Поделиться через

Безопасность и защита данных для Azure Stack Edge Pro 2, Azure Stack Edge Pro R и Azure Stack Edge Mini R

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Безопасность является серьезной проблемой, когда вы внедряете новую технологию, особенно если технология используется с конфиденциальными или проприетарными данными. Azure Stack Edge Pro R и Azure Stack Edge Mini R помогает гарантировать, что только авторизованные объекты могут просматривать, изменять или удалять ваши данные.

В этой статье описываются функции безопасности Azure Stack Edge Pro R и Azure Stack Edge Mini R, которые помогают защитить каждый из компонентов решения и данные, хранящиеся в них.

Решение включает четыре главных компонента, взаимодействующих друг с другом.

  • Служба Azure Stack Edge, размещенная в общедоступном облаке Azure или в облаке Azure для государственных организаций. Ресурс управления, который используется для создания порядка устройств, настройки устройства и последующего отслеживания порядка до завершения.
  • Защищенное устройство Azure Stack Edge. Защищенное физическое устройство, которое доставляется вам, чтобы обеспечить возможность импорта локальных данных в общедоступное облако Azure или в облако Azure для государственных организаций. Это может быть устройство Azure Stack Edge Pro R или Azure Stack Edge Mini R.
  • Клиенты/хосты, подключенные к устройству. Клиенты в вашей инфраструктуре, которые подключаются к устройству и содержат данные, которые необходимо защитить.
  • Облачное хранилище. Место на облачной платформе Azure, где хранятся данные. Это расположение обычно является учетной записью хранения, связанной с созданным вами ресурсом Azure Stack Edge.

Защита служб

Служба Azure Stack Edge — это служба управления, размещенная в Azure. Эта служба используется для настройки устройства и управления им.

  • Для доступа к службе Data Box Edge у вашей организации должна быть подписка "Соглашение Enterprise (EA)" или "Поставщик облачных решений (CSP)". Дополнительные сведения см. в статье Регистрация подписки для Azure.
  • Так как служба управления размещается в Azure, она защищена средствами безопасности Azure. Для получения дополнительной информации о средствах безопасности, предоставляемых Azure, перейдите в Центр управления безопасностью Microsoft Azure.
  • Чтобы выполнять операции управления пакетом SDK, ключ шифрования для ресурса можно получить в Свойствах устройства. Ключ шифрования можно просматривать только при наличии разрешений для API Resource Graph.

Защита устройств

Защищенное устройство — это локальное устройство, которое помогает преобразовывать ваши данные, обрабатывая их локально и затем отправляя в Azure. Ваше устройство:

  • Требуется ключ активации для доступа к службе Azure Stack Edge.

  • всегда защищено паролем устройства.

  • Это заблокированное устройство. Контроллер управления основной платой (BMC) и BIOS устройства защищены паролем. Контроллер BMC защищен ограниченными разрешениями доступа пользователя.

  • Включена безопасная загрузка, которая гарантирует, что при загрузке устройства используется только доверенное программное обеспечение, предоставляемое корпорацией Майкрософт.

  • Запущено управление приложениями в Защитнике Windows (WDAC). WDAC позволяет запускать только доверенные приложения, определенные в политиках целостности кода.

  • Имеет доверенный платформенный модуль (TPM), который выполняет аппаратные функции, связанные с обеспечением безопасности. В частности, доверенный платформенный модуль обеспечивает управление и защиту секретов и данных, которые необходимо сохранить на устройстве.

  • На устройстве открываются только необходимые порты, все остальные порты блокируются. Дополнительные сведения см. в списке Требования к портам для устройства.

  • В журнал записываются все события доступа к оборудованию и программному обеспечению устройства.

    • Для программного обеспечения устройства выполняется сбор журналов брандмауэра по умолчанию для входящего и исходящего трафика с устройства. Эти журналы объединены в пакет поддержки.
    • Все события доступа к оборудования устройства, такие как открытие и закрытие корпуса устройства, регистрируются на устройстве.

    Дополнительные сведения о журналах, содержащих события несанкционированного доступа к оборудованию и программному обеспечению устройств, а также о способе получения журналов см. в разделе Сбор расширенных журналов безопасности.

Защитите устройство с помощью ключа активации

Только авторизованное устройство Azure Stack Edge Pro R или Azure Stack Edge Mini R может присоединиться к службе Azure Stack Edge, которую вы создаете в своей подписке Azure. Чтобы авторизовать устройство, вам необходимо использовать ключ активации для активации устройства с помощью службы Azure Stack Edge.

Используемый ключ активации:

  • Ключ проверки подлинности на основе идентификатора Microsoft Entra.
  • Срок действия истекает через три дня.
  • Не используется после активации устройства.

После активации устройства для взаимодействия с Azure используются токены.

Для получения дополнительной информации см. Получение ключа активации.

