你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Stack Edge Pro 2、Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 的安全性和数据保护

适用于:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

当采用新技术时(尤其是在将此技术用于机密或专有数据时),安全性是一个主要问题。 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 有助于确保只有授权的实体可以查看、修改或删除数据。

本文介绍了帮助保护每个解决方案组件及其存储的数据的 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 安全功能。

解决方案包括四个主要的交互组件:

  • Azure Stack Edge 服务,托管在 Azure 公有云或 Azure 政府云中。 用于创建设备订单、配置设备,然后跟踪订单完成状态的管理资源。
  • Azure Stack Edge Rugged 设备。 附带的加固型物理设备使你可以将本地数据导入到 Azure 公有云或 Azure 政府云中。 设备可为 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R。
  • 连接到设备的客户端/主机。 基础结构中的客户端,它们连接到设备,并包含需要保护的数据。
  • 云存储。 Azure 云平台中存储数据的位置。 此位置通常是与你创建的 Azure Stack Edge 资源关联的存储帐户。

服务保护

Azure Stack Edge 服务是托管在 Azure 中的管理服务。 此服务用于配置和管理设备。

  • 若要访问 Data Box Edge 服务,组织需要具有企业协议 (EA) 或云解决方案提供商 (CSP) 订阅。 有关详细信息,请参阅注册 Azure 订阅
  • 由于此管理服务是在 Azure 中托管的,因此受 Azure 安全功能的保护。 有关 Azure 提供的安全功能的详细信息,请转到 Microsoft Azure 信任中心
  • 对于 SDK 管理操作,你可以在“设备属性”中获取资源的加密密钥。 只有拥有 Resource Graph API 的权限,才能查看加密密钥。

设备保护

该加固型设备是一种本地设备,它在本地处理数据,然后将其发送到 Azure,从而帮助你转换数据。 你的设备:

  • 需要激活密钥来访问 Azure Stack Edge 服务。

  • 始终受设备密码保护。

  • 是一个锁定的设备。 设备基板管理控制器 (BMC) 和 BIOS 受密码保护。 BMC 受保护,仅可供有限的用户访问。

  • 启用安全启动,确保仅使用 Microsoft 提供的受信任软件启动设备。

  • 运行 Windows Defender 应用程序控制 (WDAC)。 使用 WDAC,你可以仅运行你在代码完整性策略中定义的受信任应用程序。

  • 具有一个受信任的平台模块 (TPM),用于执行基于硬件的安全相关功能。 具体而言,TPM 管理和保护需要保留在设备上的机密和数据。

  • 仅在设备上打开所需的端口,并阻止所有其他端口。 有关详细信息,请参阅设备端口要求列表。

  • 将记录对设备硬件和软件的所有访问。

    • 对于设备软件,会针对来自设备的入站和出站流量收集默认防火墙日志。 这些日志捆绑在支持包中。
    • 对于设备硬件,所有设备机箱事件(例如打开和关闭设备机箱)都记录在设备中。

    有关包含硬件和软件入侵事件的特定日志以及如何获取这些日志的详细信息,请转到收集高级安全日志

通过激活密钥保护设备

仅允许经授权的 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R 设备加入你在 Azure 订阅中创建的 Azure Stack Edge 服务。 若要授权设备,你需要使用激活密钥来激活设备访问 Azure Stack Edge 服务。

你使用的激活密钥:

  • 是基于 Microsoft Entra ID 的身份验证密钥。
  • 三天后过期。
  • 设备激活后将不可使用。

激活设备后,该设备将使用令牌与 Azure 进行通信。

有关详细信息,请参阅获取激活密钥

通过密码保护设备

密码可确保只有授权用户才能访问数据。 Azure Stack Edge Pro R 设备将在锁定状态下启动。

可以:

  • 通过浏览器连接到设备的本地 Web UI,然后提供密码来登录设备。
  • 通过 HTTP 远程连接到设备 PowerShell 界面。 默认情况下启用远程管理。 远程管理还配置为使用 Just Enough Administration (JEA) 以限制用户可以执行的操作。 然后,你可以提供用于登录设备的设备密码。 有关详细信息,请参阅远程连接到设备
  • 设备上的本地 Edge 用户对设备的访问权限有限,无法进行初始配置和故障排除。 可以从 Azure 公共或政府门户访问设备上运行的计算工作负载、数据传输和存储,以获取云中的资源。

牢记以下最佳做法:

  • 建议将所有密码都存储在安全位置,以便在忘记密码时不必重置密码。 管理服务无法检索现有密码, 只能通过 Azure 门户重置。 如果要重置密码,请务必在重置密码前通知所有用户。
  • 可以通过 HTTP 远程访问设备的 Windows PowerShell 界面。 安全的最佳做法是仅在受信任的网络上使用 HTTP。
  • 确保设备密码是强密码并且受到严密保护。 遵循密码最佳做法
  • 使用本地 Web UI 更改密码。 如果更改密码,请务必通知所有远程访问用户,以便用户在登录时不会出现问题。

通过证书与设备建立信任关系

通过 Azure Stack Edge Rugged 设备,你可以自带证书,并安装这些证书以用于所有公共终结点。 有关详细信息,请转到上传证书。 若要获取可在设备上安装的所有证书的列表,请参阅管理设备上的证书

  • 在设备中配置计算时,会创建 IoT 设备和 IoT Edge 设备。 系统会自动为这些设备分配对称访问密钥。 最佳安全做法是通过 IoT 中心服务定期轮换这些密钥。

保护数据

本节介绍保护传输中数据和存储数据的安全功能。

保护静止的数据

设备上所有静止的数据已双重加密,已控制对数据的访问,并在设备停用后从数据磁盘安全地清除数据。

数据的双重加密

磁盘上的数据受两层加密保护:

