Zabezpečení a ochrana dat pro Azure Stack Edge Pro 2, Azure Stack Edge Pro R a Azure Stack Edge Mini R
PLATÍ PRO: Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Zabezpečení je zásadním zájmem při zavádění nové technologie, zejména pokud se tato technologie používá s důvěrnými nebo proprietárními daty. Azure Stack Edge Pro R a Azure Stack Edge Mini R pomáhají zajistit, aby vaše data mohli prohlížet, upravovat nebo odstraňovat jenom autorizované entity.
Tento článek popisuje funkce zabezpečení Azure Stack Edge Pro R a Azure Stack Edge Mini R, které pomáhají chránit jednotlivé komponenty řešení a data uložená v nich.
Řešení se skládá ze čtyř hlavních komponent, které vzájemně spolupracují:
- Služba Azure Stack Edge hostovaná ve veřejném cloudu Azure nebo v cloudu Azure Government Prostředek pro správu, který použijete k vytvoření objednávky zařízení, konfiguraci zařízení a následné sledování pořadí dokončení.
- Robustní zařízení Azure Stack Edge Robustní fyzické zařízení, které vám bylo dodáno, abyste mohli importovat místní data do veřejného cloudu Azure nebo do cloudu Azure Government. Zařízení může být Azure Stack Edge Pro R nebo Azure Stack Edge Mini R.
- Klienti/hostitelé připojení k zařízení. Klienti ve vaší infrastruktuře, kteří se připojují k zařízení a obsahují data, která je potřeba chránit.
- Cloudové úložiště. Umístění v cloudové platformě Azure, kde jsou uložená data. Toto umístění je obvykle účet úložiště propojený s prostředkem Azure Stack Edge, který vytvoříte.
Ochrana služeb
Služba Azure Stack Edge je služba pro správu hostovaná v Azure. Služba se používá ke konfiguraci a správě zařízení.
- Aby vaše organizace měla přístup ke službě Data Box Edge, musí mít předplatné smlouva Enterprise (EA) nebo Cloud Solution Provider (CSP). Další informace najdete v tématu Registrace předplatného Azure.
- Vzhledem k tomu, že tato služba pro správu je hostovaná v Azure, chrání ji funkce zabezpečení Azure. Další informace o funkcích zabezpečení poskytovaných Azure najdete v Centru zabezpečení Microsoft Azure.
- V případě operací správy sady SDK můžete získat šifrovací klíč pro váš prostředek ve vlastnostech zařízení. Šifrovací klíč můžete zobrazit jenom v případě, že máte oprávnění pro rozhraní Resource Graph API.
Ochrana zařízení
Robustní zařízení je místní zařízení, které pomáhá transformovat vaše data tím, že je zpracovává místně a pak je odesílá do Azure. Vaše zařízení:
Potřebuje aktivační klíč pro přístup ke službě Azure Stack Edge.
Je vždy chráněn heslem zařízení.
Je uzamčené zařízení. Řadič pro správu základní desky zařízení (BMC) a BIOS jsou chráněné heslem. Řadič pro správu základní desky je chráněný omezeným uživatelským přístupem.
Má povolené zabezpečené spouštění, které zajišťuje, že se zařízení spustí jenom pomocí důvěryhodného softwaru poskytovaného Microsoftem.
Spouští řízení aplikací v programu Windows Defender (WDAC). WDAC umožňuje spouštět pouze důvěryhodné aplikace, které definujete v zásadách integrity kódu.
Má čip TPM (Trusted Platform Module), který provádí hardwarové funkce související se zabezpečením. Konkrétně čip TPM spravuje a chrání tajné kódy a data, která je potřeba na zařízení zachovat.
Na zařízení se otevřou jenom požadované porty a všechny ostatní porty jsou blokované. Další informace najdete v seznamu požadavků na port pro zařízení .
Veškerý přístup k hardwaru zařízení i software se protokoluje.
- Pro software zařízení se shromažďují výchozí protokoly brány firewall pro příchozí a odchozí provoz ze zařízení. Tyto protokoly jsou součástí balíčku podpory.
