Perlindungan keamanan dan data untuk Azure Stack Edge Pro 2, Azure Stack Edge Pro R, dan Azure Stack Edge Mini R

  • Artikel

BERLAKU UNTUK:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Keamanan adalah perhatian utama ketika Anda mengadopsi teknologi baru, terutama jika teknologi digunakan dengan data rahasia atau kepemilikan. Azure Stack Edge Pro R dan Azure Stack Edge Mini R membantu Anda memastikan bahwa hanya entitas yang berwenang yang dapat melihat, memodifikasi, atau menghapus data Anda.

Artikel ini menjelaskan fitur keamanan Azure Stack Edge Pro R dan Azure Stack Edge Mini R yang membantu melindungi setiap komponen solusi dan data yang disimpan di dalamnya.

Solusinya terdiri dari empat komponen utama yang berinteraksi satu sama lain:

  • Layanan Azure Stack Edge, dihosting di publik Azure atau Azure Government cloud. Sumber daya manajemen yang Anda gunakan untuk membuat pesanan perangkat, mengonfigurasi perangkat, lalu melacak urutan penyelesaian.
  • Azure Stack Edge perangkat kasar. Perangkat fisik kasar yang dikirimkan kepada Anda sehingga Anda dapat mengimpor data lokal Anda ke cloud publik Azure atau Azure Government. Perangkat ini bisa menjadi Azure Stack Edge Pro R atau Azure Stack Edge Mini R.
  • Klien/host yang terhubung ke perangkat. Klien dalam infrastruktur Anda yang terhubung ke perangkat dan berisi data yang perlu dilindungi.
  • Penyimpanan cloud. Lokasi di platform cloud Azure tempat data disimpan. Lokasi ini biasanya merupakan akun penyimpanan yang ditautkan ke sumber daya Azure Stack Edge yang Anda buat.

Perlindungan layanan

Layanan Azure Stack Edge adalah layanan manajemen yang dihosting di Azure. Layanan ini digunakan untuk mengonfigurasi dan mengelola perangkat.

  • Untuk mengakses layanan Edge Data Box, organisasi Anda harus memiliki langganan Perjanjian Enterprise (EA) atau Penyedia Solusi Cloud (CSP). Untuk informasi selengkapnya, lihat Mendaftar untuk langganan Azure.
  • Karena layanan manajemen ini dihosting di Azure, layanan ini dilindungi oleh fitur keamanan Azure. Untuk informasi selengkapnya tentang fitur keamanan yang diberikan oleh Azure, buka Pusat Kepercayaan Microsoft Azure.
  • Untuk operasi manajemen SDK, Anda bisa mendapatkan kunci enkripsi untuk sumber daya di Properti perangkat. Anda dapat melihat kunci enkripsi hanya jika Anda memiliki izin API Azure Resource Graph.

Perlindungan perangkat

Perangkat kasar adalah perangkat lokal yang membantu mengubah data Anda dengan memprosesnya secara lokal lalu mengirimkannya ke Azure. Perangkat Anda:

  • Memerlukan kunci aktivasi untuk mengakses layanan Azure Stack Edge.

  • Selalu terlindungi oleh kata sandi perangkat.

  • Adalah perangkat yang dikunci. Perangkat pengontrol manajemen baseboard (BMC) dan BIOS dilindungi kata sandi. BIOS dilindungi oleh akses pengguna yang terbatas.

  • Memiliki boot aman yang diaktifkan yang memastikan perangkat boot up hanya menggunakan perangkat lunak tepercaya yang disediakan oleh Microsoft.

  • Menjalankan Kontrol Aplikasi Pertahanan Windows (WDAC). WDAC memungkinkan Anda menjalankan hanya aplikasi tepercaya yang Anda tentukan dalam kebijakan integritas kode Anda.

  • Memiliki Modul Platform Kepercayaan (TPM) yang menjalankan fungsi berbasis perangkat keras terkait keamanan. Secara khusus, TPM mengelola dan melindungi rahasia dan data yang perlu dipertahankan pada perangkat.

  • Hanya porta yang diperlukan yang dibuka pada perangkat dan semua port lainnya diblokir. Untuk informasi selengkapnya, lihat daftar persyaratan Port untuk perangkat.

  • Semua akses ke perangkat keras perangkat serta perangkat lunak dicatat.

