Azure Data Box Gateway のセキュリティとデータ保護
セキュリティは、新しいテクノロジを導入している場合、特にそのテクノロジが機密データや独自のデータに対して使用される場合の大きな関心事です。 Azure Data Box Gateway は、承認されたエンティティのみがデータを表示、変更、または削除できるようにするために役立ちます。
この記事では、Azure Data Box Gateway のセキュリティに注目し、各ソリューション コンポーネントとそこに格納されるデータを保護する働きを持った機能について説明します。
Data Box Gateway ソリューションは、互いに連携し合う 4 つのメイン コンポーネントで構成されています。
- Azure でホストされる Data Box Gateway サービス。 デバイスの注文を作成し、そのデバイスを構成した後、その注文を完了まで追跡するために使用する管理リソース。
- Data Box Gateway デバイス。 お客様が用意するシステムのハイパーバイザー内にプロビジョニングする仮想デバイスです。 この仮想デバイスは、オンプレミス データを Azure にインポートするために使用されます。
- デバイスに接続されるクライアント/ホスト。 Data Box Gateway デバイスに接続し、保護する必要があるデータを含んでいるインフラストラクチャ内のクライアント。
- クラウド ストレージ。 データが格納されている Azure クラウド プラットフォーム内の場所。 通常、この場所は、お客様が作成した Data Box Gateway リソースにリンクされたストレージ アカウントになります。
Data Box Gateway サービスの保護
Data Box Gateway サービスは、Azure でホストされる管理サービスです。 このサービスは、デバイスを構成および管理するために使用します。
- Azure Stack Edge サービスにアクセスするには、組織にマイクロソフト エンタープライズ契約 (EA) またはクラウド ソリューション プロバイダー (CSP) サブスクリプションが必要です。 詳細については、Azure サブスクリプションへのサインアップに関するページを参照してください。
- この管理サービスは Azure でホストされるため、Azure のセキュリティ機能によって保護されます。 Azure によって提供されるセキュリティ機能の詳細については、Microsoft Azure セキュリティ センターにアクセスしてください。
- SDK の管理操作の場合は、[デバイスのプロパティ] でリソースの暗号化キーを取得できます。 暗号化キーを表示できるのは、Resource Graph API のアクセス許可がある場合のみです。
Data Box Gateway デバイスの保護
Data Box Gateway デバイスは、お客様が用意するオンプレミス システムのハイパーバイザー内にプロビジョニングする仮想デバイスです。 このデバイスは、データを Azure に送信するために役立ちます。 お客様のデバイスは...
- Azure Stack Edge Pro または Data Box Gateway のサービスにアクセスするためのアクティブ化キーが必要です。
- デバイスのパスワードで常に保護されます。
Data Box Gateway デバイスには、多層防御を提供する次の機能があります。
- OS ディスクに対する Defender ベースのマルウェア保護
- システムで実行されているバイナリに対するさらに厳格なチェックのための Defender ベースの Device Guard サポート。
アクティブ化キーでデバイスを保護する
Azure サブスクリプションで作成した Data Box Gateway サービスに参加できるのは、承認されている Data Box Gateway デバイスだけです。 デバイスを承認するには、アクティブ化キーを使用して、Data Box Gateway サービスを使用するデバイスをアクティブにする必要があります。
使用するアクティブ化キーは...
- Microsoft Entra ID ベースの認証キーです。
- 3 日で有効期限が切れます。
- デバイスがアクティブ化された後は使用されません。
デバイスをアクティブ化すると、そのデバイスはトークンを使用して Azure と通信します。
詳細については、「アクティブ化キーの取得」を参照してください。
パスワードでデバイスを保護する
パスワードにより、承認されたユーザーのみがデータにアクセスできるようになります。 Data Box Gateway デバイスは、ロックされた状態で起動されます。
次のことを実行できます。
- ブラウザー経由でデバイスのローカル Web UI に接続し、パスワードを指定してデバイスにサインインします。
- HTTP 経由でデバイスの PowerShell インターフェイスにリモートで接続します。 既定ではリモート管理がオンになっています。 デバイスのパスワードを指定してデバイスにサインインできます。 詳細については、Data Box Gateway デバイスにリモートで接続する方法に関する記事を参照してください。
次のベスト プラクティスに注意してください。
- 忘れた場合にパスワードをリセットしなくても済むように、すべてのパスワードをセキュリティで保護された場所に格納することをお勧めします。 管理サービスは既存のパスワードを取得できません。 可能なのは、そのパスワードを Azure Portal 経由でリセットすることだけです。 パスワードをリセットする場合は、リセットする前に、必ずすべてのユーザーに通知してください。
