Azure Data Box Gateway: Sicherheit und Schutz von Daten
Sicherheit ist bei der Einführung neuer Technologien immer ein zentrales Anliegen. Das gilt insbesondere, wenn die Technologie mit vertraulichen oder proprietären Daten verwendet wird. Azure Data Box Gateway trägt dazu bei, dass Ihre Daten nur von autorisierten Entitäten angezeigt, geändert oder gelöscht werden können.
In diesem Artikel werden die Sicherheitsmerkmale von Azure Data Box Gateway beschrieben, mit denen die einzelnen Komponenten der Lösung und die darin gespeicherten Daten geschützt werden.
Die Lösung Data Box Gateway besteht aus vier Hauptkomponenten, die miteinander interagieren:
- In Azure gehosteter Data Box Gateway-Dienst: Die Verwaltungsressource zum Erstellen des Geräteauftrags, zum Konfigurieren des Geräts sowie zum anschließenden Nachverfolgen des Auftrags bis zur Erfüllung
- Data Box Gateway-Gerät: Das virtuelle Gerät, das Sie im Hypervisor des angegebenen Systems bereitgestellt haben. Dieses virtuelle Gerät wird verwendet, um Ihre lokalen Daten in Azure zu importieren.
- Mit dem Gerät verbundene Clients/Hosts: Die Clients in Ihrer Infrastruktur, die mit dem Data Box Gateway-Gerät verbunden werden und zu schützende Daten enthalten
- Cloudspeicher: Der Speicherort auf der Azure-Cloudplattform, an dem die Daten gespeichert werden. Hierbei handelt es sich in der Regel um das Speicherkonto, das mit der erstellten Data Box Gateway-Ressource verknüpft ist.
Schutz des Data Box Gateway-Diensts
Der Data Box Gateway-Dienst ist ein in Azure gehosteter Verwaltungsdienst. Der Dienst wird zum Konfigurieren und Verwalten des Geräts verwendet.
- Um auf den Azure Stack Edge-Dienst zugreifen zu können, muss Ihre Organisation über ein Enterprise Agreement- (EA) oder Cloud Solution Provider-Abonnement (CSP) verfügen. Weitere Informationen finden Sie unter Sign up for Microsoft Azure (Registrieren für Microsoft Azure).
- Da dieser Verwaltungsdienst in Azure gehostet wird, ist er durch die Azure-Sicherheitsfeatures geschützt. Weitere Informationen zu den Sicherheitsfeatures, die von Azure bereitgestellt werden, finden Sie im Microsoft Azure Trust Center.
- Für SDK-Verwaltungsvorgänge können Sie den Verschlüsselungsschlüssel für Ihre Ressource aus Geräteeigenschaften abrufen. Sie können den Verschlüsselungsschlüssel nur anzeigen, wenn Sie über Berechtigungen für die Resource Graph-API verfügen.
Schutz des Data Box Gateway-Geräts
Das Data Box Gateway-Gerät ist ein virtuelles Gerät, das im Hypervisor eines angegebenen lokalen Systems bereitgestellt wird. Das Gerät hilft dabei, Daten an Azure senden. Für Ihr Gerät gilt Folgendes:
- Es benötigt einen Aktivierungsschlüssel für den Zugriff auf den Azure Stack Edge Pro-/Data Box Gateway-Dienst.
- Es ist jederzeit durch ein Gerätekennwort geschützt.
Das Data Box Gateway-Gerät verfügt über die folgenden Funktionen für eine tiefgehende Verteidigung:
- Defender-basierter Schadsoftwareschutz auf dem Betriebssystemdatenträger
- Defender-basierte Device Guard-Unterstützung für strengere Überprüfungen der Binärdateien, die im System ausgeführt werden
Schützen des Geräts mittels Aktivierungsschlüssel
Dem Data Box Gateway-Dienst, den Sie in Ihrem Azure-Abonnement erstellt haben, können nur autorisierte Data Box Gateway-Geräte hinzugefügt werden. Um ein Gerät zu autorisieren, müssen Sie es mithilfe eines Aktivierungsschlüssels für den Data Box Gateway-Dienst aktivieren.
Für den verwendeten Aktivierungsschlüssel gilt Folgendes:
- Es ist ein Microsoft Entra ID-basierte Authentifizierungsschlüssel.