- U hardwaru zařízení se do zařízení zaprotokolují všechny události skříně zařízení, jako je otevření a zavření skříně zařízení.
Další informace o konkrétních protokolech, které obsahují události vniknutí hardwaru a softwaru a o tom, jak získat protokoly, najdete v části Shromáždění pokročilých protokolů zabezpečení.
Ochrana zařízení prostřednictvím aktivačního klíče
Pouze autorizované zařízení Azure Stack Edge Pro R nebo Azure Stack Edge Mini R může připojit ke službě Azure Stack Edge, kterou vytvoříte ve svém předplatném Azure. Pokud chcete autorizovat zařízení, musíte k aktivaci zařízení pomocí služby Azure Stack Edge použít aktivační klíč.
Aktivační klíč, který používáte:
- Je ověřovací klíč založený na Microsoft Entra ID.
- Vyprší po třech dnech.
- Po aktivaci zařízení se nepoužívá.
Po aktivaci zařízení používá tokeny ke komunikaci s Azure.
Další informace najdete v tématu Získání aktivačního klíče.
Ochrana zařízení pomocí hesla
Hesla zajišťují, aby k vašim datům měli přístup jenom autorizovaní uživatelé. Zařízení Azure Stack Edge Pro R se spouští v uzamčeném stavu.
Můžete provádět následující akce:
- Připojte se k místnímu webovému uživatelskému rozhraní zařízení přes prohlížeč a pak zadejte heslo pro přihlášení k zařízení.
- Vzdáleně se připojte k rozhraní PowerShellu zařízení přes PROTOKOL HTTP. Vzdálená správa je ve výchozím nastavení zapnutá. Vzdálená správa je také nakonfigurovaná tak, aby používala funkci Just Enough Administration (JEA) k omezení toho, co můžou uživatelé dělat. Pak můžete zadat heslo zařízení pro přihlášení k zařízení. Další informace najdete v tématu Vzdálené připojení k zařízení.
- Místní uživatel Edge na zařízení má omezený přístup k zařízení pro počáteční konfiguraci a řešení potíží. K výpočetním úlohám spuštěným na zařízení, přenosu dat a úložišti je možné přistupovat z veřejného portálu Azure nebo portálu pro státní správu pro daný prostředek v cloudu.
Mějte na paměti tyto osvědčené postupy:
- Doporučujeme uložit všechna hesla na bezpečné místo, abyste nemuseli resetovat heslo, pokud jste zapomněli. Služba pro správu nemůže načíst existující hesla. Dá se resetovat jenom prostřednictvím webu Azure Portal. Pokud resetujete heslo, nezapomeňte před resetováním upozornit všechny uživatele.
- Ke vzdálenému přístupu k rozhraní Windows PowerShellu zařízení můžete přistupovat přes protokol HTTP. Osvědčeným postupem zabezpečení je použití protokolu HTTP pouze v důvěryhodných sítích.
- Ujistěte se, že hesla zařízení jsou silná a dobře chráněná. Postupujte podle osvědčených postupů pro heslo.
- Ke změně hesla použijte místní webové uživatelské rozhraní. Pokud heslo změníte, nezapomeňte upozornit všechny uživatele vzdáleného přístupu, aby neměli problémy s přihlášením.
Navázání vztahu důvěryhodnosti se zařízením prostřednictvím certifikátů
Robustní zařízení Azure Stack Edge umožňuje používat vlastní certifikáty a instalovat je pro všechny veřejné koncové body. Další informace najdete v části Nahrání certifikátu. Seznam všech certifikátů, které se dají nainstalovat do zařízení, najdete v části Správa certifikátů na vašem zařízení.
- Při konfiguraci výpočetních prostředků na zařízení se vytvoří zařízení IoT a zařízení IoT Edge. Tato zařízení mají automaticky přiřazené symetrické přístupové klíče. Osvědčeným postupem zabezpečení je pravidelné obměna těchto klíčů prostřednictvím služby IoT Hub.
Ochrana vašich dat
Tato část popisuje funkce zabezpečení, které chrání přenášená a uložená data.