  • 第一层加密是数据卷上的 BitLocker XTS-AES 256 位加密。
  • 第二层是具有内置加密的硬盘。
  • OS 卷具有 BitLocker 作为单层加密。

注意

OS 磁盘具有单层 BitLocker XTS-AES-256 软件加密。

激活设备之前,需要在设备上配置静态加密。 此设置是必需项;在成功配置该设置后,你才可激活设备。

出厂时,在设备创建映像后,会启用卷级别的 BitLocker 加密。 你在收到设备后,需要配置静态加密。 这会重新创建存储池和卷,你可提供 BitLocker 密钥来启用静态加密,进而为静态数据创建另一层加密。

静态加密密钥是你提供的 32 个字符长的 Base-64 编码的密钥,此密钥用于保护实际的加密密钥。 Microsoft 无权访问用于保护数据的此静态加密密钥。 激活设备后,密钥将保存在“云详细信息”页上的密钥文件中。

激活设备后,系统会提示你保存密钥文件,该文件包含恢复密钥,如果设备无法启动,此密钥可帮助恢复设备上的数据。 某些恢复方案将提示你输入已保存的密钥文件。 密钥文件具有以下恢复密钥:

  • 用于解锁第一层加密的密钥。
  • 用于解锁数据磁盘中的硬件加密的密钥。
  • 有助于恢复 OS 卷上的设备配置的密钥。
  • 用于保护经过 Azure 服务的数据流的密钥。

重要

请将密钥文件保存在设备本身之外的安全位置。 如果设备无法启动,而你又没有密钥,则可能会导致数据丢失。

限制对数据的访问

对共享和存储帐户中存储的数据的访问受到限制。

  • 访问共享数据的 SMB 客户端需要与共享关联的用户凭据。 这些凭据是在创建共享时定义的。
  • 访问共享的 NFS 客户端需要在创建共享时显式添加其 IP 地址。
  • 在设备上创建的 Edge 存储帐户是本地帐户,受数据磁盘上的加密保护。 这些 Edge 存储帐户映射到的 Azure 存储帐户受订阅和与 Edge 存储帐户关联的两个 512 位存储访问密钥保护(这些密钥不同于与 Azure 存储帐户关联的密钥)。 有关详细信息,请参阅保护存储帐户中的数据
  • BitLocker XTS-AES 256 位加密用于保护本地数据。

安全数据擦除

当设备进行硬重置时,将对设备执行安全擦除。 安全擦除使用 NIST SP 800-88r1 清除对磁盘执行数据擦除。

保护使用中的数据

对于使用中的数据:

  • 标准传输层安全性 (TLS) 1.2 用于在设备与 Azure 之间传输的数据。 不能回退到 TLS 1.1 和更早版本。 如果不支持 TLS 1.2,则代理通信将被阻止。 门户和 SDK 管理也需要 TLS 1.2。

  • 当客户端通过浏览器的本地 Web UI 访问设备时,将使用标准 TLS 1.2 作为默认安全协议。

    • 最佳做法是将浏览器配置为使用 TLS 1.2。
    • 你的设备仅支持 TLS 1.2,不支持较旧的版本 TLS 1.1 和 TLS 1.0。
  • 从数据服务器复制数据时,建议使用具有加密功能的 SMB 3.0 来保护数据。

保护存储帐户中的数据

设备与用作 Azure 中数据的目标的存储帐户关联。 对存储帐户的访问权限由与该存储帐户关联的订阅以及 512 位存储访问密钥控制。

Azure Stack Edge 设备访问存储帐户时,将使用其中某个密钥进行身份验证。 保留其他密钥,以便可以定期轮换密钥。

出于安全原因,很多数据中心都要求密钥轮换。 我们建议遵循密钥轮换的以下最佳实践:

  • 存储帐户密钥类似于存储帐户的根密码。 请小心保护帐户密钥。 请勿将密码分发给其他用户、对其进行硬编码或将其以纯文本格式保存在其他人可以访问的位置。
  • 如果你认为帐户密钥可能已泄漏,请通过 Azure 门户重新生成帐户密钥
  • Azure 管理员应该定期更改或重新生成主密钥或辅助密钥,具体方法是使用 Azure 门户的“存储”部分来直接访问存储帐户。
  • 还可以使用自己的加密密钥来保护 Azure 存储帐户中的数据。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 有关如何保护数据的详细信息,请参阅为 Azure 存储帐户启用客户管理的密钥

管理个人信息

Azure Stack Edge 服务在以下方案中收集个人信息:

  • 订单详细信息。 创建订单后,用户的送货地址、电子邮件地址和联系信息将存储在 Azure 门户中。 保存的信息包括:

    • 联系人姓名

    • 电话号码

    • 电子邮件地址

    • 街道地址

    • 城市

    • 邮政编码

    • 州/省/市/自治区

    • 国家/地区/省

    • 运输跟踪号

      订单详细信息已加密并存储在服务中。 在显式删除资源或订单之前,服务会保留这些信息。 从设备运送起到退回 Microsoft 之前,都将阻止删除该资源和相应的订单。

  • 送货地址。 下单后,Data Box 服务会向第三方承运商(如 UPS)提供送货地址。

  • 共享用户。 设备上的用户还可访问共享上的数据。 可查看可访问共享数据的用户列表。 删除共享时也会删除此列表。

要查看可访问共享的用户列表或删除某个共享,请按照管理 Azure Stack Edge 上的共享中的步骤操作。

有关详细信息,请在信任中心查看 Microsoft 隐私策略。

后续步骤

部署 Azure Stack Edge Pro R 设备