Protection des données et sécurité Azure Stack Edge
Important
Les appareils Azure Stack Edge Pro FPGA atteindront la fin de vie en février 2024. Si vous envisagez de nouveaux déploiements, nous vous recommandons d’explorer les appareils Azure Stack Edge Pro 2 ou Azure Stack Edge Pro GPU pour vos charges de travail.
La sécurité est une préoccupation majeure pour toute nouvelle technologie, surtout si cette technologie est utilisée avec des données confidentielles ou propriétaires. Azure Stack Edge vous aide à vous assurer que seules des entités autorisées peuvent consulter, modifier ou supprimer vos données.
Cet article décrit les fonctionnalités de sécurité d’Azure Stack Edge qui permettent de protéger les composants de la solution et les données qui y sont stockées.
Azure Stack Edge repose sur l’interaction de quatre composants principaux :
- Service Azure Stack Edge, hébergé dans Azure. la ressource de gestion qui vous permet de créer la commande de l’appareil, de configurer l’appareil et de suivre la commande jusqu’à son achèvement.
- Appareil Azure Stack Edge Pro avec FPGA. appareil de transfert qui vous est livré pour que vous puissiez importer vos données locales dans Azure.
- Clients/hôtes connectés à l’appareil : Les clients dans votre infrastructure qui se connectent à l’appareil Azure Stack Edge Pro FGPA et contiennent des données à protéger.
- Stockage cloud : emplacement dans la plateforme cloud Azure où les données sont stockées. Il s’agit généralement du compte de stockage lié à la ressource Azure Stack Edge que vous créez.
Protection du service Azure Stack Edge
Le service Data Box Edge est un service de gestion hébergé dans Azure. Ce service est utilisé pour configurer et gérer l’appareil.
- Pour accéder au service Azure Stack Edge, votre organisation doit avoir un abonnement Contrat Entreprise (EA) ou Fournisseur de solutions cloud (CSP). Pour plus d’informations, consultez Souscription à un abonnement Azure.
- Étant donné que ce service de gestion est hébergé dans Azure, il est protégé par les fonctionnalités de sécurité Azure. Pour plus d’informations sur les fonctionnalités de sécurité fournies par Azure, accédez au Centre de confidentialité Microsoft Azure.
- Pour les opérations de gestion du kit de développement logiciel (SDK), vous pouvez obtenir la clé de chiffrement pour votre ressource dans Propriétés de l’appareil. Vous ne pouvez afficher la clé de chiffrement que si vous disposez d’autorisations pour l’API Resource Graph.
Protection des appareils Azure Stack Edge
L’appareil Data Box Edge est un appareil local qui vous permet de transformer vos données en les traitant localement avant de les envoyer à Azure. Votre appareil :
- a besoin d’une clé d’activation pour accéder au service Azure Stack Edge.
- Est protégé à tout moment par un mot de passe d’appareil.
- Est un appareil verrouillé. L’appareil BMC et BIOS sont protégés par mot de passe. Le BIOS est protégé par accès utilisateur limité.
- Le démarrage sécurisé est activé.
- Exécute Windows Defender Device Guard. Device Guard permet d’exécuter uniquement les applications de confiance que vous définissez dans vos stratégies d’intégrité du code.
Protéger l’appareil via une clé d’activation
Seul un appareil Azure Stack Edge autorisé est autorisé à rejoindre le service Azure Stack Edge que vous créez dans votre abonnement Azure. Pour autoriser un appareil, vous devez utiliser une clé d’activation pour activer l’appareil auprès du service Azure Stack Edge.
La clé d’activation que vous utilisez :
- Est une clé d’authentification basée sur Microsoft Entra ID.
- Expire au bout de trois jours.
- N’est pas utilisé après l’activation de l’appareil.
Une fois activé, un appareil utilise des jetons pour communiquer avec Azure.
Pour plus d’informations, consultez Obtenir une clé d’activation.
Protéger l’appareil via un mot de passe
Les mots de passe garantissent que seuls les utilisateurs autorisés accèdent à vos données. Les appareils Azure Stack Edge démarrent en état verrouillé.
Vous pouvez :
- Vous connecter à l’interface utilisateur web locale de l’appareil via un navigateur, puis indiquer un mot de passe pour vous connecter à l’appareil.
- Vous connecter à distance à l’interface PowerShell de l’appareil via HTTP. La gestion à distance est désactivée par défaut. Vous pouvez ensuite fournir le mot de passe pour vous connecter à l’appareil. Pour plus d’informations, consultez Connexion à distance à votre appareil Azure Stack Edge Pro FGPA.
Gardez à l'esprit ces meilleures pratiques :
- Nous vous recommandons de stocker tous les mots de passe dans un endroit sûr, afin de ne pas être obligé de réinitialiser un mot de passe en cas d’oubli. Le service de gestion ne peut pas récupérer des mots de passe existants. Il peut uniquement les réinitialiser via le portail Azure. Si vous réinitialisez un mot de passe, veillez à informer tous les utilisateurs au préalable.