Ochrana neaktivních uložených dat
Všechna neaktivní uložená data v zařízení jsou dvakrát zašifrovaná, přístup k datům se řídí a po deaktivaci zařízení se data bezpečně vymažou z datových disků.
Dvojité šifrování dat
Data na discích jsou chráněná dvěma vrstvami šifrování:
- První vrstvou šifrování je 256bitové šifrování bitových svazků BitLocker XTS-AES.
- Druhá vrstva je pevné disky, které mají integrované šifrování.
- Svazek operačního systému má BitLocker jako jednu vrstvu šifrování.
Poznámka:
Disk s operačním systémem má jednovrstvé šifrování softwaru BitLocker XTS-AES-256.
Před aktivací zařízení budete muset nakonfigurovat šifrování neaktivních uložených dat na zařízení. Toto nastavení je povinné a dokud se zařízení úspěšně nenakonfiguruje, nemůžete zařízení aktivovat.
Po vytvoření image zařízení je v továrně povolené šifrování BitLockeru na úrovni svazku. Jakmile zařízení obdržíte, musíte nakonfigurovat šifrování neaktivních uložených dat. Fond úložiště a svazky se znovu vytvoří a můžete zadat klíče BitLockeru pro povolení neaktivních uložených uložených dat a vytvořit tak další vrstvu šifrování neaktivních uložených dat.
Šifrovací klíč v klidovém stavu je 32mísítě dlouhý klíč s kódováním Base-64, který zadáte, a tento klíč se používá k ochraně skutečného šifrovacího klíče. Microsoft nemá přístup k tomuto šifrovacímu klíči neaktivních uložených dat. Klíč se uloží do souboru klíče na stránce podrobností o cloudu po aktivaci zařízení.
Po aktivaci zařízení se zobrazí výzva k uložení souboru klíče obsahujícího obnovovací klíče, které pomáhají obnovit data v zařízení, pokud se zařízení nespustí. Některé scénáře obnovení vás vyzve k zadání uloženého souboru klíče. Soubor klíče obsahuje následující obnovovací klíče:
- Klíč, který odemkne první vrstvu šifrování.
- Klíč, který odemkne hardwarové šifrování na datových discích.
- Klíč, který pomáhá obnovit konfiguraci zařízení na svazcích operačního systému.
- Klíč, který chrání data procházející službou Azure.
Důležité
Uložte soubor klíče do zabezpečeného umístění mimo samotné zařízení. Pokud se zařízení nespustí a nemáte klíč, může dojít ke ztrátě dat.
Omezený přístup k datům
Přístup k datům uloženým ve sdílených složkách a účtech úložiště je omezený.
- Klienti SMB, kteří přistupuje ke sdíleným datům, potřebují přihlašovací údaje uživatele přidružené ke sdílené složce. Tyto přihlašovací údaje jsou definovány při vytváření sdílené složky.
- Klienti NFS, kteří přistupují ke sdílené složce, musí mít při vytváření sdílené složky explicitně přidanou svoji IP adresu.
- Účty úložiště Edge vytvořené v zařízení jsou místní a jsou chráněné šifrováním datových disků. Účty úložiště Azure, na které jsou tyto účty úložiště Edge namapované, jsou chráněné předplatným a 512bitovými přístupovými klíči úložiště přidruženými k účtu úložiště Edge (tyto klíče se liší od klíčů přidružených k vašim účtům Azure Storage). Další informace najdete v tématu Ochrana dat v účtech úložiště.
- BitLocker XTS-AES 256bitové šifrování slouží k ochraně místních dat.
Bezpečné vymazání dat
Když zařízení prochází pevným resetováním, provede se na zařízení zabezpečené vymazání. Zabezpečené vymazání provádí mazání dat na discích pomocí vymazání NIST SP 800-88r1.
Ochrana dat v testovacím systému
Pro data v testovací verzi:
Standard Transport Layer Security (TLS) 1.2 se používá pro data přenášená mezi zařízením a Azure. Pro protokol TLS 1.1 a starší neexistuje žádná záložní verze. Komunikace agenta se zablokuje, pokud se nepodporuje protokol TLS 1.2. Protokol TLS 1.2 se také vyžaduje pro správu portálu a sady SDK.
