Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Stack Edge
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Microsoft Azure Stack Edge. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Azure Stack Edge.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Kontrolki nie mają zastosowania do usługi Azure Stack Edge, a te, dla których zalecenia dotyczące globalnych wskazówek są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Azure Stack Edge całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Stack Edge.
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.
NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego
Wskazówki: Klienci wdrażają urządzenie fizyczne, fizyczne i fizyczne usługi Azure Stack Edge firmy Microsoft w swojej sieci prywatnej na potrzeby dostępu wewnętrznego i mają opcje dalszego zabezpieczania. Na przykład urządzenie Azure Stack Edge jest dostępne za pośrednictwem sieci wewnętrznej klienta i wymaga skonfigurowanego przez klienta adresu IP. Ponadto klient wybiera hasło dostępu w celu uzyskania dostępu do interfejsu użytkownika urządzenia.
Ruch wewnętrzny jest dodatkowo zabezpieczony przez:
Protokół Transport Layer Security (TLS) w wersji 1.2 jest wymagany do zarządzania Azure Portal i zestawem SDK urządzenia Azure Stack Edge.
Każdy dostęp klienta do urządzenia jest za pośrednictwem lokalnego internetowego interfejsu użytkownika przy użyciu standardowego protokołu TLS 1.2 jako domyślnego protokołu bezpiecznego.
Tylko autoryzowane urządzenie Azure Stack Edge Pro może dołączyć do usługi Azure Stack Edge utworzonej przez klienta w ramach subskrypcji platformy Azure.
Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.
Odpowiedzialność: Klient
NS-2: Łączenie sieci prywatnych
Wskazówka: Klienci mogą wybrać wirtualną sieć prywatną typu punkt-lokacja (VPN), aby połączyć urządzenie Azure Stack Edge z lokalnej sieci prywatnej z siecią platformy Azure. Sieć VPN zapewnia drugą warstwę szyfrowania danych w ruchu za pośrednictwem zabezpieczeń warstwy transportu z urządzenia klienta na platformę Azure.
Klienci mogą skonfigurować wirtualną sieć prywatną na urządzeniu Azure Stack Edge za pośrednictwem Azure Portal lub za pośrednictwem Azure PowerShell.
Odpowiedzialność: Klient
NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure
Wskazówka: Klienci mogą wybrać wirtualną sieć prywatną typu punkt-lokacja (VPN), aby połączyć urządzenie Azure Stack Edge z lokalnej sieci prywatnej z siecią platformy Azure. Sieć VPN zapewnia drugą warstwę szyfrowania danych w ruchu za pośrednictwem zabezpieczeń warstwy transportu z urządzenia klienta na platformę Azure.
Odpowiedzialność: Klient
NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej
Wskazówka: Urządzenie Azure Stack Edge zawiera standardowe funkcje ochrony sieci systemu Windows Server, które nie można konfigurować przez klientów.
Klienci mogą zabezpieczyć swoją sieć prywatną połączoną z urządzeniem Azure Stack Edge przed atakami zewnętrznymi przy użyciu wirtualnego urządzenia sieciowego, takiego jak zapora z zaawansowaną rozproszoną ochroną typu "odmowa usługi" (DDoS).
Odpowiedzialność: Współużytkowane
Zarządzanie tożsamością
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.
IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania
Wskazówki: uwierzytelnianie usługi Azure Active Directory (Azure AD) jest wymagane dla wszystkich operacji zarządzania wykonywanych na urządzeniach usługi Azure Stack Edge za pośrednictwem Azure Portal. Usługa Azure Stack Hub wymaga Azure AD lub Active Directory Federation Services (ADFS), wspieranego przez Azure AD jako dostawcę tożsamości.
Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :
Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, platforma jako usługa (PaaS) i aplikacje typu oprogramowanie jako usługa (SaaS)
Zasoby organizacji, takie jak aplikacje na platformie Azure lub zasoby sieci firmowej
Należy pamiętać, że Azure AD jest używana tylko podczas uzyskiwania dostępu do urządzenia za pośrednictwem Azure Portal. Żadne lokalne operacje zarządzania na urządzeniu Azure Stack Edge nie będą korzystać z Azure AD.
