Sicurezza e protezione dei dati di Azure Data Box Gateway

La sicurezza è un problema importante quando si adotta una nuova tecnologia, soprattutto se la tecnologia viene usata con dati riservati o proprietari. Azure Data Box Gateway consente di assicurarsi che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati.

Questo articolo descrive le funzionalità di sicurezza di Azure Data Box Gateway che consentono di proteggere ognuno dei componenti della soluzione e i dati archiviati in essi.

La soluzione Data Box Gateway è costituita da quattro componenti principali che interagiscono tra loro:

• Servizio Data Box Gateway, ospitato in Azure. La risorsa di gestione usata per creare l'ordine del dispositivo, configurare il dispositivo e quindi tenere traccia dell'ordine di completamento.
• Dispositivo Data Box Gateway. Dispositivo virtuale di cui si effettua il provisioning nell'hypervisor del sistema fornito. Questo dispositivo virtuale viene usato per importare i dati locali in Azure.
• Client/host connessi al dispositivo. I client nell'infrastruttura che si connettono al dispositivo Data Box Gateway e contengono dati che devono essere protetti.
• Archiviazione cloud. Posizione nella piattaforma cloud di Azure in cui vengono archiviati i dati. Questo percorso è in genere l'account di archiviazione collegato alla risorsa Data Box Gateway creata.

Protezione del servizio Data Box Gateway

Il servizio Data Box Gateway è un servizio di gestione ospitato in Azure. Il servizio viene usato per configurare e gestire il dispositivo.

• Per accedere al servizio Azure Stack Edge, l'organizzazione deve avere una sottoscrizione Contratto Enterprise (EA) o Cloud Solution Provider (CSP). Per altre informazioni, vedere Iscriversi a una sottoscrizione di Azure.
• Poiché questo servizio di gestione è ospitato in Azure, è protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Azure, passare al Centro protezione di Microsoft Azure.
• Per le operazioni di gestione dell'SDK, è possibile ottenere la chiave di crittografia per la risorsa nelle proprietà del dispositivo. È possibile visualizzare la chiave di crittografia solo se si dispone delle autorizzazioni per l'API Resource Graph.

Protezione del dispositivo Data Box Gateway

Il dispositivo Data Box Gateway è un dispositivo virtuale di cui è stato effettuato il provisioning nell'hypervisor di un sistema locale fornito. Il dispositivo consente di inviare dati ad Azure. Il dispositivo:

• Richiede una chiave di attivazione per accedere al servizio Azure Stack Edge Pro/Data Box Gateway.
• È sempre protetto da una password del dispositivo.

Proteggere il dispositivo tramite la chiave di attivazione

Solo un dispositivo Data Box Gateway autorizzato può essere aggiunto al servizio Data Box Gateway creato nella sottoscrizione di Azure. Per autorizzare un dispositivo, è necessario usare una chiave di attivazione per attivare il dispositivo con il servizio Data Box Gateway.

Chiave di attivazione usata:

• Chiave di autenticazione basata su MICROSOFT Entra ID.
• Scade dopo tre giorni.
• Non viene usato dopo l'attivazione del dispositivo.

Dopo aver attivato un dispositivo, usa i token per comunicare con Azure.

Per altre informazioni, vedere Ottenere una chiave di attivazione.

Proteggere il dispositivo tramite password

Le password assicurano che solo gli utenti autorizzati possano accedere ai dati. I dispositivi Data Box Gateway vengono avviati in uno stato bloccato.

È possibile:

• Connessione all'interfaccia utente Web locale del dispositivo tramite un browser e quindi fornire una password per accedere al dispositivo.
• Connettersi in remoto all'interfaccia di PowerShell del dispositivo tramite HTTP. La gestione remota è attivata per impostazione predefinita. È quindi possibile specificare la password del dispositivo per accedere al dispositivo. Per altre informazioni, vedere Connessione in remoto al dispositivo Data Box Gateway.

Tenere presenti queste procedure consigliate:

• È consigliabile archiviare tutte le password in un luogo sicuro in modo che non sia necessario reimpostare una password se viene dimenticata. Il servizio di gestione non può recuperare le password esistenti. Può reimpostarle solo tramite il portale di Azure. Se si reimposta una password, assicurarsi di inviare una notifica a tutti gli utenti prima di reimpostarla.
• È possibile accedere all'interfaccia di Windows PowerShell del dispositivo in modalità remota tramite HTTP. Come procedura consigliata per la sicurezza, è consigliabile usare HTTP solo in reti attendibili.
• Assicurarsi che le password del dispositivo siano complesse e ben protette. Seguire le procedure consigliate per la password.

• Usare l'interfaccia utente Web locale per modificare la password. Se si modifica la password, assicurarsi di notificare a tutti gli utenti di accesso remoto in modo che non abbiano problemi di accesso.

Proteggere i dati

Questa sezione descrive le funzionalità di sicurezza di Data Box Gateway che proteggono i dati in transito e archiviati.

