Segurança e proteção de dados para Azure Stack Edge Pro 2, Azure Stack Edge Pro R e Azure Stack Edge Mini R
APLICA-SE A: Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
A segurança é uma grande preocupação quando você está adotando uma nova tecnologia, especialmente se a tecnologia for usada com dados confidenciais ou proprietários. O Azure Stack Edge Pro R e o Azure Stack Edge Mini R ajudam a garantir que apenas entidades autorizadas possam exibir, modificar ou excluir seus dados.
Este artigo descreve os recursos de segurança do Azure Stack Edge Pro R e do Azure Stack Edge Mini R que ajudam a proteger cada um dos componentes da solução e os dados armazenados neles.
A solução consiste em quatro componentes principais que interagem entre si:
- Serviço Azure Stack Edge, hospedado na nuvem pública do Azure ou na nuvem do Azure Government. O recurso de gerenciamento que você usa para criar a ordem do dispositivo, configurar o dispositivo e, em seguida, acompanhar a ordem até a conclusão.
- Dispositivo robusto do Azure Stack Edge. O dispositivo físico robusto que é enviado para você para que você possa importar seus dados locais para a nuvem pública do Azure ou para a nuvem do Azure Government. O dispositivo pode ser o Azure Stack Edge Pro R ou o Azure Stack Edge Mini R.
- Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo e contêm dados que precisam ser protegidos.
- Armazenamento na nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local normalmente é a conta de armazenamento vinculada ao recurso Azure Stack Edge que você cria.
Proteção de serviço
O serviço Azure Stack Edge é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.
- Para acessar o serviço Data Box Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou CSP (Cloud Solution Provider). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
- Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
- Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode exibir a chave de criptografia somente se tiver permissões para a API do Resource Graph.
Proteção do dispositivo
O dispositivo robusto é um dispositivo local que ajuda a transformar seus dados processando-os localmente e, em seguida, enviando-os para o Azure. O seu dispositivo:
Precisa de uma chave de ativação para acessar o serviço Azure Stack Edge.
Está sempre protegido por uma palavra-passe de dispositivo.
É um dispositivo bloqueado. O controlador de gerenciamento da placa base do dispositivo (BMC) e o BIOS são protegidos por senha. O BMC é protegido por acesso limitado do usuário.
Tem inicialização segura habilitada que garante que o dispositivo inicialize apenas usando o software confiável fornecido pela Microsoft.
Executa o Windows Defender Application Control (WDAC). O WDAC permite executar apenas aplicativos confiáveis definidos em suas políticas de integridade de código.
Tem um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. Especificamente, o TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
Apenas as portas necessárias são abertas no dispositivo e todas as outras portas são bloqueadas. Para obter mais informações, consulte a lista de Requisitos de porta para o dispositivo .
Todo o acesso ao hardware do dispositivo, bem como ao software, é registado.
- Para o software do dispositivo, os logs de firewall padrão são coletados para o tráfego de entrada e saída do dispositivo. Esses logs são agrupados no pacote de suporte.
- Para o hardware do dispositivo, todos os eventos do chassi do dispositivo, como abertura e fechamento do chassi do dispositivo, são registrados no dispositivo.
Para obter mais informações sobre os logs específicos que contêm os eventos de intrusão de hardware e software e como obtê-los, vá para Reunir logs de segurança avançados.
Proteja o dispositivo através da chave de ativação
Somente um dispositivo autorizado Azure Stack Edge Pro R ou Azure Stack Edge Mini R tem permissão para ingressar no serviço Azure Stack Edge que você cria em sua assinatura do Azure. Para autorizar um dispositivo, você precisa usar uma chave de ativação para ativar o dispositivo com o serviço Azure Stack Edge.
A chave de ativação que você usa:
- É uma chave de autenticação baseada no Microsoft Entra ID.
- Expira após três dias.
- Não é usado após a ativação do dispositivo.
Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.
Para obter mais informações, consulte Obter uma chave de ativação.
Proteja o dispositivo através de palavra-passe
As palavras-passe garantem que apenas utilizadores autorizados podem aceder aos seus dados. Os dispositivos Azure Stack Edge Pro R são inicializados em um estado bloqueado.
Pode:
- Conecte-se à interface do usuário da Web local do dispositivo por meio de um navegador e, em seguida, forneça uma senha para entrar no dispositivo.
