Protection des données et sécurité Azure Data Box Gateway

La sécurité est une préoccupation majeure pour toute nouvelle technologie, surtout si cette technologie est utilisée avec des données confidentielles ou propriétaires. Azure Data Box Gateway vous assure que seuls les entités autorisées peuvent consulter, modifier ou supprimer vos données.

Cet article décrit les fonctionnalités de sécurité Azure Data Box Gateway qui permettent de protéger chacun des composants de la solution et les données stockées sur ces derniers.

La solution Data Box Gateway repose sur l’interaction de quatre composants principaux :

• Service Data Box Gateway, hébergé dans Azure. la ressource de gestion qui vous permet de créer la commande de l’appareil, de configurer l’appareil et de suivre la commande jusqu’à son achèvement.
• Appareil Data Box Gateway. L’appareil virtuel que vous approvisionnez dans l’hyperviseur du système que vous fournissez. Cet appareil virtuel est utilisé pour importer vos données locales dans Azure.
• Clients/hôtes connectés à l’appareil : Les clients de votre infrastructure se connectant à l’appareil Data Box Gateway et contenant des données devant être protégées.
• Stockage cloud : emplacement dans la plateforme cloud Azure où les données sont stockées. Il s’agit généralement du compte de stockage lié à la ressource Data Box Gateway que vous avez créée.

Protection de service Data Box Gateway

Le service Data Box Gateway est un service de gestion hébergé dans Azure. Ce service est utilisé pour configurer et gérer l’appareil.

• Pour accéder au service Azure Stack Edge, votre organisation doit avoir un abonnement Contrat Entreprise (EA) ou Fournisseur de solutions cloud (CSP). Pour plus d’informations, consultez Souscription à un abonnement Azure.
• Étant donné que ce service de gestion est hébergé dans Azure, il est protégé par les fonctionnalités de sécurité Azure. Pour plus d’informations sur les fonctionnalités de sécurité fournies par Azure, accédez au Centre de confidentialité Microsoft Azure.
• Pour les opérations de gestion du kit de développement logiciel (SDK), vous pouvez obtenir la clé de chiffrement pour votre ressource dans Propriétés de l’appareil. Vous ne pouvez afficher la clé de chiffrement que si vous disposez d’autorisations pour l’API Resource Graph.

Protection d’appareil Data Box Gateway

L’appareil Data Box Gateway est un appareil virtuel qui est approvisionné dans l’hyperviseur d’un système local que vous fournissez. Cet appareil permet d’envoyer des données vers Azure. Votre appareil :

• A besoin d’une clé d’activation pour accéder au service Azure Stack Edge Pro/Data Box Gateway.
• Est protégé à tout moment par un mot de passe d’appareil.

Protéger l’appareil via une clé d’activation

Seul les appareils Data Box Gateway autorisés sont autorisés à rejoindre le service Data Box Gateway que vous avez créé dans votre abonnement Azure. Pour autoriser un appareil, vous devez utiliser une clé d’activation pour activer l’appareil auprès du service Data Box Gateway.

La clé d’activation que vous utilisez :

• Clé d’authentification basée sur Microsoft Entra ID.
• Expire au bout de trois jours.
• N’est pas utilisé après l’activation de l’appareil.

Une fois activé, un appareil utilise des jetons pour communiquer avec Azure.

Pour plus d’informations, consultez Obtenir une clé d’activation.

Protéger l’appareil via un mot de passe

Les mots de passe garantissent que seuls les utilisateurs autorisés accèdent à vos données. Les appareils Data Box Gateway démarrent en étant verrouillés.

Vous pouvez :

• Vous connecter à l’interface utilisateur web locale de l’appareil via un navigateur, puis indiquer un mot de passe pour vous connecter à l’appareil.
• Vous connecter à distance à l’interface PowerShell de l’appareil via HTTP. La gestion à distance est désactivée par défaut. Vous pouvez ensuite fournir le mot de passe pour vous connecter à l’appareil. Pour plus d’informations, consultez Connexion à distance à votre appareil Data Box Gateway.

Gardez à l'esprit ces meilleures pratiques :

• Nous vous recommandons de stocker tous les mots de passe dans un endroit sûr, afin de ne pas être obligé de réinitialiser un mot de passe en cas d’oubli. Le service de gestion ne peut pas récupérer des mots de passe existants. Il peut uniquement les réinitialiser via le portail Azure. Si vous réinitialisez un mot de passe, veillez à informer tous les utilisateurs au préalable.
• Vous pouvez accéder à l’interface Windows PowerShell de votre appareil à distance via HTTP. Comme meilleure pratique de sécurité, vous devez utiliser HTTP uniquement sur des réseaux approuvés.
• Assurez-vous que les mots de passe des appareils sont robustes et bien protégés. Suivez les Meilleures pratiques relatives aux mots de passe.

• Utiliser l’interface utilisateur web locale pour modifier le mot de passe. Si vous modifiez le mot de passe, veillez à informer tous les utilisateurs à distance afin qu’ils ne connaissent pas de problème de connexion.