    • Perhatikan bahwa intrusi perangkat lunak atau log firewall default dikumpulkan untuk lalu lintas masuk dan keluar. Log ini di bundel dalam paket dukungan.
    • Untuk perangkat keras perangkat, semua peristiwa sasis perangkat seperti pembukaan dan penutupan sasis perangkat, dicatat di perangkat.

    Untuk informasi lebih lanjut tentang log tertentu yang berisi peristiwa intrusi perangkat keras dan perangkat lunak dan cara mendapatkan log, buka Mengumpulkan log keamanan tingkat lanjut.

Melindungi perangkat melalui kunci aktivasi

Hanya perangkat Azure Stack Edge Pro R atau Azure Stack Edge Mini R resmi yang diizinkan untuk bergabung dengan layanan Azure Stack Edge yang Anda buat di langganan Azure Anda. Untuk mengotorisasi perangkat, Anda perlu menggunakan kunci aktivasi untuk mengaktifkan perangkat dengan layanan Azure Stack Edge.

Kunci aktivasi yang Anda gunakan:

  • Adalah kunci autentikasi berbasis ID Microsoft Entra.
  • Kedaluwarsa setelah tiga hari.
  • Tidak digunakan setelah aktivasi perangkat.

Setelah Anda mengaktifkan perangkat, perangkat menggunakan token untuk berkomunikasi dengan Azure.

Untuk informasi selengkapnya, lihat Mendapatkan kunci aktivasi.

Lindungi perangkat melalui kata sandi

Kata sandi memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses data Anda. Perangkat Azure Stack Edge Pro R di-boot dalam keadaan terkunci.

Anda dapat:

  • Menyambungkan ke antarmuka pengguna web lokal perangkat melalui browser lalu berikan kata sandi untuk masuk ke perangkat.
  • Menyambungkan dari jarak jauh ke antarmuka perangkat PowerShell melalui HTTP. Manajemen jarak jauh diaktifkan secara default. Manajemen jarak jauh juga dikonfigurasi untuk menggunakan Just Enough Administration (JEA) untuk membatasi apa yang dapat dilakukan pengguna. Anda kemudian dapat memberikan kata sandi perangkat untuk masuk ke perangkat. Untuk informasi selengkapnya, lihat Menyambungkan dari jarak jauh ke perangkat Anda.
  • Pengguna Azure Stack Edge lokal pada perangkat memiliki akses terbatas ke perangkat untuk konfigurasi awal, dan pemecahan masalah. Beban kerja komputasi yang berjalan di perangkat, transfer data, dan penyimpanan semuanya dapat diakses dari portal publik atau pemerintah Azure untuk sumber daya di cloud.

Ingatlah praktik terbaik ini:

  • Kami menyarankan Anda menyimpan semua kata sandi di tempat yang aman sehingga tidak perlu mengatur ulang kata sandi jika lupa. Layanan manajemen tidak dapat mengambil kata sandi yang ada. Layanan manajemen hanya dapat mengatur ulang sandi melalui portal Azure. Jika Anda mengatur ulang sandi, pastikan untuk memberi tahu semua pengguna sebelum mengatur ulang.
  • Anda dapat mengakses antarmuka Windows PowerShell perangkat Anda dari jarak jauh melalui HTTP. Sebagai praktik terbaik keamanan, Anda harus menggunakan HTTP hanya di jaringan tepercaya.
  • Pastikan kata sandi perangkat kuat dan terlindungi dengan baik. Ikuti praktik terbaik kata sandi.
  • Gunakan antarmuka pengguna web lokal untuk Mengubah kata sandi. Jika Anda mengubah kata sandi, pastikan untuk memberi tahu semua pengguna akses jarak jauh agar tidak mengalami masalah saat masuk.

Membangun kepercayaan dengan perangkat melalui sertifikat

Perangkat kasar Azure Stack Edge memungkinkan Anda membawa sertifikat Anda sendiri dan menginstalnya untuk digunakan untuk semua titik akhir publik. Untuk informasi selengkapnya, buka Mengunggah sertifikat Anda. Untuk daftar semua sertifikat yang bisa dipasang di perangkat Anda, buka Mengelola sertifikat di perangkat Anda.

