Segurança e proteção de dados do Azure Stack Edge
Importante
Os dispositivos FPGA do Azure Stack Edge Pro atingirão o fim da vida útil em fevereiro de 2024. Se você estiver considerando novas implantações, recomendamos que explore os dispositivos de GPU do Azure Stack Edge Pro 2 ou a GPU do Azure Stack Edge Pro para suas cargas de trabalho.
A segurança é uma preocupação importante ao adotar uma nova tecnologia, especialmente quando a tecnologia é usada com dados confidenciais ou proprietários. O Azure Stack Edge ajuda a garantir que apenas entidades autorizadas possam exibir, modificar ou excluir seus dados.
Este artigo descreve os recursos de segurança do Azure Stack Edge que ajudam a proteger cada um dos componentes da solução e os dados armazenados neles.
O Azure Stack Edge consiste em quatro componentes principais que interagem entre si:
- Serviço do Azure Stack Edge, hospedado no Azure. O recurso de gerenciamento que você usa para criar o pedido do dispositivo, configurar o dispositivo e, em seguida, controlar o pedido até a conclusão.
- Dispositivo do Azure Stack Edge Pro FPGA. O dispositivo de transferência que é enviado para você poder importar seus dados locais no Azure.
- Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo do Azure Stack Edge Pro FPGA e contêm os dados que precisam ser protegidos.
- Armazenamento em nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local geralmente é a conta de armazenamento vinculada ao recurso do Azure Stack Edge que você cria.
Proteção de serviço do Azure Stack Edge
O serviço do Azure Stack Edge é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.
- Para acessar o serviço Azure Stack Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou Provedor de soluções na nuvem (CSP). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
- Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
- Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode visualizar a chave de criptografia somente se tiver permissões para a API do Resource Graph.
Proteção do dispositivo do Azure Stack Edge
O dispositivo do Azure Stack Edge é um dispositivo local que ajuda a transformar seus dados processando-os localmente e enviando-os ao Azure. Seu dispositivo:
- Precisa de uma chave de ativação para acessar o serviço do Azure Stack Edge.
- É sempre protegido pela senha do dispositivo.
- é um dispositivo bloqueado. O BMC e BIOS do dispositivo são protegidos por senha. O BIOS é protegido por acesso a usuário limitado.
- Tem inicialização segura habilitada.
- Executa o Windows Defender Device Guard. O Device Guard somente permite a execução aplicativos confiáveis definidos por você em suas políticas de integridade de código.
Proteger o dispositivo por chave de ativação
Somente um dispositivo autorizado do Azure Stack Edge tem permissão para ingressar no serviço do Azure Stack Edge que você cria em sua assinatura do Azure. Para autorizar um dispositivo é necessário usar uma chave de ativação para ativar o dispositivo com o serviço do Azure Stack Edge.
A chave de ativação que você usa:
- Autenticação baseada no Microsoft Entra ID.
- Expira após três dias.
- Não é usada após a ativação do dispositivo.
Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.
Para obter mais informações, consulte Obter uma chave de ativação.
Proteger o dispositivo por senha
As senhas garantem que somente os usuários autorizados possam acessar seus dados. Os dispositivos do Azure Stack Edge são inicializados em um estado bloqueado.
Você poderá:
- Conectar-se à IU da Web local do dispositivo por meio de um navegador e, em seguida, digitar uma senha para entrar no dispositivo.
- Conectar-se remotamente à interface do dispositivo do PowerShell por HTTP. O gerenciamento remoto é ativado por padrão. Em seguida, você pode inserir a senha para entrar no dispositivo. Para obter mais informações, consulte Conectar-se remotamente ao dispositivo do Azure Stack Edge Pro FPGA.
Tenha em mente as seguintes melhores práticas:
- É recomendável armazenar todas as senhas em um local seguro para não precisar redefinir uma senha se ela for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-las por meio do portal do Azure. Se precisar redefinir uma senha, certifique-se de notificar todos os usuários antes de fazer isso.
