Azure Stack Edge-Sicherheit und -Datenschutz

Wichtig

Azure Stack Edge Pro-FPGA-Geräte erreichen im Februar 2024 das Ende des Lebenszyklus. Wenn Sie neue Bereitstellungen in Erwägung ziehen, empfiehlt es sich, Azure Stack Edge Pro 2 oder Azure Stack Edge Pro GPU-Geräte für Ihre Workloads zu prüfen.

Sicherheit ist bei der Einführung neuer Technologien immer ein zentrales Anliegen. Das gilt insbesondere, wenn die Technologie mit vertraulichen oder proprietären Daten verwendet wird. Azure Stack Edge trägt dazu bei, dass Ihre Daten nur von autorisierten Entitäten angezeigt, geändert oder gelöscht werden können.

In diesem Artikel werden die Sicherheitsfeatures von Azure Stack Edge beschrieben, mit denen die einzelnen Komponenten der Lösung und die darin gespeicherten Daten geschützt werden.

Azure Stack Edge besteht aus vier Hauptkomponenten, die miteinander interagieren:

• In Azure gehosteter Azure Stack Edge-Dienst. Die Verwaltungsressource zum Erstellen des Geräteauftrags, zum Konfigurieren des Geräts sowie zum anschließenden Nachverfolgen des Auftrags bis zur Erfüllung
• Azure Stack Edge Pro FPGA-Gerät. Das Übertragungsgerät, das an Sie gesendet wird, um Ihre lokalen Daten in Azure zu importieren
• Mit dem Gerät verbundene Clients/Hosts: Die Clients in Ihrer Infrastruktur, die mit dem Azure Stack Edge Pro FPGA-Gerät verbunden sind und zu schützende Daten enthalten.
• Cloudspeicher: Der Speicherort auf der Azure-Cloudplattform, an dem die Daten gespeichert werden. Hierbei handelt es sich in der Regel um das Speicherkonto, das mit der von Ihnen erstellten Azure Stack Edge-Ressource verknüpft ist.

Schutz des Azure Stack Edge-Diensts

Der Azure Stack Edge-Dienst ist ein in Azure gehosteter Verwaltungsdienst. Der Dienst wird zum Konfigurieren und Verwalten des Geräts verwendet.

• Um auf den Azure Stack Edge-Dienst zugreifen zu können, muss Ihre Organisation über ein Enterprise Agreement- (EA) oder Cloud Solution Provider-Abonnement (CSP) verfügen. Weitere Informationen finden Sie unter Sign up for Microsoft Azure (Registrieren für Microsoft Azure).
• Da dieser Verwaltungsdienst in Azure gehostet wird, ist er durch die Azure-Sicherheitsfeatures geschützt. Weitere Informationen zu den Sicherheitsfeatures, die von Azure bereitgestellt werden, finden Sie im Microsoft Azure Trust Center.
• Für SDK-Verwaltungsvorgänge können Sie den Verschlüsselungsschlüssel für Ihre Ressource aus Geräteeigenschaften abrufen. Sie können den Verschlüsselungsschlüssel nur anzeigen, wenn Sie über Berechtigungen für die Resource Graph-API verfügen.

Schutz des Azure Stack Edge-Geräts

Das Azure Stack Edge-Gerät ist ein lokales Gerät, das Sie bei der Transformation Ihrer Daten unterstützt. Hierzu werden die Daten lokal verarbeitet und dann an Azure gesendet. Für Ihr Gerät gilt Folgendes:

• Es benötigt einen Aktivierungsschlüssel für den Zugriff auf den Azure Stack Edge-Dienst.
• Es ist jederzeit durch ein Gerätekennwort geschützt.
• Es ist ein gesperrtes Gerät. BMC und BIOS des Geräts sind kennwortgeschützt. Das BIOS ist durch eingeschränkten Benutzerzugriff geschützt.
• Sicherer Start ist aktiviert.
• Windows Defender Device Guard wird darauf ausgeführt. Device Guard stellt sicher, dass nur vertrauenswürdige Anwendungen ausgeführt werden können, die Sie in Ihren Codeintegritätsrichtlinien definieren.

Schützen des Geräts mittels Aktivierungsschlüssel

Dem Azure Stack Edge-Dienst, den Sie in Ihrem Azure-Abonnement erstellt haben, können nur autorisierte Azure Stack Edge-Geräte hinzugefügt werden. Um ein Gerät zu autorisieren, müssen Sie es mithilfe eines Aktivierungsschlüssels für den Azure Stack Edge-Dienst aktivieren.

