Azure Stack Edge Pro 2, Azure Stack Edge Pro R ve Azure Stack Edge Mini R için güvenlik ve veri koruması
ŞUNLAR IÇIN GEÇERLIDIR: Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Özellikle teknoloji gizli veya özel verilerle kullanılıyorsa, yeni bir teknolojiyi benimserken güvenlik önemli bir konudur. Azure Stack Edge Pro R ve Azure Stack Edge Mini R, verilerinizi yalnızca yetkili varlıkların görüntüleyebilmesini, değiştirebilmesini veya silmesini sağlamanıza yardımcı olur.
Bu makalede, çözüm bileşenlerinin ve içinde depolanan verilerin korunmasına yardımcı olan Azure Stack Edge Pro R ve Azure Stack Edge Mini R güvenlik özellikleri açıklanmaktadır.
Çözüm, birbiriyle etkileşim kuran dört ana bileşenden oluşur:
- Azure genel veya Azure Kamu bulutta barındırılan Azure Stack Edge hizmeti. Cihaz sırasını oluşturmak, cihazı yapılandırmak ve ardından tamamlanma sırasını izlemek için kullandığınız yönetim kaynağı.
- Azure Stack Edge dayanıklı cihaz. Şirket içi verilerinizi Azure genel veya Azure Kamu buluta aktarabilmeniz için size gönderilen dayanıklı, fiziksel cihaz. Cihaz Azure Stack Edge Pro R veya Azure Stack Edge Mini R olabilir.
- Cihaza bağlı istemciler/konaklar. Altyapınızdaki cihaza bağlanan ve korunması gereken verileri içeren istemciler.
- Bulut depolama alanı. Azure bulut platformunda verilerin depolandığı konum. Bu konum genellikle oluşturduğunuz Azure Stack Edge kaynağına bağlı depolama hesabıdır.
Hizmet koruması
Azure Stack Edge hizmeti, Azure'da barındırılan bir yönetim hizmetidir. Hizmet, cihazı yapılandırmak ve yönetmek için kullanılır.
- Data Box Edge hizmetine erişmek için kuruluşunuzun bir Kurumsal Anlaşma (EA) veya Bulut Çözümü Sağlayıcısı (CSP) aboneliği olması gerekir. Daha fazla bilgi için bkz . Azure aboneliğine kaydolma.
- Bu yönetim hizmeti Azure'da barındırılıyor olduğundan, Azure güvenlik özellikleri tarafından korunur. Azure tarafından sağlanan güvenlik özellikleri hakkında daha fazla bilgi için Microsoft Azure Güven Merkezi'ne gidin.
- SDK yönetim işlemleri için Cihaz özellikleri'nde kaynağınızın şifreleme anahtarını alabilirsiniz. Şifreleme anahtarını yalnızca Kaynak Grafı API'sine yönelik izinleriniz varsa görüntüleyebilirsiniz.
Cihaz koruması
Dayanıklı cihaz, verilerinizi yerel olarak işleyip Azure'a göndererek dönüştürmenize yardımcı olan şirket içi bir cihazdır. Cihazınız:
Azure Stack Edge hizmetine erişmek için bir etkinleştirme anahtarı gerekir.
Cihaz parolası ile her zaman korunur.
Kilitli bir cihazdır. Cihaz temel kart yönetim denetleyicisi (BMC) ve BIOS parola korumalıdır. BMC sınırlı kullanıcı erişimiyle korunur.
Cihazın yalnızca Microsoft tarafından sağlanan güvenilir yazılım kullanılarak önyüklenmesini sağlayan güvenli önyükleme etkindir.
Windows Defender Uygulama Denetimi 'ni (WDAC) çalıştırır. WDAC, yalnızca kod bütünlüğü ilkelerinizde tanımladığınız güvenilen uygulamaları çalıştırmanıza olanak tanır.
Donanım tabanlı, güvenlikle ilgili işlevler gerçekleştiren bir Güvenilir Platform Modülü (TPM) vardır. Özellikle TPM, cihazda kalıcı olması gereken gizli dizileri ve verileri yönetir ve korur.
Cihazda yalnızca gerekli bağlantı noktaları açılır ve diğer tüm bağlantı noktaları engellenir. Daha fazla bilgi için cihaz için bağlantı noktası gereksinimleri listesine bakın.
Cihaz donanımına ve yazılıma tüm erişim günlüğe kaydedilir.
- Cihaz yazılımı için, cihazdan gelen ve giden trafik için varsayılan güvenlik duvarı günlükleri toplanır. Bu günlükler destek paketinde paketlenmiştir.
