸入和輸出流量的預設防火牆記錄。 這些記錄會集結在支援套件中。
    • 針對裝置硬體,所有裝置底座事件 (例如裝置底座的開啟和關閉) 都會記錄在裝置中。

    如需包含硬體和軟體入侵事件的特定記錄,以及如何取得記錄的詳細資訊,請前往收集進階安全性記錄

透過啟用金鑰保護裝置

只允許獲得授權的 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R 裝置加入您在 Azure 訂用帳戶中建立的 Azure Stack Edge 服務。 若要授權裝置,您必須使用啟用金鑰來啟用使用 Azure Stack Edge 服務的裝置。

您使用的啟用金鑰:

  • 是 Microsoft Entra ID 型驗證金鑰。
  • 三天後到期。
  • 裝置啟用後即不使用。

啟動裝置後,裝置會使用權杖來與 Azure 通訊。

如需詳細資訊,請參閱取得啟用金鑰

透過密碼保護裝置

密碼可確保只有授權使用者才能存取您的資料。 Azure Stack Edge Pro R 裝置會以鎖定狀態開機。

您可以:

  • 透過瀏覽器連線到裝置的本機 Web UI,然後提供登入裝置的密碼。
  • 透過 HTTP 從遠端連線到裝置 PowerShell 介面。 遠端管理預設為開啟。 遠端管理也設定為使用 Just Enough Administration (JEA) 來限制使用者可以執行的動作。 然後,您可以提供裝置密碼來登入裝置。 如需詳細資訊,請參閱從遠端連接到您的裝置
  • 裝置上的本機 Edge 使用者具有裝置的受限存取權,可進行初始設定和疑難排解。 在裝置、資料傳輸和儲存體上執行的計算工作負載都可以從 Azure 公用或政府入口網站存取雲端中的資源。

請記住以下最佳做法:

  • 建議您將所有密碼儲存在安全的地方,讓您在忘記密碼時無需重設密碼。 管理服務無法擷取現有的密碼。 只能透過 Azure 入口網站重設密碼。 如果您要重設密碼,重設之前請務必通知所有使用者。
  • 您可以透過 HTTP 從遠端存取裝置的 Windows PowerShell 介面。 基於安全性最佳做法,請只在受信任的網路上使用 HTTP。
  • 請確定裝置密碼是強式密碼且受到妥善保護。 請遵循密碼最佳做法
  • 使用本機 Web UI 來變更密碼。 如果您變更密碼,請務必通知所有遠端存取使用者,讓他們不會在登入時發生問題。

透過憑證與裝置建立信任關係

Azure Stack Edge 堅固裝置可讓您攜帶自己的憑證,並安裝要用於所有公用端點的憑證。 如需詳細資訊,請移至上傳您的憑證。 如需可在裝置上安裝的所有憑證清單,請移至管理裝置上的憑證

  • 當您在裝置上設定計算時,就會建立 IoT 裝置和 IoT Edge 裝置。 對稱存取金鑰會自動指派給這些裝置。 基於安全性最佳做法的考量,這些金鑰會透過 IoT 中樞服務定期輪替。

保護您的資料

本節描述保護傳輸中資料和已儲存資料的安全性功能。

保護待用資料

裝置上的所有待用資料都經過雙重加密,且資料的存取權受到控制,一旦裝置停用,即會從資料磁碟安全地清除資料。

資料雙重加密

磁碟上的資料受到兩層加密的保護:

  • 第一層加密是資料磁碟區上的 BitLocker XTS-AES 256 位元加密。
  • 第二層是具有內建加密的硬碟。
  • OS 磁碟區使用 BitLocker 作為單一加密層。

注意

OS 磁碟使用單層 BitLocker XTS-AES-256 軟體加密。

啟動裝置之前,您必須在裝置上設定待用加密。 這是必要的設定,而且在成功設定此值之前,您無法啟動裝置。

在中心,一旦裝置經過映像處理,就會啟用磁碟區層級的 BitLocker 加密。 收到裝置之後,您需要設定待用加密。 系統會重新建立儲存集區和磁碟區,而您可以提供 BitLocker 金鑰來啟用待用加密,進而為待用資料建立另一層加密。

待用加密金鑰是您提供的 32 個字元長 Base-64 編碼金鑰,且此金鑰是用來保護實際的加密金鑰。 Microsoft 無法存取保護資料的待用加密金鑰。 在裝置啟用後,金鑰會儲存在雲端詳細資料頁面的金鑰檔案中。

當裝置啟動時,系統會提示您儲存包含修復金鑰的金鑰檔案,以在裝置未開機時協助復原裝置上的資料。 某些復原案例會提示您輸入已儲存的金鑰檔案。 金鑰檔案含有下列修復金鑰:

  • 解除鎖定第一層加密的金鑰。
  • 解除鎖定資料磁碟中硬體加密的金鑰。
  • 協助復原 OS 磁碟區上裝置設定的金鑰。
  • 保護流經 Azure 服務之資料的金鑰。