- É possível acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como melhor prática de segurança, use HTTP somente em redes confiáveis.
- Certifique-se de que as senhas do dispositivo sejam fortes e bem protegidas. Siga as melhores práticas de senha.
- Use a IU da Web local para alterar a senha. Se você alterar a senha, lembre-se de notificar todos os usuários de acesso remoto para que eles não tenham problemas de entrada.
Proteger seus dados
Esta seção descreve os recursos de segurança do Azure Stack Edge Pro FPGA que protegem dados armazenados e em trânsito.
Proteger dados em repouso
Para dados inativos:
O acesso a dados armazenados em compartilhamentos é restrito.
- Clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
- Os endereços IP de clientes NFS que acessam um compartilhamento precisam ser adicionados quando o compartilhamento é criado.
- A criptografia de 256 bits XTS-AES do BitLocker é usada para proteger os dados locais.
Proteger dados em trânsito
Para dados em trânsito:
O TLS 1.2 padrão é usado para dados que trafegam entre o dispositivo e o Azure. Não há nenhum fallback para o TLS 1.1 e anterior. A comunicação do agente será bloqueada se o TLS 1.2 não for compatível. O TLS 1.2 também é necessário para gerenciamento de portal e SDK.
Quando os clientes acessam seu dispositivo por meio da IU da web local de um navegador, o padrão TLS 1.2 é usado como o protocolo de segurança padrão.
- A prática recomendada é configurar seu navegador para usar TLS 1.2.
- Se o navegador não oferecer suporte a TLS 1.2, você poderá usar TLS 1.1 ou TLS 1.0.
Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.
Proteger dados por meio de contas de armazenamento
O dispositivo está associado a uma conta de armazenamento usada como destino dos dados no Azure. O acesso a uma conta de armazenamento é controlado pela assinatura e pelas duas chaves de acesso de armazenamento de 512 bits associadas àquela conta de armazenamento.
Uma das chaves é usada para autenticação quando o dispositivo do Azure Stack Edge acessa a conta de armazenamento. A outra chave fica de reserva para que você possa alternar as chaves periodicamente.
Por motivos de segurança, muitos data centers exigem a rotação de chaves. Recomendamos seguir estas práticas recomendadas para a rotação de chaves:
- Sua chave de conta de armazenamento é semelhante para a senha raiz da sua conta de armazenamento. Proteja a chave de conta com cuidado. Não distribua a senha para outros usuários, nem codifique ou salve em qualquer lugar em texto sem formatação acessível a outras pessoas.
- Regenere sua chave de conta por meio do portal do Azure se você suspeitar que ela pode estar comprometida. Para obter mais informações, confira Gerenciar chaves de acesso da conta de armazenamento.
- Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar diretamente a conta de armazenamento.
- Gire e sincronize suas chaves da conta de armazenamento regularmente para ajudar a protegê-la de usuários não autorizados.
Gerenciar informações pessoais
O serviço do Azure Stack Edge coleta informações pessoais nos seguintes cenários:
Detalhes do pedido. Quando uma ordem é criada, o endereço de envio, endereço de email e as informações de contato dos usuários são armazenadas no portal do Azure. As informações salvas incluem:
Nome do contato
Número do telefone
Endereço de email
Endereço
City
CEP/código postal
Estado
País/região/província
Enviar número de controle
Os detalhes do pedido são criptografados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou o pedido. A exclusão do recurso e o pedido correspondente são bloqueados desde o momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.
Endereço para entrega. Depois que um pedido for feito, o serviço do Data Box fornecerá o endereço de entrega para operadoras de terceiros como a UPS.
Usuários do compartilhamento. Os usuários em seu dispositivo também podem acessar os dados localizados nos compartilhamentos. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser vista. Quando os compartilhamentos são excluídos, essa lista também será excluída.
Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no Azure Stack Edge Pro FPGA.
Para saber mais, leia a política de privacidade da Microsoft na Central de Confiabilidade.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de