Odpowiedzialność: Microsoft
IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Wskazówki: Wszystkie urządzenia usługi Azure Stack Edge automatycznie mają przypisaną przez system tożsamość zarządzaną w usłudze Azure Active Directory (Azure AD). Obecnie tożsamość zarządzana jest używana do zarządzania chmurą maszyn wirtualnych hostowanych w usłudze Azure Stack Edge.
Urządzenia Azure Stack Edge są uruchamiane w stanie zablokowanym w celu uzyskania dostępu lokalnego. W przypadku konta administratora urządzeń lokalnych należy nawiązać połączenie z urządzeniem za pośrednictwem lokalnego internetowego interfejsu użytkownika lub interfejsu programu PowerShell i ustawić silne hasło. Przechowywanie poświadczeń administratora urządzenia i zarządzanie nimi w bezpiecznej lokalizacji, takiej jak usługa Azure Key Vault i obracanie hasła administratora zgodnie ze standardami organizacji.
Odpowiedzialność: Współużytkowane
IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji
Wskazówki: Logowanie jednokrotne nie jest obsługiwane dla urządzeń z punktami końcowymi usługi Azure Stack Edge. Można jednak włączyć standardowe logowanie jednokrotne oparte na usłudze Azure Active Directory (Azure AD), aby zabezpieczyć dostęp do zasobów w chmurze platformy Azure.
Odpowiedzialność: Klient
IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń
Wskazówki: postępuj zgodnie z najlepszymi rozwiązaniami, aby chronić poświadczenia, takie jak:
- Klucz aktywacji używany do aktywowania urządzenia za pomocą zasobu usługi Azure Stack Edge na platformie Azure.
- Zaloguj się poświadczeń, aby uzyskać dostęp do urządzenia Azure Stack Edge.
- Kluczowe pliki, które mogą ułatwić odzyskiwanie urządzenia Azure Stack Edge.
- Klucz szyfrowania kanału
Obracanie i regularne synchronizowanie kluczy konta magazynu w celu ochrony konta magazynu przed nieautoryzowanymi użytkownikami.
Odpowiedzialność: Klient
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.
PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników
Wskazówka: Usługa Azure Stack Edge ma użytkownika o nazwie "EdgeUser", który może skonfigurować urządzenie. Ma również użytkownika usługi Azure Resource Manager "EdgeArmUser" dla lokalnych funkcji usługi Azure Resource Manager na urządzeniu.
Aby chronić następujące rozwiązania, należy przestrzegać następujących rozwiązań:
Poświadczenia używane do uzyskiwania dostępu do urządzenia lokalnego
Poświadczenia udziału SMB.
Dostęp do systemów klienckich, które zostały skonfigurowane do korzystania z udziałów NFS.
Klucze konta magazynu lokalnego używane do uzyskiwania dostępu do lokalnych kont magazynu podczas korzystania z interfejsu API REST obiektu blob.
Dodatkowe informacje są dostępne pod linkiem, do których się odwołujesz.
Odpowiedzialność: Klient
PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym
Wskazówki: Bezpieczne i izolowane stacje robocze mają kluczowe znaczenie dla zabezpieczeń poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług krytycznych. Używaj wysoce zabezpieczonych stacji roboczych użytkownika z usługą Azure Bastion lub bez nich na potrzeby zadań administracyjnych. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych.
Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.
Odpowiedzialność: Klient
DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)
Wskazówki: użytkownicy usługi Azure Stack Edge mają dostęp Just Enough Administration (JEA) potrzebny do wykonywania swoich zadań. Nie ma potrzeby pełnego dostępu administratora systemu Windows.
Możesz zdalnie nawiązać połączenie z interfejsem programu PowerShell urządzenia Azure Stack Edge. Zdalne zarządzanie jest również skonfigurowane do używania funkcji Just Enough Administration, aby ograniczyć możliwości użytkowników. Następnie możesz podać hasło urządzenia, aby zalogować się do urządzenia.
Odpowiedzialność: Microsoft
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.
