Azure Stack Edge Pro 2, Azure Stack Edge Pro R 및 Azure Stack Edge Mini R을 위한 보안 및 데이터 보호

적용 대상:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

보안은 새로운 기술을 채택할 때, 특히 해당 기술이 기밀 또는 고유 데이터에 사용되는 경우 중요한 관심사입니다. Azure Stack Edge Pro R 및 Azure Stack Edge Mini R을 사용하면 권한 있는 엔터티만 데이터를 보거나 수정하거나 삭제할 수 있습니다.

이 문서에서는 각 솔루션 구성 요소와 여기에 저장된 데이터를 보호하는 데 도움이 되는 Azure Stack Edge Pro R 및 Azure Stack Edge Mini R 보안 기능에 대해 설명합니다.

솔루션은 서로 상호 작용하는 4개의 기본 구성 요소로 구성됩니다.

  • Azure 공용 또는 Azure Government 클라우드에서 호스트되는 Azure Stack Edge 서비스입니다. 디바이스 순서를 만들고, 디바이스를 구성한 다음, 완료 순서를 추적하는 데 사용하는 관리 리소스입니다.
  • Azure Stack Edge 견고한 디바이스. 온-프레미스 데이터를 Azure 공용 또는 Azure Government 클라우드로 가져올 수 있도록 사용자에게 제공되는 견고한 물리적 디바이스입니다. 이 디바이스는 Azure Stack Edge Pro R 또는 Azure Stack Edge Mini R일 수 있습니다.
  • 디바이스에 연결된 클라이언트/호스트. 디바이스에 연결하고 보호해야 하는 데이터를 포함하는 인프라의 클라이언트입니다.
  • 클라우드 스토리지. Azure 클라우드 플랫폼에서 데이터가 저장되는 위치입니다. 이 위치는 일반적으로 사용자가 만든 Azure Stack Edge 리소스에 연결된 스토리지 계정입니다.

서비스 보호

Azure Stack Edge 서비스는 Azure에 호스트되는 관리 서비스입니다. 이 서비스는 장치를 구성하고 관리하는 데 사용됩니다.

  • Data Box Edge 서비스에 액세스하려면 조직에 EA(기업계약) 또는 CSP(클라우드 솔루션 공급자) 구독이 있어야 합니다. 자세한 내용은 Azure 구독 등록을 참조하세요.
  • 이 관리 서비스는 Azure에서 호스트되므로 Azure 보안 기능으로 보호됩니다. Azure에서 제공하는 보안 기능에 대한 자세한 내용은 Microsoft Azure 보안 센터를 참조하세요.
  • SDK 관리 작업의 경우 디바이스 속성에서 리소스에 대한 암호화 키를 가져올 수 있습니다. Resource Graph API에 대한 권한이 있는 경우에만 암호화 키를 볼 수 있습니다.

디바이스 보호

견고한 디바이스는 데이터를 로컬로 처리한 다음 Azure로 전송하여 데이터를 변환하는 데 도움이 되는 온-프레미스 디바이스입니다. 귀사의 디바이스는:

  • Azure Stack Edge 서비스에 액세스하려면 활성화 키가 필요합니다.

  • 디바이스 암호로 항상 보호됩니다.

  • 잠긴 디바이스입니다. BMC(디바이스 베이스보드 관리 컨트롤러) 및 BIOS는 암호로 보호됩니다. BMC는 제한된 사용자 액세스로 보호됩니다.

  • Microsoft에서 제공하는 신뢰할 수 있는 소프트웨어만 사용하여 디바이스가 부팅되도록 하는 보안 부팅을 사용하도록 설정했습니다.

  • WDAC(Windows Defender Application Control)를 실행합니다. WDAC를 사용하면 코드 무결성 정책에 정의한 신뢰할 수 있는 애플리케이션만 실행할 수 있습니다.

  • 하드웨어 기반 보안 관련 기능을 수행하는 TPM(신뢰할 수 있는 플랫폼 모듈)이 있습니다. 특히 TPM은 디바이스에 유지되어야 하는 비밀 및 데이터를 관리하고 보호합니다.

  • 디바이스에서 필요한 포트만 열리고 다른 모든 포트는 차단됩니다. 자세한 내용은 디바이스에 대한 포트 요구 사항 목록을 참조하세요 .

  • 소프트웨어뿐만 아니라 디바이스 하드웨어에 대한 모든 액세스가 기록됩니다.

