Az Azure Stack Edge Pro 2, az Azure Stack Edge Pro R és az Azure Stack Edge Mini R biztonsága és adatvédelem

  • Cikk

ÉRVÉNYES:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Az új technológia bevezetésekor a biztonság jelentős problémát jelent, különösen akkor, ha a technológiát bizalmas vagy védett adatokkal használják. Az Azure Stack Edge Pro R és az Azure Stack Edge Mini R segítségével gondoskodhat arról, hogy csak a jogosult entitások tekinthetik meg, módosíthatják vagy törölhetik az adatokat.

Ez a cikk az Azure Stack Edge Pro R és az Azure Stack Edge Mini R biztonsági funkcióit ismerteti, amelyek segítenek megvédeni az egyes megoldásösszetevőket és a bennük tárolt adatokat.

A megoldás négy fő összetevőből áll, amelyek kölcsönhatásba lépnek egymással:

  • Azure Stack Edge-szolgáltatás, amely nyilvános Azure-felhőben vagy Azure Government-felhőben üzemel. Az eszközrendelés létrehozásához, az eszköz konfigurálásához, majd a megrendelés befejezéséhez használt felügyeleti erőforrás.
  • Azure Stack Edge robusztus eszköz. Az Önnek szállított robusztus fizikai eszköz, amellyel a helyszíni adatokat importálhatja az Azure nyilvános vagy az Azure Government-felhőbe. Az eszköz lehet Azure Stack Edge Pro R vagy Azure Stack Edge Mini R.
  • Az eszközhöz csatlakoztatott ügyfelek/gazdagépek. Az infrastruktúrában lévő ügyfelek, amelyek csatlakoznak az eszközhöz, és olyan adatokat tartalmaznak, amelyeket védeni kell.
  • Felhőbeli tárolás. Az adatok tárolásának helye az Azure felhőplatformon. Ez a hely általában a létrehozott Azure Stack Edge-erőforráshoz társított tárfiók.

Szolgáltatásvédelem

Az Azure Stack Edge szolgáltatás az Azure-ban üzemeltetett felügyeleti szolgáltatás. A szolgáltatás az eszköz konfigurálására és kezelésére szolgál.

  • A Data Box Edge szolgáltatás eléréséhez a szervezetnek Nagyvállalati Szerződés (EA) vagy Felhőszolgáltató (CSP) előfizetéssel kell rendelkeznie. További információ: Regisztráció Azure-előfizetésre.
  • Mivel ez a felügyeleti szolgáltatás az Azure-ban üzemel, az Azure biztonsági funkciói védik. Az Azure által biztosított biztonsági funkciókkal kapcsolatos további információkért látogasson el a Microsoft Azure Adatvédelmi központba.
  • Az SDK felügyeleti műveleteihez lekérheti az erőforrás titkosítási kulcsát az Eszköz tulajdonságai között. A titkosítási kulcsot csak akkor tekintheti meg, ha rendelkezik a Resource Graph API-hoz szükséges engedélyekkel.

Eszközvédelem

A robusztus eszköz egy helyszíni eszköz, amely helyi feldolgozással, majd az Azure-ba küldésével segíti az adatok átalakítását. Az eszköz:

  • Aktiválási kulcsra van szükség az Azure Stack Edge szolgáltatás eléréséhez.

  • Mindig egy eszközjelszó védi.

  • Egy zárolt eszköz. Az eszköz alaplapi felügyeleti vezérlője (BMC) és a BIOS jelszóval védett. A BMC-t korlátozott felhasználói hozzáférés védi.

  • Engedélyezve van a biztonságos rendszerindítás, amely biztosítja, hogy az eszköz csak a Microsoft által biztosított megbízható szoftver használatával induljon el.

  • Futtatja a Windows Defender alkalmazásvezérlőt (WDAC). A WDAC lehetővé teszi, hogy csak olyan megbízható alkalmazásokat futtasson, amelyeket a kódintegritási szabályzatokban definiál.

  • Rendelkezik egy megbízható platformmodullal (TPM), amely hardveralapú, biztonsággal kapcsolatos funkciókat végez. A TPM kezeli és védi az eszközön megőrzendő titkos kulcsokat és adatokat.

  • Csak a szükséges portok nyílnak meg az eszközön, és az összes többi port le van tiltva. További információkért tekintse meg az eszköz portkövetelményeinek listáját.

  • A rendszer naplózza az eszköz hardveréhez és szoftveréhez való minden hozzáférést.

