Segurança e proteção de dados para o Azure Stack Edge Pro 2, Azure Stack Edge Pro R e Azure Stack Edge Mini R

  • Artigo

APLICA-SE A:Yes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro R Azure Stack Edge Mini RYes for Mini R SKU

A segurança é uma preocupação importante ao adotar uma nova tecnologia, especialmente quando a tecnologia é usada com dados confidenciais ou proprietários. O Azure Stack Edge Pro R e o Azure Stack Edge Mini R ajudam a garantir que somente entidades autorizadas possam exibir, modificar ou excluir seus dados.

Este artigo descreve os recursos de segurança do Azure Stack Edge Pro R e do Azure Stack Edge Mini R que ajudam a proteger cada um dos componentes da solução e os dados armazenados nelas.

A solução é formada por quatro componentes principais, que interagem entre si:

  • O serviço Azure Stack Edge, hospedado no Azure público ou na nuvem do Azure Governamental. O recurso de gerenciamento que você usa para criar o pedido do dispositivo, configurar o dispositivo e, em seguida, controlar o pedido até a conclusão.
  • Dispositivo robusto do Azure Stack Edge. O dispositivo físico robusto que é enviado a você para que seja possível importar seus dados locais para o Azure público ou a nuvem do Azure Governamental. O dispositivo pode ser do Azure Stack Edge Pro R ou do Azure Stack Edge Mini R.
  • Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo e contêm dados que precisam ser protegidos.
  • Armazenamento em nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local geralmente é a conta de armazenamento vinculada ao recurso do Azure Stack Edge que você cria.

Proteção de serviço

O serviço do Azure Stack Edge é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.

  • Para acessar o serviço Data Box Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou Provedor de Soluções de Nuvem (CSP). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
  • Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
  • Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode visualizar a chave de criptografia somente se tiver permissões para a API do Resource Graph.

Proteção do dispositivo

O dispositivo robusto é um dispositivo local que ajuda a transformar seus dados processando-os localmente e, em seguida, enviando-os ao Azure. Seu dispositivo:

  • Precisa de uma chave de ativação para acessar o serviço do Azure Stack Edge.

  • É sempre protegido pela senha do dispositivo.

  • é um dispositivo bloqueado. O BMC (controlador de gerenciamento de placa-base) e o BIOS do dispositivo são protegidos por senha. O BMC é protegido por acesso a usuários limitado.

  • Tem inicialização segura habilitada que garante que o dispositivo seja inicializado somente usando o software confiável fornecido pela Microsoft.

  • Executa o WDAC (Controle de Aplicativos do Windows Defender). O WDAC somente permite a execução aplicativos confiáveis definidos por você em suas políticas de integridade de código.

  • Tem um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. Especificamente, o TPM gerencia e protege os segredos e os dados que precisam ser persistidos no dispositivo.

  • Somente as portas necessárias são abertas no dispositivo e todas as outras portas são bloqueadas. Para saber mais, confira a lista de requisitos de porta do dispositivo.

  • Todo o acesso ao hardware do dispositivo, bem como ao software, é registrado.

    • Para o software, os logs de firewall padrão são coletados para o tráfego de entrada e de saída do dispositivo. Esses logs são agrupados no pacote de suporte.
    • Para o hardware, todos os eventos do chassi do dispositivo, como abertura e o fechamento, são registrados no dispositivo.

    Para saber mais sobre os logs específicos que contêm os eventos de intrusão de hardware e software e como obter os logs, acesse Coletar logs de segurança avançados.

Proteger o dispositivo por chave de ativação

Somente um dispositivo autorizado do Azure Stack Edge Pro R ou do Azure Stack Edge Mini R pode ingressar no serviço do Azure Stack Edge que você cria na assinatura do Azure. Para autorizar um dispositivo é necessário usar uma chave de ativação para ativar o dispositivo com o serviço do Azure Stack Edge.

A chave de ativação que você usa:

  • É uma chave de autenticação baseada em ID do Microsoft Entra.
  • Expira após três dias.
  • Não é usada após a ativação do dispositivo.

Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.

Para obter mais informações, consulte Obter uma chave de ativação.

Proteger o dispositivo por senha

As senhas garantem que somente os usuários autorizados possam acessar seus dados. Os dispositivos do Azure Stack Edge Pro R são inicializados em um estado bloqueado.

