Protección de datos y seguridad de Azure Data Box Gateway

La seguridad es una gran preocupación para cualquiera que adopte una tecnología nueva, en especial cuando se utiliza la tecnología con información confidencial o de su propiedad. Azure Data Box Gateway le ayuda a asegurarse de que solo entidades autorizadas puedan ver, modificar o eliminar sus datos.

En este artículo se describen las características de seguridad de Azure Data Box Gateway que ayudan a proteger cada uno de los componentes de la solución y los datos almacenados en ellos.

La solución Data Box Gateway consta de cuatro componentes principales que interactúan entre sí:

• Servicio Data Box Gateway hospedado en Azure. El recurso de administración que se usa para crear el pedido del dispositivo, configurar el dispositivo y, a continuación, supervisar el pedido hasta que se realiza.
• Dispositivo Data Box Gateway. Dispositivo virtual que aprovisiona en el hipervisor del sistema que proporciona. Este dispositivo virtual se usa para importar sus datos locales en Azure.
• Los clientes/hosts conectados al dispositivo. Clientes de la infraestructura que se conectan al dispositivo Data Box Gateway y contienen los datos que se deben proteger.
• El almacenamiento en la nube. La ubicación de la plataforma Azure Cloud donde se almacenan los datos. Esta ubicación suele ser la cuenta de almacenamiento vinculada al recurso de Data Box Gateway que ha creado.

Protección del servicio Data Box Gateway

Data Box Gateway es un servicio de administración que se hospeda en Azure. El servicio se usa para configurar y administrar el dispositivo.

• Para acceder al servicio Azure Stack Edge, la organización necesita tener una suscripción a Contrato Enterprise (EA) o a Proveedor de soluciones en la nube. Para más información, consulte Registro para una suscripción a Azure.
• Dado que el servicio de administración está hospedado en Azure, se encuentra protegido por las características de seguridad de Azure. Para obtener más información acerca de las características de seguridad que proporciona Azure, visite el Centro de confianza de Microsoft Azure.
• Para las operaciones de administración de SDK, puede obtener la clave de cifrado para el recurso en las propiedades del dispositivo. Puede ver la clave de cifrado solo si tiene permisos para Resource Graph API.

Protección del dispositivo Data Box Gateway

El dispositivo Data Box Gateway es un dispositivo virtual que se aprovisiona en el hipervisor de un sistema local que proporciona el usuario. El dispositivo ayuda a enviar datos a Azure. El dispositivo:

• Necesita una clave de activación para acceder a los servicios Azure Stack Edge Pro o Data Box Gateway.
• Está protegido en todo momento mediante una contraseña de dispositivo.

El dispositivo Data Box Gateway tiene las siguientes funcionalidades, que ofrecen una defensa profunda:

• Protección contra malware basada en Defender en el disco del sistema operativo
• Compatibilidad con Device Guard basada en Defender para comprobaciones más estrictas en el binario que se ejecuta en el sistema.

Protege el dispositivo con una clave de activación

Solo se permite a un dispositivo Data Box Gateway autorizado unirse al servicio Data Box Gateway que crea en su suscripción de Azure. Si quiere autorizar un dispositivo, debe usar una clave de activación para activarlo con el servicio Data Box Gateway.

La clave de activación que usa:

• Es una clave de autenticación basada en Microsoft Entra ID.
• Expira después de tres días.
• No se utiliza tras la activación del dispositivo.

Después de activar un dispositivo, utiliza los tokens para comunicarse con Azure.

Para obtener más información, consulte Obtención de la clave de activación.

Protección del dispositivo con una contraseña

Las contraseñas garantizan que solo los usuarios autorizados puedan acceder a sus datos. Los dispositivos Data Box Gateway arrancan en un estado bloqueado.

Puede:

• Conectarse a la interfaz de usuario web local del dispositivo mediante un explorador y, a continuación, proporcionar una contraseña para iniciar sesión en el dispositivo.
• Conectarse de forma remota a la interfaz de PowerShell del dispositivo a través de HTTP. La administración remota está activada de manera predeterminada. A continuación, puede proporcionar la contraseña del dispositivo para iniciar sesión en el dispositivo. Para obtener más información, consulte el tema sobre la conexión remota al dispositivo Data Box Gateway.

Tenga presente los siguientes procedimientos recomendados:

• Se recomienda almacenar todas las contraseñas en un lugar seguro para que no deba restablecer una contraseña si se le olvida. El servicio de administración no puede recuperar contraseñas existentes. Solo puede restablecerlas mediante Azure Portal. Si restablece una contraseña, asegúrese de notificar a todos los usuarios antes de hacerlo.
• Puede acceder a la interfaz de Windows PowerShell del dispositivo de forma remota sobre HTTP. Como práctica recomendada de seguridad, debe utilizar HTTP solo en redes de confianza.
• Asegúrese de que las contraseñas de dispositivo sean seguras y estén bien protegidas. Siga los procedimientos recomendados sobre las contraseñas.

