Sicurezza e protezione dei dati di Azure Data Box Gateway
La sicurezza è una delle principali preoccupazioni per chi ha intenzione di adottare una nuova tecnologia, soprattutto se usata con dati riservati o proprietari. Azure Data Box Gateway consente di assicurarsi che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati.
Questo articolo descrive le funzionalità di sicurezza di Azure Data Box Gateway che consentono di proteggere ognuno dei componenti della soluzione e i dati archiviati al loro interno.
La soluzione Data Box Gateway è costituita da quattro componenti principali che interagiscono tra loro:
- Servizio Data Box Gateway, ospitato in Azure. Risorsa di gestione usata per creare l'ordine del dispositivo, configurare il dispositivo e quindi monitorare l'ordine fino al completamento.
- Dispositivo Data Box Gateway. Dispositivo virtuale di cui si effettua il provisioning nell'hypervisor del sistema fornito. Questo dispositivo virtuale viene usato per importare i dati locali in Azure.
- Client/host connessi al dispositivo. Client nell'infrastruttura che si connettono al dispositivo Data Box Gateway e che contengono i dati da proteggere.
- Archiviazione nel cloud. Posizione nella piattaforma cloud di Azure in cui vengono archiviati i dati. Questa posizione è in genere l'account di archiviazione collegato alla risorsa Data Box Gateway creata.
Protezione del servizio Data Box Gateway
Il servizio Data Box Gateway è un servizio di gestione ospitato in Azure. Il servizio viene usato per configurare e gestire il dispositivo.
- Per accedere al servizio Azure Stack Edge, l'organizzazione deve avere una sottoscrizione Enterprise Agreement (EA) o Cloud Solution Provider (CSP). Per altre informazioni, vedere Iscriversi per una sottoscrizione di Azure.
- Poiché questo servizio di gestione è ospitato in Azure, è protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Azure, vedere Centro protezione di Microsoft Azure.
- Per le operazioni di gestione dell'SDK, è possibile ottenere la chiave di crittografia per la risorsa in Proprietà dispositivo. È possibile visualizzare la chiave di crittografia solo se si dispone delle autorizzazioni per l'API Resource Graph.
Protezione del dispositivo Data Box Gateway
Il dispositivo Data Box Gateway è un dispositivo virtuale di cui è stato effettuato il provisioning nell'hypervisor di un sistema locale fornito. Il dispositivo consente di inviare dati ad Azure. Il dispositivo:
- Richiede una chiave di attivazione per accedere al servizio Azure Stack Edge Pro/Data Box Gateway.
- È sempre protetto da una password per il dispositivo.
Il dispositivo Data Box Gateway offre le funzionalità seguenti che offrono difesa avanzata:
- Protezione malware basata su Defender su disco del sistema operativo
- Supporto di Device Guard basato su Defender per controlli più rigorosi sul file binario in esecuzione nel sistema.
Proteggere il dispositivo tramite la chiave di attivazione
Solo un dispositivo Data Box Gateway autorizzato può essere aggiunto al servizio Data Box Gateway creato nella sottoscrizione di Azure. Per autorizzare un dispositivo, è necessario usare una chiave di attivazione per attivare il dispositivo con il servizio Data Box Gateway.
La chiave di attivazione usata:
- È una chiave di autenticazione basata su Microsoft Entra ID.
- Scade dopo tre giorni.
- Non viene usata dopo l'attivazione del dispositivo.
Dopo aver attivato un dispositivo, questo usa i token per comunicare con Azure.
Per altre informazioni, vedere Ottenere una chiave di attivazione.
Proteggere il dispositivo tramite password
Le password assicurano che solo gli utenti autorizzati possano accedere ai dati. I dispositivi Data Box Gateway vengono avviati in uno stato bloccato.
È possibile:
- Connettersi all'interfaccia utente Web locale del dispositivo tramite un browser e quindi specificare una password per accedere al dispositivo.
- Connettersi in modalità remota all'interfaccia di PowerShell del dispositivo tramite HTTP. La gestione remota è attivata per impostazione predefinita. È quindi possibile specificare la password per il dispositivo per accedere al dispositivo. Per altre informazioni, vedere Connettersi in modalità remota al dispositivo Data Box Gateway.
Tenere presenti queste procedure consigliate:
- È consigliabile archiviare tutte le password in un luogo sicuro in modo che non sia necessario reimpostare una password se viene dimenticata. Il servizio di gestione non può recuperare le password esistenti. Può solo reimpostarle tramite il portale di Azure. Se occorre reimpostare una password, assicurarsi di inviare una notifica a tutti gli utenti prima di reimpostarla.
- È possibile accedere all'interfaccia di Windows PowerShell del dispositivo in modalità remota tramite HTTP. Come procedura consigliata per la sicurezza, è consigliabile usare HTTP solo in reti attendibili.
- Assicurarsi che le password per i dispositivi siano complesse e ben protette. Seguire le procedure consigliate per la password.
