Dela via

Säkerhet och dataskydd för Azure Stack Edge Pro 2, Azure Stack Edge Pro R och Azure Stack Edge Mini R

  • Artikel

GÄLLER FÖR:Ja för Pro 2 SKU Azure Stack Edge Pro 2Ja för Pro R SKUAzure Stack Edge Pro RJa för Mini R SKUAzure Stack Edge Mini R

Säkerhet är ett stort problem när du använder en ny teknik, särskilt om tekniken används med konfidentiella eller upphovsrättsskyddade data. Azure Stack Edge Pro R och Azure Stack Edge Mini R hjälper dig att se till att endast auktoriserade entiteter kan visa, ändra eller ta bort dina data.

Den här artikeln beskriver säkerhetsfunktionerna Azure Stack Edge Pro R och Azure Stack Edge Mini R som hjälper dig att skydda var och en av lösningskomponenterna och de data som lagras i dem.

Lösningen består av fyra huvudkomponenter som interagerar med varandra:

  • Azure Stack Edge-tjänsten som finns i Azures offentliga moln eller Azure Government-moln. Den hanteringsresurs som du använder för att skapa enhetsordningen, konfigurera enheten och sedan spåra beställningen till slutförande.
  • Robust Azure Stack Edge-enhet. Den robusta, fysiska enhet som levereras till dig så att du kan importera dina lokala data till Azures offentliga moln eller Azure Government-moln. Enheten kan vara Azure Stack Edge Pro R eller Azure Stack Edge Mini R.
  • Klienter/värdar som är anslutna till enheten. Klienterna i din infrastruktur som ansluter till enheten och innehåller data som måste skyddas.
  • Molnlagring. Platsen på Azure-molnplattformen där data lagras. Den här platsen är vanligtvis det lagringskonto som är länkat till den Azure Stack Edge-resurs som du skapar.

Tjänstskydd

Azure Stack Edge-tjänsten är en hanteringstjänst som finns i Azure. Tjänsten används för att konfigurera och hantera enheten.

  • För att få åtkomst till Data Box Edge-tjänsten måste din organisation ha en prenumeration på ugovor za preduzeća (EA) eller Dobavljač rešenja u oblaku (CSP). Mer information finns i Registrera dig för en Azure-prenumeration.
  • Eftersom den här hanteringstjänsten finns i Azure skyddas den av Azure-säkerhetsfunktionerna. Mer information om säkerhetsfunktionerna som tillhandahålls av Azure finns i Microsoft Azure Trust Center.
  • För SDK-hanteringsåtgärder kan du hämta krypteringsnyckeln för din resurs i Enhetsegenskaper. Du kan bara visa krypteringsnyckeln om du har behörighet för Resource Graph-API:et.

Enhetsskydd

Den robusta enheten är en lokal enhet som hjälper dig att transformera dina data genom att bearbeta dem lokalt och sedan skicka dem till Azure. Enheten:

  • Behöver en aktiveringsnyckel för att få åtkomst till Azure Stack Edge-tjänsten.

  • Skyddas hela tiden av ett enhetslösenord.

  • Är en låst enhet. Enhetsbaskortshanteringsstyrenheten (BMC) och BIOS är lösenordsskyddade. BMC skyddas av begränsad användaråtkomst.

  • Har säker start aktiverat som säkerställer att enheten endast startar med hjälp av den betrodda programvara som tillhandahålls av Microsoft.

  • Kör Windows Defender Application Control (WDAC). Med WDAC kan du bara köra betrodda program som du definierar i dina kodintegritetsprinciper.

  • Har en TPM (Trusted Platform Module) som utför maskinvarubaserade, säkerhetsrelaterade funktioner. Mer specifikt hanterar och skyddar TPM hemligheter och data som måste sparas på enheten.

  • Endast de portar som krävs öppnas på enheten och alla andra portar blockeras. Mer information finns i listan över portkrav för enheten .

  • All åtkomst till enhetens maskinvara och programvara loggas.

    • För enhetsprogramvaran samlas standardbrandväggsloggar in för inkommande och utgående trafik från enheten. Dessa loggar paketeras i supportpaketet.
    • För enhetens maskinvara loggas alla enhetschassihändelser, till exempel öppning och stängning av enhetschassit, i enheten.

    Mer information om de specifika loggar som innehåller maskinvaru- och programvaruintrångshändelser och hur du hämtar loggarna finns i Samla in avancerade säkerhetsloggar.

Skydda enheten via aktiveringsnyckel

Endast en auktoriserad Azure Stack Edge Pro R- eller Azure Stack Edge Mini R-enhet får ansluta till Den Azure Stack Edge-tjänst som du skapar i din Azure-prenumeration. Om du vill auktorisera en enhet måste du använda en aktiveringsnyckel för att aktivera enheten med Azure Stack Edge-tjänsten.

Aktiveringsnyckeln som du använder:

  • Är en Microsoft Entra ID-baserad autentiseringsnyckel.
  • Upphör att gälla efter tre dagar.
  • Används inte efter enhetsaktivering.

