Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Stack Edge

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Microsoft Azure Stack Edge. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Azure Stack Edge.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Stack Edge, a te, dla których zalecenia dotyczące globalnych wskazówek są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Azure Stack Edge całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Stack Edge.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Klienci wdrażają urządzenie fizyczne, fizyczne i fizyczne usługi Azure Stack Edge firmy Microsoft w swojej sieci prywatnej na potrzeby dostępu wewnętrznego i mają opcje dalszego zabezpieczania. Na przykład urządzenie Azure Stack Edge jest dostępne za pośrednictwem sieci wewnętrznej klienta i wymaga skonfigurowanego przez klienta adresu IP. Ponadto klient wybiera hasło dostępu w celu uzyskania dostępu do interfejsu użytkownika urządzenia.

Ruch wewnętrzny jest dodatkowo zabezpieczony przez:

  • Protokół Transport Layer Security (TLS) w wersji 1.2 jest wymagany do zarządzania Azure Portal i zestawem SDK urządzenia Azure Stack Edge.

  • Każdy dostęp klienta do urządzenia jest za pośrednictwem lokalnego internetowego interfejsu użytkownika przy użyciu standardowego protokołu TLS 1.2 jako domyślnego protokołu bezpiecznego.

  • Tylko autoryzowane urządzenie Azure Stack Edge Pro może dołączyć do usługi Azure Stack Edge utworzonej przez klienta w ramach subskrypcji platformy Azure.

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówka: Klienci mogą wybrać wirtualną sieć prywatną typu punkt-lokacja (VPN), aby połączyć urządzenie Azure Stack Edge z lokalnej sieci prywatnej z siecią platformy Azure. Sieć VPN zapewnia drugą warstwę szyfrowania danych w ruchu za pośrednictwem zabezpieczeń warstwy transportu z urządzenia klienta na platformę Azure.

Klienci mogą skonfigurować wirtualną sieć prywatną na urządzeniu Azure Stack Edge za pośrednictwem Azure Portal lub za pośrednictwem Azure PowerShell.

Odpowiedzialność: Klient

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówka: Klienci mogą wybrać wirtualną sieć prywatną typu punkt-lokacja (VPN), aby połączyć urządzenie Azure Stack Edge z lokalnej sieci prywatnej z siecią platformy Azure. Sieć VPN zapewnia drugą warstwę szyfrowania danych w ruchu za pośrednictwem zabezpieczeń warstwy transportu z urządzenia klienta na platformę Azure.

Odpowiedzialność: Klient

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówka: Urządzenie Azure Stack Edge zawiera standardowe funkcje ochrony sieci systemu Windows Server, które nie można konfigurować przez klientów.

Klienci mogą zabezpieczyć swoją sieć prywatną połączoną z urządzeniem Azure Stack Edge przed atakami zewnętrznymi przy użyciu wirtualnego urządzenia sieciowego, takiego jak zapora z zaawansowaną rozproszoną ochroną typu "odmowa usługi" (DDoS).

Odpowiedzialność: Współużytkowane

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: uwierzytelnianie usługi Azure Active Directory (Azure AD) jest wymagane dla wszystkich operacji zarządzania wykonywanych na urządzeniach usługi Azure Stack Edge za pośrednictwem Azure Portal. Usługa Azure Stack Hub wymaga Azure AD lub Active Directory Federation Services (ADFS), wspieranego przez Azure AD jako dostawcę tożsamości.

Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, platforma jako usługa (PaaS) i aplikacje typu oprogramowanie jako usługa (SaaS)

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub zasoby sieci firmowej

Należy pamiętać, że Azure AD jest używana tylko podczas uzyskiwania dostępu do urządzenia za pośrednictwem Azure Portal. Żadne lokalne operacje zarządzania na urządzeniu Azure Stack Edge nie będą korzystać z Azure AD.

Odpowiedzialność: Microsoft

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: Wszystkie urządzenia usługi Azure Stack Edge automatycznie mają przypisaną przez system tożsamość zarządzaną w usłudze Azure Active Directory (Azure AD). Obecnie tożsamość zarządzana jest używana do zarządzania chmurą maszyn wirtualnych hostowanych w usłudze Azure Stack Edge.

Urządzenia Azure Stack Edge są uruchamiane w stanie zablokowanym w celu uzyskania dostępu lokalnego. W przypadku konta administratora urządzeń lokalnych należy nawiązać połączenie z urządzeniem za pośrednictwem lokalnego internetowego interfejsu użytkownika lub interfejsu programu PowerShell i ustawić silne hasło. Przechowywanie poświadczeń administratora urządzenia i zarządzanie nimi w bezpiecznej lokalizacji, takiej jak usługa Azure Key Vault i obracanie hasła administratora zgodnie ze standardami organizacji.