    • 디바이스 소프트웨어의 경우 디바이스의 인바운드 및 아웃바운드 트래픽에 대한 기본 방화벽 로그가 수집됩니다. 이러한 로그는 지원 패키지에 번들로 제공됩니다.
    • 디바이스 하드웨어의 경우 디바이스 섀시 열기 및 닫기와 같은 모든 디바이스 섀시 이벤트가 디바이스에 기록됩니다.

    하드웨어 및 소프트웨어 침입 이벤트가 포함된 특정 로그 및 로그를 가져오는 방법에 대한 자세한 내용은 고급 보안 로그 수집을 참조하세요.

활성화 키를 통해 디바이스 보호

권한 있는 Azure Stack Edge Pro R 또는 Azure Stack Edge Mini R 디바이스만 Azure 구독에서 만든 Azure Stack Edge 서비스에 조인할 수 있습니다. 디바이스에 권한을 부여하려면 활성화 키를 사용하여 Azure Stack Edge 서비스를 사용하여 디바이스를 활성화해야 합니다.

사용하는 활성화 키:

  • Microsoft Entra ID 기반 인증 키입니다.
  • 3일 후에 만료됩니다.
  • 디바이스를 활성화한 후에는 사용되지 않습니다.

디바이스를 활성화한 후 토큰을 사용하여 Azure와 통신합니다.

자세한 내용은 활성화 키 가져오기를 참조하세요.

암호를 통해 디바이스 보호

암호는 권한 있는 사용자만 데이터에 액세스할 수 있도록 합니다. Azure Stack Edge Pro R 디바이스가 잠긴 상태로 부팅됩니다.

마케팅 목록의 구성원을 관리할 수 있습니다.

  • 브라우저를 통해 디바이스의 로컬 웹 UI에 커넥트 다음 디바이스에 로그인하는 암호를 제공합니다.
  • HTTP를 통해 디바이스 PowerShell 인터페이스에 원격으로 연결합니다. 원격 관리는 기본적으로 설정되어 있습니다. 또한 원격 관리는 JEA(Just Enough 관리istration)를 사용하여 사용자가 수행할 수 있는 작업을 제한하도록 구성됩니다. 그런 다음 디바이스 암호를 제공하여 디바이스에 로그인할 수 있습니다. 자세한 내용은 디바이스에 원격으로 연결을 참조하세요.
  • 디바이스의 로컬 Edge 사용자는 초기 구성 및 문제 해결을 위해 디바이스에 대해 제한된 액세스 권한을 갖습니다. 디바이스에서 실행되는 컴퓨팅 워크로드, 데이터 전송 및 스토리지는 모두 클라우드의 리소스에 대한 Azure 공용 또는 정부 포털에서 액세스할 수 있습니다.

다음 모범 사례를 고려하세요.

  • 암호를 잊어버린 경우 암호를 재설정할 필요가 없도록 모든 암호를 안전한 장소에 저장하는 것이 좋습니다. 관리 서비스에서 기존 암호를 검색할 수 없습니다. Azure Portal을 통해서만 다시 설정할 수 있습니다. 암호를 재설정하는 경우 재설정하기 전에 모든 사용자에게 알려야 합니다.
  • HTTP를 통해 원격으로 디바이스의 Windows PowerShell 인터페이스에 액세스할 수 있습니다. 보안 모범 사례로 신뢰할 수 있는 네트워크에서만 HTTP를 사용해야 합니다.
  • 디바이스 암호가 강력하고 잘 보호되었는지 확인합니다. 암호 모범 사례를 따릅니다.

인증서를 통해 디바이스에 대한 신뢰 설정

Azure Stack Edge 견고한 디바이스를 사용하면 사용자 고유의 인증서를 가져오고 모든 퍼블릭 엔드포인트에 사용할 인증서를 설치할 수 있습니다. 자세한 내용은 인증서 업로드로 이동합니다. 디바이스에 설치할 수 있는 모든 인증서 목록은 디바이스의 인증서 관리로 이동합니다.

  • 디바이스에서 컴퓨팅을 구성하면 IoT 디바이스와 IoT Edge 디바이스가 만들어집니다. 이러한 디바이스에는 대칭 액세스 키가 자동으로 할당됩니다. 보안 모범 사례로 이러한 키는 IoT Hub 서비스를 통해 정기적으로 회전됩니다.

