Sicurezza e protezione dei dati per Azure Stack Edge Pro 2, Azure Stack Edge Pro R e Azure Stack Edge Mini R
SI APPLICA A: Azure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
La sicurezza è una delle principali preoccupazioni per chi ha intenzione di adottare una nuova tecnologia, soprattutto se usata con dati riservati o proprietari. Azure Stack Edge Pro R e Azure Stack Edge Mini R consentono di assicurarsi che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati.
Questo articolo descrive le funzionalità di sicurezza Azure Stack Edge Pro R e Azure Stack Edge Mini R che consentono di proteggere ognuno dei componenti della soluzione e i dati archiviati in essi.
La soluzione è costituita da quattro componenti principali che interagiscono tra loro:
- Servizio Azure Stack Edge, ospitato nel cloud pubblico o Azure per enti pubblici di Azure. Risorsa di gestione usata per creare l'ordine del dispositivo, configurare il dispositivo e quindi monitorare l'ordine fino al completamento.
- Dispositivo resistente di Azure Stack Edge. Il dispositivo fisico robusto fornito all'utente in modo da poter importare i dati locali nel cloud pubblico o Azure per enti pubblici di Azure. Il dispositivo potrebbe essere Azure Stack Edge Pro R o Azure Stack Edge Mini R.
- Client/host connessi al dispositivo. I client nell'infrastruttura che si connettono al dispositivo e contengono dati che devono essere protetti.
- Archiviazione nel cloud. Posizione nella piattaforma cloud di Azure in cui vengono archiviati i dati. Questo percorso è in genere l'account di archiviazione collegato alla risorsa Azure Stack Edge creata.
Protezione del servizio
Il servizio Azure Stack Edge è un servizio di gestione ospitato in Azure. Il servizio viene usato per configurare e gestire il dispositivo.
- Per accedere al servizio Data Box Edge, l'organizzazione deve avere una sottoscrizione Contratto Enterprise (EA) o Cloud Solution Provider (CSP). Per altre informazioni, vedere Iscriversi per una sottoscrizione di Azure.
- Poiché questo servizio di gestione è ospitato in Azure, è protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Azure, vedere Centro protezione di Microsoft Azure.
- Per le operazioni di gestione dell'SDK, è possibile ottenere la chiave di crittografia per la risorsa in Proprietà dispositivo. È possibile visualizzare la chiave di crittografia solo se si dispone delle autorizzazioni per l'API Resource Graph.
Protezione dei dispositivi
Il dispositivo robusto è un dispositivo locale che consente di trasformare i dati elaborandolo in locale e quindi inviandolo ad Azure. Il dispositivo:
Richiede una chiave di attivazione per accedere al servizio Azure Stack Edge.
È sempre protetto da una password per il dispositivo.
Dispositivo bloccato. Il controller di gestione della lavagna di base del dispositivo e il BIOS sono protetti da password. Il BMC è protetto da accesso utente limitato.
Ha l'avvio protetto abilitato che garantisce l'avvio del dispositivo solo usando il software attendibile fornito da Microsoft.
Esegue Windows Defender Application Control (WDAC). WDAC consente di eseguire solo applicazioni attendibili definite nei criteri di integrità del codice.
Dispone di un TPM (Trusted Platform Module) che esegue funzioni correlate alla sicurezza basate su hardware. In particolare, il TPM gestisce e protegge segreti e dati che devono essere salvati in modo permanente nel dispositivo.
Solo le porte necessarie vengono aperte nel dispositivo e tutte le altre porte sono bloccate. Per altre informazioni, vedere l'elenco dei requisiti delle porte per il dispositivo .
Viene registrato tutto l'accesso all'hardware del dispositivo e al software.
- Per il software del dispositivo, i log firewall predefiniti vengono raccolti per il traffico in ingresso e in uscita dal dispositivo. Questi log vengono raggruppati nel pacchetto di supporto.
- Per l'hardware del dispositivo, tutti gli eventi dello chassis del dispositivo, ad esempio l'apertura e la chiusura dello chassis del dispositivo, vengono registrati nel dispositivo.
