Säkerhet och dataskydd i Azure Stack Edge
Viktigt!
Azure Stack Edge Pro FPGA-enheter når livets slut i februari 2024. Om du överväger nya distributioner rekommenderar vi att du utforskar Azure Stack Edge Pro 2 - eller Azure Stack Edge Pro GPU-enheter för dina arbetsbelastningar.
Säkerhet är ett stort problem när du använder en ny teknik, särskilt om tekniken används med konfidentiella eller upphovsrättsskyddade data. Azure Stack Edge hjälper dig att se till att endast auktoriserade entiteter kan visa, ändra eller ta bort dina data.
Den här artikeln beskriver säkerhetsfunktionerna i Azure Stack Edge som hjälper dig att skydda var och en av lösningskomponenterna och de data som lagras i dem.
Azure Stack Edge består av fyra huvudkomponenter som interagerar med varandra:
- Azure Stack Edge-tjänsten som finns i Azure. Den hanteringsresurs som du använder för att skapa enhetsordningen, konfigurera enheten och sedan spåra beställningen till slutförande.
- Azure Stack Edge Pro FPGA-enhet. Överföringsenheten som levereras till dig så att du kan importera dina lokala data till Azure.
- Klienter/värdar som är anslutna till enheten. Klienterna i din infrastruktur som ansluter till Azure Stack Edge Pro FPGA-enheten och innehåller data som måste skyddas.
- Molnlagring. Platsen på Azure-molnplattformen där data lagras. Den här platsen är vanligtvis det lagringskonto som är länkat till den Azure Stack Edge-resurs som du skapar.
Azure Stack Edge-tjänstskydd
Azure Stack Edge-tjänsten är en hanteringstjänst som finns i Azure. Tjänsten används för att konfigurera och hantera enheten.
- För att få åtkomst till Azure Stack Edge-tjänsten måste din organisation ha en prenumeration på företagsavtal (EA) eller Molnlösningsleverantör (CSP). Mer information finns i Registrera dig för en Azure-prenumeration.
- Eftersom den här hanteringstjänsten finns i Azure skyddas den av Azure-säkerhetsfunktionerna. Mer information om säkerhetsfunktionerna som tillhandahålls av Azure finns i Microsoft Azure Trust Center.
- För SDK-hanteringsåtgärder kan du hämta krypteringsnyckeln för din resurs i Enhetsegenskaper. Du kan bara visa krypteringsnyckeln om du har behörighet för Resource Graph-API:et.
Azure Stack Edge-enhetsskydd
Azure Stack Edge-enheten är en lokal enhet som hjälper dig att transformera dina data genom att bearbeta dem lokalt och sedan skicka dem till Azure. Enheten:
- Behöver en aktiveringsnyckel för att få åtkomst till Azure Stack Edge-tjänsten.
- Skyddas hela tiden av ett enhetslösenord.
- Är en låst enhet. Enhetens BMC och BIOS är lösenordsskyddade. BIOS skyddas av begränsad användaråtkomst.
- Säker start har aktiverats.
- Kör Windows Defender Device Guard. Med Device Guard kan du bara köra betrodda program som du definierar i dina kodintegritetsprinciper.
Skydda enheten via aktiveringsnyckel
Endast en auktoriserad Azure Stack Edge-enhet får ansluta till den Azure Stack Edge-tjänst som du skapar i din Azure-prenumeration. Om du vill auktorisera en enhet måste du använda en aktiveringsnyckel för att aktivera enheten med Azure Stack Edge-tjänsten.
Aktiveringsnyckeln som du använder:
- Är en Microsoft Entra ID-baserad autentiseringsnyckel.
- Upphör att gälla efter tre dagar.
- Används inte efter enhetsaktivering.
När du har aktiverat en enhet använder den token för att kommunicera med Azure.
Mer information finns i Hämta en aktiveringsnyckel.
Skydda enheten via lösenord
Lösenord säkerställer att endast behöriga användare kan komma åt dina data. Azure Stack Edge-enheter startas i ett låst tillstånd.
Du kan:
- Anslut till enhetens lokala webbgränssnitt via en webbläsare och ange sedan ett lösenord för att logga in på enheten.
- Fjärranslutning till enhetens PowerShell-gränssnitt via HTTP. Fjärrhantering är aktiverat som standard. Du kan sedan ange enhetslösenordet för att logga in på enheten. Mer information finns i Anslut via fjärranslutning till din Azure Stack Edge Pro FPGA-enhet.
Tänk på följande metodtips:
- Vi rekommenderar att du lagrar alla lösenord på en säker plats så att du inte behöver återställa ett lösenord om det glöms bort. Hanteringstjänsten kan inte hämta befintliga lösenord. Det kan bara återställa dem via Azure-portalen. Om du återställer ett lösenord måste du meddela alla användare innan du återställer det.