Odpowiedzialność: Współużytkowane

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Logowanie jednokrotne nie jest obsługiwane dla urządzeń z punktami końcowymi usługi Azure Stack Edge. Można jednak włączyć standardowe logowanie jednokrotne oparte na usłudze Azure Active Directory (Azure AD), aby zabezpieczyć dostęp do zasobów w chmurze platformy Azure.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: postępuj zgodnie z najlepszymi rozwiązaniami, aby chronić poświadczenia, takie jak:

  • Klucz aktywacji używany do aktywowania urządzenia za pomocą zasobu usługi Azure Stack Edge na platformie Azure.
  • Zaloguj się poświadczeń, aby uzyskać dostęp do urządzenia Azure Stack Edge.
  • Kluczowe pliki, które mogą ułatwić odzyskiwanie urządzenia Azure Stack Edge.
  • Klucz szyfrowania kanału

Obracanie i regularne synchronizowanie kluczy konta magazynu w celu ochrony konta magazynu przed nieautoryzowanymi użytkownikami.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówka: Usługa Azure Stack Edge ma użytkownika o nazwie "EdgeUser", który może skonfigurować urządzenie. Ma również użytkownika usługi Azure Resource Manager "EdgeArmUser" dla lokalnych funkcji usługi Azure Resource Manager na urządzeniu.

Aby chronić następujące rozwiązania, należy przestrzegać następujących rozwiązań:

  • Poświadczenia używane do uzyskiwania dostępu do urządzenia lokalnego

  • Poświadczenia udziału SMB.

  • Dostęp do systemów klienckich, które zostały skonfigurowane do korzystania z udziałów NFS.

  • Klucze konta magazynu lokalnego używane do uzyskiwania dostępu do lokalnych kont magazynu podczas korzystania z interfejsu API REST obiektu blob.

Dodatkowe informacje są dostępne pod linkiem, do których się odwołujesz.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Bezpieczne i izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług krytycznych. Używaj wysoce zabezpieczonych stacji roboczych użytkownika z usługą Azure Bastion lub bez nich na potrzeby zadań administracyjnych. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych.

Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: użytkownicy usługi Azure Stack Edge mają dostęp Just Enough Administration (JEA) potrzebny do wykonywania swoich zadań. Nie ma potrzeby pełnego dostępu administratora systemu Windows.

Możesz zdalnie nawiązać połączenie z interfejsem programu PowerShell urządzenia Azure Stack Edge. Zdalne zarządzanie jest również skonfigurowane do używania funkcji Just Enough Administration, aby ograniczyć możliwości użytkowników. Następnie możesz podać hasło urządzenia, aby zalogować się do urządzenia.

Odpowiedzialność: Microsoft

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-2: Ochrona poufnych danych

Wskazówki: Usługa Azure Stack Edge traktuje wszystkie dane, których interakcja jest wrażliwa, a tylko autoryzowani użytkownicy mają dostęp do tych danych. Należy postępować zgodnie z najlepszymi rozwiązaniami, aby chronić poświadczenia używane do uzyskiwania dostępu do usługi Azure Stack Edge.

Odpowiedzialność: Współużytkowane

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Usługa Azure Stack Edge używa bezpiecznych kanałów do obsługi danych w locie. Są to:

  • Protokół TLS 1.2 w warstwie Standardowa jest używany na potrzeby danych przesyłanych między urządzeniem a chmurą platformy Azure. Nie ma powrotu do protokołu TLS 1.1 i starszych wersji. Komunikacja z agentem zostanie zablokowana, jeśli protokół TLS 1.2 nie jest obsługiwany. Protokół TLS 1.2 jest również wymagany do zarządzania Azure Portal i zestawem SDK.

  • Gdy klienci uzyskują dostęp do urządzenia za pośrednictwem lokalnego internetowego interfejsu użytkownika przeglądarki, standardowy protokół TLS 1.2 jest używany jako domyślny bezpieczny protokół

Najlepszym rozwiązaniem jest skonfigurowanie przeglądarki do używania protokołu TLS 1.2. Użyj protokołu SMB 3.0 z szyfrowaniem, aby chronić dane podczas kopiowania ich z serwerów danych.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówka: Wszystkie dane magazynowane na urządzeniu Azure Stack Edge są szyfrowane przy użyciu 256-bitowego szyfrowania AES. Dostęp do danych magazynowanych, takich jak udziały plików, jest ograniczony do:

  • Klienci SMB, którzy uzyskują dostęp do danych współużytkujących, potrzebują poświadczeń użytkownika skojarzonych z udziałem. Te poświadczenia są definiowane podczas tworzenia udziału.