Защита устройства с помощью пароля

Пароли гарантируют, что только авторизованные пользователи могут получить доступ к вашим данным. Устройства Azure Stack Edge Pro R загружаются в заблокированном состоянии.

Вы можете:

  • Подключаться к локальному пользовательскому веб-интерфейсу устройства через браузер, а затем ввести пароль для входа.
  • Удаленно подключаться к устройству через интерфейс PowerShell через HTTP. По умолчанию удаленное управление включено. Удаленное управление также настраивается для использования Just Enough Administration (JEA), чтобы ограничивать доступные пользователям действия. Затем вы можете указать пароль устройства для входа на устройство. Дополнительные сведения см. в статье Удаленное подключение к устройству.
  • Пользователь с правами локального пользователя Edge на устройстве имеет ограниченный доступ к устройству для начальной настройки и устранения неполадок. Доступ к вычислительным рабочим нагрузкам, выполняемым на устройстве, переносу данных и хранилищу, можно получить из общедоступного портала Azure или из портала Azure для государственных организации для ресурсов в облаке.

Учитывайте следующие рекомендации:

  • Рекомендуется хранить все пароли в безопасном расположении, чтобы вам не потребовалось сбрасывать пароль, если вы его забудете. Службе управления не удается получить существующие пароли. Их можно сбросить только на портале Azure. Если необходимо сбросить пароль, сообщите об этом всем пользователям.
  • Вы можете удаленно обращаться к интерфейсу Windows PowerShell своего устройства по протоколу HTTP. Для обеспечения безопасности рекомендуется использовать протокол HTTP только в доверенных сетях.
  • Убедитесь, что пароли устройств надежно и хорошо защищены. Следуйте рекомендациям по работе с паролями.
  • Используйте локальный веб-интерфейс для изменения пароля. Если вы измените пароль, обязательно сообщите об этом всем пользователям удаленного доступа, чтобы у них не возникло проблем со входом в систему.

Установка отношения доверия с устройством с помощью сертификатов

Защищенное устройство Azure Stack Edge позволяет применять собственные сертификаты и устанавливать их для использования всеми общедоступными конечными точками. Дополнительные сведения см. в разделе Отправка сертификата. Для получения списка всех сертификатов, которые можно установить на устройство, перейдите в раздел Управление сертификатами на устройстве.

  • При настройке вычислений на вашем устройстве создаются устройства IoT и IoT Edge. Этим устройствам автоматически назначаются симметричные ключи доступа. В целях обеспечения безопасности эти ключи регулярно меняются службой Центра Интернета вещей.

Защита данных

В этом разделе описаны функции обеспечения безопасности, которые обеспечивают защиту передающихся и хранящихся данных.

Защита хранящихся данных

Для всех неактивных данных на устройстве используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных.

Двойное шифрование данных

Данные на дисках защищены двумя уровнями шифрования:

  • Первый уровень шифрования — это 256-битное шифрование BitLocker XTS-AES для томов данных.
  • Второй уровень — это жесткие диски с встроенным шифрованием.
  • Том ОС использует шифрование BitLocker как единственный уровень шифрования.

Примечание.

На диске ОС используется один уровень программного шифрования BitLocker XTS-AES-256.

Перед активацией устройства необходимо настроить на нем шифрование неактивных данных. Это обязательный параметр. Вы сможете активировать устройство только после правильной настройки этого параметра.

При производстве после развертывания образа на устройстве активируется шифрование BitLocker на уровне тома. После получения устройства необходимо настроить шифрование неактивных данных. Пул носителей и тома создаются повторно, и вы можете предоставить ключи BitLocker, чтобы включить шифрование неактивных данных и создать еще один уровень шифрования для своих неактивных данных.

Ключ шифрования неактивных данных — это предоставляемый вами 32-символьный ключ в кодировке Base64, который используется для защиты фактического ключа шифрования. У Майкрософт нет доступа к этому ключу шифрования неактивных данных. Этот ключ сохраняется в файле ключа на странице Cloud details (Сведения об облаке) после активации устройства.

Когда устройство будет активировано, вам будет предложено сохранить файл ключа, который содержит ключи восстановления, позволяющие восстановить данные на устройстве, если оно не загружается. В некоторых сценариях восстановления будет предложено использовать файл ключа, который вы сохранили. Файл ключа содержит следующие ключи восстановления:

  • Ключ, разблокирующий первый уровень шифрования.
  • Второй ключ разблокирует аппаратное шифрование на дисках данных.
  • Ключ, который помогает восстановить конфигурацию устройства в томах операционной системы.
  • Ключ, который защищает данные, проходящие через службу Azure.

Важно!

Сохраните файл ключа в безопасном месте за пределами устройства. Если устройство не загружается и у вас нет ключа, это может привести к потере данных.

Ограниченный доступ к данным

Доступ к данным, хранящимся в общих папках и учетных записях хранения, ограничен.