    • Az eszközszoftver esetében a rendszer az alapértelmezett tűzfalnaplókat gyűjti össze az eszközről érkező és kimenő forgalomhoz. Ezek a naplók a támogatási csomagban vannak csomagolva.
    • Az eszköz hardvere esetében a rendszer minden eszközház-eseményt, például az eszközház megnyitását és bezárását naplózza az eszközön.

    A hardver- és szoftverbetörési eseményeket tartalmazó konkrét naplókról, valamint a naplók lekéréséről további információt a Speciális biztonsági naplók összegyűjtése című témakörben talál.

Az eszköz védelme aktiválási kulccsal

Csak egy engedélyezett Azure Stack Edge Pro R- vagy Azure Stack Edge Mini R-eszköz csatlakozhat az Azure-előfizetésben létrehozott Azure Stack Edge szolgáltatáshoz. Az eszköz engedélyezéséhez egy aktiválási kulccsal aktiválnia kell az eszközt az Azure Stack Edge szolgáltatással.

A használt aktiválási kulcs:

  • A Microsoft Entra ID-alapú hitelesítési kulcs.
  • Három nap után lejár.
  • Az eszköz aktiválása után nem használható.

Az eszköz aktiválása után jogkivonatokkal kommunikál az Azure-ral.

További információ: Aktiválási kulcs lekérése.

Az eszköz védelme jelszóval

A jelszavak biztosítják, hogy csak a jogosult felhasználók férhessenek hozzá az adataihoz. Az Azure Stack Edge Pro R-eszközök zárolt állapotban indulnak el.

You can:

  • Csatlakozás az eszköz helyi webes felhasználói felületére egy böngészőn keresztül, majd adjon meg egy jelszót az eszközre való bejelentkezéshez.
  • Távolról csatlakozzon az eszköz PowerShell-felületéhez HTTP-en keresztül. A távfelügyelet alapértelmezés szerint be van kapcsolva. A távfelügyelet úgy is konfigurálva van, hogy az Just Enough Rendszergazda istration (JEA) használatával korlátozza a felhasználók által elvégezhető műveleteket. Ezután megadhatja az eszköz jelszavát az eszközre való bejelentkezéshez. További információ: Csatlakozás távolról az eszközre.
  • Az eszköz helyi Edge-felhasználója korlátozott hozzáféréssel rendelkezik az eszközhöz a kezdeti konfigurációhoz és a hibaelhárításhoz. Az eszközön, az adatátvitelen és a tárolón futó számítási feladatok mindegyike elérhető az Azure nyilvános vagy kormányzati portáljáról a felhőbeli erőforráshoz.

Tartsa szem előtt az alábbi ajánlott eljárásokat:

  • Javasoljuk, hogy az összes jelszót biztonságos helyen tárolja, hogy ne kelljen új jelszót beállítania, ha elfelejti. A felügyeleti szolgáltatás nem tudja lekérni a meglévő jelszavakat. Csak az Azure Portalon keresztül állíthatja alaphelyzetbe őket. Ha alaphelyzetbe állít egy jelszót, mindenképpen értesítse az összes felhasználót az alaphelyzetbe állítás előtt.
  • Az eszköz Windows PowerShell-felületét távolról, HTTP-en keresztül érheti el. Ajánlott biztonsági eljárásként a HTTP-t csak megbízható hálózatokon érdemes használni.
  • Győződjön meg arról, hogy az eszköz jelszavai erősek és jól védettek. Kövesse a jelszóval kapcsolatos ajánlott eljárásokat.
  • A jelszó módosításához használja a helyi webes felhasználói felületet. Ha módosítja a jelszót, mindenképpen értesítse az összes távelérési felhasználót, hogy ne okozzon problémát a bejelentkezés.

Megbízhatóság létrehozása az eszközzel tanúsítványokon keresztül

Az Azure Stack Edge robusztus eszköze lehetővé teszi, hogy saját tanúsítványokat hozzon magával, és telepítse azokat, amelyeket az összes nyilvános végponthoz használni szeretne. További információt a tanúsítvány feltöltése című témakörben talál. Az eszközön telepíthető összes tanúsítvány listáját az eszközön található tanúsítványok kezelése című témakörben találja.

  • Ha az eszközön konfigurálja a számítást, létrejön egy IoT-eszköz és egy IoT Edge-eszköz. Ezek az eszközök automatikusan szimmetrikus hozzáférési kulcsokat kapnak. Biztonsági ajánlott eljárásként ezeket a kulcsokat rendszeresen elforgatják az IoT Hub szolgáltatáson keresztül.