Per altre informazioni sui log specifici che contengono gli eventi di intrusione hardware e software e su come ottenere i log, vedere Raccogliere log di sicurezza avanzati.
Proteggere il dispositivo tramite la chiave di attivazione
Solo un dispositivo Azure Stack Edge Pro R o Azure Stack Edge Mini R autorizzato può essere aggiunto al servizio Azure Stack Edge creato nella sottoscrizione di Azure. Per autorizzare un dispositivo, è necessario usare una chiave di attivazione per attivare il dispositivo con il servizio Azure Stack Edge.
La chiave di attivazione usata:
- È una chiave di autenticazione basata su Microsoft Entra ID.
- Scade dopo tre giorni.
- Non viene usata dopo l'attivazione del dispositivo.
Dopo aver attivato un dispositivo, questo usa i token per comunicare con Azure.
Per altre informazioni, vedere Ottenere una chiave di attivazione.
Proteggere il dispositivo tramite password
Le password assicurano che solo gli utenti autorizzati possano accedere ai dati. I dispositivi Azure Stack Edge Pro R vengono avviati in uno stato bloccato.
È possibile:
- Connettersi all'interfaccia utente Web locale del dispositivo tramite un browser e quindi specificare una password per accedere al dispositivo.
- Connettersi in remoto all'interfaccia di PowerShell del dispositivo tramite HTTP. La gestione remota è attivata per impostazione predefinita. La gestione remota è configurata anche per l'uso di Just Enough Administration (JEA) per limitare le operazioni che gli utenti possono eseguire. È quindi possibile specificare la password per il dispositivo per accedere al dispositivo. Per altre informazioni, vedere Connettersi in remoto al dispositivo.
- L'utente Edge locale nel dispositivo ha accesso limitato al dispositivo per la configurazione iniziale e la risoluzione dei problemi. I carichi di lavoro di calcolo in esecuzione nel dispositivo, il trasferimento dei dati e l'archiviazione possono essere tutti accessibili dal portale pubblico o pubblico di Azure per enti pubblici per la risorsa nel cloud.
Tenere presenti queste procedure consigliate:
- È consigliabile archiviare tutte le password in un luogo sicuro in modo che non sia necessario reimpostare una password se viene dimenticata. Il servizio di gestione non può recuperare le password esistenti. Può solo reimpostarle tramite il portale di Azure. Se occorre reimpostare una password, assicurarsi di inviare una notifica a tutti gli utenti prima di reimpostarla.
- È possibile accedere all'interfaccia di Windows PowerShell del dispositivo in modalità remota tramite HTTP. Come procedura consigliata per la sicurezza, è consigliabile usare HTTP solo in reti attendibili.
- Assicurarsi che le password per i dispositivi siano complesse e ben protette. Seguire le procedure consigliate per la password.
- Usare l'interfaccia utente Web locale per modificare la password. Se si modifica la password, assicurarsi di inviare una notifica a tutti gli utenti di accesso remoto in modo che non abbiano problemi di accesso.
Stabilire una relazione di trust con il dispositivo tramite certificati
Il dispositivo Robusto di Azure Stack Edge consente di usare i propri certificati e di installarli per tutti gli endpoint pubblici. Per altre informazioni, vedere Caricare il certificato. Per un elenco di tutti i certificati che possono essere installati nel dispositivo, passare a Gestisci certificati nel dispositivo.
- Quando si configura il calcolo nel dispositivo, vengono creati un dispositivo IoT e un dispositivo IoT Edge. A questi dispositivi vengono assegnate automaticamente delle chiavi di accesso simmetriche. Per una protezione ottimale, queste chiavi vengono ruotate regolarmente tramite il servizio dell'hub IoT.
Proteggere i dati
Questa sezione descrive le funzionalità di sicurezza che proteggono i dati in transito e archiviati.
