Share via

الأمان وحماية البيانات ل Azure Stack Edge Pro 2 وAzure Stack Edge Pro R وAzure Stack Edge Mini R

  • مقالة

ينطبق على:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

يعد الأمان مصدر قلق رئيسي عند اعتماد تقنية جديدة، خاصة إذا تم استخدام التقنية مع بيانات سرية أو خاصة. يساعدك Azure Stack Edge Pro R وAzure Stack Edge Mini R على التأكد من أن الكيانات المعتمدة فقط يمكنها عرض بياناتك أو تعديلها أو حذفها.

توضح هذه المقالة ميزات أمان Azure Stack Edge Pro R وAzure Stack Edge Mini R التي تساعد في حماية كل مكون من مكونات الحل والبيانات المخزنة فيها.

يتكون الحل من أربعة مكونات رئيسية تتفاعل مع بعضها البعض:

  • خدمة Azure Stack Edge، المستضافة في سحابة Azure العامة أو سحابة Azure Government. مورد الإدارة الذي تستخدمه لإنشاء أمر الجهاز وتكوين الجهاز ثم تعقب الطلب حتى الاكتمال.
  • جهاز Azure Stack Edge الوعر. الجهاز المادي الوعر الذي يتم شحنه إليك حتى تتمكن من استيراد بياناتك المحلية إلى سحابة Azure العامة أو سحابة Azure Government. يمكن أن يكون الجهاز Azure Stack Edge Pro R أو Azure Stack Edge Mini R.
  • العملاء/المضيفون المتصلون بالجهاز. العملاء في البنية الأساسية الخاصة بك الذين يتصلون بالجهاز ويحتويون على بيانات تحتاج إلى الحماية.
  • التخزين السحابي. الموقع في النظام الأساسي السحابي Azure حيث يتم تخزين البيانات. هذا الموقع هو عادة حساب التخزين المرتبط بمورد Azure Stack Edge الذي تقوم بإنشائه.

حماية الخدمة

خدمة Azure Stack Edge هي خدمة إدارة مستضافة في Azure. يتم استخدام الخدمة لتكوين الجهاز وإدارته.

  • للوصول إلى خدمة Data Box Edge، تحتاج مؤسستك إلى اشتراك اتفاقية Enterprise (EA) أو Cloud Solution Provider (CSP). لمزيد من المعلومات، راجع التسجيل للحصول على اشتراك Azure.
  • نظرا لأن خدمة الإدارة هذه مستضافة في Azure، فهي محمية بواسطة ميزات أمان Azure. لمزيد من المعلومات حول ميزات الأمان التي يوفرها Azure، انتقل إلى مركز توثيق Microsoft Azure.
  • بالنسبة لعمليات إدارة SDK، يمكنك الحصول على مفتاح التشفير لموردك في خصائص الجهاز. يمكنك عرض مفتاح التشفير فقط إذا كان لديك أذونات ل Resource Graph API.

حماية الجهاز

الجهاز الوعر هو جهاز محلي يساعد على تحويل بياناتك عن طريق معالجتها محليا ثم إرسالها إلى Azure. جهازك:

  • يحتاج إلى مفتاح تنشيط للوصول إلى خدمة Azure Stack Edge.

  • محمي في جميع الأوقات بكلمة مرور الجهاز.

  • هو جهاز مؤمن. وحدة تحكم إدارة اللوحة الأساسية للجهاز (BMC) و BIOS محمية بكلمة مرور. BMC محمي بوصول محدود للمستخدم.

  • تم تمكين التمهيد الآمن الذي يضمن تشغيل الجهاز فقط باستخدام البرنامج الموثوق به الذي توفره Microsoft.

  • تشغيل التحكم في تطبيق Windows Defender (WDAC). يتيح لك WDAC تشغيل التطبيقات الموثوق بها فقط التي تحددها في نهج تكامل التعليمات البرمجية.

  • يحتوي على وحدة نمطية للنظام الأساسي الموثوق به (TPM) تقوم بتنفيذ وظائف متعلقة بالأمان تستند إلى الأجهزة. على وجه التحديد، تدير الوحدة النمطية للنظام الأساسي الموثوق به البيانات والبيانات التي تحتاج إلى استمرار على الجهاز وتحميها.

  • يتم فتح المنافذ المطلوبة فقط على الجهاز ويتم حظر جميع المنافذ الأخرى. لمزيد من المعلومات، راجع قائمة متطلبات المنفذ للجهاز .

  • يتم تسجيل جميع الوصول إلى أجهزة الجهاز بالإضافة إلى البرامج.

    • بالنسبة إلى برنامج الجهاز، يتم تجميع سجلات جدار الحماية الافتراضية لحركة المرور الواردة والصادرة من الجهاز. يتم تجميع هذه السجلات في حزمة الدعم.
    • بالنسبة لأجهزة الجهاز، يتم تسجيل جميع أحداث هيكل الجهاز مثل فتح وإغلاق هيكل الجهاز في الجهاز.

    لمزيد من المعلومات حول السجلات المحددة التي تحتوي على أحداث اختراق الأجهزة والبرامج وكيفية الحصول على السجلات، انتقل إلى تجميع سجلات الأمان المتقدمة.

حماية الجهاز عبر مفتاح التنشيط

يسمح فقط لجهاز Azure Stack Edge Pro R أو Azure Stack Edge Mini R بالانضمام إلى خدمة Azure Stack Edge التي تقوم بإنشائها في اشتراك Azure. لتخويل جهاز، تحتاج إلى استخدام مفتاح تنشيط لتنشيط الجهاز باستخدام خدمة Azure Stack Edge.

مفتاح التنشيط الذي تستخدمه:

  • هو مفتاح مصادقة يستند إلى معرف Microsoft Entra.
  • تنتهي صلاحيتها بعد ثلاثة أيام.
  • لا يتم استخدامه بعد تنشيط الجهاز.

بعد تنشيط جهاز، يستخدم الرموز المميزة للتواصل مع Azure.

لمزيد من المعلومات، راجع الحصول على مفتاح تنشيط.

حماية الجهاز عبر كلمة المرور

تضمن كلمات المرور أن المستخدمين المعتمدين فقط يمكنهم الوصول إلى بياناتك. يتم تشغيل أجهزة Azure Stack Edge Pro R في حالة تأمين.

بإمكانك:

  • الاتصال إلى واجهة مستخدم الويب المحلية للجهاز عبر مستعرض ثم قم بتوفير كلمة مرور لتسجيل الدخول إلى الجهاز.
  • اتصل عن بعد بواجهة PowerShell للجهاز عبر HTTP. يتم تشغيل الإدارة عن بعد بشكل افتراضي. تم تكوين الإدارة عن بعد أيضا لاستخدام Just Enough مسؤول istration (JEA) للحد مما يمكن للمستخدمين القيام به. يمكنك بعد ذلك توفير كلمة مرور الجهاز لتسجيل الدخول إلى الجهاز. لمزيد من المعلومات، راجع الاتصال عن بعد إلى جهازك.
  • يتمتع مستخدم Edge المحلي على الجهاز بإمكانية وصول محدودة إلى الجهاز للتكوين الأولي واستكشاف الأخطاء وإصلاحها. يمكن الوصول إلى أحمال عمل الحوسبة التي تعمل على الجهاز ونقل البيانات والتخزين من مدخل Azure العام أو الحكومي للمورد في السحابة.

ضع في اعتبارك أفضل الممارسات التالية:

  • نوصي بتخزين جميع كلمات المرور في مكان آمن حتى لا تضطر إلى إعادة تعيين كلمة مرور إذا نسيتها. لا يمكن لخدمة الإدارة استرداد كلمات المرور الموجودة. يمكنه إعادة تعيينها فقط عبر مدخل Microsoft Azure. إذا قمت بإعادة تعيين كلمة مرور، فتأكد من إعلام جميع المستخدمين قبل إعادة تعيينها.
  • يمكنك الوصول إلى واجهة Windows PowerShell لجهازك عن بعد عبر HTTP. كأفضل ممارسة أمان، يجب عليك استخدام HTTP فقط على الشبكات الموثوق بها.
  • تأكد من أن كلمات مرور الجهاز قوية ومحمية بشكل جيد. اتبع أفضل ممارسات كلمة المرور.
  • استخدم واجهة مستخدم الويب المحلية لتغيير كلمة المرور. إذا قمت بتغيير كلمة المرور، فتأكد من إعلام جميع مستخدمي الوصول عن بعد حتى لا تواجههم مشاكل في تسجيل الدخول.

إنشاء الثقة مع الجهاز بواسطة الشهادات

يتيح لك جهاز Azure Stack Edge الوعر إحضار الشهادات الخاصة بك وتثبيتها لاستخدامها لجميع نقاط النهاية العامة. لمزيد من المعلومات، انتقل إلى تحميل الشهادة. للحصول على قائمة بجميع الشهادات التي يمكن تثبيتها على جهازك، انتقل إلى إدارة الشهادات على جهازك.

  • عند تكوين الحساب على جهازك، يتم إنشاء جهاز IoT وجهاز IoT Edge. يتم تعيين مفاتيح الوصول المتماثلة لهذه الأجهزة تلقائيا. كأفضل ممارسة أمان، يتم تدوير هذه المفاتيح بانتظام عبر خدمة IoT Hub.

قم بحماية بياناتك.

يصف هذا القسم ميزات الأمان التي تحمي البيانات أثناء النقل والمخزنة.

حماية البيانات الثابتة

يتم تشفير جميع البيانات الثابتة على الجهاز بشكل مزدوج، ويتم التحكم في الوصول إلى البيانات وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات.

التشفير المزدوج للبيانات

البيانات الموجودة على الأقراص محمية بطبقتين من التشفير:

  • الطبقة الأولى من التشفير هي تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات.
  • الطبقة الثانية هي الأقراص الثابتة التي تحتوي على تشفير مضمن.
  • يحتوي وحدة تخزين نظام التشغيل على BitLocker كطبقة واحدة من التشفير.

إشعار

يحتوي قرص نظام التشغيل على تشفير برنامج BitLocker XTS-AES-256 بطبقة واحدة.

قبل تنشيط الجهاز، يطلب منك تكوين التشفير في وضع الراحة على جهازك. هذا إعداد مطلوب وحتى يتم تكوينه بنجاح، فإنه لا يمكنك تنشيط الجهاز.

في المصنع، بمجرد تصوير الأجهزة، يتم تمكين تشفير BitLocker على مستوى الصوت. بعد استلام الجهاز، تحتاج إلى تكوين التشفير غير النشط. يتم إعادة إنشاء تجمع التخزين ووحدات التخزين ويمكنك توفير مفاتيح BitLocker لتمكين التشفير في حالة الراحة وبالتالي إنشاء طبقة أخرى من التشفير للبيانات الثابتة.

مفتاح التشفير في حالة الراحة هو مفتاح مشفر Base-64 بطول 32 حرفا تقوم بتوفيره ويتم استخدام هذا المفتاح لحماية مفتاح التشفير الفعلي. لا تملك Microsoft حق الوصول إلى مفتاح التشفير الثابت هذا الذي يحمي بياناتك. يتم حفظ المفتاح في ملف مفتاح على صفحة تفاصيل السحاب بعد تنشيط الجهاز.

عند تنشيط الجهاز، تتم مطالبتك بحفظ ملف المفتاح الذي يحتوي على مفاتيح الاسترداد التي تساعد على استرداد البيانات على الجهاز إذا لم يتم تشغيل الجهاز. ستطالبك بعض سيناريوهات الاسترداد بالملف الرئيسي الذي قمت بحفظه. يحتوي ملف المفتاح على مفاتيح الاسترداد التالية:

  • مفتاح يفتح الطبقة الأولى من التشفير.
  • مفتاح يفتح تشفير الأجهزة في أقراص البيانات.
  • مفتاح يساعد على استرداد تكوين الجهاز على وحدات تخزين نظام التشغيل.
  • مفتاح يحمي البيانات المتدفقة من خلال خدمة Azure.

هام

احفظ ملف المفتاح في موقع آمن خارج الجهاز نفسه. إذا لم يتم تشغيل الجهاز، ولم يكن لديك المفتاح، فقد يؤدي ذلك إلى فقدان البيانات.

تقييد الوصول إلى البيانات

يتم تقييد الوصول إلى البيانات المخزنة في المشاركات وحسابات التخزين.

  • يحتاج عملاء SMB الذين يصلون إلى بيانات المشاركة إلى بيانات اعتماد المستخدم المقترنة بالمشاركة. يتم تعريف بيانات الاعتماد هذه عند إنشاء المشاركة.
  • يحتاج عملاء NFS الذين يصلون إلى مشاركة إلى إضافة عنوان IP الخاص بهم بشكل صريح عند إنشاء المشاركة.
  • حسابات تخزين Edge التي تم إنشاؤها على الجهاز محلية ومحمية بواسطة التشفير على أقراص البيانات. حسابات تخزين Azure التي تم تعيين حسابات تخزين Edge هذه إليها محمية بواسطة الاشتراك ومفاتيح وصول تخزين 512 بت المقترنة بحساب تخزين Edge (تختلف هذه المفاتيح عن تلك المقترنة بحسابات Azure Storage). لمزيد من المعلومات، راجع حماية البيانات في حسابات التخزين.
  • يتم استخدام تشفير BitLocker XTS-AES 256 بت لحماية البيانات المحلية.

مسح البيانات الآمن

عندما يخضع الجهاز لإعادة ضبط صعبة، يتم إجراء مسح آمن على الجهاز. تقوم عملية المسح الآمن بمسح البيانات على الأقراص باستخدام إزالة NIST SP 800-88r1.

حماية البيانات أثناء الطيران

للبيانات أثناء الطيران:

  • يستخدم معيار أمان طبقة النقل (TLS) 1.2 للبيانات التي تنتقل بين الجهاز وAzure. لا يوجد أي احتياطي إلى TLS 1.1 والإصدارات السابقة. سيتم حظر اتصال العامل إذا لم يكن TLS 1.2 مدعوما. TLS 1.2 مطلوب أيضا لإدارة المدخل وSDK.

  • عندما يصل العملاء إلى جهازك من خلال واجهة مستخدم الويب المحلية للمستعرض، يتم استخدام TLS 1.2 القياسي كبروتوكول آمن افتراضي.

    • أفضل ممارسة هي تكوين المتصفح الخاص بك لاستخدام TLS 1.2.
    • يدعم جهازك TLS 1.2 فقط ولا يدعم الإصدارات القديمة من TLS 1.1 أو TLS 1.0.

  • نوصي باستخدام SMB 3.0 مع التشفير لحماية البيانات عند نسخها من خوادم البيانات.

حماية البيانات في حسابات التخزين

يرتبط جهازك بحساب تخزين يستخدم كوجهة لبياناتك في Azure. يتم التحكم في الوصول إلى حساب التخزين بواسطة الاشتراك ومفاتيح الوصول إلى التخزين 512 بت المقترنة بحساب التخزين هذا.

يتم استخدام أحد المفاتيح للمصادقة عندما يصل جهاز Azure Stack Edge إلى حساب التخزين. يتم الاحتفاظ بالمفتاح الآخر احتياطيا، بحيث يمكنك تدوير المفاتيح بشكل دوري.

لأسباب أمنية، تتطلب العديد من مراكز البيانات تدوير المفتاح. نوصي باتباع أفضل الممارسات هذه لتناوب المفاتيح:

  • يشبه مفتاح حساب التخزين كلمة المرور الجذر لحساب التخزين الخاص بك. حماية مفتاح حسابك بعناية. لا توزع كلمة المرور على مستخدمين آخرين، أو ترميزها بشكل ثابت، أو احفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه.
  • أعد إنشاء مفتاح حسابك عبر مدخل Microsoft Azure إذا كنت تعتقد أنه يمكن اختراقه.
  • يجب على مسؤول Azure تغيير المفتاح الأساسي أو الثانوي أو إعادة إنشائه بشكل دوري باستخدام قسم التخزين في مدخل Microsoft Azure للوصول إلى حساب التخزين مباشرة.
  • يمكنك أيضا استخدام مفتاح التشفير الخاص بك لحماية البيانات في حساب تخزين Azure الخاص بك. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. لمزيد من المعلومات حول كيفية تأمين بياناتك، راجع تمكين المفاتيح المدارة من قبل العملاء لحساب Azure Storage الخاص بك.
  • قم بتدوير مفاتيح حساب التخزين ثم مزامنتها بانتظام للمساعدة في حماية حساب التخزين الخاص بك من المستخدمين غير المصرح لهم.

إدارة المعلومات الشخصية

تجمع خدمة Azure Stack Edge المعلومات الشخصية في السيناريوهات التالية:

  • تفاصيل الطلب. عند إنشاء طلب، يتم تخزين عنوان الشحن وعنوان البريد الإلكتروني ومعلومات الاتصال الخاصة بالمستخدم في مدخل Microsoft Azure. تتضمن المعلومات المحفوظة ما يلي:

    • اسم جهة الاتصال

    • رقم الهاتف

    • عنوان البريد الإلكتروني

    • عنوان الشارع

    • المدينة

    • الرمز البريدي/الرمز البريدي

    • المنطقة

    • البلد/المنطقة/المقاطعة

    • رقم تعقب الشحن

      يتم تشفير تفاصيل الطلب وتخزينها في الخدمة. تحتفظ الخدمة بالمعلومات حتى تقوم بحذف المورد أو الطلب بشكل صريح. يتم حظر حذف المورد والنظام المقابل من وقت شحن الجهاز حتى يعود الجهاز إلى Microsoft.

  • عنوان الشحن. بعد تقديم الطلب، توفر خدمة Data Box عنوان الشحن لشركات الشحن التابعة لجهة خارجية مثل UPS.

  • مشاركة المستخدمين. يمكن للمستخدمين على جهازك أيضا الوصول إلى البيانات الموجودة على المشاركات. يمكن عرض قائمة بالمستخدمين الذين يمكنهم الوصول إلى بيانات المشاركة. عند حذف المشاركات، يتم حذف هذه القائمة أيضا.

لعرض قائمة المستخدمين الذين يمكنهم الوصول إلى مشاركة أو حذفها، اتبع الخطوات الواردة في إدارة المشاركات على Azure Stack Edge.

لمزيد من المعلومات، راجع نهج خصوصية Microsoft في مركز التوثيق.

الخطوات التالية

نشر جهاز Azure Stack Edge Pro R