Seguridad y protección de datos de Azure Stack Edge
Importante
Los dispositivos de Azure Stack Edge Pro FPGA llegarán al final de la vida útil en febrero de 2024. Si está pensando en nuevas implementaciones, se recomienda explorar los dispositivos de Azure Stack Edge Pro 2 o Azure Stack Edge Pro GPU para las cargas de trabajo.
La seguridad es una gran preocupación para cualquiera que adopte una tecnología nueva, en especial cuando se utiliza la tecnología con información confidencial o de su propiedad. Azure Stack Edge le ayuda a asegurarse de que solo las entidades autorizadas puedan ver, modificar o eliminar sus datos.
En este artículo se describen las características de seguridad de Azure Stack Edge que ayudan a proteger cada uno de los componentes de la solución y los datos almacenados en ellos.
Azure Stack Edge consta de cuatro componentes principales que interactúan entre sí:
- El servicio Azure Stack Edge hospedado en Azure. El recurso de administración que se usa para crear el pedido del dispositivo, configurar el dispositivo y, a continuación, supervisar el pedido hasta que se realiza.
- Dispositivo FPGA de Azure Stack Edge Pro. El dispositivo de transferencia que se envía para que pueda importar los datos del entorno local a Azure.
- Los clientes/hosts conectados al dispositivo. Los clientes de la infraestructura que se conectan al dispositivo FPGA de Azure Stack Edge Pro y contienen los datos que se deben proteger.
- El almacenamiento en la nube. La ubicación de la plataforma Azure Cloud donde se almacenan los datos. Esta ubicación suele ser la cuenta de almacenamiento vinculada al recurso de Azure Stack Edge que ha creado.
Protección del servicio Azure Stack Edge
Azure Stack Edge es un servicio de administración que se hospeda en Azure. El servicio se usa para configurar y administrar el dispositivo.
- Para acceder al servicio Azure Stack Edge, la organización necesita tener una suscripción a Contrato Enterprise (EA) o a Proveedor de soluciones en la nube. Para más información, consulte Registro para una suscripción a Azure.
- Dado que el servicio de administración está hospedado en Azure, se encuentra protegido por las características de seguridad de Azure. Para obtener más información acerca de las características de seguridad que proporciona Azure, visite el Centro de confianza de Microsoft Azure.
- Para las operaciones de administración de SDK, puede obtener la clave de cifrado para el recurso en las propiedades del dispositivo. Puede ver la clave de cifrado solo si tiene permisos para Resource Graph API.
Protección del dispositivo Azure Stack Edge
El dispositivo Azure Stack Edge es un dispositivo local que ayuda a transformar los datos al procesarlos localmente y, a continuación, enviarlos a Azure. El dispositivo:
- Necesita una clave de activación para acceder al servicio Azure Stack Edge.
- Está protegido en todo momento mediante una contraseña de dispositivo.
- Es un dispositivo bloqueado. Los elementos BMC y BIOS del dispositivo están protegidos con contraseñas. El BIOS está protegido por acceso de usuario limitado.
- Tiene el arranque seguro habilitado.
- Ejecuta Device Guard de Windows Defender. Device Guard le permite ejecutar solo las aplicaciones de confianza que estén definidas en las directivas de integridad de código.
Protege el dispositivo con una clave de activación
Solo se permite que un dispositivo Azure Stack Edge autorizado se una al servicio Azure Stack Edge que crea en su suscripción de Azure. Si quiere autorizar un dispositivo, debe usar una clave de activación para activarlo con el servicio Azure Stack Edge.
La clave de activación que usa:
- Es una clave de autenticación basada en Microsoft Entra ID.
- Expira después de tres días.
- No se utiliza tras la activación del dispositivo.
Después de activar un dispositivo, utiliza los tokens para comunicarse con Azure.
Para obtener más información, consulte Obtención de la clave de activación.
Protección del dispositivo con una contraseña
Las contraseñas garantizan que solo los usuarios autorizados puedan acceder a sus datos. Los dispositivos Azure Stack Edge arrancan en un estado bloqueado.
Puede:
- Conectarse a la interfaz de usuario web local del dispositivo mediante un explorador y, a continuación, proporcionar una contraseña para iniciar sesión en el dispositivo.
- Conectarse de forma remota a la interfaz de PowerShell del dispositivo a través de HTTP. La administración remota está activada de manera predeterminada. A continuación, puede proporcionar la contraseña del dispositivo para iniciar sesión en el dispositivo. Para más información, consulte Conexión remota a un dispositivo FPGA de Azure Stack Edge Pro.
Tenga presente los siguientes procedimientos recomendados:
- Se recomienda almacenar todas las contraseñas en un lugar seguro para que no deba restablecer una contraseña si se le olvida. El servicio de administración no puede recuperar contraseñas existentes. Solo puede restablecerlas mediante Azure Portal. Si restablece una contraseña, asegúrese de notificar a todos los usuarios antes de hacerlo.
