Azure Stack Edge 安全性和資料保護

當您採用新技術時,安全性是主要考慮,特別是當技術搭配機密或專屬資料使用時。 Azure Stack Edge 可協助您確保只有授權的實體可以檢視、修改或刪除您的資料。

本文說明 Azure Stack Edge 安全性功能,可協助保護每個解決方案元件及其中所儲存的資料。

Azure Stack Edge 包含四個主要元件,彼此互動:

  • Azure Stack Edge 服務,裝載于 Azure中。 您用來建立裝置訂單、設定裝置,然後追蹤訂單完成的管理資源。
  • Azure Stack Edge Pro FPGA 裝置。 寄送給您的傳輸裝置,以便您將內部部署資料匯入 Azure。
  • 連線到裝置的用戶端/主機。 您基礎結構中的用戶端會連線到 Azure Stack Edge Pro FPGA 裝置,並包含需要保護的資料。
  • 雲端儲存體。 儲存資料的 Azure 雲端平臺位置。 此位置通常是連結到您所建立之 Azure Stack Edge 資源的儲存體帳戶。

Azure Stack Edge 服務保護

Azure Stack Edge 服務是裝載在 Azure 中的管理服務。 服務可用來設定和管理裝置。

  • 若要存取 Azure Stack Edge 服務,您的組織必須有 Enterprise 合約 (EA) 或雲端解決方案提供者 (CSP) 訂用帳戶。 如需詳細資訊,請參閱 註冊 Azure 訂用帳戶
  • 由於此管理服務裝載于 Azure 中,因此受到 Azure 安全性功能的保護。 如需 Azure 所提供安全性功能的詳細資訊,請移至Microsoft Azure 信任中心
  • 針對 SDK 管理作業,您可以在 裝置屬性中取得資源的加密金鑰。 只有在您具有Resource Graph API 的許可權時,才能檢視加密金鑰。

Azure Stack Edge 裝置保護

Azure Stack Edge 裝置是內部部署裝置,可在本機處理資料,然後將它傳送至 Azure,以協助轉換您的資料。 您的裝置:

  • 需要啟用金鑰才能存取 Azure Stack Edge 服務。
  • 裝置密碼隨時受到保護。
  • 這是鎖定的裝置。 裝置 BMC 和 BIOS 受到密碼保護。 BIOS 受到有限的使用者存取保護。
  • 已啟用安全開機。
  • 執行 Windows Defender Device Guard。 Device Guard 可讓您只執行您在程式碼完整性原則中定義的受信任應用程式。

透過啟用金鑰保護裝置

只允許授權的 Azure Stack Edge 裝置加入您在 Azure 訂用帳戶中建立的 Azure Stack Edge 服務。 若要授權裝置,您必須使用啟用金鑰來使用 Azure Stack Edge 服務來啟用裝置。

您使用的啟用金鑰:

  • 這是 Azure Active Directory (Azure AD) 型驗證金鑰。
  • 在三天后到期。
  • 裝置啟用之後不會使用。

啟用裝置之後,它會使用權杖與 Azure 通訊。

如需詳細資訊,請參閱 取得啟用金鑰

透過密碼保護裝置

密碼可確保只有授權的使用者才能存取您的資料。 Azure Stack Edge 裝置會處於鎖定狀態開機。

您可以:

  • 透過瀏覽器連線到裝置的本機 Web UI,然後提供登入裝置的密碼。
  • 透過 HTTP 從遠端連線到裝置 PowerShell 介面。 預設會開啟遠端系統管理。 然後,您可以提供裝置密碼以登入裝置。 如需詳細資訊,請參閱 從遠端連線到您的 Azure Stack Edge Pro FPGA 裝置

請記住這些最佳做法:

  • 建議您將所有密碼儲存在安全的地方,因此如果您忘記密碼,就不需要重設密碼。 管理服務無法擷取現有的密碼。 它只能透過Azure 入口網站重設它們。 如果您重設密碼,請務必在重設密碼之前先通知所有使用者。
  • 您可以透過 HTTP 從遠端存取裝置的Windows PowerShell介面。 作為安全性最佳做法,您應該只在信任的網路上使用 HTTP。
  • 確定裝置密碼具有強式且妥善保護。 遵循 密碼最佳做法
  • 使用本機 Web UI 來 變更密碼。 如果您變更密碼,請務必通知所有遠端存取使用者,讓他們沒有登入問題。