Adatok védelme

Ez a szakasz azokat a biztonsági funkciókat ismerteti, amelyek védik az átvitel közbeni és a tárolt adatokat.

Az inaktív adatok védelme

Az eszközön lévő összes inaktív adat duplán titkosítva van, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről.

Adatok dupla titkosítása

A lemezeken lévő adatokat két titkosítási réteg védi:

  • A titkosítás első rétege a BitLocker XTS-AES 256 bites titkosítás az adatköteteken.
  • A második réteg a beépített titkosítással rendelkező merevlemezek.
  • Az operációsrendszer-kötet egy titkosítási rétege a BitLocker.

Megjegyzés:

Az operációsrendszer-lemez egyrétegű BitLocker XTS-AES-256 szoftvertitkosítással rendelkezik.

Az eszköz aktiválása előtt konfigurálnia kell a inaktív titkosítást az eszközön. Ez egy kötelező beállítás, és amíg a beállítás sikeresen be nem fejeződik, nem aktiválhatja az eszközt.

A gyárban az eszközök rendszerképe után a kötetszintű BitLocker-titkosítás engedélyezve van. Az eszköz fogadása után konfigurálnia kell a inaktív titkosítást. A tárolókészlet és a kötetek újra létrejönnek, és BitLocker-kulcsokat adhat meg a inaktív adatok titkosításának engedélyezéséhez, és így egy újabb titkosítási réteget hozhat létre a inaktív adatok számára.

A rest titkosítási kulcs egy 32 karakter hosszú Base-64 kódolt kulcs, amelyet ön ad meg, és ez a kulcs a tényleges titkosítási kulcs védelmére szolgál. A Microsoft nem rendelkezik hozzáféréssel ehhez a inaktív titkosítási kulcshoz, amely védi az ön adatait. A rendszer az eszköz aktiválása után menti a kulcsot egy kulcsfájlba a Felhő részletei lapon.

Az eszköz aktiválása után a rendszer kérni fogja, hogy mentse a helyreállítási kulcsokat tartalmazó kulcsfájlt, amely segít helyreállítani az eszközön lévő adatokat, ha az eszköz nem indul el. Bizonyos helyreállítási forgatókönyvek a mentett kulcsfájl megadását kérik. A kulcsfájl a következő helyreállítási kulcsokkal rendelkezik:

  • Egy kulcs, amely feloldja az első titkosítási réteget.
  • Egy kulcs, amely feloldja a hardveres titkosítást az adatlemezeken.
  • Egy kulcs, amely segít helyreállítani az eszközkonfigurációt az operációsrendszer-köteteken.
  • Egy kulcs, amely védi az Azure-szolgáltatáson keresztül áramló adatokat.

Fontos

Mentse a kulcsfájlt az eszközön kívüli biztonságos helyre. Ha az eszköz nem indul el, és nincs meg a kulcs, az adatvesztést okozhat.

Korlátozott hozzáférés az adatokhoz

A megosztásokban és tárfiókokban tárolt adatokhoz való hozzáférés korlátozott.

  • A megosztási adatokat elérő SMB-ügyfeleknek a megosztáshoz társított felhasználói hitelesítő adatokra van szükségük. Ezek a hitelesítő adatok a megosztás létrehozásakor lesznek meghatározva.
  • A megosztáshoz hozzáférő NFS-ügyfeleknek explicit módon kell hozzáadniuk az IP-címüket a megosztás létrehozásakor.
  • Az eszközön létrehozott Edge-tárfiókok helyiek, és az adatlemezek titkosítása védi. AzOkat az Azure Storage-fiókokat, amelyekre ezek az Edge-tárfiókok vannak leképezve, előfizetés védi, és az Edge-tárfiókhoz társított két 512 bites tárelérési kulcsot (ezek a kulcsok eltérnek az Azure Storage-fiókokhoz társítottaktól). További információ: Adatok védelme tárfiókokban.
  • A BitLocker XTS-AES 256 bites titkosítás a helyi adatok védelmére szolgál.

Biztonságos adattörlés

Amikor az eszköz kemény visszaállításon megy keresztül, a rendszer biztonságos törlést hajt végre az eszközön. A biztonságos törlés adattörléseket hajt végre a lemezeken az NIST SP 800-88r1 törlésével.

