Beveiliging en gegevensbescherming voor Azure Stack Edge Pro 2, Azure Stack Edge Pro R en Azure Stack Edge Mini R

  • Artikel

VAN TOEPASSING OP:Yes for Pro 2 SKU Azure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Beveiliging is een belangrijke zorg wanneer u een nieuwe technologie gebruikt, vooral als de technologie wordt gebruikt met vertrouwelijke of bedrijfseigen gegevens. Met Azure Stack Edge Pro R en Azure Stack Edge Mini R kunt u ervoor zorgen dat alleen geautoriseerde entiteiten uw gegevens kunnen bekijken, wijzigen of verwijderen.

In dit artikel worden de beveiligingsfuncties van Azure Stack Edge Pro R en Azure Stack Edge Mini R beschreven waarmee elk van de oplossingsonderdelen en de daarin opgeslagen gegevens worden beschermd.

De oplossing bestaat uit vier hoofdonderdelen die met elkaar communiceren:

  • Azure Stack Edge-service, gehost in de openbare Azure- of Azure Government-cloud. De beheerresource die u gebruikt om de apparaatvolgorde te maken, het apparaat te configureren en vervolgens de order bij te houden voor voltooiing.
  • Robuust Azure Stack Edge-apparaat. Het robuuste, fysieke apparaat dat naar u wordt verzonden, zodat u uw on-premises gegevens kunt importeren in de openbare Azure- of Azure Government-cloud. Het apparaat kan Azure Stack Edge Pro R of Azure Stack Edge Mini R zijn.
  • Clients/hosts die zijn verbonden met het apparaat. De clients in uw infrastructuur die verbinding maken met het apparaat en gegevens bevatten die moeten worden beveiligd.
  • Cloudopslag. De locatie in het Azure-cloudplatform waar gegevens worden opgeslagen. Deze locatie is doorgaans het opslagaccount dat is gekoppeld aan de Azure Stack Edge-resource die u maakt.

Servicebeveiliging

De Azure Stack Edge-service is een beheerservice die wordt gehost in Azure. De service wordt gebruikt voor het configureren en beheren van het apparaat.

  • Voor toegang tot de Data Box Edge-service moet uw organisatie een abonnement hebben op Enterprise Overeenkomst (EA) of Cloud Solution Provider (CSP). Zie Registreren voor een Azure-abonnement voor meer informatie.
  • Omdat deze beheerservice wordt gehost in Azure, wordt deze beveiligd door de Azure-beveiligingsfuncties. Ga naar het Vertrouwenscentrum van Microsoft Azure voor meer informatie over de beveiligingsfuncties van Azure.
  • Voor SDK-beheerbewerkingen kunt u de versleutelingssleutel voor uw resource ophalen in apparaateigenschappen. U kunt de versleutelingssleutel alleen weergeven als u machtigingen hebt voor de Resource Graph API.

Apparaatbeveiliging

Het robuuste apparaat is een on-premises apparaat waarmee u uw gegevens kunt transformeren door deze lokaal te verwerken en vervolgens naar Azure te verzenden. Uw apparaat:

  • Er is een activeringssleutel nodig voor toegang tot de Azure Stack Edge-service.

  • Wordt altijd beveiligd door een apparaatwachtwoord.

  • Is een vergrendeld apparaat. De baseboard-beheercontroller (BMC) en BIOS van het apparaat zijn beveiligd met een wachtwoord. De BMC wordt beveiligd door beperkte gebruikerstoegang.

  • Heeft beveiligd opstarten ingeschakeld dat ervoor zorgt dat het apparaat alleen wordt opgestart met behulp van de vertrouwde software van Microsoft.

  • Windows Defender Application Control (WDAC) wordt uitgevoerd. Met WDAC kunt u alleen vertrouwde toepassingen uitvoeren die u in uw code-integriteitsbeleid definieert.

  • Heeft een TPM (Trusted Platform Module) die hardwaregebaseerde, beveiligingsgerelateerde functies uitvoert. Met name de TPM beheert en beveiligt geheimen en gegevens die op het apparaat moeten worden bewaard.

  • Alleen de vereiste poorten worden geopend op het apparaat en alle andere poorten worden geblokkeerd. Zie de lijst met poortvereisten voor het apparaat voor meer informatie.

  • Alle toegang tot de hardware van het apparaat en de software wordt geregistreerd.