Für den verwendeten Aktivierungsschlüssel gilt Folgendes:

• Es ist ein Microsoft Entra ID-basierte Authentifizierungsschlüssel.
• Er läuft nach drei Tagen ab.
• Er wird nach der Geräteaktivierung nicht mehr verwendet.

Nachdem Sie ein Gerät aktiviert haben, werden für dieses Gerät Token für die Kommunikation mit Azure verwendet.

Weitere Informationen finden Sie unter Abrufen des Aktivierungsschlüssels.

Schützen des Geräts mittels Kennwort

Mit Kennwörtern wird sichergestellt, dass nur autorisierte Benutzer Zugriff auf Ihre Daten haben. Azure Stack Edge-Geräte sind nach dem Start gesperrt.

Sie können Folgendes ausführen:

• Stellen Sie über einen Browser eine Verbindung mit der lokalen Webbenutzeroberfläche des Geräts her, und geben Sie ein Kennwort an, um sich bei dem Gerät anzumelden.
• Stellen Sie eine HTTP-Remoteverbindung mit der PowerShell-Schnittstelle des Geräts her. Die Remoteverwaltung ist standardmäßig aktiviert. Anschließend können Sie das Gerätekennwort angeben, um sich bei dem Gerät anzumelden. Weitere Informationen finden Sie unter Herstellen einer Remoteverbindung mit Ihrem Azure Stack Edge Pro FPGA-Gerät.

Beachten Sie diese bewährten Methoden:

• Es empfiehlt sich, alle Kennwörter an einem sicheren Ort zu speichern, sodass Sie ein Kennwort nicht zurücksetzen müssen, wenn Sie es vergessen haben. Der Verwaltungsdienst kann vorhandene Kennwörter nicht abrufen. Er kann diese nur über das Azure-Portal zurücksetzen. Wenn Sie ein Kennwort zurücksetzen, dürfen Sie nicht vergessen, zuvor alle Benutzer zu benachrichtigen.
• Auf die Windows PowerShell-Oberfläche Ihres Geräts können Sie remote über HTTP zugreifen. Aus Sicherheitsgründen empfiehlt es sich, HTTP nur in vertrauenswürdigen Netzwerken zu verwenden.
• Gerätekennwörter müssen sicher und gut geschützt sein. Berücksichtigen Sie die bewährten Methoden für Kennwörter.

• Verwenden Sie zum Ändern des Kennworts die lokale Webbenutzeroberfläche. Sollten Sie das Kennwort ändern, benachrichtigen Sie alle Benutzer mit Remotezugriff, damit bei ihnen keine Anmeldefehler auftreten.

Daten schützen

In diesem Abschnitt werden die Azure Stack Edge Pro FPGA-Sicherheitsfunktionen beschrieben, mit denen Daten während der Übertragung und gespeicherte Daten geschützt werden.

Schutz gespeicherter Daten

Für ruhende Daten:

• Der Zugriff auf Daten in Dateifreigaben ist beschränkt.

  • SMB-Clients, die auf Freigabedaten zugreifen, benötigen Benutzeranmeldeinformationen, die der Freigabe zugeordnet sind. Diese Anmeldeinformationen werden definiert, wenn die Freigabe erstellt wird.
  • Die IP-Adressen von NFS-Clients, die auf eine Freigabe zugreifen, müssen hinzugefügt werden, wenn die Freigabe erstellt wird.

• BitLocker XTS-AES-256-Bit-Verschlüsselung wird verwendet, um lokale Daten zu schützen.

Schützen von Daten während der Übertragung

Für Daten während einer Übertragung:

• Standardmäßiges TLS 1.2 wird für Daten verwendet, die zwischen dem Gerät und Azure übertragen werden. Es erfolgt kein Fallback auf TLS 1.1 oder auf ältere Versionen. Agent-Kommunikation wird blockiert, wenn TLS 1.2 nicht unterstützt wird. TLS 1.2 wird auch für Portal- und SDK-Verwaltung benötigt.

• Wenn Clients über die lokale Webbenutzeroberfläche eines Browsers auf Ihr Gerät zugreifen, wird standardmäßiges TLS 1.2 als sicheres Standardprotokoll verwendet.