- HTTP 経由でお使いのデバイスの Windows PowerShell インターフェイスにリモートでアクセスすることができます。 セキュリティのベスト プラクティスとして、信頼できるネットワークのみで HTTP を使用する必要があります。
- デバイスのパスワードが強力であり、適切に保護されていることを確認してください。 パスワードのベスト プラクティスに従ってください。
- ローカル Web UI を使用してパスワードを変更します。 パスワードを変更する場合は、サインインの問題が発生しないように、必ずすべてのリモート アクセス ユーザーに通知してください。
データを保護する
ここでは、移動中のデータと保管されているデータを保護する Data Box Gateway のセキュリティ機能について説明します。
保存データの保護
保存データの場合:
共有に格納されたデータへのアクセスは制限されます。
- 共有データにアクセスする SMB クライアントには、その共有に関連付けられたユーザー資格情報が必要です。 これらの資格情報は、その共有が作成されるときに定義されます。
- 共有が作成されるときは、その共有にアクセスする NFS クライアントの IP アドレスを追加する必要があります。
移動中のデータの保護
移動中のデータの場合:
デバイスと Azure の間を移動するデータには標準 TLS 1.2 が使用されます。 TLS 1.1 以前へのフォールバックはありません。 TLS 1.2 がサポートされていない場合は、エージェント通信がブロックされます。 TLS 1.2 はまた、ポータルや SDK の管理にも必要です。
クライアントがブラウザーのローカル Web UI 経由でデバイスにアクセスする場合は、標準 TLS 1.2 が既定のセキュリティで保護されたプロトコルとして使用されます。
- ベスト プラクティスとして、TLS 1.2 を使用するようにブラウザーを構成することをお勧めします。
- ブラウザーで TLS 1.2 がサポートされていない場合は、TLS 1.1 または TLS 1.0 を使用できます。
データ サーバーからデータをコピーする場合は、そのデータを保護するために暗号化付き SMB 3.0 を使用することをお勧めします。
ストレージ アカウントを使用したデータの保護
デバイスは、Azure 内のデータの宛先として使用されるストレージ アカウントに関連付けられています。 ストレージ アカウントへのアクセスは、各ストレージ アカウントに関連付けられたサブスクリプションと 2 つの 512 ビット ストレージ アクセス キーによって制御されます。
Azure Stack Edge デバイスがストレージ アカウントにアクセスするときに、いずれかのキーが認証に使用されます。 もう一方のキーは予備で保持されているため、それらのキーを定期的にローテーションできます。
セキュリティ上の理由から、多くのデータ センターでキーのローテーションが義務化されています。 キーのローテーションに関しては、以下のベスト プラクティスに従うようお勧めします。
- ストレージ アカウント キーは、ストレージ アカウントの root パスワードに似ています。 アカウント キーは慎重に保護してください。 このパスワードを他のユーザーに配布したり、ハード コードしたり、他のユーザーがアクセスできるプレーン テキストに保存したりしないでください。
- 侵害される可能性があると考えられる場合は、Azure Portal 経由でアカウント キーを再生成します。 詳細については、「ストレージ アカウントのアクセス キーの管理」を参照してください。
- Azure 管理者は、Azure Portal の [ストレージ] セクションを使用してストレージ アカウントに直接アクセスすることにより、プライマリまたはセカンダリ キーを定期的に変更または再生成する必要があります。
- 承認されていないユーザーからのストレージ アカウントの保護に役立つように、定期的にストレージ アカウント キーをローテーションし、その後同期します。
BitLocker を使用したデバイス データの保護
Data Box Gateway の仮想マシン上の仮想ディスクをセキュリティで保護するには、BitLocker を有効にすることをお勧めします。 既定では、BitLocker は有効になっていません。 詳細については、次を参照してください。
個人情報の管理
Data Box Gateway サービスは、次のシナリオの個人情報を収集します。
注文の詳細。 注文が作成されると、ユーザーの配送先住所、メール アドレス、および連絡先情報が Azure Portal に格納されます。 たとえば、次の情報が保存の対象となります。
連絡先名
電話番号
メール アドレス
番地
市
ZIP コード/郵便番号
完了状態
国/地域/都道府県
配送追跡番号
注文の詳細は暗号化され、サービスに格納されます。 このサービスは、ユーザーがリソースまたは注文を明示的に削除するまで情報を保持します。 リソースとそれに対応する注文の削除は、デバイスが発送された時点から、そのデバイスが Microsoft に戻るまでブロックされます。
配送先住所。 注文を受けると、Data Box サービスによって、配送先住所が UPS などのサードパーティの運送業者に提供されます。
共有ユーザー。 デバイス上のユーザーはまた、共有に格納されたデータにもアクセスできます。 共有データにアクセスできるユーザーの一覧を表示できます。 共有が削除されると、この一覧も削除されます。
共有にアクセスできる、または削除できるユーザーの一覧を表示するには、Data Box Gateway での共有の管理に関するページにある手順に従ってください。
詳細については、セキュリティ センターで Microsoft のプライバシー ポリシーを確認してください。