DP-2: Ochrona poufnych danych
Wskazówki: Usługa Azure Stack Edge traktuje wszystkie dane, których interakcja jest wrażliwa, a tylko autoryzowani użytkownicy mają dostęp do tych danych. Należy postępować zgodnie z najlepszymi rozwiązaniami, aby chronić poświadczenia używane do uzyskiwania dostępu do usługi Azure Stack Edge.
Odpowiedzialność: Współużytkowane
DP-4: Szyfrowanie poufnych informacji podczas przesyłania
Wskazówki: Usługa Azure Stack Edge używa bezpiecznych kanałów do obsługi danych w locie. Są to:
Protokół TLS 1.2 w warstwie Standardowa jest używany na potrzeby danych przesyłanych między urządzeniem a chmurą platformy Azure. Nie ma powrotu do protokołu TLS 1.1 i starszych wersji. Komunikacja z agentem zostanie zablokowana, jeśli protokół TLS 1.2 nie jest obsługiwany. Protokół TLS 1.2 jest również wymagany do zarządzania Azure Portal i zestawem SDK.
Gdy klienci uzyskują dostęp do urządzenia za pośrednictwem lokalnego internetowego interfejsu użytkownika przeglądarki, standardowy protokół TLS 1.2 jest używany jako domyślny bezpieczny protokół
Najlepszym rozwiązaniem jest skonfigurowanie przeglądarki do używania protokołu TLS 1.2. Użyj protokołu SMB 3.0 z szyfrowaniem, aby chronić dane podczas kopiowania ich z serwerów danych.
Odpowiedzialność: Współużytkowane
DP-5: Szyfrowanie poufnych danych nieużywanych
Wskazówka: Wszystkie dane magazynowane na urządzeniu Azure Stack Edge są szyfrowane przy użyciu 256-bitowego szyfrowania AES. Dostęp do danych magazynowanych, takich jak udziały plików, jest ograniczony do:
Klienci SMB, którzy uzyskują dostęp do danych współużytkujących, potrzebują poświadczeń użytkownika skojarzonych z udziałem. Te poświadczenia są definiowane podczas tworzenia udziału.
Adresy IP klientów NFS uzyskujących dostęp do udziału należy dodać podczas tworzenia udziału.
BitLocker szyfrowanie 256-bitowe XTS-AES służy do ochrony danych lokalnych.
Przejrzyj dodatkowe informacje dostępne pod linkiem, do których się odwołujesz.
Odpowiedzialność: Microsoft
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.
AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości
Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.
W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.
Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.
Należy pamiętać, że do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.
Odpowiedzialność: Klient
AM-6: Używaj tylko zatwierdzonych aplikacji w zasobach obliczeniowych
Wskazówki: możesz uruchomić własne aplikacje na dowolnych lokalnie utworzonych maszynach wirtualnych. Użyj skryptów programu PowerShell, aby utworzyć lokalne maszyny wirtualne obliczeniowe na urządzeniu Stack Edge. Zdecydowanie zalecamy używanie tylko zaufanych aplikacji do uruchamiania na lokalnych maszynach wirtualnych.
Odpowiedzialność: Klient
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure
Wskazówki: Usługa Azure Stack Edge nie oferuje możliwości wykrywania zagrożeń. Jednak klienci mogą zbierać dzienniki inspekcji w pakiecie pomocy technicznej na potrzeby wykrywania i analizy zagrożeń w trybie offline.
Odpowiedzialność: Klient
LT-3: Włączanie rejestrowania działań sieci platformy Azure
Wskazówki: Usługa Azure Stack Edge ma włączone dzienniki inspekcji sieci w ramach pakietu pomocy technicznej do pobrania. Te dzienniki można analizować w celu zaimplementowania monitorowania w czasie pół rzeczywistym dla urządzeń usługi Azure Stack Edge.
Odpowiedzialność: Klient
LT-4: Włącz rejestrowanie zasobów platformy Azure
Wskazówki: Monitorowanie w czasie rzeczywistym za pomocą dzienników nie jest obecnie obsługiwane w usłudze Azure Stack Edge. Istnieje możliwość zebrania pakietu pomocy technicznej, który umożliwia analizowanie różnych zawartych w nim dzienników, takich jak zapora, oprogramowanie, włamanie sprzętowe i dzienniki zdarzeń systemowych dla urządzenia Azure Stack Edge Pro. Należy pamiętać, że wtargnięcie oprogramowania lub domyślne dzienniki zapory są zbierane dla ruchu przychodzącego i wychodzącego.