데이터 보호

이 섹션에서는 전송 중 및 저장된 데이터를 보호하는 보안 기능에 대해 설명합니다.

미사용 데이터 보호

디바이스의 미사용 데이터는 모두 이중 암호화되고, 데이터에 대한 액세스가 제어되며, 디바이스가 비활성화되면 데이터 디스크에서 데이터가 안전하게 지워집니다.

데이터의 이중 암호화

디스크의 데이터는 다음 두 가지 암호화 계층으로 보호됩니다.

  • 첫 번째 암호화 계층은 데이터 볼륨에 대한 BitLocker XTS-AES 256비트 암호화입니다.
  • 두 번째 레이어는 기본 제공되는 암호화가 포함된 하드 디스크입니다.
  • OS 볼륨에는 단일 암호화 계층으로 BitLocker가 있습니다.

참고 항목

OS 디스크에는 단일 계층 BitLocker XTS-AES-256 소프트웨어 암호화가 있습니다.

디바이스를 활성화하기 전에 디바이스에서 미사용 암호화를 구성해야 합니다. 이 설정은 필수 설정이며 이 설정이 성공적으로 구성될 때까지 디바이스를 활성화할 수 없습니다.

팩터리에서 디바이스가 이미지화되면 볼륨 수준 BitLocker 암호화가 사용하도록 설정됩니다. 디바이스를 받은 후 미사용 암호화를 구성해야 합니다. 스토리지 풀 및 볼륨이 다시 만들어지고 BitLocker 키를 제공하여 미사용 데이터 암호화를 사용하도록 설정하고 미사용 데이터에 대한 또 다른 암호화 계층을 만들 수 있습니다.

미사용 암호화 키는 사용자가 제공하는 32자 길이의 Base-64로 인코딩된 키이며 이 키는 실제 암호화 키를 보호하는 데 사용됩니다. Microsoft는 데이터를 보호하는 이 미사용 암호화 키에 액세스할 수 없습니다. 디바이스가 활성화된 후 클라우드 세부 정보 페이지의 키 파일에 키가 저장됩니다.

디바이스가 활성화되면 디바이스가 부팅되지 않는 경우 디바이스에서 데이터를 복구하는 데 도움이 되는 복구 키가 포함된 키 파일을 저장하라는 메시지가 표시됩니다. 특정 복구 시나리오에서는 저장한 키 파일을 묻는 메시지를 표시합니다. 키 파일에는 다음과 같은 복구 키가 있습니다.

  • 첫 번째 암호화 계층의 잠금을 해제하는 키
  • 데이터 디스크에서 하드웨어 암호화의 잠금을 해제하는 키입니다.
  • OS 볼륨에서 디바이스 구성을 복구하는 데 도움이 되는 키입니다.
  • Azure 서비스를 통해 흐르는 데이터를 보호하는 키입니다.

Important

키 파일을 디바이스 자체 외부의 안전한 위치에 저장합니다. 디바이스가 부팅되지 않고 키가 없는 경우 데이터가 손실될 수 있습니다.

데이터에 대한 제한된 액세스

공유 및 스토리지 계정에 저장된 데이터에 대한 액세스는 제한됩니다.

  • 공유 데이터에 액세스하는 SMB 클라이언트는 해당 공유와 연관된 사용자 자격 증명이 필요합니다. 이러한 자격 증명은 공유가 생성될 때 정의됩니다.
  • 공유에 액세스하는 NFS 클라이언트는 공유를 만들 때 해당 IP 주소를 명시적으로 추가해야 합니다.
  • 디바이스에서 만든 Edge 스토리지 계정은 로컬이며 데이터 디스크의 암호화로 보호됩니다. 이러한 Edge 스토리지 계정이 매핑되는 Azure Storage 계정은 구독 및 Edge 스토리지 계정과 연결된 두 개의 512비트 스토리지 액세스 키로 보호됩니다(이러한 키는 Azure Storage 계정과 연결된 키와 다름). 자세한 내용은 스토리지 계정에서 데이터 보호를 참조하세요.
  • BitLocker XTS-AES 256비트 암호화는 로컬 데이터 보호를 위해 사용됩니다.

보안 데이터 지우기

디바이스에서 하드 리셋을 수행하면 디바이스에 대해 보안 초기화가 수행됩니다. 보안 초기화는 NIST SP 800-88r1 제거를 사용하여 디스크에서 데이터 지우기를 수행합니다.