    • Voor de apparaatsoftware worden standaardfirewalllogboeken verzameld voor binnenkomend en uitgaand verkeer van het apparaat. Deze logboeken worden gebundeld in het ondersteuningspakket.
    • Voor de apparaathardware worden alle chassisgebeurtenissen van het apparaat, zoals het openen en sluiten van het apparaatchassis, geregistreerd op het apparaat.

    Voor meer informatie over de specifieke logboeken die de hardware- en softwareinbraak-gebeurtenissen bevatten en hoe u de logboeken kunt ophalen, gaat u naar Geavanceerde beveiligingslogboeken verzamelen.

Het apparaat beveiligen via activeringssleutel

Alleen een geautoriseerd Azure Stack Edge Pro R- of Azure Stack Edge Mini R-apparaat mag deelnemen aan de Azure Stack Edge-service die u in uw Azure-abonnement maakt. Als u een apparaat wilt autoriseren, moet u een activeringssleutel gebruiken om het apparaat te activeren met de Azure Stack Edge-service.

De activeringssleutel die u gebruikt:

  • Is een verificatiesleutel op basis van Microsoft Entra ID.
  • Verloopt na drie dagen.
  • Wordt niet gebruikt na de activering van het apparaat.

Nadat u een apparaat hebt geactiveerd, worden tokens gebruikt om te communiceren met Azure.

Zie Een activeringssleutel ophalen voor meer informatie.

Het apparaat beveiligen via een wachtwoord

Wachtwoorden zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot uw gegevens. Azure Stack Edge Pro R-apparaten worden opgestart in een vergrendelde status.

U kunt:

  • Verbinding maken via een browser naar de lokale webgebruikersinterface van het apparaat en geef vervolgens een wachtwoord op om u aan te melden bij het apparaat.
  • Maak op afstand verbinding met de PowerShell-interface van het apparaat via HTTP. Extern beheer is standaard ingeschakeld. Extern beheer is ook geconfigureerd voor het gebruik van Just Enough Beheer istration (JEA) om te beperken wat de gebruikers kunnen doen. Vervolgens kunt u het apparaatwachtwoord opgeven om u aan te melden bij het apparaat. Zie Verbinding maken op afstand naar uw apparaat voor meer informatie.
  • De lokale Edge-gebruiker op het apparaat heeft beperkte toegang tot het apparaat voor de eerste configuratie en probleemoplossing. De rekenworkloads die worden uitgevoerd op het apparaat, de gegevensoverdracht en de opslag zijn allemaal toegankelijk via de openbare Azure- of overheidsportal voor de resource in de cloud.

Houd rekening met deze aanbevolen procedures:

  • U wordt aangeraden alle wachtwoorden op een veilige plaats op te slaan, zodat u een wachtwoord niet opnieuw hoeft in te stellen als u dit bent vergeten. De beheerservice kan bestaande wachtwoorden niet ophalen. Ze kunnen alleen opnieuw worden ingesteld via Azure Portal. Als u een wachtwoord opnieuw instelt, moet u alle gebruikers waarschuwen voordat u het opnieuw instelt.
  • U hebt toegang tot de Windows PowerShell-interface van uw apparaat op afstand via HTTP. Als best practice voor beveiliging moet u alleen HTTP op vertrouwde netwerken gebruiken.
  • Zorg ervoor dat apparaatwachtwoorden sterk en goed zijn beveiligd. Volg de aanbevolen procedures voor wachtwoorden.
  • Gebruik de lokale webinterface om het wachtwoord te wijzigen. Als u het wachtwoord wijzigt, moet u ervoor zorgen dat alle gebruikers van externe toegang op de hoogte worden gesteld, zodat ze zich niet kunnen aanmelden.

Vertrouwen met het apparaat tot stand brengen via certificaten

Met een robuust Azure Stack Edge-apparaat kunt u uw eigen certificaten meenemen en deze installeren die moeten worden gebruikt voor alle openbare eindpunten. Ga naar Uw certificaat uploaden voor meer informatie. Voor een lijst met alle certificaten die op uw apparaat kunnen worden geïnstalleerd, gaat u naar Certificaten op uw apparaat beheren.

  • Wanneer u rekenkracht op uw apparaat configureert, worden er een IoT-apparaat en een IoT Edge-apparaat gemaakt. Aan deze apparaten worden automatisch symmetrische toegangssleutels toegewezen. Als best practice voor beveiliging worden deze sleutels regelmatig geroteerd via de IoT Hub-service.

Uw gegevens beveiligen

In deze sectie worden de beveiligingsfuncties beschreven die in-transit en opgeslagen gegevens beschermen.