- Cihaz donanımı için cihaz kasasının açılması ve kapatılması gibi tüm cihaz kasası olayları cihaza kaydedilir.
Donanım ve yazılım yetkisiz erişim olaylarını içeren belirli günlükler ve günlükleri alma hakkında daha fazla bilgi için Gelişmiş güvenlik günlüklerini toplama bölümüne gidin.
Etkinleştirme anahtarıyla cihazı koruma
Azure aboneliğinizde oluşturduğunuz Azure Stack Edge hizmetine yalnızca yetkili bir Azure Stack Edge Pro R veya Azure Stack Edge Mini R cihazının katılmasına izin verilir. Bir cihazı yetkilendirmek için, cihazı Azure Stack Edge hizmetiyle etkinleştirmek için bir etkinleştirme anahtarı kullanmanız gerekir.
Kullandığınız etkinleştirme anahtarı:
- Microsoft Entra Id tabanlı bir kimlik doğrulama anahtarıdır.
- Süresi üç gün sonra dolar.
- Cihaz etkinleştirmeden sonra kullanılmaz.
Bir cihazı etkinleştirdikten sonra, Azure ile iletişim kurmak için belirteçleri kullanır.
Daha fazla bilgi için bkz . Etkinleştirme anahtarı alma.
Cihazı parolayla koruma
Parolalar, verilerinize yalnızca yetkili kullanıcıların erişebilmesini sağlar. Azure Stack Edge Pro R cihazları kilitli durumda önyüklenir.
Şunları yapabilirsiniz:
- Tarayıcı aracılığıyla cihazın yerel web kullanıcı arabirimine bağlanın ve ardından cihazda oturum açmak için bir parola girin.
- HTTP üzerinden cihaz PowerShell arabirimine uzaktan bağlanın. Uzaktan yönetim varsayılan olarak açıktır. Uzaktan yönetim, kullanıcıların yapabileceklerini sınırlamak için Yeterli Yönetim (JEA) kullanacak şekilde de yapılandırılır. Daha sonra cihazda oturum açmak için cihaz parolasını sağlayabilirsiniz. Daha fazla bilgi için bkz . Cihazınıza uzaktan bağlanma.
- Cihazdaki yerel Edge kullanıcısının ilk yapılandırma ve sorun giderme için cihaza sınırlı erişimi vardır. Cihazda çalışan işlem iş yüklerine, veri aktarımına ve depolamaya buluttaki kaynak için Azure genel portalından veya kamu portalından erişilebilir.
Şu en iyi yöntemleri aklınızda bulundurun:
- Unutulan bir parolayı sıfırlamak zorunda kalmayın diye tüm parolaları güvenli bir yerde saklamanızı öneririz. Yönetim hizmeti mevcut parolaları alamıyor. Bunları yalnızca Azure portalı üzerinden sıfırlayabilir. Parolayı sıfırlarsanız, sıfırlamadan önce tüm kullanıcılara bildirmeyi unutmayın.
- Cihazınızın Windows PowerShell arabirimine HTTP üzerinden uzaktan erişebilirsiniz. En iyi güvenlik uygulaması olarak, HTTP'yi yalnızca güvenilen ağlarda kullanmanız gerekir.
- Cihaz parolalarının güçlü ve iyi korunduğundan emin olun. Parolayla ilgili en iyi yöntemleri izleyin.
- Parolayı değiştirmek için yerel web kullanıcı arabirimini kullanın. Parolayı değiştirirseniz, oturum açarken sorun yaşamamaları için tüm uzaktan erişim kullanıcılarını bilgilendirdiğinizden emin olun.
Sertifikalar aracılığıyla cihazla güven oluşturma
Azure Stack Edge dayanıklı cihaz, kendi sertifikalarınızı getirmenize ve tüm genel uç noktalar için kullanılacak sertifikaları yüklemenize olanak tanır. Daha fazla bilgi için Sertifikanızı karşıya yükleme bölümüne gidin. Cihazınıza yüklenebilen tüm sertifikaların listesi için Cihazınızdaki sertifikaları yönetme bölümüne gidin.
- Cihazınızda işlem yapılandırdığınızda, bir IoT cihazı ve bir IoT Edge cihazı oluşturulur. Bu cihazlara otomatik olarak simetrik erişim anahtarları atanır. En iyi güvenlik uygulaması olarak, bu anahtarlar IoT Hub hizmeti aracılığıyla düzenli olarak döndürülür.
Verilerinizi koruma
Bu bölümde, aktarımdaki ve depolanan verileri koruyan güvenlik özellikleri açıklanmaktadır.