  • Adresy IP klientów NFS uzyskujących dostęp do udziału należy dodać podczas tworzenia udziału.

  • BitLocker szyfrowanie 256-bitowe XTS-AES służy do ochrony danych lokalnych.

Przejrzyj dodatkowe informacje dostępne pod linkiem, do których się odwołujesz.

Odpowiedzialność: Microsoft

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Należy pamiętać, że do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-6: Używaj tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Wskazówki: możesz uruchomić własne aplikacje na dowolnych lokalnie utworzonych maszynach wirtualnych. Użyj skryptów programu PowerShell, aby utworzyć lokalne maszyny wirtualne obliczeniowe na urządzeniu Stack Edge. Zdecydowanie zalecamy używanie tylko zaufanych aplikacji do uruchamiania na lokalnych maszynach wirtualnych.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: Usługa Azure Stack Edge nie oferuje możliwości wykrywania zagrożeń. Jednak klienci mogą zbierać dzienniki inspekcji w pakiecie pomocy technicznej na potrzeby wykrywania i analizy zagrożeń w trybie offline.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: Usługa Azure Stack Edge ma włączone dzienniki inspekcji sieci w ramach pakietu pomocy technicznej do pobrania. Te dzienniki można analizować w celu zaimplementowania monitorowania w czasie pół rzeczywistym dla urządzeń usługi Azure Stack Edge.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Monitorowanie w czasie rzeczywistym za pomocą dzienników nie jest obecnie obsługiwane w usłudze Azure Stack Edge. Istnieje możliwość zebrania pakietu pomocy technicznej, który umożliwia analizowanie różnych zawartych w nim dzienników, takich jak zapora, oprogramowanie, włamanie sprzętowe i dzienniki zdarzeń systemowych dla urządzenia Azure Stack Edge Pro. Należy pamiętać, że wtargnięcie oprogramowania lub domyślne dzienniki zapory są zbierane dla ruchu przychodzącego i wychodzącego.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Monitorowanie w czasie rzeczywistym za pomocą dzienników nie jest obecnie obsługiwane w usłudze Azure Stack Edge. Można jednak zebrać pakiet pomocy technicznej, który umożliwia analizowanie różnych zawartych w nim dzienników. Pakiet pomocy technicznej jest skompresowany i jest pobierany do wybranej ścieżki. Rozpakuj pakiet i wyświetl zawarte w nim pliki dziennika systemu. Te dzienniki można również wysłać do narzędzia do zarządzania zdarzeniami zabezpieczeń lub innej centralnej lokalizacji przechowywania na potrzeby analizy.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówka: Nie można zmienić okresu przechowywania magazynu dzienników na urządzeniu Azure Stack Edge. Starsze dzienniki są czyszczone zgodnie z potrzebami. Pakiety pomocy technicznej można zbierać z urządzenia w okresowych odstępach czasu, aby zachować dzienniki przez dłuższy czas.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Usługa Azure Stack Edge używa time.windows.com — serwera dostawcy czasu sieciowego firmy Microsoft. Usługa Azure Stack Edge umożliwia również klientowi skonfigurowanie wybranego serwera protokołu czasu sieciowego.

Odpowiedzialność: Klient

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: firma Microsoft ustawia bezpieczną konfigurację urządzenia Azure Stack Edge i utrzymuje te ustawienia przez cały okres istnienia urządzenia.

Odpowiedzialność: Microsoft

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Konfiguracje zabezpieczeń zdefiniowane przez użytkownika są ograniczone na urządzeniu usługi Azure Edge Stack. Większość ustawień zabezpieczeń urządzeń nie można konfigurować i być na bieżąco z instalacją najnowszych aktualizacji.

Odpowiedzialność: Microsoft

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: usługa Azure Stack Edge oferuje obsługę tworzenia bezpiecznych konfiguracji dla lokalnych maszyn wirtualnych utworzonych przez klientów. Zdecydowanie zaleca się korzystanie z wytycznych firmy Microsoft w celu ustanowienia punktów odniesienia zabezpieczeń podczas tworzenia lokalnych maszyn wirtualnych.

Odpowiedzialność: Klient

PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: usługa Azure Stack Edge nie oferuje żadnej pomocy technicznej w celu utrzymania bezpiecznych konfiguracji dla lokalnych maszyn wirtualnych utworzonych przez klientów. Zdecydowanie zaleca się, aby klienci używali zestawów narzędzi do zgodności z zabezpieczeniami (SCT), aby ułatwić utrzymanie bezpiecznych konfiguracji dla zasobów obliczeniowych.