  • Клиентам SMB, которые обращаются к данным в общей папке, требуются учетные данные пользователя, связанные с общей папкой. Эти учетные данные определяются при создании общей папки.
  • При создании общей папки необходимо явно добавить IP-адреса клиентов NFS, которые обращаются к общей папке.
  • Учетные записи хранения Edge, созданные на устройстве, являются локальными и их защита обеспечивается с помощью шифрования на дисках данных. Учетные записи хранения Azure, с которыми сопоставлены эти учетные записи хранения Edge, защищены подпиской и двумя 512-битными ключами доступа к хранилищу, связанными с учетными записями хранения Edge (эти ключи не идентичным ключам, связанным с учетными данными хранения Azure). Дополнительные сведения см. в разделе Защита данных в учетных записях хранения.
  • Для защиты локальных данных используется 256-битное шифрование BitLocker XTS-AES.

Безопасная очистка данных

Когда на устройстве выполняется аппаратная перезагрузка, на нем также выполняется безопасная очистка данных. При безопасной очистке данные выполняется удаление данных на дисках с помощью программы очистки NIST SP 800-88r1.

Защитите данные в полете

Для передаваемых данных:

  • для данных, передаваемых между устройством и облаком Azure, используется стандартный протокол TLS 1.2. Откат к TLS 1.1 и более ранним версиям невозможен. Если TLS 1.2 не поддерживается, то взаимодействие с агентом будет заблокировано. Для управления порталом и пакетом SDK также требуется TLS 1.2.

  • Когда клиенты обращаются к устройству через локальный пользовательский веб-интерфейс браузера, в качестве защищенного протокола по умолчанию используется стандартный TLS 1.2.

    • Рекомендуется настроить в браузере использование TLS 1.2.
    • Устройство поддерживает только TLS 1.2 и не поддерживает более ранние версии TLS 1.1 и TLS 1.0.

  • Рекомендуется использовать SMB 3.0 с шифрованием для защиты данных при копировании с серверов данных.

Защита данных в учетных записях хранения

Ваше устройство связано с учетной записью хранения, которая используется в качестве места назначения для ваших данных в Azure. Управление доступом к учетной записи хранения осуществляется с помощью подписки и двух 512-разрядных ключей доступа, связанных с этой учетной записью хранения.

Один из ключей используется для проверки подлинности при доступе устройства Azure Stack Edge к учетной записи хранения. Другой ключ хранится в качестве резервного, что позволяет время от времени менять ключи.

В целях безопасности многие центры обработки данных требуют смену ключей. Рекомендации по смене ключей.

  • Ключ учетной записи хранения похож на корневой пароль для вашей учетной записи хранения. Тщательно защитите ключ учетной записи. Не сообщайте пароль другим пользователям, не задавайте его явно в коде и не храните его нигде в виде обычного текста, доступного для других пользователей.
  • Повторно создайте ключ учетной записи с помощью портала Azure, если вы полагаете, что он мог быть скомпрометирован.
  • Чтобы обеспечить прямой доступ к учетной записи хранения, администратор Azure должен периодически менять или повторно создавать первичный или вторичный ключ в разделе "Хранилище" портала Azure.
  • Для защиты данных в учетной записи хранения Azure также можно использовать собственный ключ шифрования. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Дополнительные сведения о защите данных см. в статье Включение управляемых клиентом ключей для учетной записи хранения Azure.

Управление личной информацией

Служба Azure Stack Edge собирает личную информацию в следующих сценариях:

  • Сведения о заказах. После создания заказа адрес доставки, адрес электронной почты и контактная информация пользователя хранятся на портале Azure. Сохраненная информация включает следующее.

    • Имя контакта

    • Номер телефона

    • Адрес электронной почты

    • Улица, дом

    • City

    • Почтовый индекс

    • State

    • Страна, регион или провинция

    • номер отслеживания доставки.

      Сведения о заказе хранятся в службе в зашифрованном виде. Информация хранится в службе до момента, пока не будет явно удален ресурс или заказ. Удаление ресурса и соответствующего заказа блокируются с момента доставки устройства до тех пор, пока устройство не вернется в корпорацию Майкрософт.

  • Адрес доставки. После размещения заказа служба Data Box предоставляет адрес доставки сторонним службам доставки, таким как UPS.

  • Пользователи общего ресурса. Пользователи устройства также могут получать доступ к данным, расположенным в общих папках. Список пользователей, которым разрешен доступ к данным в общем ресурсе, доступен для просмотра. Этот список удаляется при удалении общих ресурсов.

Чтобы просмотреть список пользователей, которые могут получить доступ к общему ресурсу или удалить его, выполните действия, описанные в разделе Управление общими ресурсами в Azure Stack Edge.

Для получения дополнительных сведений ознакомьтесь с политикой конфиденциальности Майкрософт в Центре управления безопасностью.

Следующие шаги

Развертывание устройства Azure Stack Edge Pro R