Bekleyen verileri koruma
Cihazdaki bekleyen tüm veriler çift şifrelenir, verilere erişim denetlenir ve cihaz devre dışı bırakıldıktan sonra veriler veri disklerinden güvenli bir şekilde silinir.
Verilerin çift şifrelenmesini
Disklerinizdeki veriler iki şifreleme katmanıyla korunur:
- Şifrelemenin ilk katmanı, veri birimlerindeki BitLocker XTS-AES 256 bit şifrelemedir.
- İkinci katman, yerleşik şifrelemeye sahip sabit disklerdir.
- İşletim sistemi birimi, tek bir şifreleme katmanı olarak BitLocker'a sahiptir.
Not
İşletim sistemi diskinin tek katmanlı BitLocker XTS-AES-256 yazılım şifrelemesi vardır.
Cihazı etkinleştirmeden önce cihazınızda bekleyen şifrelemeyi yapılandırmanız gerekir. Bu gerekli bir ayardır ve bu ayar başarıyla yapılandırılana kadar cihazı etkinleştiremezsiniz.
Fabrikada, cihazlar görüntülendiğinde birim düzeyinde BitLocker şifrelemesi etkinleştirilir. Cihazı aldıktan sonra bekleyen şifrelemeyi yapılandırmanız gerekir. Depolama havuzu ve birimler yeniden oluşturulur ve bekleyen verileri şifrelemeyi etkinleştirmek ve böylece bekleyen verileriniz için başka bir şifreleme katmanı oluşturmak için BitLocker anahtarları sağlayabilirsiniz.
Bekleyen şifreleme anahtarı, sağladığınız 32 karakter uzunluğunda base-64 kodlanmış anahtardır ve bu anahtar gerçek şifreleme anahtarını korumak için kullanılır. Microsoft'un verilerinizi koruyan bu bekleyen şifreleme anahtarına erişimi yoktur. Anahtar, cihaz etkinleştirildikten sonra Bulut ayrıntıları sayfasındaki bir anahtar dosyasına kaydedilir.
Cihaz etkinleştirildiğinde, cihaz önyükleme yapmazsa cihazdaki verileri kurtarmaya yardımcı olan kurtarma anahtarlarını içeren anahtar dosyasını kaydetmeniz istenir. Bazı kurtarma senaryoları, kaydettiğiniz anahtar dosyasını girmenizi ister. Anahtar dosyasında aşağıdaki kurtarma anahtarları vardır:
- İlk şifreleme katmanının kilidini açan bir anahtar.
- Veri disklerindeki donanım şifrelemesinin kilidini açan bir anahtar.
- İşletim sistemi birimlerindeki cihaz yapılandırmasını kurtarmaya yardımcı olan bir anahtar.
- Azure hizmetinden akan verileri koruyan bir anahtar.
Önemli
Anahtar dosyasını cihazın kendisi dışında güvenli bir konuma kaydedin. Cihaz önyüklenmezse ve anahtarınız yoksa, bu durum veri kaybına neden olabilir.
Verilere kısıtlı erişim
Paylaşımlarda ve depolama hesaplarında depolanan verilere erişim kısıtlanmıştır.
- Paylaşım verilerine erişen SMB istemcileri, paylaşımla ilişkilendirilmiş kullanıcı kimlik bilgilerine ihtiyaç duyar. Bu kimlik bilgileri, paylaşım oluşturulduğunda tanımlanır.
- Paylaşıma erişen NFS istemcilerinin, paylaşım oluşturulduğunda IP adreslerinin açıkça eklenmesi gerekir.
- Cihazda oluşturulan Edge depolama hesapları yereldir ve veri disklerindeki şifrelemeyle korunur. Bu Edge depolama hesaplarının eşlendiği Azure depolama hesapları abonelikle ve Edge depolama hesabıyla ilişkili iki 512 bit depolama erişim anahtarıyla korunur (bu anahtarlar, Azure Depolama hesaplarınızla ilişkilendirilmiş olanlardan farklıdır). Daha fazla bilgi için bkz . Depolama hesaplarındaki verileri koruma.
- BitLocker XTS-AES 256 bit şifreleme, yerel verileri korumak için kullanılır.
Güvenli veri silme
Cihaz sabit bir sıfırlamadan geçtiğinde, cihazda güvenli bir temizleme gerçekleştirilir. Güvenli temizleme, NIST SP 800-88r1 temizlemesini kullanarak disklerde veri silme işlemi gerçekleştirir.