Když klienti přistupují k vašemu zařízení prostřednictvím místního webového uživatelského rozhraní prohlížeče, použije se standardní protokol TLS 1.2 jako výchozí zabezpečený protokol.
- Osvědčeným postupem je nakonfigurovat prohlížeč tak, aby používal protokol TLS 1.2.
- Vaše zařízení podporuje pouze protokol TLS 1.2 a nepodporuje starší verze PROTOKOLU TLS 1.1 ani TLS 1.0.
K ochraně dat při kopírování z datových serverů doporučujeme používat protokol SMB 3.0 s šifrováním.
Ochrana dat v účtech úložiště
Vaše zařízení je přidružené k účtu úložiště, který slouží jako cíl pro vaše data v Azure. Přístup k účtu úložiště řídí předplatné a dva 512bitové přístupové klíče k úložišti přidružené k danému účtu úložiště.
Jeden z těchto klíčů slouží k ověřování při přístupu zařízení Azure Stack Edge k účtu úložiště. Druhý klíč slouží jako záložní, abyste mohli klíče pravidelně obměňovat.
Řada datacenter z bezpečnostních důvodů vyžaduje obměnu klíčů. Při obměně klíčů doporučujeme postupovat podle těchto osvědčených postupů:
- Klíč účtu úložiště je podobný kořenovému heslu vašeho účtu úložiště. Pečlivě chraňte klíč svého účtu. Nesdělujte heslo jiným uživatelům, nevkládejte ho přímo do kódu a neukládejte ho v prostém textu nikde, kde by k němu měli přístup ostatní uživatelé.
- Pokud si myslíte, že by mohlo dojít k ohrožení zabezpečení, znovu vygenerujte klíč účtu prostřednictvím webu Azure Portal.
- Váš správce Azure by měl pravidelně měnit nebo znovu vygenerovat primární nebo sekundární klíč pomocí oddílu Úložiště na webu Azure Portal pro přímý přístup k účtu úložiště.
- K ochraně dat v účtu úložiště Azure můžete použít také vlastní šifrovací klíč. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Další informace o zabezpečení dat najdete v tématu Povolení klíčů spravovaných zákazníkem pro účet Azure Storage.
- Pravidelně obměňujte a synchronizujte klíče účtu úložiště, abyste mohli chránit účet úložiště před neoprávněnými uživateli.
Správa osobních údajů
Služba Azure Stack Edge shromažďuje osobní údaje v následujících scénářích:
Podrobnosti objednávky. Při vytvoření objednávky se na webu Azure Portal uloží dodací adresa, e-mailová adresa a kontaktní údaje uživatele. Uložené údaje zahrnují:
Jméno kontaktu
Telefonní číslo
E-mailová adresa
Adresa ulice
City
PSČ/PSČ
State
Země/oblast/provincie
Sledovací číslo zásilky
Podrobnosti objednávky se šifrují a ukládají ve službě. Služba uchovává informace, dokud prostředek nebo objednávku neodstraníte explicitně. Odstranění prostředku a odpovídající objednávky se zablokuje od okamžiku odeslání zařízení, dokud se zařízení nevrátí do Microsoftu.
Dodací adresa. Po odeslání objednávky poskytuje služba Data Box dodací adresu dopravcům třetích stran, jako je UPS.
Sdílejte uživatele. Uživatelé na vašem zařízení mají také přístup k datům umístěným ve sdílených složkách. Zobrazí se seznam uživatelů, kteří mají přístup ke sdíleným datům. Po odstranění sdílených složek se tento seznam odstraní také.
Pokud chcete zobrazit seznam uživatelů, kteří mají přístup ke sdílené složce nebo ji odstranit, postupujte podle pokynů ve správě sdílených složek ve službě Azure Stack Edge.
Další informace najdete v zásadách ochrany osobních údajů společnosti Microsoft v Centru zabezpečení.