- Puede acceder a la interfaz de Windows PowerShell del dispositivo de forma remota sobre HTTP. Como práctica recomendada de seguridad, debe utilizar HTTP solo en redes de confianza.
- Asegúrese de que las contraseñas de dispositivo sean seguras y estén bien protegidas. Siga los procedimientos recomendados sobre las contraseñas.
- Use la interfaz de usuario web local para cambiar la contraseña. Si cambia la contraseña, asegúrese de notificar a todos los usuarios de acceso remoto para que no experimenten problemas al iniciar sesión.
Protección de los datos
En esta sección se describen las características de seguridad de FPGA de Azure Stack Edge Pro que protegen los datos en tránsito y almacenados.
Protección de los datos en reposo
Para los datos en reposo:
El acceso a los datos almacenados en recursos compartidos está restringido.
- Los clientes SMB que tienen acceso a datos del recurso compartido necesitan credenciales de usuario asociadas al recurso compartido. Estas credenciales se definen cuando se crea el recurso compartido.
- Las direcciones IP de los clientes NFS con acceso a un recurso compartido deben agregarse cuando se crea el recurso compartido.
- El cifrado de BitLocker XTS-AES de 256 bits se usa para proteger los datos locales.
Protección de los datos en tránsito
Para los datos en tránsito:
Se utiliza TLS 1.2 Estándar para los datos que circulan entre el dispositivo y Azure. No hay ninguna reserva para TLS 1.1 y versiones anteriores. Si no se admite TLS 1.2, se bloqueará la comunicación del agente. TLS 1.2 también es necesario para la administración del portal y SDK.
Cuando los clientes acceden al dispositivo mediante la interfaz web local de un explorador, se utiliza TLS 1.2 Estándar como protocolo seguro predeterminado.
- El procedimiento recomendado consiste en configurar el explorador para usar TLS 1.2.
- Si el explorador no admite TLS 1.2, puede usar TLS 1.1 o TLS 1.0.
Se recomienda utilizar SMB 3.0 con cifrado para proteger los datos cuando se copien de los servidores de datos.
Protección de datos a través de cuentas de almacenamiento
Su dispositivo está asociado a una cuenta de almacenamiento que se utiliza como destino para los datos en Azure. El acceso a la cuenta de almacenamiento se controla mediante la suscripción y las dos claves de acceso de almacenamiento de 512 bits asociadas a esa cuenta de almacenamiento.
Una de las claves se utiliza para la autenticación cuando el dispositivo Azure Stack Edge accede a la cuenta de almacenamiento. La otra clave se mantiene en reserva, por lo que puede rotar periódicamente las claves.
Por motivos de seguridad, muchos centros de datos requieren que las claves se roten. Se recomienda seguir estos procedimientos recomendados para la rotación de claves:
- La clave de la cuenta de almacenamiento es similar a la contraseña raíz de la cuenta de almacenamiento. Proteja cuidadosamente la clave de cuenta. No distribuya la contraseña a otros usuarios, no la codifique ni la guarde en cualquier lugar en texto sin formato que sea accesible para otros.
- Vuelva a generar la clave de cuenta mediante Azure Portal si cree que podría encontrarse en peligro. Para obtener más información, consulte Administración de las claves de acceso de la cuenta de almacenamiento.
- Periódicamente, el administrador de Azure debe cambiar o volver a generar la clave principal o secundaria mediante la sección Storage de Azure Portal para acceder directamente a la cuenta de almacenamiento.
- Rote y, a continuación, sincronice las claves de la cuenta de almacenamiento periódicamente para proteger su cuenta de almacenamiento de usuarios no autorizados.
Administración de información personal
El servicio Azure Stack Edge recopila información personal en los escenarios siguientes:
Detalles de pedido. Una vez creado el pedido, la dirección de envío, la dirección de correo electrónico y la información de contacto del usuario se almacenan en Azure Portal. Entre la información guardada se incluyen los siguientes datos:
Nombre de contacto
Número de teléfono
Dirección de correo electrónico
Calle de la dirección
City
Código postal
Estado
País, región o provincia
Número de seguimiento del envío
Los detalles del pedido se cifran y almacenan en el servicio. El servicio conserva la información hasta que elimine explícitamente el recurso o el pedido. La eliminación del recurso y el pedido correspondiente se bloquea desde el momento en que se envía el dispositivo hasta que el dispositivo vuelve a Microsoft.
Dirección de envío. Después de realizar el pedido, el servicio Data Box proporciona la dirección de envío a compañías de transporte como UPS.
Usuarios de los recursos compartidos. Los usuarios en el dispositivo también pueden acceder a los datos que se encuentran en los recursos compartidos. Se puede ver una lista de los usuarios que pueden acceder a los datos del recurso compartido. Cuando los recursos compartidos se eliminan, esta lista también se elimina.
Para ver la lista de usuarios que pueden acceder a un recurso compartido o eliminarlo, siga los pasos que se indican en Administración de recursos compartidos en FPGA de Azure Stack Edge Pro.
Para más información, revise la directiva de privacidad de Microsoft en el Centro de confianza.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de