Azure Stack Edge Pro 2、Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 的安全性與資料保護
適用于: Azure Stack Edge Pro 2 Azure Stack Edge Pro R Azure Stack Edge Mini R
當您採用新技術時,安全性是一個主要問題,特別是當技術與機密或專屬資料搭配使用時。 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 可協助您確保只有授權的實體可以檢視、修改或刪除您的資料。
本文說明 Azure Stack Edge Pro R 和 Azure Stack Edge Mini R 安全性功能,可協助保護每個解決方案元件及其中所儲存的資料。
解決方案包含四個主要元件,彼此互動:
- Azure Stack Edge 服務,裝載于 Azure 公用或 Azure Government 雲端 。 您用來建立裝置訂單、設定裝置的管理資源,然後追蹤要完成的順序。
- Azure Stack Edge 堅固的裝置 。 隨附給您的堅固實體裝置,可讓您將內部部署資料匯入 Azure 公用或 Azure Government 雲端。 裝置可以是 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R。
- 連線到裝置 的用戶端/主機。 您基礎結構中的用戶端會連線到裝置,並包含需要保護的資料。
- 雲端儲存體 。 Azure 雲端平臺中儲存資料的位置。 此位置通常是連結至您所建立之 Azure Stack Edge 資源的儲存體帳戶。
服務保護
Azure Stack Edge 服務是裝載在 Azure 中的管理服務。 服務可用來設定和管理裝置。
- 若要存取 Data Box Edge 服務,您的組織必須擁有Enterprise 合約或雲端解決方案提供者 (CSP) 訂用帳戶。 如需詳細資訊,請參閱 註冊 Azure 訂用帳戶 。
- 由於此管理服務裝載于 Azure 中,因此會受到 Azure 安全性功能的保護。 如需 Azure 所提供安全性功能的詳細資訊,請移至 Microsoft Azure 信任中心 。
- 針對 SDK 管理作業,您可以在裝置屬性 中 取得資源的加密金鑰。 只有在您具有 Resource Graph API 的許可權時,才能檢視加密金鑰。
裝置保護
堅固的裝置是內部部署裝置,可藉由在本機處理資料,然後將資料傳送至 Azure,以協助轉換資料。 您的裝置:
需要啟用金鑰才能存取 Azure Stack Edge 服務。
裝置密碼隨時受到保護。
這是鎖定的裝置。 裝置基礎板管理控制器 (BMC) 和 BIOS 受到密碼保護。 BMC 受到有限的使用者存取保護。
已啟用安全開機,可確保裝置只會使用 Microsoft 所提供的受信任軟體開機。
執行 Windows Defender 應用程式控制 (WDAC)。 WDAC 可讓您只執行您在程式碼完整性原則中定義的受信任應用程式。
具有可執行硬體型安全性相關功能的信任平臺模組 (TPM)。 具體而言,TPM 會管理及保護裝置上必須保存的秘密和資料。
只有必要的埠會在裝置上開啟,所有其他埠都會遭到封鎖。 如需詳細資訊,請參閱裝置 的 埠需求清單。
記錄裝置硬體和軟體的所有存取權。
- 針對裝置軟體,系統會針對來自裝置的輸入和輸出流量收集預設防火牆記錄。 這些記錄會配套在支援套件中。
- 針對裝置硬體,所有裝置底座事件,例如裝置底座的開啟和關閉,都會記錄在裝置中。
如需包含硬體和軟體入侵事件之特定記錄的詳細資訊,以及如何取得記錄,請移至 收集進階安全性記錄 。
透過啟用金鑰保護裝置
只有授權的 Azure Stack Edge Pro R 或 Azure Stack Edge Mini R 裝置可以加入您在 Azure 訂用帳戶中建立的 Azure Stack Edge 服務。 若要授權裝置,您必須使用啟用金鑰來使用 Azure Stack Edge 服務來啟用裝置。