비행 중인 데이터 보호

비행 중인 데이터의 경우:

  • TLS(표준 전송 계층 보안) 1.2는 디바이스와 Azure 간에 이동하는 데이터에 사용됩니다. TLS 1.1 이하에 대한 대체는 없습니다. TLS 1.2가 지원되지 않으면 에이전트 통신이 차단됩니다. 포털 및 SDK 관리에도 TLS 1.2가 필요합니다.

  • 클라이언트가 브라우저의 로컬 웹 UI를 통해 디바이스에 액세스하는 경우 표준 TLS 1.2가 기본 보안 프로토콜로 사용됩니다.

    • TLS 1.2를 사용하도록 브라우저를 구성하는 것이 가장 좋습니다.
    • 디바이스는 TLS 1.2만 지원하며 이전 버전 TLS 1.1 또는 TLS 1.0을 지원하지 않습니다.
  • 데이터 서버에서 데이터를 복사하는 경우 암호화 기능을 갖춘 SMB 3.0을 사용하는 것이 좋습니다.

스토리지 계정에서 데이터 보호

디바이스는 Azure에서 데이터의 대상으로 사용되는 스토리지 계정과 연결됩니다. 스토리지 계정에 대한 액세스는 해당 스토리지 계정과 연결된 두 개의 512비트 스토리지 액세스 키 및 구독을 통해 제어됩니다.

키 중 하나는 Azure Stack Edge 디바이스가 스토리지 계정에 액세스할 때 인증에 사용됩니다. 다른 키는 예약에 보관되므로 정기적으로 키를 회전할 수 있습니다.

보안상의 이유로 많은 데이터 센터 키 회전이 필요합니다. 키 회전에 대해 이 모범 사례를 따르는 것이 좋습니다.

  • 스토리지 계정 키는 스토리지 계정의 루트 암호와 비슷합니다. 계정 키를 신중하게 보호합니다. 다른 사용자에게 암호를 배포하거나 하드 코딩하거나 다른 사용자가 액세스할 수 있는 일반 텍스트로 저장하지 마세요.
  • 손상될 수 있다고 생각되는 경우 Azure Portal을 통해 계정 키를 다시 생성합니다.
  • Azure 관리자는 Azure Portal의 [스토리지] 섹션을 사용해 스토리지 계정에 직접 액세스하여 기본 또는 보조 키를 정기적으로 변경하거나 다시 생성해야 합니다.
  • 사용자 고유의 암호화 키를 사용하여 Azure Storage 계정의 데이터를 보호할 수도 있습니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 데이터를 보호하는 방법에 대한 자세한 내용은 Azure Storage 계정에 고객 관리형 키 사용을 참조하세요.

개인 정보 관리

Azure Stack Edge 서비스는 다음 시나리오에서 개인 정보를 수집합니다.

  • 주문 세부 정보. 주문이 만들어지면 사용자의 배송 주소, 이메일 주소 및 연락처 정보가 Azure Portal에 저장됩니다. 저장된 정보에는 다음이 포함됩니다.

    • 연락처 이름

    • 전화번호

    • 메일 주소

    • 상세 주소

    • City

    • ZIP 코드/우편 번호

    • State(상태)

    • 국가/지역/지방

    • 배송 추적 번호

      주문 세부 정보는 암호화되어 서비스에 저장됩니다. 서비스는 리소스 또는 주문을 명시적으로 삭제할 때까지 정보를 유지합니다. 리소스 삭제 및 해당 주문은 디바이스가 Microsoft로 반환될 때까지 디바이스가 배송되는 시점부터 차단됩니다.

  • 배송 주소. 주문이 완료되면 Data Box 서비스는 UPS와 같은 타사 운송업체에 배송 주소를 제공합니다.

  • 공유 사용자. 디바이스의 사용자는 공유에 있는 데이터에도 액세스할 수 있습니다. 공유 데이터에 액세스할 수 있는 사용자 목록을 볼 수 있습니다. 공유가 삭제되면 이 목록도 삭제됩니다.

공유에 액세스하거나 삭제할 수 있는 사용자 목록을 보려면 Azure Stack Edge공유 관리 단계를 따릅니다.

자세한 내용은 보안 센터에서 Microsoft 개인 정보 취급 방침을 참조하세요.

다음 단계

Azure Stack Edge Pro R 디바이스 배포