- Conecte-se remotamente à interface do PowerShell do dispositivo por HTTP. O gerenciamento remoto está ativado por padrão. O gerenciamento remoto também está configurado para usar Just Enough Administration (JEA) para limitar o que os usuários podem fazer. Em seguida, pode fornecer a palavra-passe do dispositivo para iniciar sessão no dispositivo. Para obter mais informações, consulte Conectar-se remotamente ao seu dispositivo.
- O usuário de Borda local no dispositivo tem acesso limitado ao dispositivo para configuração inicial e solução de problemas. As cargas de trabalho de computação em execução no dispositivo, a transferência de dados e o armazenamento podem ser acessados no portal público ou governamental do Azure para o recurso na nuvem.
Tenha estas práticas recomendadas em mente:
- Recomendamos que guarde todas as palavras-passe num local seguro para não ter de repor uma palavra-passe se esta for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-los por meio do portal do Azure. Se você redefinir uma senha, certifique-se de notificar todos os usuários antes de redefini-la.
- Você pode acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como prática recomendada de segurança, você deve usar HTTP somente em redes confiáveis.
- Certifique-se de que as palavras-passe dos dispositivos são fortes e estão bem protegidas. Siga as práticas recomendadas de senha.
- Use a interface do usuário da Web local para alterar a senha. Se alterar a palavra-passe, certifique-se de que notifica todos os utilizadores de acesso remoto para que não tenham problemas em iniciar sessão.
Estabeleça confiança com o dispositivo através de certificados
O dispositivo robusto Azure Stack Edge permite que você traga seus próprios certificados e os instale para serem usados em todos os pontos de extremidade públicos. Para obter mais informações, vá para Carregar seu certificado. Para obter uma lista de todos os certificados que podem ser instalados no seu dispositivo, vá para Gerenciar certificados no seu dispositivo.
- Quando você configura a computação em seu dispositivo, um dispositivo IoT e um dispositivo IoT Edge são criados. A estes dispositivos são atribuídas automaticamente chaves de acesso simétricas. Como prática recomendada de segurança, essas chaves são alternadas regularmente por meio do serviço Hub IoT.
Proteger os seus dados
Esta seção descreve os recursos de segurança que protegem os dados armazenados e em trânsito.
Proteger os dados inativos
Todos os dados em repouso no dispositivo são duplamente criptografados, o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados.
Dupla encriptação de dados
Os dados nos seus discos estão protegidos por duas camadas de encriptação:
- A primeira camada de criptografia é a criptografia BitLocker XTS-AES de 256 bits nos volumes de dados.
- A segunda camada são os discos rígidos que têm uma encriptação incorporada.
- O volume do SO tem o BitLocker como a única camada de encriptação.
Nota
O disco do SO tem encriptação de software BitLocker XTS-AES-256 de camada única.
Antes de ativar o dispositivo, é necessário configurar a criptografia em repouso no dispositivo. Essa é uma configuração necessária e, até que seja configurada com êxito, você não poderá ativar o dispositivo.
Na fábrica, assim que os dispositivos são fotografados, a criptografia BitLocker de nível de volume é habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves BitLocker para habilitar a criptografia em repouso e, assim, criar outra camada de criptografia para seus dados em repouso.
A chave de criptografia em repouso é uma chave codificada Base-64 de 32 caracteres que você fornece e essa chave é usada para proteger a chave de criptografia real. A Microsoft não tem acesso a esta chave de encriptação em repouso que protege os seus dados. A chave é salva em um arquivo de chave na página de detalhes da nuvem depois que o dispositivo é ativado.
Quando o dispositivo é ativado, você é solicitado a salvar o arquivo de chave que contém chaves de recuperação que ajudam a recuperar os dados no dispositivo se o dispositivo não inicializar. Determinados cenários de recuperação solicitarão o arquivo de chave que você salvou. O arquivo de chave tem as seguintes chaves de recuperação:
- Uma chave que desbloqueia a primeira camada de encriptação.
- Uma chave que desbloqueia a criptografia de hardware nos discos de dados.
- Uma chave que ajuda a recuperar a configuração do dispositivo nos volumes do SO.
- Uma chave que protege os dados que fluem através do serviço do Azure.
Importante
Salve o arquivo de chave em um local seguro fora do próprio dispositivo. Se o dispositivo não inicializar e você não tiver a chave, isso pode resultar em perda de dados.