Odpowiedzialność: Klient
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
Wskazówki: Monitorowanie w czasie rzeczywistym za pomocą dzienników nie jest obecnie obsługiwane w usłudze Azure Stack Edge. Można jednak zebrać pakiet pomocy technicznej, który umożliwia analizowanie różnych zawartych w nim dzienników. Pakiet pomocy technicznej jest skompresowany i jest pobierany do wybranej ścieżki. Rozpakuj pakiet i wyświetl zawarte w nim pliki dziennika systemu. Te dzienniki można również wysłać do narzędzia do zarządzania zdarzeniami zabezpieczeń lub innej centralnej lokalizacji przechowywania na potrzeby analizy.
Odpowiedzialność: Klient
LT-6: Konfigurowanie przechowywania magazynu dzienników
Wskazówka: Nie można zmienić okresu przechowywania magazynu dzienników na urządzeniu Azure Stack Edge. Starsze dzienniki są czyszczone zgodnie z potrzebami. Pakiety pomocy technicznej można zbierać z urządzenia w okresowych odstępach czasu, aby zachować dzienniki przez dłuższy czas.
Odpowiedzialność: Klient
LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu
Wskazówki: Usługa Azure Stack Edge używa time.windows.com — serwera dostawcy czasu sieciowego firmy Microsoft. Usługa Azure Stack Edge umożliwia również klientowi skonfigurowanie wybranego serwera protokołu czasu sieciowego.
Odpowiedzialność: Klient
Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.
PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure
Wskazówka: firma Microsoft ustawia bezpieczną konfigurację urządzenia Azure Stack Edge i utrzymuje te ustawienia przez cały okres istnienia urządzenia.
Odpowiedzialność: Microsoft
PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure
Wskazówki: Konfiguracje zabezpieczeń zdefiniowane przez użytkownika są ograniczone na urządzeniu usługi Azure Edge Stack. Większość ustawień zabezpieczeń urządzeń nie można konfigurować i być na bieżąco z instalacją najnowszych aktualizacji.
Odpowiedzialność: Microsoft
PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Wskazówki: usługa Azure Stack Edge oferuje obsługę tworzenia bezpiecznych konfiguracji dla lokalnych maszyn wirtualnych utworzonych przez klientów. Zdecydowanie zaleca się korzystanie z wytycznych firmy Microsoft w celu ustanowienia punktów odniesienia zabezpieczeń podczas tworzenia lokalnych maszyn wirtualnych.
Odpowiedzialność: Klient
PV-4: Utrzymywanie bezpiecznych konfiguracji dla zasobów obliczeniowych
Wskazówki: usługa Azure Stack Edge nie oferuje żadnej pomocy technicznej w celu utrzymania bezpiecznych konfiguracji dla lokalnych maszyn wirtualnych utworzonych przez klientów. Zdecydowanie zaleca się, aby klienci używali zestawów narzędzi do zgodności z zabezpieczeniami (SCT), aby ułatwić utrzymanie bezpiecznych konfiguracji dla zasobów obliczeniowych.
Hostowanie systemów operacyjnych i maszyn wirtualnych zarządzanych przez usługę Azure Stack Edge utrzymuje konfiguracje zabezpieczeń.
Odpowiedzialność: Współużytkowane
PV-5: Bezpieczne przechowywanie niestandardowych obrazów systemów operacyjnych i kontenerów
Wskazówki: Bezpieczne przechowywanie systemów operacyjnych i maszyn wirtualnych zarządzanych przez usługę Azure Stack Edge.
Klienci mogą dostarczać własne obrazy maszyn wirtualnych i kontenerów oraz odpowiadać za bezpieczne zarządzanie.
Odpowiedzialność: Klient
PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania
Wskazówki: Oceny luk w zabezpieczeniach oprogramowania są wykonywane dla wszystkich wersji usługi Azure Stack Edge, w tym przeglądów cyklu życia tworzenia oprogramowania. Wszelkie znalezione problemy są korygowane na podstawie ich ważności i priorytetu.