Proteggere i dati inattivi

Per i dati inattivi:

• L'accesso ai dati archiviati nelle condivisioni è limitato.

  • I client SMB che accedono ai dati di condivisione necessitano di credenziali utente associate alla condivisione. Queste credenziali vengono definite al momento della creazione della condivisione.
  • Gli indirizzi IP dei client NFS che accedono a una condivisione devono essere aggiunti quando viene creata la condivisione.

Proteggere i dati in anteprima

Per i dati in anteprima:

• TLS 1.2 Standard viene usato per i dati che si spostano tra il dispositivo e Azure. Non esiste alcun fallback a TLS 1.1 e versioni precedenti. La comunicazione dell'agente verrà bloccata se TLS 1.2 non è supportato. TLS 1.2 è necessario anche per la gestione del portale e dell'SDK.

• Quando i client accedono al dispositivo tramite l'interfaccia utente Web locale di un browser, come protocollo sicuro predefinito viene usato TLS 1.2 standard.

  • La procedura consigliata consiste nel configurare il browser per l'uso di TLS 1.2.
  • Se il browser non supporta TLS 1.2, è possibile usare TLS 1.1 o TLS 1.0.

• È consigliabile usare SMB 3.0 con la crittografia per proteggere i dati quando vengono copiati dai server dati.

Proteggere i dati usando gli account di archiviazione

Il dispositivo è associato a un account di archiviazione usato come destinazione per i dati in Azure. L'accesso all'account di archiviazione è controllato dalla sottoscrizione e dalle due chiavi di accesso alle risorse di archiviazione a 512 bit che sono associate all'account di archiviazione.

Una delle chiavi viene usata per l'autenticazione quando il dispositivo Azure Stack Edge accede all'account di archiviazione. L'altra chiave è tenuta di riserva, in modo da poter ruotare le chiavi periodicamente.

Per motivi di sicurezza, molti data center richiedono la rotazione delle chiavi. Per la rotazione delle chiavi, è opportuno seguire queste procedure consigliate:

• La chiave dell’account di archiviazione è simile alla password radice per l'account di archiviazione. Proteggere con attenzione la chiave dell'account. Non distribuire la password ad altri utenti, hardcoded o salvarla in qualsiasi punto del testo normale accessibile ad altri utenti.
• Rigenerare la chiave dell'account tramite il portale di Azure se si ritiene che possa essere compromessa. Per altre informazioni, vedere Gestire le chiavi di accesso dell'account di archiviazione.
• L'amministratore di Azure deve modificare o rigenerare periodicamente la chiave primaria o secondaria usando la sezione Archiviazione del portale di Azure per accedere direttamente all'account di archiviazione.

• Ruotare e quindi sincronizzare regolarmente le chiavi dell'account di archiviazione per proteggere l'account di archiviazione da utenti non autorizzati.

Proteggere i dati del dispositivo con BitLocker

Per proteggere i dischi virtuali nella macchina virtuale Data Box Gateway, è consigliabile abilitare BitLocker. Per impostazione predefinita, BitLocker non è abilitato. Per altre informazioni, vedere:

• Impostazioni di supporto della crittografia nella console di gestione di Hyper-V
• Supporto di BitLocker in una macchina virtuale

Gestire le informazioni personali

Il servizio Data Box Gateway raccoglie le informazioni personali negli scenari seguenti:

• Dettagli ordine. Quando viene creato un ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto dell'utente vengono archiviate nel portale di Azure. Le informazioni salvate includono:

  • Nome contatto

  • Numero di telefono

  • Indirizzo di posta elettronica

  • Via e numero civico

  • City

  • CAP/CAP

  • Stato

  • Paese/area geografica/provincia

  • Numero di tracciabilità della spedizione

    I dettagli dell'ordine vengono crittografati e archiviati nel servizio. Il servizio mantiene le informazioni fino a quando non si elimina in modo esplicito la risorsa o l'ordine. L'eliminazione della risorsa e l'ordine corrispondente viene bloccato dal momento in cui il dispositivo viene spedito fino a quando il dispositivo non torna a Microsoft.

• Indirizzo di spedizione. Dopo l'invio di un ordine, il servizio Data Box fornisce l'indirizzo di spedizione a vettori di terze parti come UPS.

• Condividere gli utenti. Gli utenti del dispositivo possono anche accedere ai dati presenti nelle condivisioni. È possibile visualizzare un elenco di utenti che possono accedere ai dati di condivisione. Quando le condivisioni vengono eliminate, viene eliminato anche questo elenco.

Per visualizzare l'elenco di utenti che possono accedere o eliminare una condivisione, seguire la procedura descritta in Gestire le condivisioni in Data Box Gateway.

Per altre informazioni, vedere l'informativa sulla privacy di Microsoft nel Centro protezione.

Passaggi successivi

Distribuire il dispositivo Data Box Gateway