Acesso restrito aos dados
O acesso aos dados armazenados em compartilhamentos e contas de armazenamento é restrito.
- Os clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
- Os clientes NFS que acessam um compartilhamento precisam ter seu endereço IP adicionado explicitamente quando o compartilhamento é criado.
- As contas de armazenamento de Borda criadas no dispositivo são locais e protegidas pela criptografia nos discos de dados. As contas de armazenamento do Azure para as quais essas contas de armazenamento de Borda são mapeadas são protegidas por assinatura e duas chaves de acesso de armazenamento de 512 bits associadas à conta de armazenamento de Borda (essas chaves são diferentes daquelas associadas às suas contas de Armazenamento do Azure). Para obter mais informações, consulte Proteger dados em contas de armazenamento.
- A criptografia BitLocker XTS-AES de 256 bits é usada para proteger dados locais.
Eliminação segura de dados
Quando o dispositivo sofre uma reposição forçada, é realizada uma limpeza segura no dispositivo. A limpeza segura executa a eliminação de dados nos discos usando a limpeza NIST SP 800-88r1.
Proteja os dados durante o voo
Para dados em voo:
O TLS (Standard Transport Layer Security) 1.2 é usado para dados que viajam entre o dispositivo e o Azure. Não há fallback para TLS 1.1 e anteriores. A comunicação do agente será bloqueada se o TLS 1.2 não for suportado. O TLS 1.2 também é necessário para o gerenciamento de portal e SDK.
Quando os clientes acessam seu dispositivo por meio da interface do usuário da Web local de um navegador, o TLS 1.2 padrão é usado como o protocolo seguro padrão.
- A prática recomendada é configurar seu navegador para usar o TLS 1.2.
- O seu dispositivo suporta apenas TLS 1.2 e não suporta versões mais antigas TLS 1.1 nem TLS 1.0.
Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.
Proteja dados em contas de armazenamento
O dispositivo encontra-se associado a uma conta de armazenamento que é utilizada como destino para os dados no Azure. O acesso à conta de armazenamento é controlado pela subscrição e estão associadas a essa conta de armazenamento duas chaves de acesso de armazenamento de 512 bits.
Uma das chaves é utilizada para autenticação quando o dispositivo do Azure Stack Edge acede à conta de armazenamento. A outra chave é mantida como reserva, para que possa rodar as chaves periodicamente.
Por motivos de segurança, muitos datacenters exigem a rotação de chaves. Recomendamos que siga estas melhores práticas para a rotação de chaves:
- A chave da conta de armazenamento é semelhante à palavra-passe de raiz da conta de armazenamento. Proteja cuidadosamente a chave da conta. Não distribua a palavra-passe a outros utilizadores, não a codifique nem a guarde num local em texto simples que seja acessível a outras pessoas.
- Regenere sua chave de conta por meio do portal do Azure se achar que ela pode ser comprometida.
- Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar a conta de armazenamento diretamente.
- Você também pode usar sua própria chave de criptografia para proteger os dados em sua conta de armazenamento do Azure. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. Para obter mais informações sobre como proteger seus dados, consulte Habilitar chaves gerenciadas pelo cliente para sua conta de Armazenamento do Azure.
- Rode e sincronize as chaves da sua conta de armazenamento regularmente para ajudar a proteger a sua conta de armazenamento de utilizadores não autorizados.
Gerenciar informações pessoais
O serviço Azure Stack Edge coleta informações pessoais nos seguintes cenários:
Detalhes da encomenda. Quando um pedido é criado, o endereço de entrega, o endereço de email e as informações de contato do usuário são armazenados no portal do Azure. As informações guardadas incluem:
Nome do contacto
Número de telefone
Endereço de e-mail
Endereço
City
CEP/código postal
Estado
País/região/província
Número de controlo de envio
Os detalhes da encomenda são encriptados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou pedido. A exclusão do recurso e a ordem correspondente é bloqueada a partir do momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.
Endereço de envio. Depois que um pedido é feito, o serviço Data Box fornece o endereço de entrega para transportadoras terceirizadas, como a UPS.
Partilhe utilizadores. Os utilizadores no seu dispositivo também podem aceder aos dados localizados nas partilhas. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser visualizada. Quando os compartilhamentos são excluídos, essa lista também é excluída.
Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no Azure Stack Edge.
Para obter mais informações, consulte a política de privacidade da Microsoft na Central de Confiabilidade.