Azure Data Box Gateway 보안 및 데이터 보호

보안은 새로운 기술을 채택할 때, 특히 해당 기술이 기밀 또는 고유 데이터에 사용되는 경우 중요한 관심사입니다. Azure Data Box Gateway는 권한이 있는 엔터티만 데이터를 보거나, 수정하거나, 삭제할 수 있도록 하는 데 유용합니다.

이 문서에서는 각 솔루션 구성 요소와 이러한 구성 요소에 저장된 데이터를 보호 하는 데 유용한 Azure Data Box Gateway 보안 기능을 설명합니다.

Data Box Gateway 솔루션은 서로 상호 작용하는 4개의 기본 구성 요소로 구성됩니다.

• Azure에서 호스트되는 Data Box Gateway 서비스. 장치 주문을 작성하고 장치를 구성한 다음, 완료까지 주문을 추적하는 데 사용되는 관리 리소스입니다.
• Data Box Gateway 장치. 사용자가 제공하는 시스템의 하이퍼바이저에서 프로비전하는 가상 장치입니다. 이 가상 장치는 온-프레미스 데이터를 Azure로 가져오는 데 사용됩니다.
• 디바이스에 연결된 클라이언트/호스트. 인프라에서 Data Box Gateway 장치에 연결되고 보호해야 하는 데이터를 포함하는 클라이언트입니다.
• 클라우드 스토리지. Azure 클라우드 플랫폼에서 데이터가 저장되는 위치입니다. 해당 위치는 일반적으로 사용자가 만든 Azure Data Box Gateway 리소스에 연결된 스토리지 계정입니다.

Data Box Gateway 서비스 보호

Data Box Gateway 서비스는 Azure에서 호스트되는 관리 서비스입니다. 이 서비스는 장치를 구성하고 관리하는 데 사용됩니다.

• Azure Stack Edge 서비스에 액세스하려면 조직에 EA(기업계약) 또는 CSP(클라우드 솔루션 공급자) 구독이 있어야 합니다. 자세한 내용은 Azure 구독 등록을 참조하세요.
• 이 관리 서비스는 Azure에서 호스팅되므로 Azure 보안 기능으로 보호됩니다. Azure에서 제공하는 보안 기능에 대한 자세한 내용은 Microsoft Azure 보안 센터를 참조하세요.
• SDK 관리 작업의 경우 디바이스 속성에서 리소스에 대한 암호화 키를 가져올 수 있습니다. Resource Graph API에 대한 권한이 있는 경우에만 암호화 키를 볼 수 있습니다.

Data Box Gateway 장치 보호

Data Box Gateway 장치는 사용자가 제공하는 온-프레미스 시스템의 하이퍼바이저에서 프로비전되는 가상 장치입니다. 이 장치는 Azure에 데이터를 전송하는 데 유용합니다. 귀사의 디바이스는:

• Azure Stack Edge Pro/Data Box Gateway 서비스에 액세스하려면 활성화 키가 필요합니다.
• 장치 암호로 항상 보호됩니다.

Data Box Gateway 디바이스에는 심층 방어를 제공하는 다음과 같은 기능이 있습니다.

• OS 디스크에서 Defender 기반 맬웨어 보호
• Defender 기반 Device Guard는 시스템에서 실행되는 이진 파일에 대한 보다 엄격한 검사를 지원합니다.

활성화 키를 통해 장치 보호

권한 있는 Data Box Gateway 장치만 Azure 구독에서 만든 Data Box Gateway 서비스에 참가할 수 있습니다. 장치에 권한을 부여하려면 활성화 키를 사용하여 Data Box Gateway 서비스에서 장치를 활성화해야 합니다.

사용하는 활성화 키:

• Microsoft Entra ID 기반 인증 키입니다.
• 3일 후에 만료됩니다.
• 디바이스를 활성화한 후에는 사용되지 않습니다.

디바이스를 활성화한 후 토큰을 사용하여 Azure와 통신합니다.

자세한 내용은 활성화 키 가져오기를 참조하세요.

암호를 통해 장치 보호

암호는 권한 있는 사용자만 데이터에 액세스할 수 있도록 보장합니다. Data Box Gateway 장치는 잠긴 상태에서 부팅됩니다.

마케팅 목록의 구성원을 관리할 수 있습니다.

• 브라우저를 통해 장치의 로컬 웹 UI에 연결한 다음, 암호를 입력하여 장치에 로그인합니다.
• HTTP를 통해 장치의 PowerShell 인터페이스에 원격으로 연결합니다. 원격 관리는 기본적으로 설정되어 있습니다. 그런 다음 장치 암호를 입력하여 장치에 로그인할 수 있습니다. 자세한 내용은 Data Box Gateway 장치에 원격으로 연결을 참조하세요.

다음 모범 사례를 고려하세요.

• 암호를 잊어버린 경우 암호를 재설정할 필요가 없도록 모든 암호를 안전한 장소에 저장하는 것이 좋습니다. 관리 서비스에서 기존 암호를 검색할 수 없습니다. Azure Portal을 통해서만 재설정할 수 있습니다. 암호를 재설정하는 경우 재설정하기 전에 모든 사용자에게 알려야 합니다.
• HTTP를 통해 디바이스의 Windows PowerShell 인터페이스에 원격으로 액세스할 수 있습니다. 보안 모범 사례에 따라 신뢰할 수 있는 네트워크에서만 HTTP를 사용해야 합니다.
• 디바이스 암호가 강력하고 잘 보호되는지 확인합니다. 암호 모범 사례를 따릅니다.

• 로컬 웹 UI를 사용하여 암호를 변경합니다. 암호를 변경하는 경우 로그인 문제가 발생하지 않도록 모든 원격 액세스 사용자에게 알려야 합니다.

데이터 보호

이 섹션에서는 전송 중인, 그리고 저장된 데이터를 보호하는 Data Box Gateway 보안 기능에 대해 설명합니다.

미사용 데이터 보호

미사용 데이터의 경우:

• 공유에 저장된 데이터에 대한 액세스가 제한됩니다.

  • 공유 데이터에 액세스하는 SMB 클라이언트는 해당 공유와 연관된 사용자 자격 증명이 필요합니다. 이러한 자격 증명은 공유가 생성될 때 정의됩니다.
  • 공유를 만들 때 공유에 액세스하는 NFS 클라이언트의 IP 주소를 추가해야 합니다.

플라이트 중인 데이터 보호

비행 데이터의 경우:

• 표준 TLS 1.2는 디바이스와 Azure 간에 이동하는 데이터에 사용됩니다. TLS 1.1 이전 버전에 대한 대체는 없습니다. TLS 1.2가 지원되지 않으면 에이전트 통신이 차단됩니다. TLS 1.2는 포털 및 SDK 관리에도 필요합니다.

• 클라이언트가 브라우저의 로컬 웹 UI를 통해 디바이스에 액세스하는 경우 표준 TLS 1.2가 기본 보안 프로토콜로 사용됩니다.

  • 가장 좋은 방법은 TLS 1.2를 사용하도록 브라우저를 구성하는 것입니다.
  • 브라우저에서 TLS 1.2를 지원하지 않는 경우 TLS 1.1 또는 TLS 1.0을 사용할 수 있습니다.

• 데이터 서버에서 데이터를 복사하는 경우 암호화 기능을 갖춘 SMB 3.0을 사용하는 것이 좋습니다.

스토리지 계정을 사용한 데이터 보호

디바이스는 Azure에서 데이터의 대상으로 사용되는 스토리지 계정과 연결됩니다. 스토리지 계정에 대한 액세스는 해당 스토리지 계정과 연결된 두 개의 512비트 스토리지 액세스 키 및 구독을 통해 제어됩니다.

키 중 하나는 Azure Stack Edge 디바이스가 스토리지 계정에 액세스할 때 인증에 사용됩니다. 다른 키는 예약에 보관되므로 정기적으로 키를 회전할 수 있습니다.

보안상의 이유로 많은 데이터 센터 키 회전이 필요합니다. 키 회전에 대해 이 모범 사례를 따르는 것이 좋습니다.

• 스토리지 계정 키는 스토리지 계정의 루트 암호와 비슷합니다. 계정 키를 신중하게 보호합니다. 다른 사용자에게 암호를 배포하거나 하드 코딩하거나 다른 사용자가 액세스할 수 있는 일반 텍스트로 저장하지 마세요.
• 손상될 수 있다고 생각되는 경우 Azure Portal을 통해 계정 키를 다시 생성합니다. 자세한 내용은 스토리지 계정 액세스 키 관리를 참조하세요.
• Azure 관리자는 Azure Portal의 [스토리지] 섹션을 사용해 스토리지 계정에 직접 액세스하여 기본 또는 보조 키를 정기적으로 변경하거나 다시 생성해야 합니다.

• 스토리지 계정 키를 정기적으로 순환하고 동기화하면 권한 없는 사용자로부터 스토리지 계정을 보호할 수 있습니다.

BitLocker를 사용하여 장치 데이터 보호

Data Box Gateway 가상 머신에서 가상 디스크를 보호하려면 BitLocker를 사용하도록 설정하는 것이 좋습니다. 기본적으로 BitLocker가 활성화되지 않았습니다. 자세한 내용은 다음을 참조하세요.

• Hyper-V 관리자의 암호화 지원 설정
• 가상 머신의 BitLocker 지원

개인 정보 관리

Data Box Gateway 서비스는 다음과 같은 시나리오에서 개인 정보를 수집합니다.

• 주문 세부 정보. 주문이 만들어지면 사용자의 배송 주소, 이메일 주소 및 연락처 정보가 Azure Portal에 저장됩니다. 저장되는 정보는 다음과 같습니다.

  • 연락처 이름

  • 전화번호

  • 메일 주소

  • 상세 주소

  • City

  • ZIP 코드/우편 번호

  • State(상태)

  • 국가/지역/도

  • 배송 추적 번호

    주문 정보는 암호화되어 서비스에 저장됩니다. 서비스는 리소스 또는 주문을 명시적으로 삭제할 때까지 정보를 보존합니다. 리소스 삭제 및 해당 주문은 디바이스가 배송된 시점부터 디바이스가 Microsoft로 반환될 때까지 차단됩니다.

• 배송 주소. 주문이 완료되면 Data Box 서비스는 UPS와 같은 타사 운송업체에 배송 주소를 제공합니다.

• 공유 사용자. 디바이스의 사용자는 공유에 있는 데이터에도 액세스할 수 있습니다. 공유 데이터에 액세스할 수 있는 사용자 목록을 볼 수 있습니다. 공유가 삭제되면 이 목록도 삭제됩니다.

공유에 액세스하거나 공유를 삭제할 수 있는 사용자 목록을 보려면 Data Box Gateway 공유 관리의 단계를 수행합니다.

자세한 내용은 보안 센터에서 Microsoft 개인 정보 취급 방침을 참조하세요.

다음 단계

Data Box Gateway 장치 배포