重要

將金鑰檔案儲存在裝置本身外部的安全位置。 如果裝置未開機,而且您沒有金鑰,則可能會導致資料遺失。

受限制的資料存取權

存取儲存在共用和儲存體帳戶中的資料受到限制。

  • 存取共用資料的 SMB 用戶端需要與共用相關聯的使用者認證。 這些認證定義於建立共用時。
  • 存取共用的 NFS 用戶端必須在建立共用時明確新增其 IP 位址。
  • 在裝置上建立的 Edge 儲存體帳戶是本機的,並且受到資料磁碟上的加密保護。 這些 Edge 儲存體帳戶所對應的 Azure 儲存體帳戶受到訂用帳戶以及兩個與 Edge 儲存體帳戶相關聯的 512 位元儲存體存取金鑰保護 (這些金鑰不同於 Azure 儲存體帳戶相關聯的金鑰)。 如需詳細資訊,請參閱保護儲存體帳戶中的資料
  • BitLocker XTS-AES 256 位元加密是用來保護本機資料。

安全的資料清除

當裝置進行硬式重設時,會在裝置上執行安全抹除。 安全抹除會使用 NIST SP 800-88r1 清除標準,在磁碟上執行資料清除。

保護傳輸中的資料

對於傳輸中的資料:

  • 標準傳輸層安全性 (TLS) 1.2 用於裝置與 Azure 之間移動的資料。 無法退回使用 TLS 1.1 及之前的版本。 如果不支援 TLS 1.2,將會封鎖代理程式通訊。 入口網站和 SDK 管理也需要使用 TLS 1.2。

  • 當用戶端透過瀏覽器的本機 Web UI 存取您的裝置時,會使用標準 TLS 1.2 作為預設的安全通訊協定。

    • 最佳做法是將您的瀏覽器設定為使用 TLS 1.2。
    • 您的裝置僅支援 TLS 1.2,不支援舊版 TLS 1.1 或 TLS 1.0。
  • 建議您從資料伺服器複製資料時,使用 SMB 3.0 搭配加密來保護資料。

保護儲存體帳戶中的資料

您的裝置會與儲存體帳戶相關聯,以作為您在 Azure 中的資料目的地使用。 儲存體帳戶的存取權受到與該儲存體帳戶相關聯的訂用帳戶和兩個 512 位元的儲存體存取金鑰控制。

當 Azure Stack Edge 裝置存取儲存體帳戶時,會使用其中一個金鑰來進行驗證。 系統會保留其他金鑰,讓您可以定期輪替金鑰。

基於安全性理由,許多資料中心需要金鑰輪替。 建議您按照這些最佳作法進行金鑰輪替:

  • 儲存體帳戶金鑰很類似儲存體帳戶的根密碼。 謹慎保護您的帳戶金鑰。 不要將密碼分發給其他使用者、進行硬式編碼,或將密碼儲存以純文字儲存在其他人可以存取的位置。
  • 如果您認為帳戶金鑰可能遭到盜用,請透過 Azure 入口網站重新產生帳戶金鑰
  • Azure 系統管理員應使用 Azure 入口網站的 [儲存體] 區段來直接存取儲存體帳戶,以定期變更或重新產生主要或次要金鑰。
  • 您也可以使用自己的加密金鑰來保護 Azure 儲存體帳戶中的資料。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 如需如何保護資料的詳細資訊,請參閱啟用 Azure 儲存體帳戶的客戶自控金鑰

管理個人資訊

Azure Stack Edge 服務會收集下列案例中的個人資訊:

  • 訂單詳細資料。 訂單建立後,交貨地址、電子郵件地址和使用者的連絡人資訊都會儲存在 Azure 入口網站中。 儲存的資訊包括︰

    • 連絡人名稱

    • 電話號碼

    • 電子郵件地址

    • 街道地址

    • 縣/市

    • 郵遞區號

    • 州/省

    • 國家/地區/省

    • 運送追蹤號碼

      訂單詳細資料會經過加密並儲存在服務中。 服務會保留資訊,直到您明確刪除資源或訂單為止。 從裝置出貨起即會封鎖資源和相對應訂單的刪除功能,直到裝置回到 Microsoft 為止。

  • 交貨地址。 下訂單之後,資料箱服務會向第三方貨運公司 (例如 UPS) 提供交貨地址。

  • 共用使用者。 裝置上的使用者也可以存取位於共用上的資料。 可以檢視能夠存取共用資料的使用者清單。 刪除共用時,也會一併刪除此清單。

若要檢視可存取或刪除共用的使用者清單,請遵循管理 Azure Stack Edge 上的共用中的步驟。

如需詳細資訊,請檢閱信任中心的 Microsoft 隱私權原則。

下一步

部署 Azure Stack Edge Pro R 裝置