保護您的資料

本節說明可保護傳輸中和儲存資料的 Azure Stack Edge Pro FPGA 安全性功能。

保護靜態資料的安全

待用資料:

  • 存取儲存在共用中的資料會受到限制。

    • 存取共用資料的 SMB 用戶端需要與共享相關聯的使用者認證。 建立共用時會定義這些認證。
    • 建立共用時,必須新增存取共用的 NFS 用戶端 IP 位址。
  • BitLocker XTS-AES 256 位加密是用來保護本機資料。

保護正式發行前小眾測試版中的資料

如需正式發行前小眾測試版的資料:

  • 標準 TLS 1.2 用於在裝置與 Azure 之間移動的資料。 TLS 1.1 和更早版本沒有後援。 如果不支援 TLS 1.2,代理程式通訊將會遭到封鎖。 入口網站和 SDK 管理也需要 TLS 1.2。

  • 當用戶端透過瀏覽器的本機 Web UI 存取您的裝置時,標準 TLS 1.2 會作為預設的安全通訊協定使用。

    • 最佳做法是將您的瀏覽器設定為使用 TLS 1.2。
    • 如果瀏覽器不支援 TLS 1.2,您可以使用 TLS 1.1 或 TLS 1.0。
  • 建議您在將資料從資料伺服器複製時,使用 SMB 3.0 搭配加密來保護資料。

透過儲存體帳戶保護資料安全

您的裝置會與儲存體帳戶相關聯,以作為您在 Azure 中的資料目的地使用。 儲存體帳戶的存取權受到與該儲存體帳戶相關聯的訂用帳戶和兩個 512 位元的儲存體存取金鑰控制。

當 Azure Stack Edge 裝置存取儲存體帳戶時,會使用其中一個金鑰來進行驗證。 系統會保留其他金鑰,讓您可以定期輪替金鑰。

基於安全性理由,許多資料中心需要金鑰輪替。 建議您按照這些最佳作法進行金鑰輪替:

  • 儲存體帳戶金鑰很類似儲存體帳戶的根密碼。 謹慎保護您的帳戶金鑰。 不要將密碼分發給其他使用者、進行硬式編碼,或將密碼儲存以純文字儲存在其他人可以存取的位置。
  • 如果您認為帳戶金鑰可能遭到入侵,請透過Azure 入口網站重新產生您的帳戶金鑰。 如需詳細資訊,請參閱管理儲存體帳戶存取金鑰
  • 您的 Azure 系統管理員應該使用Azure 入口網站的 [儲存體] 區段,定期變更或重新產生主要或次要金鑰,以直接存取儲存體帳戶。

管理個人資訊

Azure Stack Edge 服務會在下列案例中收集個人資訊:

  • 訂單詳細資料。 建立訂單時,使用者的寄送位址、電子郵件地址和連絡人資訊會儲存在Azure 入口網站中。 儲存的資訊包括︰

    • 連絡人姓名

    • 電話號碼

    • 電子郵件地址

    • 街道地址

    • City

    • 郵遞區號

    • 狀態

    • 國家/省/地區

    • 運送追蹤號碼

      訂單詳細資料會加密並儲存在服務中。 服務會保留資訊,直到您明確刪除資源或訂單為止。 刪除資源和對應的訂單會從裝置出貨到裝置回到Microsoft為止遭到封鎖。

  • 寄送位址。 下訂單之後,資料箱服務會提供寄送位址給協力廠商貨運公司,例如 UPS。

  • 共用使用者。 裝置上的使用者也可以存取位於共用上的資料。 可以檢視可存取共用資料的使用者清單。 刪除共用時,也會刪除此清單。

若要檢視可存取或刪除共用的使用者清單,請遵循 在 Azure Stack Edge Pro FPGA 上管理共用中的步驟。

如需詳細資訊,請檢閱信任中心的Microsoft隱私權原則。

下一步

部署 Azure Stack Edge Pro FPGA 裝置