Sicurezza e protezione dei dati di Azure Stack Edge

La sicurezza è una delle principali preoccupazioni per chi ha intenzione di adottare una nuova tecnologia, soprattutto se usata con dati riservati o proprietari. Azure Stack Edge consente di assicurarsi che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati.

Questo articolo descrive le funzionalità di sicurezza di Azure Stack Edge che consentono di proteggere ognuno dei componenti della soluzione e i dati archiviati in essi.

Azure Stack Edge è costituito da quattro componenti principali che interagiscono tra loro:

• Servizio Azure Stack Edge, ospitato in Azure. Risorsa di gestione usata per creare l'ordine del dispositivo, configurare il dispositivo e quindi monitorare l'ordine fino al completamento.
• Dispositivo FPGA di Azure Stack Edge Pro. Il dispositivo di trasferimento fornito all'utente in modo da poter importare i dati locali in Azure.
• Client/host connessi al dispositivo. I client nell'infrastruttura che si connettono al dispositivo FPGA di Azure Stack Edge Pro e contengono dati che devono essere protetti.
• Archiviazione nel cloud. Posizione nella piattaforma cloud di Azure in cui vengono archiviati i dati. Questo percorso è in genere l'account di archiviazione collegato alla risorsa Azure Stack Edge creata.

Protezione del servizio Azure Stack Edge

Il servizio Azure Stack Edge è un servizio di gestione ospitato in Azure. Il servizio viene usato per configurare e gestire il dispositivo.

• Per accedere al servizio Azure Stack Edge, l'organizzazione deve avere una sottoscrizione Enterprise Agreement (EA) o Cloud Solution Provider (CSP). Per altre informazioni, vedere Iscriversi per una sottoscrizione di Azure.
• Poiché questo servizio di gestione è ospitato in Azure, è protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Azure, vedere Centro protezione di Microsoft Azure.
• Per le operazioni di gestione dell'SDK, è possibile ottenere la chiave di crittografia per la risorsa in Proprietà dispositivo. È possibile visualizzare la chiave di crittografia solo se si dispone delle autorizzazioni per l'API Resource Graph.

Protezione dei dispositivi di Azure Stack Edge

Il dispositivo Azure Stack Edge è un dispositivo locale che consente di trasformare i dati elaborandolo in locale e quindi inviandolo ad Azure. Il dispositivo:

• Richiede una chiave di attivazione per accedere al servizio Azure Stack Edge.
• È sempre protetto da una password per il dispositivo.
• Dispositivo bloccato. Il BMC del dispositivo e il BIOS sono protetti da password. Il BIOS è protetto da accesso utente limitato.
• L'avvio protetto è abilitato.
• Esegue Windows Defender Device Guard. Device Guard consente di eseguire solo applicazioni attendibili definite nei criteri di integrità del codice.

Proteggere il dispositivo tramite la chiave di attivazione

Solo un dispositivo Azure Stack Edge autorizzato può essere aggiunto al servizio Azure Stack Edge creato nella sottoscrizione di Azure. Per autorizzare un dispositivo, è necessario usare una chiave di attivazione per attivare il dispositivo con il servizio Azure Stack Edge.

La chiave di attivazione usata:

• È una chiave di autenticazione basata su Microsoft Entra ID.
• Scade dopo tre giorni.
• Non viene usata dopo l'attivazione del dispositivo.

Dopo aver attivato un dispositivo, questo usa i token per comunicare con Azure.

Per altre informazioni, vedere Ottenere una chiave di attivazione.

Proteggere il dispositivo tramite password

Le password assicurano che solo gli utenti autorizzati possano accedere ai dati. I dispositivi Azure Stack Edge vengono avviati in uno stato bloccato.

È possibile:

• Connettersi all'interfaccia utente Web locale del dispositivo tramite un browser e quindi specificare una password per accedere al dispositivo.
• Connettersi in remoto all'interfaccia di PowerShell del dispositivo tramite HTTP. La gestione remota è attivata per impostazione predefinita. È quindi possibile specificare la password per il dispositivo per accedere al dispositivo. Per altre informazioni, vedere Connettersi in remoto al dispositivo Azure Stack Edge Pro FPGA.

Tenere presenti queste procedure consigliate:

• È consigliabile archiviare tutte le password in un luogo sicuro in modo che non sia necessario reimpostare una password se viene dimenticata. Il servizio di gestione non può recuperare le password esistenti. Può solo reimpostarle tramite il portale di Azure. Se occorre reimpostare una password, assicurarsi di inviare una notifica a tutti gli utenti prima di reimpostarla.
• È possibile accedere all'interfaccia di Windows PowerShell del dispositivo in modalità remota tramite HTTP. Come procedura consigliata per la sicurezza, è consigliabile usare HTTP solo in reti attendibili.
• Assicurarsi che le password per i dispositivi siano complesse e ben protette. Seguire le procedure consigliate per la password.