  • Saat Anda mengonfigurasi komputasi di perangkat Anda, perangkat IoT dan perangkat IoT Edge dibuat. Perangkat ini secara otomatis diberi kunci akses simetris. Agar keamanan terjamin, kunci ini diputar secara teratur melalui layanan IoT Hub.

Lindungi data Anda

Bagian ini menjelaskan fitur keamanan yang melindungi data dalam transit dan disimpan.

Lindungi data yang tidak aktif

Semua data tidak aktif yang ada di perangkat dienkripsi ganda, akses ke data dikontrol dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data.

Enkripsi ganda data

Data pada disk Anda dilindungi oleh dua lapisan enkripsi:

  • Lapisan enkripsi pertama adalah enkripsi BitLocker XTS-AES 256-bit pada volume data.
  • Lapisan kedua adalah hard disk yang memiliki enkripsi bawaan.
  • Volume OS memiliki BitLocker sebagai lapisan enkripsi tunggal.

Catatan

Disk OS memiliki enkripsi perangkat lunak BitLocker XTS-AES-256 lapisan tunggal.

Sebelum mengaktifkan perangkat, Anda diharuskan untuk mengonfigurasi enkripsi saat istirahat di perangkat Anda. Ini adalah pengaturan yang diperlukan dan sampai ini berhasil dikonfigurasi, Anda tidak dapat mengaktifkan perangkat.

Di pabrik, setelah perangkat digambar, tingkat volume enkripsi BitLocker diaktifkan. Setelah Anda menerima perangkat, Anda perlu mengonfigurasi enkripsi saat tidak aktif. Kumpulan penyimpanan dan volume dibuat ulang dan Anda dapat menyediakan kunci BitLocker untuk mengaktifkan enkripsi saat tidak aktif dan dengan demikian membuat lapisan enkripsi kedua untuk data Anda saat tidak aktif.

Kunci enkripsi tidak aktif adalah kunci berkode Base-64 dengan panjang 32 karakter yang Anda sediakan dan kunci ini digunakan untuk melindungi kunci enkripsi yang sebenarnya. Microsoft tidak memiliki akses ke kunci enkripsi tidak aktif ini yang melindungi data Anda. Kunci disimpan dalam file kunci di halaman Detail cloud setelah perangkat diaktifkan.

Ketika perangkat diaktifkan, Anda diminta untuk menyimpan file kunci yang berisi kunci pemulihan yang membantu memulihkan data pada perangkat jika perangkat tidak boot up. Skenario pemulihan tertentu akan meminta Anda untuk file kunci yang telah Anda simpan. File kunci memiliki kunci pemulihan berikut:

  • Kunci yang membuka lapisan enkripsi pertama.
  • Kunci yang membuka enkripsi perangkat keras di disk data.
  • Kunci yang membantu memulihkan konfigurasi perangkat pada volume OS.
  • Kunci ini melindungi data yang mengalir melalui layanan Azure.

Penting

Simpan file kunci di lokasi aman di luar perangkat itu sendiri. Jika perangkat tidak boot up, dan Anda tidak memiliki kunci, itu berpotensi mengakibatkan kehilangan data.

Akses terbatas ke data

Akses ke data yang disimpan di akun berbagi dan penyimpanan dibatasi.

  • Klien SMB yang mengakses data berbagi memerlukan kredensial pengguna yang terkait dengan berbagi. Info masuk ini ditentukan saat berbagi dibuat.
  • Klien NFS yang mengakses berbagi harus menambahkan alamat IP mereka secara eksplisit saat berbagi dibuat.
  • Akun penyimpanan Azure Stack Edge yang dibuat di perangkat lokal dan dilindungi oleh enkripsi pada disk data. Akun penyimpanan Azure yang dipetakan oleh akun penyimpanan Azure Stack Edge ini dilindungi oleh langganan dan dua kunci akses penyimpanan 512-bit yang terkait dengan akun penyimpanan Azure Storage Edge (kunci ini berbeda dari yang terkait dengan akun Azure Storage Anda). Untuk informasi selengkapnya, lihat Memproteksi data di akun penyimpanan.
  • Enkripsi BitLocker XTS-AES 256-bit digunakan untuk melindungi data lokal.

Penghapusan data yang aman

Saat perangkat mengalami reset kasar, penghapusan aman dilakukan pada perangkat. Penghapusan aman melakukan penghapusan data pada disk menggunakan pembersihan NIST SP 800-88r1.