Protéger vos données

Cette section décrit les fonctionnalités de sécurité Data Box Gateway visant à protéger les données transmises et stockées.

Protection des données au repos

Pour les données au repos :

• L’accès aux données stockées dans des partages est limité.

  • Les clients SMB qui accèdent aux données partagées ont besoin des informations d’identification utilisateur associées au partage. Ces informations d’identification sont définies lorsque le partage est créé.
  • Les adresses IP des clients NFS qui accèdent à un partage doivent être ajoutées lorsque le partage est créé.

Protection des données à la volée

Pour les données à la volée :

• Standard TLS 1.2 est utilisé pour les données qui transitent entre l’appareil et Azure. Il n’existe aucun protocole de secours pour TLS 1.1 et versions antérieures. Les communications de l’agent seront bloquées si TLS 1.2 n’est pas pris en charge. TLS 1.2 est également requis pour la gestion du portail et du Kit de développement logiciel (SDK).

• Lorsque les clients accèdent à votre appareil via l’interface utilisateur web locale d’un navigateur, Standard TLS 1.2 est utilisé comme protocole sécurisé par défaut.

  • La meilleure pratique consiste à configurer votre navigateur pour utiliser TLS 1.2.
  • Si le navigateur ne prend pas en charge TLS 1.2, vous pouvez utiliser TLS 1.1 ou TLS 1.0.

• Nous vous recommandons d’utiliser SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.

Protection des données avec des comptes de stockage

Votre appareil est associé à un compte de stockage qui est utilisé en tant que destination pour vos données dans Azure. L’accès au compte de stockage est contrôlé par l’abonnement et deux clés d’accès au stockage de 512 bits associées à ce compte de stockage.

L’une des clés est utilisée pour l’authentification quand l’appareil Azure Stack Edge accède au compte de stockage. L’autre clé est gardée en réserve, ce qui permet une rotation régulière des clés.

De nombreux centres de données ont recours à la rotation des clés pour des raisons de sécurité. Nous vous recommandons de suivre ces méthodes recommandées pour la rotation des clés :

• Votre clé de compte de stockage est similaire au mot de passe racine pour votre compte de stockage. Protégez soigneusement votre clé de compte. Ne communiquez pas le mot de passe à d’autres utilisateurs, ne le codez pas en dur et ne l’enregistrez pas en texte brut, où que ce soit.
• Régénérez votre clé de compte via le Portail Azure si vous pensez qu’elle a été compromise. Pour plus d’informations, consultez Gérer les clés d’accès au compte de stockage.
• Votre administrateur Azure doit changer ou régénérer régulièrement la clé primaire ou secondaire à l’aide de la section Stockage du portail Azure pour accéder directement au compte de stockage.

• Faites tourner puis synchronisez vos clés de compte de stockage régulièrement pour mieux protéger votre compte de stockage des utilisateurs non autorisés.

Protection des données des appareils à l’aide de BitLocker

Nous vous recommandons d’activer BitLocker pour sécuriser les disques virtuels sur votre machine virtuelle Data Box Gateway. Par défaut, BitLocker n’est pas activé. Pour plus d'informations, consultez les pages suivantes :

• Paramètres de prise en charge du chiffrement dans le Gestionnaire Hyper-V
• Prise en charge de BitLocker sur une machine virtuelle

Gestion des informations personnelles

Le service Data Box Gateway collecte des informations personnelles dans les scénarios suivants :

• Détails de la commande. Une fois la commande créée, l’adresse de livraison, l’adresse e-mail, et les informations de contact de l’utilisateur sont stockées dans le Portail Azure. Les informations enregistrées incluent :

  • Nom du contact

  • Numéro de téléphone

  • Adresse de messagerie

  • Adresse

  • City

  • Code postal

  • State

  • Pays/région/province

  • Numéro de suivi d’expédition

    Les détails de la commande sont chiffrés et stockés dans le service. Le service conserve les informations jusqu’à ce que vous supprimiez explicitement la ressource ou la commande. La suppression de la ressource et de la commande correspondante est bloquée à partir du moment où l’appareil est livré jusqu'à ce que l’appareil retourne à Microsoft.

• Adresse de livraison. Une fois la commande passée, le service Data Box fournit l’adresse de livraison aux transporteurs tiers tels que UPS.

• Utilisateurs de partage. Les utilisateurs sur votre appareil peuvent aussi accéder aux données situées sur les partages. La liste de ces utilisateurs peut être consultée. Elle est par ailleurs supprimée à la suppression des partages.

Pour afficher la liste des utilisateurs qui ont accès à un partage ou qui peuvent supprimer un partage, suivez les étapes de la page Gérer les partages sur Data Box Gateway.

Pour plus d’informations, consultez la Politique de confidentialité Microsoft dans le Centre de gestion de la confidentialité.

Étapes suivantes

Déployer votre appareil Data Box Gateway