• Usare l'interfaccia utente Web locale per modificare la password. Se si modifica la password, assicurarsi di inviare una notifica a tutti gli utenti di accesso remoto in modo che non abbiano problemi di accesso.

Proteggere i dati

Questa sezione descrive le funzionalità di sicurezza FPGA di Azure Stack Edge Pro che proteggono i dati in transito e archiviati.

Proteggere i dati inattivi

Per i dati inattivi:

• L'accesso ai dati archiviati nelle condivisioni è limitato.

  • I client SMB che accedono ai dati della condivisione necessitano di credenziali utente associate alla condivisione. Queste credenziali vengono definite al momento della creazione della condivisione.
  • Quando viene creata la condivisione, è necessario aggiungere gli indirizzi IP dei client NFS che accedono a una condivisione.

• La crittografia bitLocker XTS-AES a 256 bit viene usata per proteggere i dati locali.

Proteggere i dati in transito

Per i dati in transito:

• Viene usato il protocollo TLS 1.2 standard per i dati che si spostano tra il dispositivo e Azure. Non esiste alcun fallback a TLS 1.1 e versioni precedenti. La comunicazione dell'agente verrà bloccata se TLS 1.2 non è supportato. TLS 1.2 è necessario anche per la gestione del portale e dell'SDK.

• Quando i client accedono al dispositivo tramite l'interfaccia utente Web locale di un browser, come protocollo sicuro predefinito viene usato TLS 1.2 standard.

  • La procedura consigliata consiste nel configurare il browser per l'uso di TLS 1.2.
  • Se il browser non supporta TLS 1.2, è possibile usare TLS 1.1 o TLS 1.0.

• È consigliabile usare SMB 3.0 con la crittografia per proteggere i dati quando vengono copiati dai server dati.

Proteggere i dati mediante gli account di archiviazione

Il dispositivo è associato a un account di archiviazione usato come destinazione per i dati in Azure. L'accesso all'account di archiviazione è controllato dalla sottoscrizione e dalle due chiavi di accesso alle risorse di archiviazione a 512 bit che sono associate all'account di archiviazione.

Una delle chiavi viene usata per l'autenticazione quando il dispositivo Azure Stack Edge accede all'account di archiviazione. L'altra chiave è tenuta di riserva, in modo da poter ruotare le chiavi periodicamente.

Per motivi di sicurezza, molti data center richiedono la rotazione delle chiavi. Per la rotazione delle chiavi, è opportuno seguire queste procedure consigliate:

• La chiave dell’account di archiviazione è simile alla password radice per l'account di archiviazione. Proteggere con attenzione la chiave dell'account. Non divulgare la password ad altri utenti, non impostarla come hardcoded o non salvarla in testo normale in una posizione accessibile ad altri.
• Rigenerare la chiave dell'account tramite il portale di Azure se si ritiene che possa essere compromessa. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione.
• L'amministratore di Azure deve modificare o rigenerare periodicamente la chiave primaria o secondaria usando la sezione Archiviazione del portale di Azure per accedere direttamente all'account di archiviazione.

• Ruotare e quindi sincronizzare le chiavi dell'account di archiviazione regolarmente per proteggere l'account di archiviazione da utenti non autorizzati.

Gestire le informazioni personali

Il servizio Azure Stack Edge raccoglie informazioni personali negli scenari seguenti:

• Dettagli dell'ordine. Quando viene creato un ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto dell'utente vengono archiviate nella portale di Azure. Le informazioni salvate includono:

  • Nome contatto

  • Numero di telefono

  • Indirizzo di posta elettronica

  • Via e numero civico

  • Città

  • Codice postale

  • Provincia

  • Paese/Regione/Provincia

  • Numero di tracciabilità della spedizione

    I dettagli dell'ordine vengono crittografati e archiviati nel servizio. Il servizio conserva le informazioni fino a quando non si elimina in modo esplicito la risorsa o l'ordine. L'eliminazione della risorsa e dell'ordine corrispondente viene bloccata dal momento in cui il dispositivo viene spedito fino a quando il dispositivo non torna a Microsoft.

• Indirizzo di spedizione. Dopo l'invio di un ordine, il servizio Data Box fornisce l'indirizzo di spedizione a vettori di terze parti come UPS.

• Utenti delle condivisioni. Gli utenti del dispositivo possono anche accedere ai dati presenti nelle condivisioni. È possibile visualizzare un elenco di utenti che possono accedere ai dati delle condivisioni. Quando le condivisioni vengono eliminate, viene eliminato anche questo elenco.

Per visualizzare l'elenco degli utenti che possono accedere o eliminare una condivisione, seguire la procedura descritta in Gestire le condivisioni in Azure Stack Edge Pro FPGA.

Per altre informazioni, vedere l'informativa sulla privacy di Microsoft nel Centro protezione.

Passaggi successivi

Distribuire il dispositivo FPGA di Azure Stack Edge Pro