Data-at-rest beschermen

Alle data-at-rest op het apparaat is dubbel versleuteld, de toegang tot gegevens wordt beheerd en zodra het apparaat is gedeactiveerd, worden de gegevens veilig gewist van de gegevensschijven.

Dubbele versleuteling van gegevens

Gegevens op uw schijven worden beveiligd door twee versleutelingslagen:

  • De eerste versleutelingslaag is de BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes.
  • De tweede laag is de harde schijven die een ingebouwde versleuteling hebben.
  • Het besturingssysteemvolume heeft BitLocker als één versleutelingslaag.

Notitie

De besturingssysteemschijf heeft softwareversleuteling met één laag BitLocker XTS-AES-256.

Voordat u het apparaat activeert, moet u versleuteling-at-rest op uw apparaat configureren. Dit is een vereiste instelling en totdat deze is geconfigureerd, kunt u het apparaat niet activeren.

In de fabriek wordt BitLocker-versleuteling op volumeniveau ingeschakeld zodra er een installatiekopie op de apparaten is geplaatst. Nadat u het apparaat hebt ontvangen, moet u de versleuteling 'at rest' configureren. De opslaggroep en volumes worden opnieuw gemaakt en u kunt BitLocker-sleutels opgeven om versleuteling-at-rest in te schakelen en zo een andere versleutelingslaag te maken voor uw data-at-rest.

De versleutelings-at-rest-sleutel is een met Base-64 gecodeerde sleutel van 32 tekens die u opgeeft en deze sleutel wordt gebruikt om de daadwerkelijke versleutelingssleutel te beveiligen. Microsoft heeft geen toegang tot deze versleuteling-at-rest-sleutel die uw gegevens beveiligt. De sleutel wordt opgeslagen in een sleutelbestand op de pagina Cloudgegevens nadat het apparaat is geactiveerd.

Wanneer het apparaat is geactiveerd, wordt u gevraagd het sleutelbestand op te slaan dat herstelsleutels bevat waarmee de gegevens op het apparaat kunnen worden hersteld als het apparaat niet opstart. In bepaalde herstelscenario's wordt u gevraagd om het sleutelbestand dat u hebt opgeslagen. Het sleutelbestand heeft de volgende herstelsleutels:

  • Een sleutel waarmee de eerste versleutelingslaag wordt ontgrendeld.
  • Een sleutel waarmee de hardwareversleuteling in de gegevensschijven wordt ontgrendeld.
  • Een sleutel waarmee de apparaatconfiguratie op de besturingssysteemvolumes kan worden hersteld.
  • Een sleutel die de gegevens beveiligt die via de Azure-service stromen.

Belangrijk

Sla het sleutelbestand op een veilige locatie buiten het apparaat zelf op. Als het apparaat niet opstart en u de sleutel niet hebt, kan dit leiden tot gegevensverlies.

Beperkte toegang tot gegevens

De toegang tot gegevens die zijn opgeslagen in shares en opslagaccounts is beperkt.

  • SMB-clients die toegang hebben tot sharegegevens, hebben gebruikersreferenties nodig die zijn gekoppeld aan de share. Deze referenties worden gedefinieerd wanneer de share wordt gemaakt.
  • NFS-clients die toegang hebben tot een share, moeten hun IP-adres expliciet laten toevoegen wanneer de share wordt gemaakt.
  • De Edge-opslagaccounts die op het apparaat zijn gemaakt, zijn lokaal en worden beveiligd door de versleuteling op de gegevensschijven. De Azure-opslagaccounts waaraan deze Edge-opslagaccounts zijn toegewezen, worden beveiligd door een abonnement en twee 512-bits toegangssleutels voor opslag die zijn gekoppeld aan het Edge-opslagaccount (deze sleutels zijn anders dan de sleutels die zijn gekoppeld aan uw Azure Storage-accounts). Zie Gegevens beveiligen in opslagaccounts voor meer informatie.
  • BitLocker XTS-AES 256-bits versleuteling wordt gebruikt om lokale gegevens te beveiligen.

Gegevens verwijderen beveiligen

Wanneer het apparaat een harde reset ondergaat, wordt een veilig wissen uitgevoerd op het apparaat. Met veilig wissen worden gegevens gewist op de schijven met behulp van de NIST SP 800-88r1 opschoning.