- Vous pouvez accéder à l’interface Windows PowerShell de votre appareil à distance via HTTP. Comme meilleure pratique de sécurité, vous devez utiliser HTTP uniquement sur des réseaux approuvés.
- Assurez-vous que les mots de passe des appareils sont robustes et bien protégés. Suivez les Meilleures pratiques relatives aux mots de passe.
- Utiliser l’interface utilisateur web locale pour modifier le mot de passe. Si vous modifiez le mot de passe, veillez à informer tous les utilisateurs à distance afin qu’ils ne connaissent pas de problème de connexion.
Protéger vos données
Cette section décrit les fonctionnalités de sécurité d’Azure Stack Edge Pro FGPA, qui protègent les données en transit et stockées.
Protection des données au repos
Pour les données au repos :
L’accès aux données stockées dans des partages est limité.
- Les clients SMB qui accèdent aux données partagées ont besoin des informations d’identification utilisateur associées au partage. Ces informations d’identification sont définies lorsque le partage est créé.
- Les adresses IP des clients NFS qui accèdent à un partage doivent être ajoutées lorsque le partage est créé.
- Le chiffrement BitLocker XTS-AES de 256 bits est utilisé pour protéger les données locales.
Protection des données à la volée
Pour les données à la volée :
Standard TLS 1.2 est utilisé pour les données qui transitent entre l’appareil et Azure. Il n’existe aucun protocole de secours pour TLS 1.1 et versions antérieures. Les communications de l’agent seront bloquées si TLS 1.2 n’est pas pris en charge. TLS 1.2 est également requis pour la gestion du portail et du Kit de développement logiciel (SDK).
Lorsque les clients accèdent à votre appareil via l’interface utilisateur web locale d’un navigateur, Standard TLS 1.2 est utilisé comme protocole sécurisé par défaut.
- La meilleure pratique consiste à configurer votre navigateur pour utiliser TLS 1.2.
- Si le navigateur ne prend pas en charge TLS 1.2, vous pouvez utiliser TLS 1.1 ou TLS 1.0.
Nous vous recommandons d’utiliser SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.
Protection des données par les comptes de stockage
Votre appareil est associé à un compte de stockage qui est utilisé en tant que destination pour vos données dans Azure. L’accès au compte de stockage est contrôlé par l’abonnement et deux clés d’accès au stockage de 512 bits associées à ce compte de stockage.
L’une des clés est utilisée pour l’authentification quand l’appareil Azure Stack Edge accède au compte de stockage. L’autre clé est gardée en réserve, ce qui permet une rotation régulière des clés.
De nombreux centres de données ont recours à la rotation des clés pour des raisons de sécurité. Nous vous recommandons de suivre ces méthodes recommandées pour la rotation des clés :
- Votre clé de compte de stockage est similaire au mot de passe racine pour votre compte de stockage. Protégez soigneusement votre clé de compte. Ne communiquez pas le mot de passe à d’autres utilisateurs, ne le codez pas en dur et ne l’enregistrez pas en texte brut, où que ce soit.
- Régénérez votre clé de compte via le Portail Azure si vous pensez qu’elle a été compromise. Pour plus d’informations, consultez Gérer les clés d’accès au compte de stockage.
- Votre administrateur Azure doit changer ou régénérer régulièrement la clé primaire ou secondaire à l’aide de la section Stockage du portail Azure pour accéder directement au compte de stockage.
- Faites tourner puis synchronisez vos clés de compte de stockage régulièrement pour mieux protéger votre compte de stockage des utilisateurs non autorisés.
Gestion des informations personnelles
Le service Azure Stack Edge collecte des informations personnelles dans les scénarios suivants :
Détails de la commande. Une fois la commande créée, l’adresse de livraison, l’adresse e-mail, et les informations de contact de l’utilisateur sont stockées dans le portail Azure. Les informations enregistrées incluent :
Nom du contact
Numéro de téléphone
Adresse de messagerie
Adresse postale
City
Code postal
State
Pays/région/province
Numéro de suivi d’expédition
Les détails de la commande sont chiffrés et stockés dans le service. Le service conserve les informations jusqu’à ce que vous supprimiez explicitement la ressource ou la commande. La suppression de la ressource et de la commande correspondante est bloquée à partir du moment où l’appareil est livré jusqu'à ce que l’appareil retourne à Microsoft.
Adresse de livraison. Une fois la commande passée, le service Data Box fournit l’adresse de livraison aux transporteurs tiers tels que UPS.
Utilisateurs de partage. Les utilisateurs sur votre appareil peuvent aussi accéder aux données situées sur les partages. La liste de ces utilisateurs peut être consultée. Elle est par ailleurs supprimée à la suppression des partages.
Pour voir la liste des utilisateurs qui ont accès à un partage ou qui peuvent supprimer un partage, suivez les étapes décrites dans Gérer les partages sur Azure Stack Edge Pro FGPA.
Pour plus d’informations, consultez la Politique de confidentialité Microsoft dans le Centre de gestion de la confidentialité.