Zabezpieczenia i ochrona danych w usłudze Azure Data Box Gateway

Bezpieczeństwo jest głównym problemem podczas wdrażania nowej technologii, zwłaszcza jeśli technologia jest używana z poufnymi lub zastrzeżonymi danymi. Usługa Azure Data Box Gateway pomaga zapewnić, że tylko autoryzowane jednostki mogą wyświetlać, modyfikować lub usuwać dane.

W tym artykule opisano funkcje zabezpieczeń usługi Azure Data Box Gateway, które pomagają chronić poszczególne składniki rozwiązania i przechowywane w nich dane.

Rozwiązanie Data Box Gateway składa się z czterech głównych składników, które współdziałają ze sobą:

• Usługa Data Box Gateway hostowana na platformie Azure. Zasób zarządzania używany do tworzenia zamówienia urządzenia, konfigurowania urządzenia, a następnie śledzenia zamówienia do ukończenia.
• Urządzenie Data Box Gateway. Urządzenie wirtualne aprowidujące w funkcji hypervisor udostępnionego systemu. To urządzenie wirtualne służy do importowania danych lokalnych na platformę Azure.
• Klienci/hosty połączeni z urządzeniem. Klienci w infrastrukturze, którzy łączą się z urządzeniem Data Box Gateway i zawierają dane, które muszą być chronione.
• Magazyn w chmurze. Lokalizacja na platformie Azure w chmurze, w której są przechowywane dane. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z utworzonym zasobem usługi Data Box Gateway.

Ochrona usługi Data Box Gateway

Usługa Data Box Gateway to usługa zarządzania hostowana na platformie Azure. Usługa służy do konfigurowania urządzenia i zarządzania nim.

• Aby uzyskać dostęp do usługi Azure Stack Edge, organizacja musi mieć subskrypcję Umowa Enterprise (EA) lub Dostawca rozwiązań w chmurze (CSP). Aby uzyskać więcej informacji, zobacz Rejestrowanie się w celu uzyskania subskrypcji platformy Azure.
• Ponieważ ta usługa zarządzania jest hostowana na platformie Azure, jest chroniona przez funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń udostępnianych przez platformę Azure, przejdź do Centrum zaufania platformy Microsoft Azure.
• W przypadku operacji zarządzania zestawem SDK można uzyskać klucz szyfrowania zasobu we właściwościach urządzenia. Klucz szyfrowania można wyświetlić tylko wtedy, gdy masz uprawnienia do interfejsu API usługi Resource Graph.

Ochrona urządzenia Data Box Gateway

Urządzenie Data Box Gateway to urządzenie wirtualne aprowidowane w funkcji hypervisor udostępnionego przez Ciebie systemu lokalnego. Urządzenie pomaga wysyłać dane na platformę Azure. Urządzenie:

• Wymaga klucza aktywacji, aby uzyskać dostęp do usługi Azure Stack Edge Pro/Data Box Gateway.
• Jest chroniony przez cały czas przy użyciu hasła urządzenia.

Urządzenie Data Box Gateway oferuje następujące możliwości, które oferują ochronę w głębi systemu:

• Ochrona przed złośliwym oprogramowaniem w usłudze Defender na dysku systemu operacyjnego
• Obsługa funkcji Device Guard opartej na usłudze Defender w celu bardziej rygorystycznej kontroli danych binarnych uruchomionych w systemie.

Ochrona urządzenia za pomocą klucza aktywacji

Tylko autoryzowane urządzenie Data Box Gateway może dołączyć do usługi Data Box Gateway utworzonej w ramach subskrypcji platformy Azure. Aby autoryzować urządzenie, musisz użyć klucza aktywacji, aby aktywować urządzenie za pomocą usługi Data Box Gateway.

Używany klucz aktywacji:

• Jest kluczem uwierzytelniania opartym na identyfikatorze Entra firmy Microsoft.
• Wygasa po trzech dniach.
• Nie jest używany po aktywacji urządzenia.

Po aktywowaniu urządzenia używa tokenów do komunikowania się z platformą Azure.

Aby uzyskać więcej informacji, zobacz Pobieranie klucza aktywacji.

Ochrona urządzenia za pomocą hasła

Hasła zapewniają, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do Twoich danych. Urządzenia Data Box Gateway są uruchamiane w stanie zablokowanym.

Masz następujące możliwości:

• Połącz się z lokalnym internetowym interfejsem użytkownika urządzenia za pośrednictwem przeglądarki, a następnie podaj hasło, aby zalogować się do urządzenia.
• Zdalne nawiązywanie połączenia z interfejsem programu PowerShell urządzenia za pośrednictwem protokołu HTTP. Zdalne zarządzanie jest domyślnie włączone. Następnie możesz podać hasło urządzenia, aby zalogować się do urządzenia. Aby uzyskać więcej informacji, zobacz Podłączanie zdalnie do urządzenia Data Box Gateway.

Należy pamiętać o następujących najlepszych rozwiązaniach:

• Zalecamy przechowywanie wszystkich haseł w bezpiecznym miejscu, aby nie trzeba było resetować hasła, jeśli nie zostanie zapomniane. Usługa zarządzania nie może pobrać istniejących haseł. Można je zresetować tylko za pośrednictwem witryny Azure Portal. Jeśli zresetujesz hasło, pamiętaj, aby powiadomić wszystkich użytkowników przed zresetowaniem.
• Dostęp do interfejsu programu Windows PowerShell urządzenia można uzyskać zdalnie za pośrednictwem protokołu HTTP. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest użycie protokołu HTTP tylko w zaufanych sieciach.
• Upewnij się, że hasła urządzeń są silne i dobrze chronione. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi haseł.