Proteggere i dati inattivi
Tutti i dati inattivi nel dispositivo vengono crittografati due volte, l'accesso ai dati viene controllato e una volta disattivato il dispositivo, i dati vengono cancellati in modo sicuro dai dischi dati.
Crittografia doppia dei dati
I dati nei dischi sono protetti da due livelli di crittografia:
- Il primo livello di crittografia è la crittografia bitLocker XTS-AES a 256 bit nei volumi di dati.
- Il secondo livello è costituito dai dischi rigidi che dispongono di una crittografia predefinita.
- Il volume del sistema operativo ha BitLocker come singolo livello di crittografia.
Nota
Il disco del sistema operativo ha una crittografia software BitLocker XTS-AES-256 a livello singolo.
Prima di attivare il dispositivo, è necessario configurare la crittografia dei dati inattivi nel dispositivo. Si tratta di un'impostazione obbligatoria e, finché non viene configurata correttamente, non è possibile attivare il dispositivo.
In fase di produzione del dispositivo, dopo la creazione delle immagini dei dispositivi, la crittografia BitLocker a livello di volume è abilitata. Dopo aver ricevuto il dispositivo, è necessario configurare la crittografia dei dati inattivi. Il pool di archiviazione e i volumi vengono ricreati ed è possibile fornire chiavi BitLocker per abilitare la crittografia dei dati inattivi e quindi creare un altro livello di crittografia per i dati inattivi.
La chiave di crittografia inattiva è una chiave con codifica Base 64 con lunghezza di 32 caratteri specificata e questa chiave viene usata per proteggere la chiave di crittografia effettiva. Microsoft non ha accesso a questa chiave di crittografia inattiva che protegge i dati. La chiave viene salvata in un file nella pagina Dettagli cloud dopo l'attivazione del dispositivo.
Quando il dispositivo viene attivato, viene richiesto di salvare il file di chiave che contiene chiavi di ripristino che consentono di recuperare i dati nel dispositivo se il dispositivo non viene avviato. Alcuni scenari di ripristino richiederanno di specificare il file di chiave salvato. Il file di chiave ha le chiavi di ripristino seguenti:
- Chiave che sblocca il primo livello di crittografia.
- Chiave che sblocca la crittografia hardware nei dischi dati.
- Chiave che consente di ripristinare la configurazione del dispositivo nei volumi del sistema operativo.
- Chiave che protegge i dati trasmessi attraverso il servizio di Azure.
Importante
Salvare il file di chiave in un percorso sicuro all'esterno del dispositivo stesso. Se il dispositivo non viene avviato e non si ha la chiave, potrebbe causare una perdita di dati.
Accesso limitato ai dati
L'accesso ai dati archiviati in condivisioni e account di archiviazione è limitato.
- I client SMB che accedono ai dati della condivisione necessitano di credenziali utente associate alla condivisione. Queste credenziali vengono definite al momento della creazione della condivisione.
- I client NFS che accedono a una condivisione devono avere aggiunto in modo esplicito l'indirizzo IP quando viene creata la condivisione.
- Gli account di archiviazione Edge creati nel dispositivo sono locali e sono protetti dalla crittografia nei dischi dati. Gli account di archiviazione di Azure a cui sono mappati questi account di archiviazione Edge sono protetti dalla sottoscrizione e da due chiavi di accesso alle risorse di archiviazione a 512 bit associate all'account di archiviazione Edge (queste chiavi sono diverse da quelle associate agli account di Archiviazione di Azure). Per altre informazioni, vedere Proteggere i dati negli account di archiviazione.
- La crittografia bitLocker XTS-AES a 256 bit viene usata per proteggere i dati locali.
Cancellazione sicura dei dati
Quando il dispositivo viene sottoposto a un ripristino rigido, viene eseguita una cancellazione sicura nel dispositivo. La cancellazione sicura esegue la cancellazione dei dati sui dischi usando l'eliminazione NIST SP 800-88r1.