- Er läuft nach drei Tagen ab.
- Er wird nach der Geräteaktivierung nicht mehr verwendet.
Nachdem Sie ein Gerät aktiviert haben, werden für dieses Gerät Token für die Kommunikation mit Azure verwendet.
Weitere Informationen finden Sie unter Abrufen des Aktivierungsschlüssels.
Schützen des Geräts mittels Kennwort
Mit Kennwörtern wird sichergestellt, dass nur autorisierte Benutzer Zugriff auf Ihre Daten haben. Data Box Gateway-Geräte sind nach dem Start gesperrt.
Sie können Folgendes ausführen:
- Stellen Sie über einen Browser eine Verbindung mit der lokalen Webbenutzeroberfläche des Geräts her, und geben Sie ein Kennwort an, um sich bei dem Gerät anzumelden.
- Stellen Sie eine HTTP-Remoteverbindung mit der PowerShell-Schnittstelle des Geräts her. Die Remoteverwaltung ist standardmäßig aktiviert. Anschließend können Sie das Gerätekennwort angeben, um sich bei dem Gerät anzumelden. Weitere Informationen finden Sie unter Herstellen einer Remoteverbindung mit Ihrem Data Box Gateway-Gerät.
Beachten Sie diese bewährten Methoden:
- Es empfiehlt sich, alle Kennwörter an einem sicheren Ort zu speichern, sodass Sie ein Kennwort nicht zurücksetzen müssen, wenn Sie es vergessen haben. Der Verwaltungsdienst kann vorhandene Kennwörter nicht abrufen. Er kann diese nur über das Azure-Portal zurücksetzen. Wenn Sie ein Kennwort zurücksetzen, dürfen Sie nicht vergessen, zuvor alle Benutzer zu benachrichtigen.
- Auf die Windows PowerShell-Oberfläche Ihres Geräts können Sie remote über HTTP zugreifen. Aus Sicherheitsgründen empfiehlt es sich, HTTP nur in vertrauenswürdigen Netzwerken zu verwenden.
- Gerätekennwörter müssen sicher und gut geschützt sein. Berücksichtigen Sie die bewährten Methoden für Kennwörter.
- Verwenden Sie zum Ändern des Kennworts die lokale Webbenutzeroberfläche. Sollten Sie das Kennwort ändern, benachrichtigen Sie alle Benutzer mit Remotezugriff, damit bei ihnen keine Anmeldefehler auftreten.
Daten schützen
In diesem Abschnitt werden die Data Box Gateway-Sicherheitsfeatures für Daten während der Übertragung und für gespeicherte Daten beschrieben.
Schutz gespeicherter Daten
Für ruhende Daten:
Der Zugriff auf Daten in Dateifreigaben ist beschränkt.
- SMB-Clients, die auf Freigabedaten zugreifen, benötigen Benutzeranmeldeinformationen, die der Freigabe zugeordnet sind. Diese Anmeldeinformationen werden definiert, wenn die Freigabe erstellt wird.
- Die IP-Adressen von NFS-Clients, die auf eine Freigabe zugreifen, müssen hinzugefügt werden, wenn die Freigabe erstellt wird.
Schützen von Daten während der Übertragung
Für Daten während einer Übertragung:
Standardmäßiges TLS 1.2 wird für Daten verwendet, die zwischen dem Gerät und Azure übertragen werden. Es erfolgt kein Fallback auf TLS 1.1 oder auf ältere Versionen. Agent-Kommunikation wird blockiert, wenn TLS 1.2 nicht unterstützt wird. TLS 1.2 wird auch für Portal- und SDK-Verwaltung benötigt.
Wenn Clients über die lokale Webbenutzeroberfläche eines Browsers auf Ihr Gerät zugreifen, wird standardmäßiges TLS 1.2 als sicheres Standardprotokoll verwendet.
- Es empfiehlt sich, Ihren Browser für die Verwendung von TLS 1.2 zu konfigurieren.
- Sollte der Browser TLS 1.2 nicht unterstützen, können Sie TLS 1.1 oder TLS 1.0 verwenden.
Sie sollten SMB 3.0 mit Verschlüsselung verwenden, um Daten zu schützen, wenn Sie diese von Ihren Datenservern kopieren.
