Azure Stack Edge 安全性和資料保護

發行項
10/26/2023

當您採用新技術時，安全性是一個主要問題，特別是當技術與機密或專屬資料搭配使用時。 Azure Stack Edge 可協助您確保只有授權的實體可以檢視、修改或刪除您的資料。

本文說明 Azure Stack Edge 安全性功能，可協助保護每個解決方案元件及其中所儲存的資料。

Azure Stack Edge 包含四個主要元件，彼此互動：

Azure Stack Edge 服務，裝載于 Azure 中。您用來建立裝置訂單、設定裝置的管理資源，然後追蹤要完成的順序。
Azure Stack Edge Pro FPGA 裝置 。寄送給您的傳輸裝置，讓您可以將內部部署資料匯入 Azure。
連線到裝置 的用戶端/主機。您基礎結構中的用戶端會連線到 Azure Stack Edge Pro FPGA 裝置，並包含需要保護的資料。
雲端儲存體 。 Azure 雲端平臺中儲存資料的位置。此位置通常是連結至您所建立之 Azure Stack Edge 資源的儲存體帳戶。

Azure Stack Edge 服務保護

Azure Stack Edge 服務是裝載在 Azure 中的管理服務。服務可用來設定和管理裝置。

若要存取 Azure Stack Edge 服務，您的組織必須擁有Enterprise 合約或雲端解決方案提供者（CSP）訂用帳戶。如需詳細資訊，請參閱註冊 Azure 訂用帳戶。
由於此管理服務裝載于 Azure 中，因此會受到 Azure 安全性功能的保護。如需 Azure 所提供安全性功能的詳細資訊，請移至 Microsoft Azure 信任中心。
針對 SDK 管理作業，您可以在裝置屬性中取得資源的加密金鑰。只有在您具有 Resource Graph API 的許可權時，才能檢視加密金鑰。

Azure Stack Edge 裝置保護

Azure Stack Edge 裝置是內部部署裝置，可藉由在本機處理資料，然後將資料傳送至 Azure，以協助轉換資料。您的裝置：

需要啟用金鑰才能存取 Azure Stack Edge 服務。
裝置密碼隨時受到保護。
這是鎖定的裝置。裝置 BMC 和 BIOS 受到密碼保護。 BIOS 受到有限的使用者存取保護。
已啟用安全開機。
執行 Windows Defender Device Guard。 Device Guard 可讓您只執行您在程式碼完整性原則中定義的受信任應用程式。

透過啟用金鑰保護裝置

只有授權的 Azure Stack Edge 裝置可以加入您在 Azure 訂用帳戶中建立的 Azure Stack Edge 服務。若要授權裝置，您必須使用啟用金鑰來使用 Azure Stack Edge 服務來啟用裝置。

您使用的啟用金鑰：

這是 Microsoft Entra ID 型驗證金鑰。
三天后到期。
在裝置啟用之後不會使用。

啟用裝置之後，它會使用權杖與 Azure 通訊。

如需詳細資訊，請參閱取得啟用金鑰。

透過密碼保護裝置

密碼可確保只有授權的使用者才能存取您的資料。 Azure Stack Edge 裝置會處於鎖定狀態開機。

您可以：

連線透過瀏覽器登入裝置的本機 Web UI，然後提供登入裝置的密碼。
透過 HTTP 從遠端連線到裝置 PowerShell 介面。預設會開啟遠端系統管理。然後，您可以提供裝置密碼來登入裝置。如需詳細資訊，請參閱從遠端連線 Azure Stack Edge Pro FPGA 裝置。

請記住這些最佳做法：

我們建議您將所有密碼儲存在安全的地方，因此如果忘記密碼，就不需要重設密碼。管理服務無法擷取現有的密碼。它只能透過Azure 入口網站重設它們。如果您重設密碼，請務必在重設密碼之前通知所有使用者。
您可以透過 HTTP 從遠端存取裝置的 Windows PowerShell 介面。作為安全性最佳做法，您應該只在信任的網路上使用 HTTP。
請確定裝置密碼具有強式且妥善保護。遵循密碼最佳做法。