您使用的啟用金鑰:
- 這是 Microsoft Entra ID 型驗證金鑰。
- 三天后到期。
- 在裝置啟用之後不會使用。
啟用裝置之後,它會使用權杖與 Azure 通訊。
如需詳細資訊,請參閱 取得啟用金鑰 。
透過密碼保護裝置
密碼可確保只有授權的使用者才能存取您的資料。 Azure Stack Edge Pro R 裝置會處於鎖定狀態開機。
您可以:
- 連線透過瀏覽器登入裝置的本機 Web UI,然後提供登入裝置的密碼。
- 透過 HTTP 從遠端連線到裝置 PowerShell 介面。 預設會開啟遠端系統管理。 遠端系統管理也設定為使用 Just Enough 管理員istration (JEA) 來限制使用者可以執行的動作。 然後,您可以提供裝置密碼來登入裝置。 如需詳細資訊,請參閱 從遠端連線到您的裝置 。
- 裝置上的本機 Edge 使用者對於初始設定的存取權有限,以及疑難排解。 在裝置上執行的計算工作負載、資料傳輸和儲存體都可以從 Azure 公用或政府入口網站存取雲端中的資源。
請記住這些最佳做法:
- 我們建議您將所有密碼儲存在安全的地方,因此如果忘記密碼,就不需要重設密碼。 管理服務無法擷取現有的密碼。 它只能透過Azure 入口網站重設它們。 如果您重設密碼,請務必在重設密碼之前通知所有使用者。
- 您可以透過 HTTP 從遠端存取裝置的 Windows PowerShell 介面。 作為安全性最佳做法,您應該只在信任的網路上使用 HTTP。
- 請確定裝置密碼具有強式且妥善保護。 遵循密碼最佳做法 。
- 使用本機 Web UI 來 變更密碼 。 如果您變更密碼,請務必通知所有遠端存取使用者,讓他們登入時沒有問題。
透過憑證與裝置建立信任
Azure Stack Edge 堅固的裝置可讓您攜帶自己的憑證,並安裝要用於所有公用端點的憑證。 如需詳細資訊,請移至 上傳您的憑證 。 如需可在裝置上安裝的所有憑證清單,請移至 管理裝置 上的憑證。
- 當您在裝置上設定計算時,會建立 IoT 裝置和 IoT Edge 裝置。 這些裝置會自動指派對稱存取金鑰。 作為安全性最佳做法,這些金鑰會透過IoT 中樞服務定期輪替。
保護您的資料
本節說明保護傳輸中和儲存資料的安全性功能。
保護待用資料
裝置上待用的所有資料都會經過雙重加密、資料的存取權受到控制,一旦停用裝置,資料就會從資料磁片上安全地清除。
資料雙重加密
磁片上的資料會受到兩層加密的保護:
- 第一層加密是資料磁片區上的 BitLocker XTS-AES 256 位加密。
- 第二層是具有內建加密的硬碟。
- OS 磁片區具有 BitLocker 作為單一加密層。
注意
OS 磁片具有單一層 BitLocker XTS-AES-256 軟體加密。
啟用裝置之前,您必須在裝置上設定待用加密。 這是必要的設定,在成功設定之前,您無法啟用裝置。
在處理站中,一旦裝置映射化,磁片區層級 BitLocker 加密就會啟用。 收到裝置之後,您必須設定待用加密。 儲存集區和磁片區會重新建立,而且您可以提供 BitLocker 金鑰來啟用待用加密,從而為待用資料建立另一層加密。
待用加密金鑰是您提供的 32 個字元長 Base-64 編碼金鑰,且此金鑰用來保護實際的加密金鑰。 Microsoft 無法存取可保護資料的待用加密金鑰。 金鑰會在裝置啟用之後儲存在 [雲端詳細資料 ] 頁面上的金鑰檔案 中。
啟動裝置時,系統會提示您儲存金鑰檔案,其中包含修復金鑰,以協助在裝置上復原資料,如果裝置未開機。 某些復原案例會提示您輸入已儲存的金鑰檔案。 金鑰檔案具有下列修復金鑰:
- 解除鎖定第一層加密的金鑰。
- 解除鎖定資料磁片中硬體加密的金鑰。
- 可協助復原 OS 磁片區上裝置設定的金鑰。
- 金鑰,可保護流經 Azure 服務的資料。
重要
將金鑰檔案儲存在裝置本身以外的安全位置。 如果裝置未開機,且您沒有金鑰,可能會導致資料遺失。