Schützen von Daten mithilfe von Speicherkonten
Ihr Gerät ist einem Speicherkonto zugeordnet, das als Ziel für Ihre Daten in Azure verwendet wird. Der Zugriff auf das Speicherkonto wird über das Abonnement und zwei Zugriffsschlüssel mit 512 Bit gesteuert, die dem Speicherkonto zugeordnet sind.
Einer der Schlüssel dient zur Authentifizierung, wenn das Azure Stack Edge-Gerät auf das Speicherkonto zugreift. Der andere Schlüssel wird in Reserve gehalten, sodass Sie die Schlüssel regelmäßig rotieren können.
Aus Sicherheitsgründen ist in vielen Datencentern eine Schlüsselrotation erforderlich. Es wird empfohlen, diese bewährten Methoden für die Schlüsselrotation zu befolgen:
- Ihr Speicherkontoschlüssel ähnelt dem Stammkennwort für das Speicherkonto. Achten Sie darauf, dass Ihr Kontoschlüssel immer gut geschützt ist. Geben Sie das Kennwort nicht an andere Benutzer weiter, vermeiden Sie, es hart zu codieren, und speichern Sie es nicht als Klartext an einem Ort, auf den andere Benutzer Zugriff haben.
- Generieren Sie Ihren Kontoschlüssel über das Azure-Portal neu, wenn Sie denken, er könnte gefährdet sein. Weitere Informationen finden Sie unter Verwalten von Speicherkonto-Zugriffsschlüsseln.
- Der Azure-Administrator sollte den primären oder sekundären Schlüssel regelmäßig über den Abschnitt „Storage“ im Azure-Portal ändern oder neu generieren, um direkt auf das Speicherkonto zuzugreifen.
- Rotieren und synchronisieren Sie Ihre Speicherkontoschlüssel regelmäßig, um zu vermeiden, dass nicht autorisierte Benutzer auf Ihr Speicherkonto zugreifen können.
Schützen der Gerätedaten mithilfe von BitLocker
Zum Schutz virtueller Datenträger auf Ihrem virtuellen Data Box Gateway-Computer wird die Aktivierung von BitLocker empfohlen. Standardmäßig ist BitLocker nicht aktiviert. Weitere Informationen finden Sie unter
- Einstellungen für die Verschlüsselungsunterstützung in Hyper-V-Manager
- BitLocker-Unterstützung auf einem virtuellen Computer
Verwalten persönlicher Informationen
Der Data Box Gateway-Dienst erfasst persönliche Informationen in folgenden Szenarien:
Auftragsdetails. Wenn ein Auftrag erstellt wird, werden die Versandadresse, die E-Mail-Adresse und die Kontaktinformationen des Benutzers im Azure-Portal gespeichert. Zu den gespeicherten Informationen gehört Folgendes:
Kontaktname
Telefonnummer
E-Mail-Adresse
Straße
Ort
Postleitzahl
Zustand
Land/Region/Provinz
Nachverfolgungsnummer für den Versand
Auftragsdetails werden verschlüsselt und im Dienst gespeichert. Der Dienst bewahrt die Informationen auf, bis Sie die Ressource oder den Auftrag explizit löschen. Ab dem Versand des Geräts und bis zu dem Zeitpunkt, zu dem das Gerät wieder bei Microsoft eingeht, ist das Löschen der Ressource und des entsprechenden Auftrags nicht möglich.
Lieferanschrift. Nach einer Auftragserteilung gibt der Data Box-Dienst die Lieferanschrift an externe Transportdienstleister (z. B. UPS) weiter.
Freigabebenutzer. Benutzer Ihres Geräts können auch auf die Daten zugreifen, die sich auf den Freigaben befinden. Eine Liste der Benutzer, die auf die Freigabedaten zugreifen können, kann angezeigt werden. Wenn die Freigaben gelöscht werden, wird diese Liste ebenfalls gelöscht.
Eine Anleitung zum Anzeigen der Liste mit den Benutzern, die auf eine Freigabe zugreifen oder sie löschen können, finden Sie unter Verwalten von Freigaben auf Data Box Gateway.
Weitere Informationen finden Sie im Trust Center in der Microsoft-Datenschutzrichtlinie.