Verileri uçuşta koruma
Uçuştaki veriler için:
Standart Aktarım Katmanı Güvenliği (TLS) 1.2, cihaz ile Azure arasında seyahat eden veriler için kullanılır. TLS 1.1 ve önceki sürümlere geri dönüş yoktur. TLS 1.2 desteklenmiyorsa aracı iletişimi engellenir. Portal ve SDK yönetimi için TLS 1.2 de gereklidir.
İstemciler cihazınıza tarayıcının yerel web kullanıcı arabirimi aracılığıyla eriştiğinde, varsayılan güvenli protokol olarak standart TLS 1.2 kullanılır.
- En iyi yöntem, tarayıcınızı TLS 1.2 kullanacak şekilde yapılandırmaktır.
- Cihazınız yalnızca TLS 1.2'i destekler ve eski TLS 1.1 veya TLS 1.0 sürümlerini desteklemez.
Verileri veri sunucularınızdan kopyalarken korumak için SMB 3.0'ı şifreleme ile kullanmanızı öneririz.
Depolama hesaplarındaki verileri koruma
Cihazınız, Azure’daki verileriniz için hedef olarak kullanılan bir depolama hesabıyla ilişkilendirilir. Depolama hesabına erişim, abonelikle ve bu depolama hesabıyla ilişkili iki 512 bit depolama hesabı anahtarıyla denetlenir.
Anahtarlardan biri Azure Stack Edge cihazı depolama hesabına erişirken kullanılır. Diğer anahtar ayrılmış olarak tutulur, bu sayede düzenli olarak anahtarları döndürebilirsiniz.
Güvenlik nedenleriyle birçok veri merkezi anahtar döndürmeyi gerektirir. Anahtar döndürme için şu en iyi yöntemleri izlemenizi öneririz:
- Depolama hesabı anahtarınız depolama hesabınızın kök parolasına benzer. Hesap anahtarınızı dikkatle koruyun. Parolayı diğer kullanıcılara dağıtmayın, sabit olarak kodlamayın veya başkalarının erişebileceği bir konumda düz metin olarak kaydetmeyin.
- Risk altında olabileceğini düşünüyorsanız Azure portalı aracılığıyla hesap anahtarınızı yeniden oluşturun.
- Azure yöneticiniz, depolama hesabına doğrudan erişmek için Azure portalının Depolama bölümünü kullanarak birincil veya ikincil anahtarı düzenli aralıklarla değiştirmeli veya yeniden oluşturmalıdır.
- Azure depolama hesabınızdaki verileri korumak için kendi şifreleme anahtarınızı da kullanabilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Verilerinizin güvenliğini sağlama hakkında daha fazla bilgi için bkz . Azure Depolama hesabınız için müşteri tarafından yönetilen anahtarları etkinleştirme.
- Depolama hesabınızın yetkisiz kullanıcılardan korunmasına yardımcı olmak için depolama hesabı anahtarlarınızı düzenli olarak döndürün ve eşitleyin.
Kişisel bilgileri yönetme
Azure Stack Edge hizmeti aşağıdaki senaryolarda kişisel bilgileri toplar:
Sipariş ayrıntıları. Sipariş oluşturulduğunda, kullanıcının sevkiyat adresi, e-posta adresi ve iletişim bilgileri Azure portalında depolanır. Kaydedilen bilgiler:
İlgili kişi adı
Telefon numarası
E-posta adresi
Posta adresi
City
Posta kodu/posta kodu
Durum
Ülke/bölge/il
Kargo takip numarası
Sipariş ayrıntıları şifrelenir ve hizmette depolanır. Siz kaynağı veya siparişi açıkça silene kadar hizmet bilgileri korur. Kaynağın silinmesi ve buna karşılık gelen sipariş, cihaz Microsoft'a dönene kadar cihazın gönderilmesinden sonra engellenir.
Sevkiyat adresi. Bir sipariş verdikten sonra Data Box hizmeti, UPS gibi üçüncü taraf taşıyıcılara sevkiyat adresini sağlar.
Kullanıcıları paylaşın. Cihazınızdaki kullanıcılar paylaşımlarda bulunan verilere de erişebilir. Paylaşım verilerine erişebilen kullanıcıların listesi görüntülenebilir. Paylaşımlar silindiğinde, bu liste de silinir.
Bir paylaşıma erişebilecek veya paylaşımları silebilen kullanıcıların listesini görüntülemek için Azure Stack Edge'de paylaşımları yönetme sayfasındaki adımları izleyin.
Daha fazla bilgi için Güven Merkezi'ndeki Microsoft gizlilik ilkesini gözden geçirin.