  • Es empfiehlt sich, Ihren Browser für die Verwendung von TLS 1.2 zu konfigurieren.
  • Sollte der Browser TLS 1.2 nicht unterstützen, können Sie TLS 1.1 oder TLS 1.0 verwenden.

• Sie sollten SMB 3.0 mit Verschlüsselung verwenden, um Daten zu schützen, wenn Sie diese von Ihren Datenservern kopieren.

Schützen von Daten über Speicherkonten

Ihr Gerät ist einem Speicherkonto zugeordnet, das als Ziel für Ihre Daten in Azure verwendet wird. Der Zugriff auf das Speicherkonto wird über das Abonnement und zwei Zugriffsschlüssel mit 512 Bit gesteuert, die dem Speicherkonto zugeordnet sind.

Einer der Schlüssel dient zur Authentifizierung, wenn das Azure Stack Edge-Gerät auf das Speicherkonto zugreift. Der andere Schlüssel wird in Reserve gehalten, sodass Sie die Schlüssel regelmäßig rotieren können.

Aus Sicherheitsgründen ist in vielen Datencentern eine Schlüsselrotation erforderlich. Es wird empfohlen, diese bewährten Methoden für die Schlüsselrotation zu befolgen:

• Ihr Speicherkontoschlüssel ähnelt dem Stammkennwort für das Speicherkonto. Achten Sie darauf, dass Ihr Kontoschlüssel immer gut geschützt ist. Geben Sie das Kennwort nicht an andere Benutzer weiter, vermeiden Sie, es hart zu codieren, und speichern Sie es nicht als Klartext an einem Ort, auf den andere Benutzer Zugriff haben.
• Generieren Sie Ihren Kontoschlüssel über das Azure-Portal neu, wenn Sie denken, er könnte gefährdet sein. Weitere Informationen finden Sie unter Verwalten von Speicherkonto-Zugriffsschlüsseln.
• Der Azure-Administrator sollte den primären oder sekundären Schlüssel regelmäßig über den Abschnitt „Storage“ im Azure-Portal ändern oder neu generieren, um direkt auf das Speicherkonto zuzugreifen.

• Rotieren und synchronisieren Sie Ihre Speicherkontoschlüssel regelmäßig, um zu vermeiden, dass nicht autorisierte Benutzer auf Ihr Speicherkonto zugreifen können.

Verwalten persönlicher Informationen

Der Azure Stack Edge-Dienst erfasst persönliche Informationen in folgenden Szenarien:

• Auftragsdetails. Wenn ein Auftrag erstellt wird, werden die Versandadresse, die E-Mail-Adresse und die Kontaktinformationen des Benutzers im Azure-Portal gespeichert. Zu den gespeicherten Informationen gehört Folgendes:

  • Kontaktname

  • Telefonnummer

  • E-Mail-Adresse

  • Straße

  • Ort

  • Postleitzahl

  • Zustand

  • Land/Region/Provinz

  • Nachverfolgungsnummer für den Versand

    Auftragsdetails werden verschlüsselt und im Dienst gespeichert. Der Dienst bewahrt die Informationen auf, bis Sie die Ressource oder den Auftrag explizit löschen. Ab dem Versand des Geräts und bis zu dem Zeitpunkt, zu dem das Gerät wieder bei Microsoft eingeht, ist das Löschen der Ressource und des entsprechenden Auftrags nicht möglich.

• Lieferanschrift. Nach einer Auftragserteilung gibt der Data Box-Dienst die Lieferanschrift an externe Transportdienstleister (etwa UPS) weiter.

• Freigabebenutzer. Benutzer Ihres Geräts können auch auf die Daten zugreifen, die sich auf den Freigaben befinden. Eine Liste der Benutzer, die auf die Freigabedaten zugreifen können, kann angezeigt werden. Wenn die Freigaben gelöscht werden, wird diese Liste ebenfalls gelöscht.

Um die Liste der Benutzer anzuzeigen, die auf eine Freigabe zugreifen oder eine Freigabe löschen können, führen Sie die unter Verwalten von Freigaben auf dem Azure Stack Edge Pro FPGA beschriebenen Schritte aus.

Weitere Informationen finden Sie im Trust Center in der Microsoft-Datenschutzrichtlinie.

Nächste Schritte

Bereitstellen Ihres Azure Stack Edge Pro FPGA-Geräts