Adatok védelme repülés közben

Repülés közbeni adatok esetén:

  • A Standard Transport Layer Security (TLS) 1.2 az eszköz és az Azure között áthaladó adatokhoz használható. A TLS 1.1-es és korábbi verzióira nincs tartalék. Az ügynök kommunikációja le lesz tiltva, ha a TLS 1.2 nem támogatott. A portál- és SDK-felügyelethez TLS 1.2 szükséges.

  • Amikor az ügyfelek egy böngésző helyi webes felhasználói felületén keresztül férnek hozzá az eszközhöz, a standard TLS 1.2 lesz az alapértelmezett biztonságos protokoll.

    • Az ajánlott eljárás a böngésző konfigurálása a TLS 1.2 használatára.
    • Az eszköz csak a TLS 1.2-t támogatja, és nem támogatja a TLS 1.1 és a TLS 1.0 régebbi verzióit.

  • Javasoljuk, hogy az SMB 3.0 titkosítással védje az adatokat az adatkiszolgálókról való másoláskor.

Adatok védelme tárfiókokban

Az eszköze társítva van a tárfiókhoz, amelyet az Azure-ban tárolt adatok célhelyeként szolgál. A tárfiók elérését az előfizetés és két 512 bites tárelérési kulcs szabályozza, amelyek társítva vannak a tárfiókkal.

Az egyik kulcs hitelesítésre használatos, amikor az Azure Stack Edge-eszköz hozzáfér a tárfiókhoz. A másik kulcs a tartalék, így a kulcsok rendszeresen lecserélhetők.

Biztonsági okokból számos adatközpont megköveteli a kulcsváltást. Azt javasoljuk, hogy kövesse a kulcsváltás ajánlott eljárásait:

  • A tárfiók kulcsa hasonlít a tárfiók rendszergazdai jelszavához. Ügyeljen a fiókja kulcsának védelmére. Ne ossza meg a jelszót más felhasználókkal, rögzítse szoftveresen, vagy mentse el egy mások által is elérhető egyszerű szövegbe.
  • Hozza létre újra a fiókkulcsot az Azure Portalon, ha úgy gondolja, hogy az veszélybe kerülhet.
  • Az Azure-rendszergazdának rendszeresen módosítania vagy újra kell létrehoznia az elsődleges vagy másodlagos kulcsot az Azure Portal Storage szakaszával a tárfiók közvetlen eléréséhez.
  • Saját titkosítási kulccsal is megvédheti az Azure Storage-fiókjában tárolt adatokat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az adatok védelméről további információt az Azure Storage-fiók ügyfél által felügyelt kulcsainak engedélyezése című témakörben talál.

Személyes adatok kezelése

Az Azure Stack Edge szolgáltatás a következő esetekben gyűjt személyes adatokat:

  • Rendelés részletei. A megrendelés létrehozásakor a rendszer a felhasználó szállítási címét, e-mail-címét és kapcsolattartási adatait az Azure Portalon tárolja. A mentett információk a következők:

    • Kapcsolattartó neve

    • Phone number

    • E-mail-cím

    • Utca, házszám

    • City

    • Irányítószám/irányítószám

    • State

    • Ország/régió/tartomány

    • Szállítmány nyomkövetési száma

      A rendelés részletei titkosítva vannak, és a szolgáltatásban vannak tárolva. A szolgáltatás mindaddig megőrzi az adatokat, amíg ön nem törli az erőforrást vagy a rendelést. Az erőforrás és a megfelelő rendelés törlése az eszköz szállításának időpontjától kezdve az eszköz Microsofthoz való visszatéréséig le lesz tiltva.

  • Szállítási cím. A megrendelés leadása után a Data Box szolgáltatás megadja a szállítási címet külső szolgáltatóknak, például a UPS-nek.

  • Felhasználók megosztása. Az eszköz felhasználói hozzáférhetnek a megosztásokon található adatokhoz is. Megtekintheti a megosztási adatokhoz hozzáférő felhasználók listáját. A megosztások törlésekor a lista is törlődik.

A megosztások elérésére vagy törlésére jogosult felhasználók listájának megtekintéséhez kövesse a Megosztások kezelése az Azure Stack Edge-en című szakasz lépéseit.

További információkért tekintse át a Microsoft adatvédelmi szabályzatát az Adatvédelmi központban.

Következő lépések

Az Azure Stack Edge Pro R-eszköz üzembe helyezése