限制對資料的存取
存取儲存在共用和儲存體帳戶中的資料會受到限制。
- 存取共用資料的 SMB 用戶端需要與共享相關聯的使用者認證。 建立共用時會定義這些認證。
- 存取共用的 NFS 用戶端必須在建立共用時明確新增其 IP 位址。
- 在裝置上建立的 Edge 儲存體帳戶是本機的,並受到資料磁片上的加密保護。 這些 Edge 儲存體帳戶對應的 Azure 儲存體帳戶會受到訂用帳戶的保護,以及兩個與 Edge 儲存體帳戶相關聯的 512 位儲存體存取金鑰(這些金鑰與您Azure 儲存體帳戶相關聯的金鑰不同)。 如需詳細資訊,請參閱 保護儲存體帳戶 中的資料。
- BitLocker XTS-AES 256 位加密是用來保護本機資料。
保護資料清除
當裝置進行硬式重設時,會在裝置上執行安全抹除。 安全抹除會使用 NIST SP 800-88r1 清除,在磁片上執行資料清除。
保護正式發行前小眾測試版中的資料
針對正式發行前小眾測試版中的資料:
標準傳輸層安全性 (TLS) 1.2 用於在裝置與 Azure 之間移動的資料。 TLS 1.1 和更早版本沒有後援。 如果不支援 TLS 1.2,代理程式通訊將會遭到封鎖。 入口網站和 SDK 管理也需要 TLS 1.2。
當用戶端透過瀏覽器的本機 Web UI 存取裝置時,會使用標準 TLS 1.2 作為預設安全通訊協定。
- 最佳做法是將您的瀏覽器設定為使用 TLS 1.2。
- 您的裝置僅支援 TLS 1.2,且不支援舊版 TLS 1.1 和 TLS 1.0。
建議您在將資料從資料伺服器複製時,使用 SMB 3.0 搭配加密來保護資料。
保護儲存體帳戶中的資料
您的裝置會與儲存體帳戶相關聯,該帳戶會作為 Azure 中資料的目的地。 儲存體帳戶的存取權受到與該儲存體帳戶相關聯的訂用帳戶和兩個 512 位元的儲存體存取金鑰控制。
當 Azure Stack Edge 裝置存取儲存體帳戶時,會使用其中一個金鑰來進行驗證。 系統會保留其他金鑰,讓您可以定期輪替金鑰。
基於安全性理由,許多資料中心需要金鑰輪替。 建議您遵循這些金鑰輪替的最佳做法:
- 您的儲存體帳戶金鑰類似于儲存體帳戶的根密碼。 謹慎保護您的帳戶金鑰。 請勿將密碼散發給其他使用者、硬式編碼密碼,或將密碼儲存到其他使用者可存取的純文字中。
- 如果您認為帳戶金鑰可能遭到入侵,請透過Azure 入口網站重新產生帳戶金鑰 。
- 您的 Azure 系統管理員應該使用Azure 入口網站的 儲存體 區段,定期變更或重新產生主要或次要金鑰,以直接存取儲存體帳戶。
- 您也可以使用自己的加密金鑰來保護 Azure 儲存體帳戶中的資料。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 如需如何保護資料的詳細資訊,請參閱 為Azure 儲存體帳戶 啟用客戶管理的金鑰。
- 輪替並 定期同步您的儲存體帳戶金鑰 ,以協助保護您的儲存體帳戶免于未經授權的使用者。
管理個人資訊
Azure Stack Edge 服務會在下列案例中收集個人資訊:
訂單詳細資料 。 建立訂單時,使用者的出貨位址、電子郵件地址和連絡資訊會儲存在Azure 入口網站中。 儲存的資訊包括:
連絡人名稱
電話號碼
電子郵件地址
街道地址
縣/市
郵遞區號/郵遞區號
州/省
國家/地區/省
運送追蹤號碼
訂單詳細資料會加密並儲存在服務中。 服務會保留資訊,直到您明確刪除資源或訂單為止。 刪除資源和對應的訂單會從裝置寄送到裝置返回 Microsoft 的時間封鎖。
寄送位址 。 訂購之後,資料箱服務會將運送位址提供給 UPS 等協力廠商貨運公司。
共用使用者 。 裝置上的使用者也可以存取位於共用上的資料。 可以檢視可存取共用資料的使用者清單。 刪除共用時,也會刪除此清單。
若要檢視可存取或刪除共用的使用者清單,請遵循在 Azure Stack Edge 上管理共用中的 步驟。
如需詳細資訊,請檢閱信任中心上的 Microsoft 隱私權原則 。