Você poderá:

  • Conectar-se à IU da Web local do dispositivo por meio de um navegador e, em seguida, digitar uma senha para entrar no dispositivo.
  • Conectar-se remotamente à interface do dispositivo do PowerShell por HTTP. O gerenciamento remoto é ativado por padrão. e também é configurado para usar a JEA (Just Enough Administration) a fim de limitar o que os usuários podem fazer. Em seguida, você pode inserir a senha para entrar no dispositivo. Para saber mais, confira Conectar-se remotamente a um dispositivo.
  • O usuário do Edge local tem acesso limitado ao dispositivo para configuração inicial e solução de problemas. As cargas de trabalho de computação em execução no dispositivo, a transferência de dados e o armazenamento podem ser acessados no Azure público ou no portal do governo para o recurso na nuvem.

Tenha em mente as seguintes melhores práticas:

  • É recomendável armazenar todas as senhas em um local seguro para não precisar redefinir uma senha se ela for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-las por meio do portal do Azure. Se precisar redefinir uma senha, certifique-se de notificar todos os usuários antes de fazer isso.
  • É possível acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como melhor prática de segurança, use HTTP somente em redes confiáveis.
  • Certifique-se de que as senhas do dispositivo sejam fortes e bem protegidas. Siga as melhores práticas de senha.
  • Use a IU da Web local para alterar a senha. Se você alterar a senha, lembre-se de notificar todos os usuários de acesso remoto para que eles não tenham problemas de entrada.

Estabelecer confiança com o dispositivo por meio de certificados

O dispositivo robusto do Azure Stack Edge permite usar seus próprios certificados e instalá-los para serem usados em todos os pontos de extremidade públicos. Para saber mais, acesse Carregar seu certificado. Para ver uma lista de todos os certificados que podem ser instalados no seu dispositivo, acesse Gerenciar certificados no dispositivo.

  • Quando você configura a computação no dispositivo, um dispositivo IoT e um dispositivo IoT Edge são criados. Esses dispositivos recebem chaves de acesso simétricas automaticamente. Como uma melhor prática de segurança, essas chaves são trocadas regularmente por meio do serviço de Hub IoT.

Proteger seus dados

Esta seção descreve os recursos de segurança que protegem dados armazenados e em movimento.

Proteger dados em repouso

Todos os dados inativos no dispositivo são duplamente criptografados, o acesso aos dados é controlado e, depois que o dispositivo for desativado, os dados são apagados com segurança dos discos de dados.

Criptografia dupla de dados

Os dados em seus discos são protegidos por duas camadas de criptografia:

  • A primeira é a criptografia de 256 bits XTS-AES do BitLocker nos volumes de dados.
  • A segunda camada são os discos rígidos que têm criptografia interna.
  • O volume do sistema operacional tem o BitLocker como única camada de criptografia.

Observação

O disco do sistema operacional tem a criptografia de software do BitLocker XTS-AES-256 de camada única.

Antes de ativar o dispositivo, é necessário configurar a criptografia em repouso em seu dispositivo. Essa é uma configuração necessária e até que isso seja configurado com êxito, você não poderá ativar o dispositivo.

No alocador, após a imagem dos dispositivos, a criptografia BitLocker no nível de volume está habilitada. Depois de receber o dispositivo, você precisa configurar a criptografia em repouso. O pool de armazenamento e os volumes são recriados e você pode fornecer chaves do BitLocker para habilitar a criptografia em repouso e, portanto, criar outra camada de criptografia para seus dados em repouso.

A chave de criptografia em repouso é uma chave codificada em Base 64 de 32 caracteres que você fornece, e essa chave é usada para proteger a chave de criptografia real. A Microsoft não tem acesso a essa chave de criptografia em repouso que protege seus dados. Essa chave é salva em um arquivo de chave na página Detalhes da nuvem após o dispositivo ser ativado.

Quando o dispositivo for ativado, você será solicitado a salvar o arquivo de chave que contém as chaves de recuperação que ajudam a recuperar os dados no dispositivo se ele não inicializar. Determinados cenários de recuperação solicitarão o arquivo de chave que você salvou. O arquivo de chave tem as seguintes chaves de recuperação:

  • Uma chave que desbloqueia a primeira camada de criptografia.
  • Uma chave que desbloqueia a criptografia de hardware nos discos de dados.
  • Uma chave que ajuda a recuperar a configuração do dispositivo nos volumes do sistema operacional.
  • Uma chave que protege os dados que fluem por meio do serviço do Azure.

