Beveiliging en gegevensbeveiliging van Azure Stack Edge
Belangrijk
Azure Stack Edge Pro FPGA-apparaten zullen in februari 2024 het einde van de levensduur bereiken. Als u nieuwe implementaties overweegt, raden we u aan Om Azure Stack Edge Pro 2- of Azure Stack Edge Pro GPU-apparaten voor uw workloads te verkennen.
Beveiliging is een belangrijke zorg wanneer u een nieuwe technologie gebruikt, vooral als de technologie wordt gebruikt met vertrouwelijke of bedrijfseigen gegevens. Met Azure Stack Edge kunt u ervoor zorgen dat alleen geautoriseerde entiteiten uw gegevens kunnen bekijken, wijzigen of verwijderen.
In dit artikel worden de Azure Stack Edge-beveiligingsfuncties beschreven waarmee elk van de oplossingsonderdelen en de daarin opgeslagen gegevens worden beschermd.
Azure Stack Edge bestaat uit vier hoofdonderdelen die met elkaar communiceren:
- Azure Stack Edge-service, gehost in Azure. De beheerresource die u gebruikt om de apparaatvolgorde te maken, het apparaat te configureren en vervolgens de order bij te houden voor voltooiing.
- Azure Stack Edge Pro FPGA-apparaat. Het overdrachtsapparaat dat naar u wordt verzonden, zodat u uw on-premises gegevens kunt importeren in Azure.
- Clients/hosts die zijn verbonden met het apparaat. De clients in uw infrastructuur die verbinding maken met het Azure Stack Edge Pro FPGA-apparaat en gegevens bevatten die moeten worden beveiligd.
- Cloudopslag. De locatie in het Azure-cloudplatform waar gegevens worden opgeslagen. Deze locatie is doorgaans het opslagaccount dat is gekoppeld aan de Azure Stack Edge-resource die u maakt.
Azure Stack Edge-servicebeveiliging
De Azure Stack Edge-service is een beheerservice die wordt gehost in Azure. De service wordt gebruikt voor het configureren en beheren van het apparaat.
- Voor toegang tot de Azure Stack Edge-service moet uw organisatie een abonnement hebben op Enterprise Overeenkomst (EA) of Cloud Solution Provider (CSP). Zie Registreren voor een Azure-abonnement voor meer informatie.
- Omdat deze beheerservice wordt gehost in Azure, wordt deze beveiligd door de Azure-beveiligingsfuncties. Ga naar het Vertrouwenscentrum van Microsoft Azure voor meer informatie over de beveiligingsfuncties van Azure.
- Voor SDK-beheerbewerkingen kunt u de versleutelingssleutel voor uw resource ophalen in apparaateigenschappen. U kunt de versleutelingssleutel alleen weergeven als u machtigingen hebt voor de Resource Graph API.
Azure Stack Edge-apparaatbeveiliging
Het Azure Stack Edge-apparaat is een on-premises apparaat waarmee u uw gegevens kunt transformeren door deze lokaal te verwerken en vervolgens naar Azure te verzenden. Uw apparaat:
- Er is een activeringssleutel nodig voor toegang tot de Azure Stack Edge-service.
- Wordt altijd beveiligd door een apparaatwachtwoord.
- Is een vergrendeld apparaat. Het apparaat BMC en BIOS zijn met een wachtwoord beveiligd. Het BIOS wordt beveiligd door beperkte gebruikerstoegang.
- Beveiligd opstarten is ingeschakeld.
- Windows Defender Device Guard wordt uitgevoerd. Met Device Guard kunt u alleen vertrouwde toepassingen uitvoeren die u in uw code-integriteitsbeleid definieert.
Het apparaat beveiligen via activeringssleutel
Alleen een geautoriseerd Azure Stack Edge-apparaat mag deelnemen aan de Azure Stack Edge-service die u in uw Azure-abonnement maakt. Als u een apparaat wilt autoriseren, moet u een activeringssleutel gebruiken om het apparaat te activeren met de Azure Stack Edge-service.
De activeringssleutel die u gebruikt:
- Is een verificatiesleutel op basis van Microsoft Entra ID.
- Verloopt na drie dagen.
- Wordt niet gebruikt na de activering van het apparaat.
Nadat u een apparaat hebt geactiveerd, worden tokens gebruikt om te communiceren met Azure.
Zie Een activeringssleutel ophalen voor meer informatie.
Het apparaat beveiligen via een wachtwoord
Wachtwoorden zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot uw gegevens. Azure Stack Edge-apparaten worden opgestart in een vergrendelde status.
U kunt:
- Verbinding maken via een browser naar de lokale webgebruikersinterface van het apparaat en geef vervolgens een wachtwoord op om u aan te melden bij het apparaat.
- Maak op afstand verbinding met de PowerShell-interface van het apparaat via HTTP. Extern beheer is standaard ingeschakeld. Vervolgens kunt u het apparaatwachtwoord opgeven om u aan te melden bij het apparaat. Zie Verbinding maken extern naar uw Azure Stack Edge Pro FPGA-apparaat voor meer informatie.
Houd rekening met deze aanbevolen procedures:
- U wordt aangeraden alle wachtwoorden op een veilige plaats op te slaan, zodat u een wachtwoord niet opnieuw hoeft in te stellen als u dit bent vergeten. De beheerservice kan bestaande wachtwoorden niet ophalen. Ze kunnen alleen opnieuw worden ingesteld via Azure Portal. Als u een wachtwoord opnieuw instelt, moet u alle gebruikers waarschuwen voordat u het opnieuw instelt.