När du har aktiverat en enhet använder den token för att kommunicera med Azure.

Mer information finns i Hämta en aktiveringsnyckel.

Skydda enheten via lösenord

Lösenord säkerställer att endast behöriga användare kan komma åt dina data. Azure Stack Edge Pro R-enheter startas i låst tillstånd.

Du kan:

  • Anslut till enhetens lokala webbgränssnitt via en webbläsare och ange sedan ett lösenord för att logga in på enheten.
  • Fjärranslutning till enhetens PowerShell-gränssnitt via HTTP. Fjärrhantering är aktiverat som standard. Fjärrhantering är också konfigurerat att använda JEA (Just Enough Administration) för att begränsa vad användarna kan göra. Du kan sedan ange enhetslösenordet för att logga in på enheten. Mer information finns i Ansluta via fjärranslutning till enheten.
  • Den lokala Edge-användaren på enheten har begränsad åtkomst till enheten för inledande konfiguration och felsökning. Beräkningsarbetsbelastningarna som körs på enheten, dataöverföringen och lagringen kan alla nås från den offentliga Azure- eller myndighetsportalen för resursen i molnet.

Tänk på följande metodtips:

  • Vi rekommenderar att du lagrar alla lösenord på en säker plats så att du inte behöver återställa ett lösenord om det glöms bort. Hanteringstjänsten kan inte hämta befintliga lösenord. Det kan bara återställa dem via Azure-portalen. Om du återställer ett lösenord måste du meddela alla användare innan du återställer det.
  • Du kan fjärråtkomst till Windows PowerShell-gränssnittet på enheten via HTTP. Som bästa säkerhet bör du endast använda HTTP i betrodda nätverk.
  • Kontrollera att enhetslösenorden är starka och väl skyddade. Följ metodtipsen för lösenord.
  • Använd det lokala webbgränssnittet för att ändra lösenordet. Om du ändrar lösenordet måste du meddela alla fjärråtkomstanvändare så att de inte har problem med att logga in.

Upprätta förtroende med enheten via certifikat

Med en robust Azure Stack Edge-enhet kan du ta med egna certifikat och installera dem som ska användas för alla offentliga slutpunkter. Mer information finns i Ladda upp certifikatet. En lista över alla certifikat som kan installeras på enheten finns i Hantera certifikat på enheten.

  • När du konfigurerar beräkning på enheten skapas en IoT-enhet och en IoT Edge-enhet. Dessa enheter tilldelas automatiskt symmetriska åtkomstnycklar. Som bästa säkerhet roteras dessa nycklar regelbundet via IoT Hub-tjänsten.

Skydda dina data

I det här avsnittet beskrivs säkerhetsfunktionerna som skyddar under överföring och lagrade data.

Skydda data i vila

Alla vilande data på enheten är dubbelkrypterade, åtkomsten till data styrs och när enheten har inaktiverats raderas data på ett säkert sätt från datadiskarna.

Dubbelkryptering av data

Data på diskarna skyddas av två krypteringslager:

  • Det första krypteringslagret är BitLocker XTS-AES 256-bitars kryptering på datavolymerna.
  • Det andra lagret är de hårddiskar som har en inbyggd kryptering.
  • Os-volymen har BitLocker som ett enda krypteringslager.

Kommentar

OS-disken har BitLocker XTS-AES-256-programvarukryptering på ett lager.

Innan du aktiverar enheten måste du konfigurera kryptering i vila på enheten. Det här är en obligatorisk inställning och du kan inte aktivera enheten förrän den har konfigurerats.

När enheterna har avbildats på fabriken aktiveras BitLocker-kryptering på volymnivå. När du har fått enheten måste du konfigurera kryptering i vila. Lagringspoolen och volymerna återskapas och du kan ange BitLocker-nycklar för att aktivera kryptering i vila och därmed skapa ytterligare ett krypteringslager för dina vilande data.

Krypterings-i-vila-nyckeln är en 32 tecken lång Base-64-kodad nyckel som du anger och den här nyckeln används för att skydda den faktiska krypteringsnyckeln. Microsoft har inte åtkomst till den här krypterings-i-vila-nyckeln som skyddar dina data. Nyckeln sparas i en nyckelfil på sidan Molninformation när enheten har aktiverats.

När enheten är aktiverad uppmanas du att spara nyckelfilen som innehåller återställningsnycklar som hjälper dig att återställa data på enheten om enheten inte startar. Vissa återställningsscenarier frågar efter nyckelfilen som du har sparat. Nyckelfilen har följande återställningsnycklar:

  • En nyckel som låser upp det första krypteringsskiktet.
  • En nyckel som låser upp maskinvarukryptering på datadiskarna.
  • En nyckel som hjälper till att återställa enhetskonfigurationen på OS-volymerna.
  • En nyckel som skyddar data som flödar via Azure-tjänsten.

Viktigt!