Lindungi data dalam penerbangan

Untuk data dalam penerbangan:

  • Keamanan Lapisan Transportasi Standar (TLS) 1.2 digunakan untuk data yang melakukan perjalanan antara perangkat dan Azure. Tidak ada fallback ke TLS 1.1 dan yang lebih awal. Komunikasi agen akan diblokir jika TLS 1.2 tidak didukung. TLS 1.2 juga diperlukan untuk manajemen portal dan SDK.

  • Saat klien mengakses perangkat melalui UI web lokal browser, TLS 1.2 standar digunakan sebagai protokol aman default.

    • Praktik terbaik adalah mengonfigurasi browser Anda untuk menggunakan TLS 1.2.
    • Perangkat Anda hanya mendukung TLS 1.2 dan tidak mendukung versi lama TLS 1.1 atau TLS 1.0.

  • Sebaiknya Anda menggunakan SMB 3.0 dengan enkripsi untuk melindungi data saat Anda menyalinnya dari server data.

Memproteksi data di akun penyimpanan

Perangkat Anda dikaitkan dengan akun penyimpanan yang digunakan sebagai tujuan data Anda di Azure. Akses ke akun penyimpanan dikontrol oleh langganan dan dua kunci akses penyimpanan 512-bit yang terkait dengan akun penyimpanan tersebut.

Salah satu kunci digunakan untuk autentikasi saat perangkat Azure Stack Edge mengakses akun penyimpanan. Kunci lainnya dipegang sebagai cadangan, sehingga Anda dapat merotasi kunci secara berkala.

Untuk alasan keamanan, banyak pusat data memerlukan rotasi kunci. Sebaiknya ikuti praktik terbaik untuk rotasi kunci ini:

  • Kunci akun penyimpanan Anda mirip dengan kata sandi akar untuk akun penyimpanan Anda. Lindungi kunci akun Anda dengan hati-hati. Jangan membagikan kata sandi ke pengguna lain, di-hard code, atau menyimpannya di mana saja dalam teks biasa yang dapat diakses oleh orang lain.
  • Regenerasi kunci akun Anda melalui portal Azure jika Anda merasa bahwa akun Anda dapat disusupi.
  • Admin Azure Anda harus secara berkala mengubah atau meregenerasi kunci primer atau sekunder menggunakan bagian Penyimpanan portal Azure untuk mengakses akun penyimpanan secara langsung.
  • Anda juga dapat menggunakan kunci enkripsi Anda sendiri untuk melindungi data di akun penyimpanan Azure. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya tentang cara mengamankan data, lihat Mengaktifkan kunci yang dikelola pelanggan untuk akun Azure Storage Anda.

Mengelola informasi pribadi

Layanan Azure Stack Edge mengumpulkan informasi pribadi dalam skenario berikut:

  • Detail pesanan. Saat pesanan dibuat, alamat pengiriman, alamat email, dan informasi kontak pengguna disimpan di portal Azure. Informasi yang disimpan meliputi:

    • Nama kontak

    • Nomor telepon

    • Alamat email

    • Alamat jalan

    • Kota

    • Kode ZIP/kode pos

    • Provinsi

    • Negara/wilayah/provinsi

    • Nomor pelacakan pengiriman

      Detail pesanan dienkripsi dan disimpan dalam layanan. Layanan ini menyimpan informasi hingga Anda secara eksplisit menghapus sumber daya atau pesanan. Penghapusan sumber daya dan pesanan yang sesuai diblokir sejak perangkat dikirim hingga perangkat kembali ke Microsoft.

  • Alamat pengiriman. Setelah pesanan dilakukan, layanan Data Box menyediakan alamat pengiriman ke operator pihak ketiga seperti UPS.

  • Bagikan pengguna. Pengguna di perangkat Anda juga dapat mengakses data yang terletak di berbagi. Daftar pengguna yang dapat mengakses data berbagi dapat ditampilkan. Saat berbagi dihapus, daftar ini juga dihapus.

Untuk menampilkan daftar pengguna yang bisa mengakses atau menghapus berbagi, ikuti langkah-langkah dalam Mengelola berbagi di Azure Stack Edge.

Untuk informasi selengkapnya, tinjau kebijakan privasi Microsoft di Pusat Kepercayaan.

Langkah berikutnya

Sebarkan perangkat Azure Stack Edge Pro R Anda