Hostowanie systemów operacyjnych i maszyn wirtualnych zarządzanych przez usługę Azure Stack Edge utrzymuje konfiguracje zabezpieczeń.

Odpowiedzialność: Współużytkowane

PV-5: Bezpieczne przechowywanie niestandardowych obrazów systemów operacyjnych i kontenerów

Wskazówki: Bezpieczne przechowywanie systemów operacyjnych i maszyn wirtualnych zarządzanych przez usługę Azure Stack Edge.

Klienci mogą dostarczać własne obrazy maszyn wirtualnych i kontenerów oraz odpowiadać za bezpieczne zarządzanie.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Oceny luk w zabezpieczeniach oprogramowania są wykonywane dla wszystkich wersji usługi Azure Stack Edge, w tym przeglądów cyklu życia tworzenia oprogramowania. Wszelkie znalezione problemy są korygowane na podstawie ich ważności i priorytetu.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Usługa Azure Stack Edge udostępnia regularne aktualizacje poprawek i alerty klientów, gdy takie aktualizacje są dostępne do korygowania luk w zabezpieczeniach. Klient ponosi odpowiedzialność za aktualizowanie urządzeń i maszyn wirtualnych (utworzonych przez nich) przy użyciu najnowszych poprawek.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)

Wskazówki: usługa Azure Stack Edge nie obsługuje bezpośrednio wykrywania i reagowania na punkty końcowe (EDR). Można jednak zebrać pakiet pomocy technicznej i pobrać dzienniki inspekcji. Te dzienniki można następnie analizować w celu sprawdzenia nietypowych działań.

Odpowiedzialność: Klient

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: usługa Azure Stack Edge używa Windows Defender Application Control (WDAC) z rygorystycznymi zasadami integralności kodu (CI), które umożliwiają uruchamianie wstępnie określonych aplikacji i skryptów. Windows Defender ochrona przed złośliwym oprogramowaniem w czasie rzeczywistym (RTP) jest również włączona. Klient może uruchomić oprogramowanie chroniące przed złośliwym oprogramowaniem na tworzonych maszynach wirtualnych obliczeniowych do uruchamiania lokalnie na urządzeniu Azure Stack Edge.

Odpowiedzialność: Klient

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: usługa Azure Stack Edge przechowuje zaktualizowane zasady integralności kodu, a także aktualizacje Windows Defender plików podpisów.

Odpowiedzialność: Microsoft

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: zalecane są okresowe kopie zapasowe urządzenia usługi Azure Stack Edge i mogą być wykonywane przy użyciu Azure Backup i innych rozwiązań ochrony danych innych firm w celu ochrony danych zawartych w maszynach wirtualnych wdrożonych na urządzeniu. Rozwiązania do ochrony danych innych firm, takie jak Cohesity, Commvault i Veritas, mogą również zapewnić rozwiązanie do tworzenia kopii zapasowych danych w lokalnych udziałach SMB lub NFS.

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Upewnij się, że kopie zapasowe są chronione przed atakami. Powinno to obejmować szyfrowanie kopii zapasowych w celu ochrony przed utratą poufności. Aby uzyskać więcej informacji, zapoznaj się z wybranym rozwiązaniem do tworzenia kopii zapasowych, aby uzyskać szczegółowe informacje.

Odpowiedzialność: Klient

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo przeprowadzaj przywracanie kopii zapasowych kopii zapasowych.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: Upewnij się, że wszystkie kopie zapasowe usługi Azure Stack Edge, w tym wszystkie klucze zarządzane przez klienta, są chronione zgodnie z najlepszymi rozwiązaniami organizacji. Urządzenie usługi Azure Stack Edge jest skojarzone z kontem usługi Azure Storage, używane jako repozytorium docelowe danych na platformie Azure.

Dostęp do konta usługi Azure Storage jest kontrolowany przez subskrypcje platformy Azure i dwa 512-bitowe klucze dostępu magazynu skojarzone z tym kontem magazynu. Jeden z kluczy dostępu jest używany do celów uwierzytelniania, gdy urządzenie Azure Stack Edge uzyskuje dostęp do konta magazynu. Drugi klucz jest przechowywany w zarezerwowanej dla okresowej rotacji kluczy. Upewnij się, że najlepsze rozwiązania w zakresie zabezpieczeń są używane do rotacji kluczy.

Odpowiedzialność: Klient

Następne kroki