Spara nyckelfilen på en säker plats utanför själva enheten. Om enheten inte startar och du inte har nyckeln kan det leda till dataförlust.

Begränsad åtkomst till data

Åtkomsten till data som lagras i resurser och lagringskonton är begränsad.

  • SMB-klienter som har åtkomst till resursdata behöver användarautentiseringsuppgifter som är associerade med resursen. Dessa autentiseringsuppgifter definieras när resursen skapas.
  • NFS-klienter som har åtkomst till en resurs måste uttryckligen lägga till sin IP-adress när resursen skapas.
  • Edge-lagringskontona som skapas på enheten är lokala och skyddas av krypteringen på datadiskarna. De Azure-lagringskonton som dessa Edge-lagringskonton mappas till skyddas av prenumeration och två 512-bitars lagringsåtkomstnycklar som är associerade med Edge-lagringskontot (dessa nycklar skiljer sig från de som är associerade med dina Azure Storage-konton). Mer information finns i Skydda data i lagringskonton.
  • BitLocker XTS-AES 256-bitars kryptering används för att skydda lokala data.

Skydda dataradering

När enheten genomgår en hård återställning utförs en säker rensning på enheten. Den säkra rensningen utför dataradering på diskarna med hjälp av NIST SP 800-88r1-rensningen.

Skydda data under flygning

För data under flygning:

  • Standard Transport Layer Security (TLS) 1.2 används för data som överförs mellan enheten och Azure. Det finns ingen återställning till TLS 1.1 och tidigare. Agentkommunikation blockeras om TLS 1.2 inte stöds. TLS 1.2 krävs också för portal- och SDK-hantering.

  • När klienter får åtkomst till din enhet via det lokala webbgränssnittet i en webbläsare används standard-TLS 1.2 som standardsäkerhetsprotokoll.

    • Det bästa sättet är att konfigurera webbläsaren så att den använder TLS 1.2.
    • Enheten stöder endast TLS 1.2 och stöder inte äldre versioner av TLS 1.1 eller TLS 1.0.

  • Vi rekommenderar att du använder SMB 3.0 med kryptering för att skydda data när du kopierar dem från dina dataservrar.

Skydda data i lagringskonton

Enheten associeras med ett lagringskonto som används som mål för dina data i Azure. Åtkomsten till lagringskontot styrs via prenumerationen och två lagringsåtkomstnycklar på 512 bitar som är kopplade till lagringskontot.

En av nycklarna används för autentisering när Azure Stack Edge-enheten ansluter till lagringskontot. Den andra nyckeln sparas i reserv så du kan rotera nycklarna med jämna mellanrum.

Många datacenter kräver nyckelrotation av säkerhetsskäl. Vi rekommenderar att du följer de här regelverken för nyckelrotation:

  • Din nyckel för lagringskontot liknar rotlösenordet för lagringskontot. Skydda din kontonyckel noga. Sprid inte lösenordet till andra användare, hårdkoda det eller spara det i klartext där andra kan se.
  • Återskapa din kontonyckel via Azure-portalen om du tror att den kan komprometteras.
  • Azure-administratören bör regelbundet ändra eller återskapa den primära eller sekundära nyckeln med hjälp av avsnittet Lagring i Azure-portalen för att få direkt åtkomst till lagringskontot.
  • Du kan också använda din egen krypteringsnyckel för att skydda data i ditt Azure Storage-konto. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Mer information om hur du skyddar dina data finns i Aktivera kundhanterade nycklar för ditt Azure Storage-konto.
  • Rotera och synkronisera sedan dina lagringskontonycklar regelbundet för att skydda ditt lagringskonto mot obehöriga användare.

Hantera personlig information

Azure Stack Edge-tjänsten samlar in personlig information i följande scenarier:

  • Orderinformation. När en beställning skapas lagras leveransadressen, e-postadressen och kontaktinformationen för användaren i Azure-portalen. Informationen som sparas omfattar:

    • Kontaktnamn

    • Telefonnummer

    • E-postadress

    • Gatuadress

    • City

    • Postnummer/postnummer

    • Tillstånd

    • Land/region/provins

    • Spårningsnummer för leveransen

      Orderinformation krypteras och lagras i tjänsten. Tjänsten behåller informationen tills du uttryckligen tar bort resursen eller beställningen. Borttagningen av resursen och motsvarande ordning blockeras från den tidpunkt då enheten levereras tills enheten återgår till Microsoft.

  • Leveransadress. När en beställning har gjorts tillhandahåller Data Box-tjänsten leveransadressen till tredjepartsföretag som UPS.

  • Dela användare. Användare på enheten kan också komma åt data som finns på resurserna. En lista över användare som kan komma åt resursdata kan visas. När resurserna tas bort tas även den här listan bort.

Om du vill visa listan över användare som kan komma åt eller ta bort en resurs följer du stegen i Hantera resurser på Azure Stack Edge.

Mer information finns i Microsofts sekretesspolicy i Säkerhetscenter.

Nästa steg

Distribuera din Azure Stack Edge Pro R-enhet