- Usare l'interfaccia utente Web locale per modificare la password. Se si modifica la password, assicurarsi di informare tutti gli utenti con accesso remoto per evitare che riscontrino problemi di accesso.
Proteggere i dati
Questa sezione descrive le funzionalità di sicurezza di Data Box Gateway che proteggono i dati in transito e archiviati.
Proteggere i dati inattivi
Per i dati inattivi:
L'accesso ai dati archiviati nelle condivisioni è limitato.
- I client SMB che accedono ai dati della condivisione necessitano di credenziali utente associate alla condivisione. Queste credenziali vengono definite al momento della creazione della condivisione.
- Quando viene creata la condivisione, è necessario aggiungere gli indirizzi IP dei client NFS che accedono a una condivisione.
Proteggere i dati in transito
Per i dati in transito:
Viene usato il protocollo TLS 1.2 standard per i dati che si spostano tra il dispositivo e Azure. Non esiste alcun fallback a TLS 1.1 e versioni precedenti. La comunicazione dell'agente verrà bloccata se TLS 1.2 non è supportato. TLS 1.2 è necessario anche per la gestione del portale e dell'SDK.
Quando i client accedono al dispositivo tramite l'interfaccia utente Web locale di un browser, come protocollo sicuro predefinito viene usato TLS 1.2 standard.
- La procedura consigliata consiste nel configurare il browser per l'uso di TLS 1.2.
- Se il browser non supporta TLS 1.2, è possibile usare TLS 1.1 o TLS 1.0.
È consigliabile usare SMB 3.0 con la crittografia per proteggere i dati quando vengono copiati dai server dati.
Proteggere i dati usando gli account di archiviazione
Il dispositivo è associato a un account di archiviazione usato come destinazione per i dati in Azure. L'accesso all'account di archiviazione è controllato dalla sottoscrizione e dalle due chiavi di accesso alle risorse di archiviazione a 512 bit che sono associate all'account di archiviazione.
Una delle chiavi viene usata per l'autenticazione quando il dispositivo Azure Stack Edge accede all'account di archiviazione. L'altra chiave è tenuta di riserva, in modo da poter ruotare le chiavi periodicamente.
Per motivi di sicurezza, molti data center richiedono la rotazione delle chiavi. Per la rotazione delle chiavi, è opportuno seguire queste procedure consigliate:
- La chiave dell’account di archiviazione è simile alla password radice per l'account di archiviazione. Proteggere con attenzione la chiave dell'account. Non divulgare la password ad altri utenti, non impostarla come hardcoded o non salvarla in testo normale in una posizione accessibile ad altri.
- Rigenerare la chiave dell'account tramite il portale di Azure se si ritiene che possa essere compromessa. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione.
- L'amministratore di Azure deve modificare o rigenerare periodicamente la chiave primaria o secondaria usando la sezione Archiviazione del portale di Azure per accedere direttamente all'account di archiviazione.
- Ruotare e quindi sincronizzare le chiavi dell'account di archiviazione regolarmente per proteggere l'account di archiviazione da utenti non autorizzati.
Proteggere i dati del dispositivo con BitLocker
Per proteggere i dischi virtuali nella macchina virtuale Data Box Gateway, è consigliabile abilitare BitLocker. Per impostazione predefinita, BitLocker non è abilitato. Per altre informazioni, vedi:
- Impostazioni di supporto della crittografia nella console di gestione di Hyper-V
- Supporto di BitLocker in una macchina virtuale
Gestire le informazioni personali
Il servizio Data Box Gateway raccoglie le informazioni personali negli scenari seguenti:
Dettagli dell'ordine. Dopo la creazione dell'ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto degli utenti vengono archiviate nel portale di Azure. Le informazioni salvate includono:
Nome contatto
Numero di telefono
Indirizzo di posta elettronica
Via e numero civico
Città
Codice postale
Provincia
Paese/Regione/Provincia
Numero di tracciabilità della spedizione
I dettagli dell'ordine vengono crittografati e archiviati nel servizio. Il servizio conserva le informazioni fino a quando non si elimina in modo esplicito la risorsa o l'ordine. L'eliminazione della risorsa e dell'ordine corrispondente viene bloccata dal momento in cui il dispositivo viene spedito fino a quando il dispositivo non torna a Microsoft.
Indirizzo di spedizione. Dopo l'invio di un ordine, il servizio Data Box fornisce l'indirizzo di spedizione a vettori di terze parti, ad esempio UPS.
Utenti delle condivisioni. Gli utenti del dispositivo possono anche accedere ai dati presenti nelle condivisioni. È possibile visualizzare un elenco di utenti che possono accedere ai dati delle condivisioni. Quando le condivisioni vengono eliminate, viene eliminato anche questo elenco.
Per visualizzare l'elenco di utenti che possono accedere a una condivisione o eliminarla, seguire la procedura descritta in Gestire le condivisioni in Data Box Gateway.
Per altre informazioni, vedere l'informativa sulla privacy di Microsoft nel Centro protezione.