• Use la interfaz de usuario web local para cambiar la contraseña. Si cambia la contraseña, asegúrese de notificar a todos los usuarios de acceso remoto para que no experimenten problemas al iniciar sesión.

Protección de los datos

En esta sección se describen las características de seguridad de Data Box Gateway que protegen los datos en tránsito y almacenados.

Protección de los datos en reposo

Para los datos en reposo:

• El acceso a los datos almacenados en recursos compartidos está restringido.

  • Los clientes SMB que tienen acceso a datos del recurso compartido necesitan credenciales de usuario asociadas al recurso compartido. Estas credenciales se definen cuando se crea el recurso compartido.
  • Las direcciones IP de los clientes NFS con acceso a un recurso compartido deben agregarse cuando se crea el recurso compartido.

Protección de los datos en tránsito

Para los datos en tránsito:

• Se utiliza TLS 1.2 Estándar para los datos que circulan entre el dispositivo y Azure. No hay ninguna reserva para TLS 1.1 y versiones anteriores. Si no se admite TLS 1.2, se bloqueará la comunicación del agente. TLS 1.2 también es necesario para la administración del portal y SDK.

• Cuando los clientes acceden al dispositivo mediante la interfaz web local de un explorador, se utiliza TLS 1.2 Estándar como protocolo seguro predeterminado.

  • El procedimiento recomendado consiste en configurar el explorador para usar TLS 1.2.
  • Si el explorador no admite TLS 1.2, puede usar TLS 1.1 o TLS 1.0.

• Se recomienda utilizar SMB 3.0 con cifrado para proteger los datos cuando se copien de los servidores de datos.

Protección de datos a través de cuentas de almacenamiento

Su dispositivo está asociado a una cuenta de almacenamiento que se utiliza como destino para los datos en Azure. El acceso a la cuenta de almacenamiento se controla mediante la suscripción y las dos claves de acceso de almacenamiento de 512 bits asociadas a esa cuenta de almacenamiento.

Una de las claves se utiliza para la autenticación cuando el dispositivo Azure Stack Edge accede a la cuenta de almacenamiento. La otra clave se mantiene en reserva, por lo que puede rotar periódicamente las claves.

Por motivos de seguridad, muchos centros de datos requieren que las claves se roten. Se recomienda seguir estos procedimientos recomendados para la rotación de claves:

• La clave de la cuenta de almacenamiento es similar a la contraseña raíz de la cuenta de almacenamiento. Proteja cuidadosamente la clave de cuenta. No distribuya la contraseña a otros usuarios, no la codifique ni la guarde en cualquier lugar en texto sin formato que sea accesible para otros.
• Vuelva a generar la clave de cuenta mediante Azure Portal si cree que podría encontrarse en peligro. Para obtener más información, consulte Administración de las claves de acceso de la cuenta de almacenamiento.
• Periódicamente, el administrador de Azure debe cambiar o volver a generar la clave principal o secundaria mediante la sección Storage de Azure Portal para acceder directamente a la cuenta de almacenamiento.

• Rote y, a continuación, sincronice las claves de la cuenta de almacenamiento periódicamente para proteger su cuenta de almacenamiento de usuarios no autorizados.

Protección de los datos del dispositivo mediante BitLocker

Para proteger los discos virtuales de la máquina virtual Data Box Gateway, se recomienda habilitar BitLocker. De forma predeterminada, BitLocker no está habilitado. Para más información, consulte:

• Configuración de la compatibilidad con el cifrado en el administrador de Hyper-V
• Compatibilidad con BitLocker en una máquina virtual

Administración de información personal

El servicio Data Box Gateway recopila información personal en los escenarios siguientes:

• Detalles de pedido. Una vez creado el pedido, la dirección de envío, la dirección de correo electrónico y la información de contacto del usuario se almacenan en Azure Portal. Entre la información guardada se incluyen los siguientes datos:

  • Nombre de contacto

  • Número de teléfono

  • Dirección de correo electrónico

  • Calle de la dirección

  • City

  • Código postal

  • Estado

  • País, región o provincia

  • Número de seguimiento del envío

    Los detalles del pedido se cifran y almacenan en el servicio. El servicio conserva la información hasta que elimine explícitamente el recurso o el pedido. La eliminación del recurso y el pedido correspondiente se bloquea desde el momento en que se envía el dispositivo hasta que el dispositivo vuelve a Microsoft.

• Dirección de envío. Después de realizar el pedido, el servicio Data Box proporciona la dirección de envío a compañías de transporte como UPS.

• Usuarios de los recursos compartidos. Los usuarios en el dispositivo también pueden acceder a los datos que se encuentran en los recursos compartidos. Se puede ver una lista de los usuarios que pueden acceder a los datos del recurso compartido. Cuando los recursos compartidos se eliminan, esta lista también se elimina.

Para ver la lista de usuarios que pueden acceder a un recurso compartido o eliminarlo, siga los pasos que se indican en el tema sobre la administración de recursos compartidos en Data Box Gateway.

Para más información, revise la directiva de privacidad de Microsoft en el Centro de confianza.

Pasos siguientes

Implementación del dispositivo Data Box Gateway