Odpowiedzialność: Microsoft
SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania
Wskazówki: Usługa Azure Stack Edge udostępnia regularne aktualizacje poprawek i alerty klientów, gdy takie aktualizacje są dostępne do korygowania luk w zabezpieczeniach. Klient ponosi odpowiedzialność za aktualizowanie urządzeń i maszyn wirtualnych (utworzonych przez nich) przy użyciu najnowszych poprawek.
Odpowiedzialność: Klient
PV-8: Przeprowadzanie regularnej symulacji ataków
Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.
Odpowiedzialność: Współużytkowane
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Wskazówki: usługa Azure Stack Edge nie obsługuje bezpośrednio wykrywania i reagowania na punkty końcowe (EDR). Można jednak zebrać pakiet pomocy technicznej i pobrać dzienniki inspekcji. Te dzienniki można następnie analizować w celu sprawdzenia nietypowych działań.
Odpowiedzialność: Klient
ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Wskazówki: usługa Azure Stack Edge używa Windows Defender Application Control (WDAC) z rygorystycznymi zasadami integralności kodu (CI), które umożliwiają uruchamianie wstępnie określonych aplikacji i skryptów. Windows Defender ochrona przed złośliwym oprogramowaniem w czasie rzeczywistym (RTP) jest również włączona. Klient może uruchomić oprogramowanie chroniące przed złośliwym oprogramowaniem na tworzonych maszynach wirtualnych obliczeniowych do uruchamiania lokalnie na urządzeniu Azure Stack Edge.
Odpowiedzialność: Klient
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Wskazówki: usługa Azure Stack Edge przechowuje zaktualizowane zasady integralności kodu, a także aktualizacje Windows Defender plików podpisów.
Odpowiedzialność: Microsoft
Kopia zapasowa i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
Wskazówki: zalecane są okresowe kopie zapasowe urządzenia usługi Azure Stack Edge i mogą być wykonywane przy użyciu Azure Backup i innych rozwiązań ochrony danych innych firm w celu ochrony danych zawartych w maszynach wirtualnych wdrożonych na urządzeniu. Rozwiązania do ochrony danych innych firm, takie jak Cohesity, Commvault i Veritas, mogą również zapewnić rozwiązanie do tworzenia kopii zapasowych danych w lokalnych udziałach SMB lub NFS.
Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.
Odpowiedzialność: Klient
BR-2: Szyfrowanie danych kopii zapasowej
Wskazówki: Upewnij się, że kopie zapasowe są chronione przed atakami. Powinno to obejmować szyfrowanie kopii zapasowych w celu ochrony przed utratą poufności. Aby uzyskać więcej informacji, zapoznaj się z wybranym rozwiązaniem do tworzenia kopii zapasowych, aby uzyskać szczegółowe informacje.
Odpowiedzialność: Klient
BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta
Wskazówki: Okresowo przeprowadzaj przywracanie kopii zapasowych kopii zapasowych.
Odpowiedzialność: Klient
BR-4: Zmniejszanie ryzyka utraty kluczy
Wskazówki: Upewnij się, że wszystkie kopie zapasowe usługi Azure Stack Edge, w tym wszystkie klucze zarządzane przez klienta, są chronione zgodnie z najlepszymi rozwiązaniami organizacji. Urządzenie usługi Azure Stack Edge jest skojarzone z kontem usługi Azure Storage, używane jako repozytorium docelowe danych na platformie Azure.
Dostęp do konta usługi Azure Storage jest kontrolowany przez subskrypcje platformy Azure i dwa 512-bitowe klucze dostępu magazynu skojarzone z tym kontem magazynu. Jeden z kluczy dostępu jest używany do celów uwierzytelniania, gdy urządzenie Azure Stack Edge uzyskuje dostęp do konta magazynu. Drugi klucz jest przechowywany w zarezerwowanej dla okresowej rotacji kluczy. Upewnij się, że najlepsze rozwiązania w zakresie zabezpieczeń są używane do rotacji kluczy.
Odpowiedzialność: Klient