- U hebt toegang tot de Windows PowerShell-interface van uw apparaat op afstand via HTTP. Als best practice voor beveiliging moet u alleen HTTP op vertrouwde netwerken gebruiken.
- Zorg ervoor dat apparaatwachtwoorden sterk en goed zijn beveiligd. Volg de aanbevolen procedures voor wachtwoorden.
- Gebruik de lokale webinterface om het wachtwoord te wijzigen. Als u het wachtwoord wijzigt, moet u ervoor zorgen dat alle gebruikers van externe toegang op de hoogte worden gesteld, zodat ze zich niet kunnen aanmelden.
Uw gegevens beveiligen
In deze sectie worden de beveiligingsfuncties van Azure Stack Edge Pro FPGA beschreven die in-transit en opgeslagen gegevens beschermen.
Data-at-rest beschermen
Voor data-at-rest:
De toegang tot gegevens die zijn opgeslagen in shares is beperkt.
- SMB-clients die toegang hebben tot sharegegevens, hebben gebruikersreferenties nodig die zijn gekoppeld aan de share. Deze referenties worden gedefinieerd wanneer de share wordt gemaakt.
- De IP-adressen van NFS-clients die toegang hebben tot een share, moeten worden toegevoegd wanneer de share wordt gemaakt.
- BitLocker XTS-AES 256-bits versleuteling wordt gebruikt om lokale gegevens te beveiligen.
Gegevens beveiligen tijdens de vlucht
Voor gegevens in vlucht:
Standaard TLS 1.2 wordt gebruikt voor gegevens die tussen het apparaat en Azure worden verzonden. Er is geen terugval naar TLS 1.1 en eerder. Agentcommunicatie wordt geblokkeerd als TLS 1.2 niet wordt ondersteund. TLS 1.2 is ook vereist voor portal- en SDK-beheer.
Wanneer clients toegang hebben tot uw apparaat via de lokale webinterface van een browser, wordt standaard TLS 1.2 gebruikt als het standaardbeveiligingsprotocol.
- De aanbevolen procedure is om uw browser te configureren voor het gebruik van TLS 1.2.
- Als tls 1.2 niet wordt ondersteund in de browser, kunt u TLS 1.1 of TLS 1.0 gebruiken.
U wordt aangeraden SMB 3.0 te gebruiken met versleuteling om gegevens te beveiligen wanneer u deze kopieert van uw gegevensservers.
Gegevens beveiligen via opslagaccounts
Uw apparaat is gekoppeld aan een opslagaccount dat wordt gebruikt als een bestemming voor uw gegevens in Azure. De toegang tot het opslagaccount wordt bepaald door het abonnement en twee 512-bits opslagtoegangssleutels die aan dat opslagaccount zijn gekoppeld.
Een van de sleutels wordt gebruikt voor verificatie wanneer het Azure Stack Edge-apparaat toegang heeft tot het opslagaccount. De andere sleutel wordt als reserve bewaard, zodat u de sleutels regelmatig kunt omwisselen.
Om veiligheidsredenen eisen veel datacenters dat sleutels regelmatig worden omgewisseld. We raden u aan de volgende aanbevolen procedures te volgen voor het omwisselen van sleutels:
- De sleutel van uw opslagaccount is vergelijkbaar met het hoofdwachtwoord voor uw opslagaccount. Bewaar uw accountsleutel op een veilige plaats. Geef het wachtwoord niet aan andere gebruikers, leg het niet vast in code en sla het niet in tekst zonder opmaak op die voor anderen toegankelijk is.
- Genereer uw accountsleutel opnieuw via Azure Portal als u denkt dat deze kan worden aangetast. Zie Toegangssleutels voor een opslagaccount beheren voor meer informatie.
- Uw Azure-beheerder moet de primaire of secundaire sleutel periodiek wijzigen of opnieuw genereren met behulp van de sectie Storage van Azure Portal om rechtstreeks toegang te krijgen tot het opslagaccount.
- Draai en synchroniseer uw opslagaccountsleutels regelmatig om uw opslagaccount te beschermen tegen onbevoegde gebruikers.
Persoonlijke gegevens beheren
De Azure Stack Edge-service verzamelt persoonlijke gegevens in de volgende scenario's:
Ordergegevens. Wanneer een bestelling wordt gemaakt, worden het verzendadres, het e-mailadres en de contactgegevens van de gebruiker opgeslagen in Azure Portal. De opgeslagen informatie omvat:
Naam van contactpersoon
Telefoonnummer
E-mailadres
Adres
Plaats
Postcode
Provincie
Land/regio/provincie
Volgnummer van verzending
Ordergegevens worden versleuteld en opgeslagen in de service. De service behoudt de informatie totdat u de resource of order expliciet verwijdert. Het verwijderen van de resource en de bijbehorende bestelling wordt geblokkeerd vanaf het moment dat het apparaat wordt verzonden totdat het apparaat terugkeert naar Microsoft.
Verzendadres. Nadat een bestelling is geplaatst, levert de Data Box-service het verzendadres aan externe providers zoals UPS.
Gebruikers delen. Gebruikers op uw apparaat hebben ook toegang tot de gegevens die zich op de shares bevinden. Een lijst met gebruikers die toegang hebben tot de sharegegevens, kunnen worden bekeken. Wanneer de shares worden verwijderd, wordt deze lijst ook verwijderd.
Als u de lijst met gebruikers wilt weergeven die toegang hebben tot of een share kunnen verwijderen, volgt u de stappen in Shares beheren in de Azure Stack Edge Pro FPGA.
Raadpleeg het Privacybeleid van Microsoft in het Vertrouwenscentrum voor meer informatie.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor