Zabezpieczenia i ochrona danych w usłudze Azure Stack Edge
Ważne
Urządzenia FPGA usługi Azure Stack Edge Pro osiągną koniec użytkowania w lutym 2024 r. Jeśli rozważasz nowe wdrożenia, zalecamy zapoznanie się z urządzeniami gpu Azure Stack Edge Pro 2 lub Azure Stack Edge Pro dla obciążeń.
Bezpieczeństwo jest głównym problemem podczas wdrażania nowej technologii, zwłaszcza jeśli technologia jest używana z poufnymi lub zastrzeżonymi danymi. Usługa Azure Stack Edge pomaga upewnić się, że tylko autoryzowane jednostki mogą wyświetlać, modyfikować lub usuwać dane.
W tym artykule opisano funkcje zabezpieczeń usługi Azure Stack Edge, które pomagają chronić poszczególne składniki rozwiązania i przechowywane w nich dane.
Usługa Azure Stack Edge składa się z czterech głównych składników, które współdziałają ze sobą:
- Usługa Azure Stack Edge hostowana na platformie Azure. Zasób zarządzania używany do tworzenia zamówienia urządzenia, konfigurowania urządzenia, a następnie śledzenia zamówienia do ukończenia.
- Urządzenie FPGA usługi Azure Stack Edge Pro. Urządzenie transferujące, które zostało wysłane, aby można było zaimportować dane lokalne na platformę Azure.
- Klienci/hosty połączeni z urządzeniem. Klienci w infrastrukturze, którzy łączą się z urządzeniem FPGA usługi Azure Stack Edge Pro i zawierają dane, które muszą być chronione.
- Magazyn w chmurze. Lokalizacja na platformie Azure w chmurze, w której są przechowywane dane. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z utworzonym zasobem usługi Azure Stack Edge.
Ochrona usługi Azure Stack Edge
Usługa Azure Stack Edge to usługa zarządzania hostowana na platformie Azure. Usługa służy do konfigurowania urządzenia i zarządzania nim.
- Aby uzyskać dostęp do usługi Azure Stack Edge, organizacja musi mieć subskrypcję Umowa Enterprise (EA) lub Dostawca rozwiązań w chmurze (CSP). Aby uzyskać więcej informacji, zobacz Rejestrowanie się w celu uzyskania subskrypcji platformy Azure.
- Ponieważ ta usługa zarządzania jest hostowana na platformie Azure, jest chroniona przez funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń udostępnianych przez platformę Azure, przejdź do Centrum zaufania platformy Microsoft Azure.
- W przypadku operacji zarządzania zestawem SDK można uzyskać klucz szyfrowania zasobu we właściwościach urządzenia. Klucz szyfrowania można wyświetlić tylko wtedy, gdy masz uprawnienia do interfejsu API usługi Resource Graph.
Ochrona urządzeń w usłudze Azure Stack Edge
Urządzenie Azure Stack Edge to urządzenie lokalne, które pomaga przekształcić dane, przetwarzając je lokalnie, a następnie wysyłając je na platformę Azure. Urządzenie:
- Wymaga klucza aktywacji, aby uzyskać dostęp do usługi Azure Stack Edge.
- Jest chroniony przez cały czas przy użyciu hasła urządzenia.
- Jest zablokowanym urządzeniem. Urządzenia BMC i BIOS są chronione hasłem. System BIOS jest chroniony przez ograniczony dostęp użytkowników.
- Ma włączony bezpieczny rozruch.
- Uruchamia usługę Windows Defender Device Guard. Funkcja Device Guard umożliwia uruchamianie tylko zaufanych aplikacji zdefiniowanych w zasadach integralności kodu.
Ochrona urządzenia za pomocą klucza aktywacji
Tylko autoryzowane urządzenie Azure Stack Edge może dołączyć do usługi Azure Stack Edge utworzonej w ramach subskrypcji platformy Azure. Aby autoryzować urządzenie, musisz użyć klucza aktywacji, aby aktywować urządzenie za pomocą usługi Azure Stack Edge.
Używany klucz aktywacji:
- Jest kluczem uwierzytelniania opartym na identyfikatorze Entra firmy Microsoft.
- Wygasa po trzech dniach.
- Nie jest używany po aktywacji urządzenia.
Po aktywowaniu urządzenia używa tokenów do komunikowania się z platformą Azure.
Aby uzyskać więcej informacji, zobacz Pobieranie klucza aktywacji.
Ochrona urządzenia za pomocą hasła
Hasła zapewniają, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do Twoich danych. Urządzenia Azure Stack Edge są uruchamiane w stanie zablokowanym.
Masz następujące możliwości:
- Połączenie lokalnego internetowego interfejsu użytkownika urządzenia za pośrednictwem przeglądarki, a następnie podaj hasło do logowania się na urządzeniu.
- Zdalne nawiązywanie połączenia z interfejsem programu PowerShell urządzenia za pośrednictwem protokołu HTTP. Zdalne zarządzanie jest domyślnie włączone. Następnie możesz podać hasło urządzenia, aby zalogować się do urządzenia. Aby uzyskać więcej informacji, zobacz Połączenie zdalnie do urządzenia FPGA usługi Azure Stack Edge Pro.
Należy pamiętać o następujących najlepszych rozwiązaniach:
- Zalecamy przechowywanie wszystkich haseł w bezpiecznym miejscu, aby nie trzeba było resetować hasła, jeśli nie zostanie zapomniane. Usługa zarządzania nie może pobrać istniejących haseł. Można je zresetować tylko za pośrednictwem witryny Azure Portal. Jeśli zresetujesz hasło, pamiętaj, aby powiadomić wszystkich użytkowników przed zresetowaniem.
- Dostęp do interfejsu programu Windows PowerShell urządzenia można uzyskać zdalnie za pośrednictwem protokołu HTTP. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest użycie protokołu HTTP tylko w zaufanych sieciach.
- Upewnij się, że hasła urządzeń są silne i dobrze chronione. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi haseł.
- Użyj lokalnego internetowego interfejsu użytkownika, aby zmienić hasło. Jeśli zmienisz hasło, pamiętaj, aby powiadomić wszystkich użytkowników dostępu zdalnego, aby nie mieli problemów z logowaniem.
Ochrona danych
W tej sekcji opisano funkcje zabezpieczeń fpGA usługi Azure Stack Edge Pro, które chronią dane podczas przesyłania i przechowywania danych.
Ochrona danych magazynowanych
W przypadku danych magazynowanych:
Dostęp do danych przechowywanych w udziałach jest ograniczony.
- Klienci SMB, którzy uzyskują dostęp do danych udziałów, potrzebują poświadczeń użytkownika skojarzonych z udziałem. Te poświadczenia są definiowane podczas tworzenia udziału.
- Adresy IP klientów NFS uzyskujących dostęp do udziału należy dodać podczas tworzenia udziału.
- Szyfrowanie 256-bitowe XTS-AES funkcji BitLocker służy do ochrony danych lokalnych.
Ochrona danych w locie
W przypadku danych w locie:
Protokół TLS w warstwie Standardowa 1.2 jest używany na potrzeby danych przesyłanych między urządzeniem a platformą Azure. Nie ma powrotu do protokołu TLS 1.1 i starszych wersji. Komunikacja z agentem zostanie zablokowana, jeśli protokół TLS 1.2 nie jest obsługiwany. Protokół TLS 1.2 jest również wymagany do zarządzania portalem i zestawem SDK.
Gdy klienci uzyskują dostęp do urządzenia za pośrednictwem lokalnego internetowego interfejsu użytkownika przeglądarki, standardowy protokół TLS 1.2 jest używany jako domyślny bezpieczny protokół.
- Najlepszym rozwiązaniem jest skonfigurowanie przeglądarki do korzystania z protokołu TLS 1.2.
- Jeśli przeglądarka nie obsługuje protokołu TLS 1.2, możesz użyć protokołu TLS 1.1 lub TLS 1.0.
Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
Ochrona danych za pośrednictwem kont magazynu
Urządzenie jest skojarzone z kontem magazynu, które jest używane jako miejsce docelowe danych na platformie Azure. Dostęp do konta magazynu jest kontrolowany przez subskrypcję oraz dwa 512-bitowe klucze dostępu do magazynu skojarzone z tym kontem magazynu.
Jeden z tych kluczy jest używany do uwierzytelniania, gdy urządzenie Azure Stack Edge próbuje uzyskać dostęp do konta magazynu. Drugi klucz jest przechowywany jako rezerwowy, dzięki czemu można wymieniać klucze okresowo.
Ze względów bezpieczeństwa wiele centrów danych wymaga wymiany kluczy. Zalecamy przestrzeganie następujących najlepszych rozwiązań dotyczących wymiany kluczy:
- Klucz konta magazynu jest podobny do hasła głównego konta magazynu. Starannie chroń klucz konta. Nie udostępniaj hasła innym użytkownikom, nie umieszczaj go trwale w kodzie ani nie zapisuj w postaci zwykłego tekstu, który jest dostępny dla innych osób.
- Wygeneruj ponownie klucz konta za pośrednictwem witryny Azure Portal, jeśli uważasz, że może to zostać naruszone. Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami dostępu do konta magazynu.
- Administrator platformy Azure powinien okresowo zmieniać lub ponownie wygenerować klucz podstawowy lub pomocniczy przy użyciu sekcji Storage w witrynie Azure Portal, aby uzyskać bezpośredni dostęp do konta magazynu.
- Obracanie i regularne synchronizowanie kluczy konta magazynu w celu ochrony konta magazynu przed nieautoryzowanymi użytkownikami.
Zarządzanie danymi osobowymi
Usługa Azure Stack Edge zbiera dane osobowe w następujących scenariuszach:
Szczegóły zamówienia. Po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkownika są przechowywane w witrynie Azure Portal. Zapisane informacje obejmują:
Nazwa kontaktu
Numer telefonu
Adres e-mail
Ulica
City
Kod pocztowy/kod pocztowy
Stan
Kraj/region/prowincja
Numer śledzenia dostawy
Szczegóły zamówienia są szyfrowane i przechowywane w usłudze. Usługa zachowuje informacje do momentu jawnego usunięcia zasobu lub zamówienia. Usunięcie zasobu i odpowiedniego zamówienia jest blokowane od momentu wysłania urządzenia do momentu powrotu urządzenia do firmy Microsoft.
Adres wysyłkowy. Po złożeniu zamówienia usługa Data Box dostarcza adres wysyłkowy do przewoźników innych firm, takich jak UPS.
Udostępnianie użytkowników. Użytkownicy na urządzeniu mogą również uzyskiwać dostęp do danych znajdujących się w udziałach. Można wyświetlić listę użytkowników, którzy mogą uzyskiwać dostęp do danych udziału. Po usunięciu udziałów ta lista również zostanie usunięta.
Aby wyświetlić listę użytkowników, którzy mogą uzyskać dostęp do udziału lub usunąć go, wykonaj kroki opisane w temacie Zarządzanie udziałami w fpGA usługi Azure Stack Edge Pro.
Aby uzyskać więcej informacji, zapoznaj się z zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla