Zabezpečení a ochrana dat ve službě Azure Stack Edge

Důležité

Zařízení Azure Stack Edge Pro FPGA dosáhnou konce životnosti v únoru 2024. Pokud uvažujete o nových nasazeních, doporučujeme prozkoumat zařízení Azure Stack Edge Pro 2 nebo Azure Stack Edge Pro GPU pro vaše úlohy.

Zabezpečení je zásadním zájmem při zavádění nové technologie, zejména pokud se tato technologie používá s důvěrnými nebo proprietárními daty. Azure Stack Edge pomáhá zajistit, aby vaše data mohli prohlížet, upravovat nebo odstraňovat jenom autorizované entity.

Tento článek popisuje funkce zabezpečení azure Stack Edge, které pomáhají chránit jednotlivé komponenty řešení a data uložená v nich.

Azure Stack Edge se skládá ze čtyř hlavních komponent, které vzájemně spolupracují:

• Služba Azure Stack Edge hostovaná v Azure. Prostředek pro správu, který použijete k vytvoření objednávky zařízení, konfiguraci zařízení a následné sledování pořadí dokončení.
• Zařízení Azure Stack Edge Pro FPGA Zařízení pro přenos, které vám bylo odesláno, abyste mohli importovat místní data do Azure.
• Klienti/hostitelé připojení k zařízení. Klienti ve vaší infrastruktuře, kteří se připojují k zařízení Azure Stack Edge Pro FPGA a obsahují data, která je potřeba chránit.
• Cloudové úložiště. Umístění v cloudové platformě Azure, kde jsou uložená data. Toto umístění je obvykle účet úložiště propojený s prostředkem Azure Stack Edge, který vytvoříte.

Ochrana služeb Azure Stack Edge

Služba Azure Stack Edge je služba pro správu hostovaná v Azure. Služba se používá ke konfiguraci a správě zařízení.

• Aby vaše organizace měla přístup ke službě Azure Stack Edge, musí mít předplatné smlouva Enterprise (EA) nebo CSP (Cloud Solution Provider). Další informace najdete v tématu Registrace předplatného Azure.
• Vzhledem k tomu, že tato služba pro správu je hostovaná v Azure, chrání ji funkce zabezpečení Azure. Další informace o funkcích zabezpečení poskytovaných Azure najdete v Centru zabezpečení Microsoft Azure.
• V případě operací správy sady SDK můžete získat šifrovací klíč pro váš prostředek ve vlastnostech zařízení. Šifrovací klíč můžete zobrazit jenom v případě, že máte oprávnění pro rozhraní Resource Graph API.

Ochrana zařízení Azure Stack Edge

Zařízení Azure Stack Edge je místní zařízení, které pomáhá transformovat vaše data tím, že je zpracuje místně a pak je odešle do Azure. Vaše zařízení:

• Potřebuje aktivační klíč pro přístup ke službě Azure Stack Edge.
• Je vždy chráněn heslem zařízení.
• Je uzamčené zařízení. Řadič pro správu základní desky zařízení a systém BIOS jsou chráněné heslem. Systém BIOS je chráněný omezeným uživatelským přístupem.
• Má povolené zabezpečené spouštění.
• Spustí Ochranu Device Guard v programu Windows Defender. Device Guard umožňuje spouštět jenom důvěryhodné aplikace, které definujete v zásadách integrity kódu.

Ochrana zařízení prostřednictvím aktivačního klíče

Ke službě Azure Stack Edge, kterou vytvoříte ve svém předplatném Azure, může připojit jenom autorizované zařízení Azure Stack Edge. Pokud chcete autorizovat zařízení, musíte k aktivaci zařízení pomocí služby Azure Stack Edge použít aktivační klíč.

Aktivační klíč, který používáte:

• Je ověřovací klíč založený na Microsoft Entra ID.
• Vyprší po třech dnech.
• Po aktivaci zařízení se nepoužívá.

Po aktivaci zařízení používá tokeny ke komunikaci s Azure.

Další informace najdete v tématu Získání aktivačního klíče.

Ochrana zařízení pomocí hesla

Hesla zajišťují, aby k vašim datům měli přístup jenom autorizovaní uživatelé. Zařízení Azure Stack Edge se spouští v uzamčeném stavu.

Můžete provádět následující akce:

• Připojení k místnímu webovému uživatelskému rozhraní zařízení prostřednictvím prohlížeče a pak zadejte heslo pro přihlášení k zařízení.
• Vzdáleně se připojte k rozhraní PowerShellu zařízení přes PROTOKOL HTTP. Vzdálená správa je ve výchozím nastavení zapnutá. Pak můžete zadat heslo zařízení pro přihlášení k zařízení. Další informace najdete v tématu Připojení vzdáleně na zařízení Azure Stack Edge Pro FPGA.

Mějte na paměti tyto osvědčené postupy:

• Doporučujeme uložit všechna hesla na bezpečné místo, abyste nemuseli resetovat heslo, pokud jste zapomněli. Služba pro správu nemůže načíst existující hesla. Dá se resetovat jenom prostřednictvím webu Azure Portal. Pokud resetujete heslo, nezapomeňte před resetováním upozornit všechny uživatele.
• Ke vzdálenému přístupu k rozhraní Windows PowerShellu zařízení můžete přistupovat přes protokol HTTP. Osvědčeným postupem zabezpečení je použití protokolu HTTP pouze v důvěryhodných sítích.
• Ujistěte se, že hesla zařízení jsou silná a dobře chráněná. Postupujte podle osvědčených postupů pro heslo.

• Ke změně hesla použijte místní webové uživatelské rozhraní. Pokud heslo změníte, nezapomeňte upozornit všechny uživatele vzdáleného přístupu, aby neměli problémy s přihlášením.

Ochrana vašich dat

Tato část popisuje funkce zabezpečení Azure Stack Edge Pro FPGA, které chrání přenášená a uložená data.

Ochrana neaktivních uložených dat

Neaktivní uložená data:

• Přístup k datům uloženým ve sdílených složkách je omezený.

  • Klienti SMB, kteří přistupuje ke sdíleným datům, potřebují přihlašovací údaje uživatele přidružené ke sdílené složce. Tyto přihlašovací údaje jsou definovány při vytváření sdílené složky.
  • Při vytváření sdílené složky je potřeba přidat IP adresy klientů SYSTÉMU SOUBORŮ NFS, kteří přistupí ke sdílené složce.

• BitLocker XTS-AES 256bitové šifrování slouží k ochraně místních dat.

Ochrana dat v testovacím systému

Pro data v testovací verzi:

• Standard TLS 1.2 se používá pro data, která cestují mezi zařízením a Azure. Pro protokol TLS 1.1 a starší neexistuje žádná záložní verze. Komunikace agenta se zablokuje, pokud se nepodporuje protokol TLS 1.2. Protokol TLS 1.2 se také vyžaduje pro správu portálu a sady SDK.

• Když klienti přistupují k vašemu zařízení prostřednictvím místního webového uživatelského rozhraní prohlížeče, použije se standardní protokol TLS 1.2 jako výchozí zabezpečený protokol.

  • Osvědčeným postupem je nakonfigurovat prohlížeč tak, aby používal protokol TLS 1.2.
  • Pokud prohlížeč nepodporuje protokol TLS 1.2, můžete použít protokol TLS 1.1 nebo TLS 1.0.

• K ochraně dat při kopírování z datových serverů doporučujeme používat protokol SMB 3.0 s šifrováním.

Ochrana dat prostřednictvím účtů úložiště

Vaše zařízení je přidružené k účtu úložiště, který slouží jako cíl pro vaše data v Azure. Přístup k účtu úložiště řídí předplatné a dva 512bitové přístupové klíče k úložišti přidružené k danému účtu úložiště.

Jeden z těchto klíčů slouží k ověřování při přístupu zařízení Azure Stack Edge k účtu úložiště. Druhý klíč slouží jako záložní, abyste mohli klíče pravidelně obměňovat.

Řada datacenter z bezpečnostních důvodů vyžaduje obměnu klíčů. Při obměně klíčů doporučujeme postupovat podle těchto osvědčených postupů:

• Klíč účtu úložiště je podobný kořenovému heslu vašeho účtu úložiště. Pečlivě chraňte klíč svého účtu. Nesdělujte heslo jiným uživatelům, nevkládejte ho přímo do kódu a neukládejte ho v prostém textu nikde, kde by k němu měli přístup ostatní uživatelé.
• Pokud si myslíte, že by mohlo dojít k ohrožení zabezpečení, znovu vygenerujte klíč účtu prostřednictvím webu Azure Portal. Další informace najdete v tématu Správa přístupových klíčů účtu úložiště.
• Váš správce Azure by měl pravidelně měnit nebo znovu vygenerovat primární nebo sekundární klíč pomocí oddílu Úložiště na webu Azure Portal pro přímý přístup k účtu úložiště.

• Pravidelně obměňujte a synchronizujte klíče účtu úložiště, abyste mohli chránit účet úložiště před neoprávněnými uživateli.

Správa osobních údajů

Služba Azure Stack Edge shromažďuje osobní údaje v následujících scénářích:

• Podrobnosti objednávky. Při vytvoření objednávky se na webu Azure Portal uloží dodací adresa, e-mailová adresa a kontaktní údaje uživatele. Uložené údaje zahrnují:

  • Jméno kontaktu

  • Telefonní číslo

  • E-mailová adresa

  • Adresa ulice

  • Město

  • PSČ/PSČ

  • Stav

  • Země/oblast/provincie

  • Sledovací číslo zásilky

    Podrobnosti objednávky se šifrují a ukládají ve službě. Služba uchovává informace, dokud prostředek nebo objednávku neodstraníte explicitně. Odstranění prostředku a odpovídající objednávky se zablokuje od okamžiku odeslání zařízení, dokud se zařízení nevrátí do Microsoftu.

• Dodací adresa. Po odeslání objednávky poskytuje služba Data Box dodací adresu dopravcům třetích stran, jako je UPS.

• Sdílejte uživatele. Uživatelé na vašem zařízení mají také přístup k datům umístěným ve sdílených složkách. Zobrazí se seznam uživatelů, kteří mají přístup ke sdíleným datům. Po odstranění sdílených složek se tento seznam odstraní také.

Pokud chcete zobrazit seznam uživatelů, kteří mají přístup ke sdílené složce nebo ji odstranit, postupujte podle kroků v tématu Správa sdílených složek na webu Azure Stack Edge Pro FPGA.

Další informace najdete v zásadách ochrany osobních údajů společnosti Microsoft v Centru zabezpečení.

Další kroky

Nasazení zařízení Azure Stack Edge Pro FPGA