Importante

Salve o arquivo de chave em um local seguro fora do dispositivo. Se o dispositivo não inicializar e você não tiver a chave, isso poderá resultar em perda de dados.

Acesso restrito a dados

O acesso a dados armazenados em compartilhamentos e contas de armazenamento é restrito.

  • Clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
  • É preciso adicionar explicitamente o endereço IP dos clientes NFS durante a criação do compartilhamento.
  • As contas de armazenamento do Edge que são criadas no dispositivo são locais e protegidas pela criptografia nos discos de dados. As contas de armazenamento do Azure às quais essas contas de armazenamento do Edge são mapeadas são protegidas por assinatura e duas chaves de acesso de armazenamento de 512 bits associadas à conta de armazenamento do Edge. Essas chaves são diferentes das que estão associadas às suas contas de armazenamento do Azure. Para saber mais, confira Proteger dados em contas de armazenamento.
  • A criptografia de 256 bits XTS-AES do BitLocker é usada para proteger os dados locais.

Eliminação de dados segura

Quando o dispositivo passa por uma reinicialização forçada, um apagamento seguro é realizado no dispositivo. O apagamento seguro executa a eliminação de dados nos discos usando a limpeza NIST SP 800-88r1.

Proteger dados em trânsito

Para dados em trânsito:

  • O TLS (Standard Transport Layer Security) 1.2 é usado para dados que trafegam entre o dispositivo e o Azure. Não há nenhum fallback para o TLS 1.1 e anterior. A comunicação do agente será bloqueada se o TLS 1.2 não for compatível. O TLS 1.2 também é necessário para gerenciamento de portal e SDK.

  • Quando os clientes acessam seu dispositivo por meio da IU da web local de um navegador, o padrão TLS 1.2 é usado como o protocolo de segurança padrão.

    • A prática recomendada é configurar seu navegador para usar TLS 1.2.
    • Seu dispositivo só oferece suporte a TLS 1.2 e não oferece suporte a versões anteriores de TLS 1.1 ou TLS 1.0.

  • Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.

Proteger dados em contas de armazenamento

O dispositivo está associado a uma conta de armazenamento usada como destino dos dados no Azure. O acesso a uma conta de armazenamento é controlado pela assinatura e pelas duas chaves de acesso de armazenamento de 512 bits associadas àquela conta de armazenamento.

Uma das chaves é usada para autenticação quando o dispositivo do Azure Stack Edge acessa a conta de armazenamento. A outra chave fica de reserva para que você possa alternar as chaves periodicamente.

Por motivos de segurança, muitos data centers exigem a rotação de chaves. Recomendamos seguir estas práticas recomendadas para a rotação de chaves:

  • Sua chave de conta de armazenamento é semelhante para a senha raiz da sua conta de armazenamento. Proteja a chave de conta com cuidado. Não distribua a senha para outros usuários, nem codifique ou salve em qualquer lugar em texto sem formatação acessível a outras pessoas.
  • Regenere sua chave de conta por meio do portal do Azure se você suspeitar que ela pode estar comprometida.
  • Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar diretamente a conta de armazenamento.
  • Você também pode usar a própria chave de criptografia para proteger os dados na sua conta de armazenamento do Azure. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. Para obter mais informações sobre como proteger os seus dados, confira Habilitar chaves gerenciadas pelo cliente na sua conta de armazenamento do Azure.

Gerenciar informações pessoais

O serviço do Azure Stack Edge coleta informações pessoais nos seguintes cenários:

  • Detalhes do pedido. Quando uma ordem é criada, o endereço de envio, endereço de email e as informações de contato dos usuários são armazenadas no portal do Azure. As informações salvas incluem:

    • Nome do contato

    • Número do telefone

    • Endereço de email

    • Endereço

    • City

    • CEP/código postal

    • State

    • País/região/província

    • Enviar número de controle

      Os detalhes do pedido são criptografados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou o pedido. A exclusão do recurso e o pedido correspondente são bloqueados desde o momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.

  • Endereço para entrega. Depois que um pedido for feito, o serviço do Data Box fornecerá o endereço de entrega para operadoras de terceiros como a UPS.

  • Usuários do compartilhamento. Os usuários em seu dispositivo também podem acessar os dados localizados nos compartilhamentos. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser vista. Quando os compartilhamentos são excluídos, essa lista também será excluída.

Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no Azure Stack Edge.

Para saber mais, leia a política de privacidade da Microsoft na Central de Confiabilidade.

Próximas etapas

Implantar dispositivo Azure Stack Edge Pro R