- Du kan fjärråtkomst till Windows PowerShell-gränssnittet på enheten via HTTP. Som bästa säkerhet bör du endast använda HTTP i betrodda nätverk.
- Kontrollera att enhetslösenorden är starka och väl skyddade. Följ metodtipsen för lösenord.
- Använd det lokala webbgränssnittet för att ändra lösenordet. Om du ändrar lösenordet måste du meddela alla fjärråtkomstanvändare så att de inte har problem med att logga in.
Skydda dina data
I det här avsnittet beskrivs säkerhetsfunktionerna i Azure Stack Edge Pro FPGA som skyddar under överföring och lagrade data.
Skydda data i vila
För vilande data:
Åtkomsten till data som lagras i resurser är begränsad.
- SMB-klienter som har åtkomst till resursdata behöver användarautentiseringsuppgifter som är associerade med resursen. Dessa autentiseringsuppgifter definieras när resursen skapas.
- IP-adresserna för NFS-klienter som har åtkomst till en resurs måste läggas till när resursen skapas.
- BitLocker XTS-AES 256-bitars kryptering används för att skydda lokala data.
Skydda data under flygning
För data under flygning:
Standard TLS 1.2 används för data som överförs mellan enheten och Azure. Det finns ingen återställning till TLS 1.1 och tidigare. Agentkommunikation blockeras om TLS 1.2 inte stöds. TLS 1.2 krävs också för portal- och SDK-hantering.
När klienter får åtkomst till din enhet via det lokala webbgränssnittet i en webbläsare används standard-TLS 1.2 som standardsäkerhetsprotokoll.
- Det bästa sättet är att konfigurera webbläsaren så att den använder TLS 1.2.
- Om webbläsaren inte stöder TLS 1.2 kan du använda TLS 1.1 eller TLS 1.0.
Vi rekommenderar att du använder SMB 3.0 med kryptering för att skydda data när du kopierar dem från dina dataservrar.
Skydda data via lagringskonton
Enheten associeras med ett lagringskonto som används som mål för dina data i Azure. Åtkomsten till lagringskontot styrs via prenumerationen och två lagringsåtkomstnycklar på 512 bitar som är kopplade till lagringskontot.
En av nycklarna används för autentisering när Azure Stack Edge-enheten ansluter till lagringskontot. Den andra nyckeln sparas i reserv så du kan rotera nycklarna med jämna mellanrum.
Många datacenter kräver nyckelrotation av säkerhetsskäl. Vi rekommenderar att du följer de här regelverken för nyckelrotation:
- Din nyckel för lagringskontot liknar rotlösenordet för lagringskontot. Skydda din kontonyckel noga. Sprid inte lösenordet till andra användare, hårdkoda det eller spara det i klartext där andra kan se.
- Återskapa din kontonyckel via Azure-portalen om du tror att den kan komprometteras. Mer information finns i Hantera åtkomstnycklar för lagringskonto.
- Azure-administratören bör regelbundet ändra eller återskapa den primära eller sekundära nyckeln med hjälp av avsnittet Lagring i Azure-portalen för att få direkt åtkomst till lagringskontot.
- Rotera och synkronisera sedan dina lagringskontonycklar regelbundet för att skydda ditt lagringskonto mot obehöriga användare.
Hantera personlig information
Azure Stack Edge-tjänsten samlar in personlig information i följande scenarier:
Orderinformation. När en beställning skapas lagras leveransadressen, e-postadressen och kontaktinformationen för användaren i Azure-portalen. Informationen som sparas omfattar:
Kontaktnamn
Telefonnummer
E-postadress
Gatuadress
Ort
Postnummer/postnummer
Tillstånd
Land/region/provins
Spårningsnummer för leveransen
Orderinformation krypteras och lagras i tjänsten. Tjänsten behåller informationen tills du uttryckligen tar bort resursen eller beställningen. Borttagningen av resursen och motsvarande ordning blockeras från den tidpunkt då enheten levereras tills enheten återgår till Microsoft.
Leveransadress. När en beställning har gjorts tillhandahåller Data Box-tjänsten leveransadressen till tredjepartsföretag som UPS.
Dela användare. Användare på enheten kan också komma åt data som finns på resurserna. En lista över användare som kan komma åt resursdata kan visas. När resurserna tas bort tas även den här listan bort.
Om du vill visa listan över användare som kan komma åt eller ta bort en resurs följer du stegen i Hantera resurser i Azure Stack Edge Pro FPGA.
Mer information finns i Microsofts sekretesspolicy i Säkerhetscenter.