Proteggere i dati in transito
Per i dati in transito:
Tls (Transport Layer Security) 1.2 standard viene usato per i dati che si spostano tra il dispositivo e Azure. Non esiste alcun fallback a TLS 1.1 e versioni precedenti. La comunicazione dell'agente verrà bloccata se TLS 1.2 non è supportato. TLS 1.2 è necessario anche per la gestione del portale e dell'SDK.
Quando i client accedono al dispositivo tramite l'interfaccia utente Web locale di un browser, come protocollo sicuro predefinito viene usato TLS 1.2 standard.
- La procedura consigliata consiste nel configurare il browser per l'uso di TLS 1.2.
- Il dispositivo supporta solo TLS 1.2 e non supporta le versioni precedenti di TLS 1.1 né TLS 1.0.
È consigliabile usare SMB 3.0 con la crittografia per proteggere i dati quando vengono copiati dai server dati.
Proteggere i dati negli account di archiviazione
Il dispositivo è associato a un account di archiviazione usato come destinazione per i dati in Azure. L'accesso all'account di archiviazione è controllato dalla sottoscrizione e dalle due chiavi di accesso alle risorse di archiviazione a 512 bit che sono associate all'account di archiviazione.
Una delle chiavi viene usata per l'autenticazione quando il dispositivo Azure Stack Edge accede all'account di archiviazione. L'altra chiave è tenuta di riserva, in modo da poter ruotare le chiavi periodicamente.
Per motivi di sicurezza, molti data center richiedono la rotazione delle chiavi. Per la rotazione delle chiavi, è opportuno seguire queste procedure consigliate:
- La chiave dell’account di archiviazione è simile alla password radice per l'account di archiviazione. Proteggere con attenzione la chiave dell'account. Non divulgare la password ad altri utenti, non impostarla come hardcoded o non salvarla in testo normale in una posizione accessibile ad altri.
- Rigenerare la chiave dell'account tramite il portale di Azure se si ritiene che possa essere compromessa.
- L'amministratore di Azure deve modificare o rigenerare periodicamente la chiave primaria o secondaria usando la sezione Archiviazione del portale di Azure per accedere direttamente all'account di archiviazione.
- È anche possibile usare la propria chiave di crittografia per proteggere i dati nell'account di archiviazione di Azure. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Per altre informazioni su come proteggere i dati, vedere Abilitare le chiavi gestite dal cliente per l'account Archiviazione di Azure.
- Ruotare e quindi sincronizzare le chiavi dell'account di archiviazione regolarmente per proteggere l'account di archiviazione da utenti non autorizzati.
Gestire le informazioni personali
Il servizio Azure Stack Edge raccoglie informazioni personali negli scenari seguenti:
Dettagli dell'ordine. Quando viene creato un ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto dell'utente vengono archiviate nella portale di Azure. Le informazioni salvate includono:
Nome contatto
Numero di telefono
Indirizzo di posta elettronica
Via e numero civico
Città
Codice postale
Provincia
Paese/Regione/Provincia
Numero di tracciabilità della spedizione
I dettagli dell'ordine vengono crittografati e archiviati nel servizio. Il servizio conserva le informazioni fino a quando non si elimina in modo esplicito la risorsa o l'ordine. L'eliminazione della risorsa e dell'ordine corrispondente viene bloccata dal momento in cui il dispositivo viene spedito fino a quando il dispositivo non torna a Microsoft.
Indirizzo di spedizione. Dopo l'invio di un ordine, il servizio Data Box fornisce l'indirizzo di spedizione a vettori di terze parti come UPS.
Utenti delle condivisioni. Gli utenti del dispositivo possono anche accedere ai dati presenti nelle condivisioni. È possibile visualizzare un elenco di utenti che possono accedere ai dati delle condivisioni. Quando le condivisioni vengono eliminate, viene eliminato anche questo elenco.
Per visualizzare l'elenco degli utenti che possono accedere o eliminare una condivisione, seguire la procedura descritta in Gestire le condivisioni in Azure Stack Edge.
Per altre informazioni, vedere l'informativa sulla privacy di Microsoft nel Centro protezione.