• Użyj lokalnego internetowego interfejsu użytkownika, aby zmienić hasło. Jeśli zmienisz hasło, pamiętaj o powiadomieniu wszystkich użytkowników dostępu zdalnego, aby nie mieli problemów z logowaniem.

Ochrona danych

W tej sekcji opisano funkcje zabezpieczeń usługi Data Box Gateway, które chronią dane przesyłane i przechowywane.

Ochrona danych magazynowanych

W przypadku danych magazynowanych:

• Dostęp do danych przechowywanych w udziałach jest ograniczony.

  • Klienci SMB, którzy uzyskują dostęp do danych udziałów, potrzebują poświadczeń użytkownika skojarzonych z udziałem. Te poświadczenia są definiowane podczas tworzenia udziału.
  • Adresy IP klientów NFS uzyskujących dostęp do udziału należy dodać podczas tworzenia udziału.

Ochrona danych w locie

W przypadku danych w locie:

• Protokół TLS w warstwie Standardowa 1.2 jest używany na potrzeby danych przesyłanych między urządzeniem a platformą Azure. Nie ma powrotu do protokołu TLS 1.1 i starszych wersji. Komunikacja z agentem zostanie zablokowana, jeśli protokół TLS 1.2 nie jest obsługiwany. Protokół TLS 1.2 jest również wymagany do zarządzania portalem i zestawem SDK.

• Gdy klienci uzyskują dostęp do urządzenia za pośrednictwem lokalnego internetowego interfejsu użytkownika przeglądarki, standardowy protokół TLS 1.2 jest używany jako domyślny bezpieczny protokół.

  • Najlepszym rozwiązaniem jest skonfigurowanie przeglądarki do korzystania z protokołu TLS 1.2.
  • Jeśli przeglądarka nie obsługuje protokołu TLS 1.2, możesz użyć protokołu TLS 1.1 lub TLS 1.0.

• Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.

Ochrona danych przy użyciu kont magazynu

Urządzenie jest skojarzone z kontem magazynu, które jest używane jako miejsce docelowe danych na platformie Azure. Dostęp do konta magazynu jest kontrolowany przez subskrypcję oraz dwa 512-bitowe klucze dostępu do magazynu skojarzone z tym kontem magazynu.

Jeden z tych kluczy jest używany do uwierzytelniania, gdy urządzenie Azure Stack Edge próbuje uzyskać dostęp do konta magazynu. Drugi klucz jest przechowywany jako rezerwowy, dzięki czemu można wymieniać klucze okresowo.

Ze względów bezpieczeństwa wiele centrów danych wymaga wymiany kluczy. Zalecamy przestrzeganie następujących najlepszych rozwiązań dotyczących wymiany kluczy:

• Klucz konta magazynu jest podobny do hasła głównego konta magazynu. Starannie chroń klucz konta. Nie dystrybuuj hasła innym użytkownikom, nie koduj go ani nie zapisuj go w dowolnym miejscu w postaci zwykłego tekstu, który jest dostępny dla innych użytkowników.
• Wygeneruj ponownie klucz konta za pośrednictwem witryny Azure Portal, jeśli uważasz, że może to zostać naruszone. Aby uzyskać więcej informacji, zobacz Zarządzanie kluczami dostępu do konta magazynu.
• Administrator platformy Azure powinien okresowo zmieniać lub ponownie wygenerować klucz podstawowy lub pomocniczy przy użyciu sekcji Storage w witrynie Azure Portal, aby uzyskać bezpośredni dostęp do konta magazynu.

• Obracanie i regularne synchronizowanie kluczy konta magazynu w celu ochrony konta magazynu przed nieautoryzowanymi użytkownikami.

Ochrona danych urządzenia przy użyciu funkcji BitLocker

Aby zabezpieczyć dyski wirtualne na maszynie wirtualnej usługi Data Box Gateway, zalecamy włączenie funkcji BitLocker. Domyślnie funkcja BitLocker nie jest włączona. Aby uzyskać więcej informacji, zobacz:

• Ustawienia obsługi szyfrowania w Menedżerze funkcji Hyper-V
• Obsługa funkcji BitLocker na maszynie wirtualnej

Zarządzanie danymi osobowymi

Usługa Data Box Gateway zbiera dane osobowe w następujących scenariuszach:

• Szczegóły zamówienia. Po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkownika są przechowywane w witrynie Azure Portal. Zapisane informacje obejmują:

  • Nazwa kontaktu

  • Numer telefonu

  • Adres e-mail

  • Ulica

  • City

  • Kod pocztowy/kod pocztowy

  • Stan

  • Kraj/region/prowincja

  • Numer śledzenia dostawy

    Szczegóły zamówienia są szyfrowane i przechowywane w usłudze. Usługa zachowuje informacje do momentu jawnego usunięcia zasobu lub zamówienia. Usunięcie zasobu i odpowiedniego zamówienia jest blokowane od momentu wysłania urządzenia do momentu powrotu urządzenia do firmy Microsoft.

• Adres wysyłkowy. Po złożeniu zamówienia usługa Data Box dostarcza adres wysyłkowy do przewoźników innych firm, takich jak UPS.

• Udostępnianie użytkowników. Użytkownicy na urządzeniu mogą również uzyskiwać dostęp do danych znajdujących się w udziałach. Można wyświetlić listę użytkowników, którzy mogą uzyskiwać dostęp do danych udziału. Po usunięciu udziałów ta lista również zostanie usunięta.

Aby wyświetlić listę użytkowników, którzy mogą uzyskać dostęp do udziału lub usunąć go, wykonaj kroki opisane w temacie Zarządzanie udziałami w usłudze Data Box Gateway.

Aby uzyskać więcej informacji, zapoznaj się z zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.

Następne kroki

Wdrażanie urządzenia Data Box Gateway