Безопасность работы Шлюза Azure Data Box и защита данных

Безопасность является серьезной проблемой, когда вы внедряете новую технологию, особенно если технология используется с конфиденциальными или проприетарными данными. Шлюз Azure Data Box помогает гарантировать, что только авторизованные объекты могут просматривать, изменять или удалять ваши данные.

В этой статье описываются функции безопасности шлюза Azure Data Box, которые помогают защитить каждый компонент решения и хранимые в нем данные.

Решение "Шлюз Azure Data Box" состоит из четырех основных компонентов, взаимодействующих друг с другом.

• Служба Шлюза Data Box, размещенная в Azure. Ресурс управления, который используется для создания порядка устройств, настройки устройства и последующего отслеживания порядка до завершения.
• Устройство Шлюза Data Box. Виртуальное устройство, которое вы подготавливаете в низкоуровневой оболочке предоставленной вами системы. Это виртуальное устройство используется для импорта локальных данных в Azure.
• Клиенты/хосты, подключенные к устройству. Клиенты в вашей инфраструктуре, которые подключаются к устройству Шлюза Azure Data Box и содержат данные, которые необходимо защитить.
• Облачное хранилище. Место на облачной платформе Azure, где хранятся данные. Это расположение обычно является учетной записью хранения, связанной с созданным вами ресурсом Шлюза Azure Data Box.

Защита службы Шлюза Data Box

Служба Шлюза Data Box — это служба управления, размещенная в Azure. Эта служба используется для настройки устройства и управления им.

• Для доступа к службе Azure Stack Edge у вашей организации должна быть подписка "Соглашение Enterprise (EA)" или "Поставщик облачных решений (CSP)". Дополнительные сведения см. в статье Регистрация подписки для Azure.
• Так как служба управления размещается в Azure, она защищена средствами безопасности Azure. Для получения дополнительной информации о средствах безопасности, предоставляемых Azure, перейдите в Центр управления безопасностью Microsoft Azure.
• Чтобы выполнять операции управления пакетом SDK, ключ шифрования для ресурса можно получить в Свойствах устройства. Ключ шифрования можно просматривать только при наличии разрешений для API Resource Graph.

Защита устройства Шлюза Data Box

Устройство Шлюза Data Box — это виртуальное устройство, подготовленное в низкоуровневой оболочке локальной системы, которую вы предоставляете. Устройство помогает отправлять данные в Azure. Ваше устройство:

• требует ключ активации для доступа к Azure Stack Edge Pro или службе Шлюза Data Box;
• всегда защищено паролем устройства.

Устройство шлюза Data Box имеет следующие возможности, которые обеспечивают защиту в глубине:

• Защита от вредоносных программ в Защитнике на диске ОС
• Поддержка Device Guard в Защитнике для более строгих проверок двоичного файла, работающего в системе.

Защитите устройство с помощью ключа активации

Только авторизованное устройство Шлюза Data Box может присоединиться к службе Шлюза Data Box, создаваемой в подписке Azure. Чтобы авторизовать устройство, вам необходимо использовать ключ активации для активации устройства с помощью службы Шлюза Data Box.

Используемый ключ активации:

• Ключ проверки подлинности на основе идентификатора Microsoft Entra.
• Срок действия истекает через три дня.
• Не используется после активации устройства.

После активации устройства для взаимодействия с Azure используются токены.

Для получения дополнительной информации см. Получение ключа активации.

Защита устройства с помощью пароля

Пароли гарантируют, что только авторизованные пользователи могут получить доступ к вашим данным. Устройства Шлюза Data Box загружаются в заблокированном состоянии.

Вы можете:

• Подключаться к локальному пользовательскому веб-интерфейсу устройства через браузер, а затем ввести пароль для входа.
• Удаленно подключаться к устройству через интерфейс PowerShell по протоколу HTTP. По умолчанию удаленное управление включено. Затем вы можете указать пароль устройства для входа на устройство. Дополнительные сведения см. в разделе Удаленное подключение к интерфейсу PowerShell.

Учитывайте следующие рекомендации:

• Рекомендуется хранить все пароли в безопасном расположении, чтобы вам не потребовалось сбрасывать пароль, если вы его забудете. Службе управления не удается получить существующие пароли. Их можно сбросить только на портале Azure. Если необходимо сбросить пароль, сообщите об этом всем пользователям.
• Вы можете удаленно обращаться к интерфейсу Windows PowerShell своего устройства по протоколу HTTP. Для обеспечения безопасности рекомендуется использовать протокол HTTP только в доверенных сетях.
• Убедитесь, что пароли устройств надежно и хорошо защищены. Следуйте рекомендациям по работе с паролями.

• Используйте локальный пользовательский веб-интерфейс для изменения пароля. При изменении пароля обязательно сообщите об этом всем пользователям удаленного доступа, чтобы у них не возникло проблем со входом в систему.