Gegevens beveiligen tijdens de vlucht

Voor gegevens in vlucht:

  • Standaard TLS (Transport Layer Security) 1.2 wordt gebruikt voor gegevens die tussen het apparaat en Azure worden verzonden. Er is geen terugval naar TLS 1.1 en eerder. Agentcommunicatie wordt geblokkeerd als TLS 1.2 niet wordt ondersteund. TLS 1.2 is ook vereist voor portal- en SDK-beheer.

  • Wanneer clients toegang hebben tot uw apparaat via de lokale webinterface van een browser, wordt standaard TLS 1.2 gebruikt als het standaardbeveiligingsprotocol.

    • De aanbevolen procedure is om uw browser te configureren voor het gebruik van TLS 1.2.
    • Uw apparaat ondersteunt alleen TLS 1.2 en biedt geen ondersteuning voor oudere versies TLS 1.1 of TLS 1.0.

  • U wordt aangeraden SMB 3.0 te gebruiken met versleuteling om gegevens te beveiligen wanneer u deze kopieert van uw gegevensservers.

Gegevens in opslagaccounts beveiligen

Uw apparaat is gekoppeld aan een opslagaccount dat wordt gebruikt als een bestemming voor uw gegevens in Azure. De toegang tot het opslagaccount wordt bepaald door het abonnement en twee 512-bits opslagtoegangssleutels die aan dat opslagaccount zijn gekoppeld.

Een van de sleutels wordt gebruikt voor verificatie wanneer het Azure Stack Edge-apparaat toegang heeft tot het opslagaccount. De andere sleutel wordt als reserve bewaard, zodat u de sleutels regelmatig kunt omwisselen.

Om veiligheidsredenen eisen veel datacenters dat sleutels regelmatig worden omgewisseld. We raden u aan de volgende aanbevolen procedures te volgen voor het omwisselen van sleutels:

  • De sleutel van uw opslagaccount is vergelijkbaar met het hoofdwachtwoord voor uw opslagaccount. Bewaar uw accountsleutel op een veilige plaats. Geef het wachtwoord niet aan andere gebruikers, leg het niet vast in code en sla het niet in tekst zonder opmaak op die voor anderen toegankelijk is.
  • Genereer uw accountsleutel opnieuw via Azure Portal als u denkt dat deze kan worden aangetast.
  • Uw Azure-beheerder moet de primaire of secundaire sleutel periodiek wijzigen of opnieuw genereren met behulp van de sectie Storage van Azure Portal om rechtstreeks toegang te krijgen tot het opslagaccount.
  • U kunt ook uw eigen versleutelingssleutel gebruiken om de gegevens in uw Azure-opslagaccount te beveiligen. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Zie Door de klant beheerde sleutels inschakelen voor uw Azure Storage-account voor meer informatie over het beveiligen van uw gegevens.
  • Draai en synchroniseer uw opslagaccountsleutels regelmatig om uw opslagaccount te beschermen tegen onbevoegde gebruikers.

Persoonlijke gegevens beheren

De Azure Stack Edge-service verzamelt persoonlijke gegevens in de volgende scenario's:

  • Ordergegevens. Wanneer een bestelling wordt gemaakt, worden het verzendadres, het e-mailadres en de contactgegevens van de gebruiker opgeslagen in Azure Portal. De opgeslagen informatie omvat:

    • Naam van contactpersoon

    • Telefoonnummer

    • E-mailadres

    • Adres

    • Plaats

    • Postcode

    • Toestand

    • Land/regio/provincie

    • Volgnummer van verzending

      Ordergegevens worden versleuteld en opgeslagen in de service. De service behoudt de informatie totdat u de resource of order expliciet verwijdert. Het verwijderen van de resource en de bijbehorende bestelling wordt geblokkeerd vanaf het moment dat het apparaat wordt verzonden totdat het apparaat terugkeert naar Microsoft.

  • Verzendadres. Nadat een bestelling is geplaatst, levert de Data Box-service het verzendadres aan externe providers zoals UPS.

  • Gebruikers delen. Gebruikers op uw apparaat hebben ook toegang tot de gegevens die zich op de shares bevinden. Een lijst met gebruikers die toegang hebben tot de sharegegevens, kunnen worden bekeken. Wanneer de shares worden verwijderd, wordt deze lijst ook verwijderd.

Als u de lijst met gebruikers wilt weergeven die toegang hebben tot of een share kunnen verwijderen, volgt u de stappen in Shares beheren in Azure Stack Edge.

Raadpleeg het Privacybeleid van Microsoft in het Vertrouwenscentrum voor meer informatie.

Volgende stappen

Uw Azure Stack Edge Pro R-apparaat implementeren