使用本機 Web UI 來變更密碼。如果您變更密碼，請務必通知所有遠端存取使用者，讓他們登入時沒有問題。

保護您的資料

本節說明保護傳輸中和儲存資料的 Azure Stack Edge Pro FPGA 安全性功能。

保護待用資料

待用資料：

存取儲存在共用中的資料會受到限制。
- 存取共用資料的 SMB 用戶端需要與共享相關聯的使用者認證。建立共用時會定義這些認證。
- 建立共用時，需要新增存取共用之 NFS 用戶端的 IP 位址。

BitLocker XTS-AES 256 位加密是用來保護本機資料。

保護正式發行前小眾測試版中的資料

針對正式發行前小眾測試版中的資料：

標準 TLS 1.2 用於在裝置與 Azure 之間移動的資料。 TLS 1.1 和更早版本沒有後援。如果不支援 TLS 1.2，代理程式通訊將會遭到封鎖。入口網站和 SDK 管理也需要 TLS 1.2。
當用戶端透過瀏覽器的本機 Web UI 存取裝置時，會使用標準 TLS 1.2 作為預設安全通訊協定。
- 最佳做法是將您的瀏覽器設定為使用 TLS 1.2。
- 如果瀏覽器不支援 TLS 1.2，您可以使用 TLS 1.1 或 TLS 1.0。
建議您在將資料從資料伺服器複製時，使用 SMB 3.0 搭配加密來保護資料。

透過儲存體帳戶保護資料

您的裝置會與儲存體帳戶相關聯，該帳戶會作為 Azure 中資料的目的地。儲存體帳戶的存取權受到與該儲存體帳戶相關聯的訂用帳戶和兩個 512 位元的儲存體存取金鑰控制。

當 Azure Stack Edge 裝置存取儲存體帳戶時，會使用其中一個金鑰來進行驗證。系統會保留其他金鑰，讓您可以定期輪替金鑰。

基於安全性理由，許多資料中心需要金鑰輪替。建議您遵循這些金鑰輪替的最佳做法：

您的儲存體帳戶金鑰類似于儲存體帳戶的根密碼。謹慎保護您的帳戶金鑰。請勿將密碼散發給其他使用者、硬式編碼密碼，或將密碼儲存到其他使用者可存取的純文字中。
如果您認為帳戶金鑰可能遭到入侵，請透過Azure 入口網站重新產生帳戶金鑰。如需詳細資訊，請參閱管理儲存體帳戶存取金鑰。
您的 Azure 系統管理員應該使用Azure 入口網站的儲存體區段，定期變更或重新產生主要或次要金鑰，以直接存取儲存體帳戶。

輪替並定期同步您的儲存體帳戶金鑰，以協助保護您的儲存體帳戶免于未經授權的使用者。

管理個人資訊

Azure Stack Edge 服務會在下列案例中收集個人資訊：

訂單詳細資料 。建立訂單時，使用者的出貨位址、電子郵件地址和連絡資訊會儲存在Azure 入口網站中。儲存的資訊包括：
- 連絡人名稱
- 電話號碼
- 電子郵件地址
- 街道地址
- 縣/市
- 郵遞區號/郵遞區號
- 州/省
- 國家/地區/省
- 運送追蹤號碼
  
  訂單詳細資料會加密並儲存在服務中。服務會保留資訊，直到您明確刪除資源或訂單為止。刪除資源和對應的訂單會從裝置寄送到裝置返回 Microsoft 的時間封鎖。
寄送位址 。訂購之後，資料箱服務會將運送位址提供給 UPS 等協力廠商貨運公司。
共用使用者 。裝置上的使用者也可以存取位於共用上的資料。可以檢視可存取共用資料的使用者清單。刪除共用時，也會刪除此清單。

若要檢視可存取或刪除共用的使用者清單，請遵循管理 Azure Stack Edge Pro FPGA 上的共用中的步驟。

如需詳細資訊，請檢閱信任中心上的 Microsoft 隱私權原則。

下一步

部署 Azure Stack Edge Pro FPGA 裝置