Защита данных

В этом разделе описаны функции безопасности шлюза Data Box, которые защищают передающиеся и хранящиеся данные.

Защита хранящихся данных

Для неактивных данных:

• Доступ к данным, хранящимся в общих ресурсах, ограничен.

  • Клиентам SMB, которые обращаются к данным в общей папке, требуются учетные данные пользователя, связанные с общей папкой. Эти учетные данные определяются при создании общей папки.
  • При создании общей папки необходимо добавить IP-адреса клиентов NFS, которые будут обращаться к этой общей папке.

Защитите данные в полете

Для передаваемых данных:

• Стандартный TLS 1.2 используется для данных, передаваемых между устройством и средой Azure. Откат к TLS 1.1 и более ранним версиям невозможен. Если TLS 1.2 не поддерживается, то взаимодействие с агентом будет заблокировано. Для управления порталом и пакетом SDK также требуется TLS 1.2.

• Когда клиенты обращаются к устройству через локальный пользовательский веб-интерфейс браузера, в качестве защищенного протокола по умолчанию используется стандартный TLS 1.2.

  • Рекомендуется настроить в браузере использование TLS 1.2.
  • Если браузер не поддерживает TLS 1.2, можно использовать TLS 1.1 или TLS 1.0.

• Рекомендуется использовать SMB 3.0 с шифрованием для защиты данных при копировании с серверов данных.

Защита данных с помощью учетных записей хранения

Ваше устройство связано с учетной записью хранения, которая используется в качестве места назначения для ваших данных в Azure. Управление доступом к учетной записи хранения осуществляется с помощью подписки и двух 512-разрядных ключей доступа, связанных с этой учетной записью хранения.

Один из ключей используется для проверки подлинности при доступе устройства Azure Stack Edge к учетной записи хранения. Другой ключ хранится в качестве резервного, что позволяет время от времени менять ключи.

В целях безопасности многие центры обработки данных требуют смену ключей. Рекомендации по смене ключей.

• Ключ учетной записи хранения похож на корневой пароль для вашей учетной записи хранения. Тщательно защитите ключ учетной записи. Не сообщайте пароль другим пользователям, не задавайте его явно в коде и не храните его нигде в виде обычного текста, доступного для других пользователей.
• Повторно создайте ключ учетной записи с помощью портала Azure, если вы полагаете, что он мог быть скомпрометирован. См. сведения о том, как управлять ключами доступа к учетной записи хранения.
• Чтобы обеспечить прямой доступ к учетной записи хранения, администратор Azure должен периодически менять или повторно создавать первичный или вторичный ключ в разделе "Хранилище" портала Azure.

• Регулярно меняйте и синхронизируйте ключи своей учетной записи хранения, чтобы защитить ее от неавторизованных пользователей.

Защита данных устройства с помощью BitLocker

Чтобы защитить виртуальные диски на виртуальной машине Шлюза Data Box, рекомендуется включить BitLocker. По умолчанию средство BitLocker выключено. Дополнительные сведения см. в разделе:

• Параметры поддержки шифрования в диспетчере Hyper-V
• BitLocker support in a virtual machine (Поддержка BitLocker на виртуальной машине)

Управление личной информацией

Служба Шлюза Data Box собирает персональные данные в следующих сценариях:

• Сведения о заказах. После создания заказа адрес доставки, адрес электронной почты и контактная информация пользователя хранятся на портале Azure. Сохраненная информация включает следующее.

  • Имя контакта

  • Номер телефона

  • Адрес электронной почты

  • Улица, дом

  • Город

  • Почтовый индекс

  • Штат

  • Страна, регион или провинция

  • номер отслеживания доставки.

    Сведения о заказе хранятся в службе в зашифрованном виде. Информация хранится в службе до момента, пока не будет явно удален ресурс или заказ. Удаление ресурса и соответствующего заказа блокируются с момента доставки устройства до тех пор, пока устройство не вернется в корпорацию Майкрософт.

• Адрес доставки. После размещения заказа служба Data Box предоставляет адрес доставки сторонним службам доставки, таким как UPS.

• Пользователи общего ресурса. Пользователи устройства также могут получать доступ к данным, расположенным в общих папках. Список пользователей, которым разрешен доступ к данным в общем ресурсе, доступен для просмотра. Этот список удаляется при удалении общих ресурсов.

Чтобы просмотреть список пользователей, которые могут получить доступ к общим папкам или удалять их, выполните действия, описанные в статье Управление общими папками в Шлюзе Azure Data Box с помощью портала Azure.

Для получения дополнительных сведений ознакомьтесь с политикой конфиденциальности Майкрософт в Центре управления безопасностью.

Следующие шаги

Руководство. Подготовка к развертыванию шлюза Azure Data Box