Segurança e proteção de dados do Azure Data Box Gateway

A segurança é uma preocupação importante ao adotar uma nova tecnologia, especialmente quando a tecnologia é usada com dados confidenciais ou proprietários. O Azure Data Box Gateway ajuda a garantir que apenas entidades autorizadas possam exibir, modificar ou excluir seus dados.

Este artigo descreve os recursos de segurança do Azure Data Box Gateway que ajudam a proteger cada um dos componentes da solução e os dados armazenados neles.

A solução do Data Box Gateway é formada por quatro componentes principais, que interagem entre si:

• Serviço do Data Box Gateway, hospedado no Azure. O recurso de gerenciamento que você usa para criar o pedido do dispositivo, configurar o dispositivo e, em seguida, controlar o pedido até a conclusão.
• Dispositivo do Data Box Gateway. O dispositivo virtual que você provisiona no hipervisor do sistema que você fornece. Esse dispositivo virtual é usado para importar seus dados locais para o Azure.
• Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo do Data Box Gateway e contêm dados que precisam ser protegidos.
• Armazenamento em nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local geralmente é a conta de armazenamento vinculada ao recurso do Data Box Gateway que você criou.

Proteção de serviço do Data Box Gateway

O serviço do Data Box Gateway é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.

• Para acessar o serviço Azure Stack Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou Provedor de soluções na nuvem (CSP). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
• Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
• Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode visualizar a chave de criptografia somente se tiver permissões para a API do Resource Graph.

Proteção de dispositivo do Data Box Gateway

O dispositivo do Data Box Gateway é um dispositivo virtual provisionado no hipervisor de um sistema local que você fornece. O dispositivo ajuda a enviar dados para o Azure. Seu dispositivo:

• Precisa de uma chave de ativação para acessar o serviço Azure Stack Edge Pro/Data Box Gateway.
• É sempre protegido pela senha do dispositivo.

Proteger o dispositivo por chave de ativação

Somente um dispositivo do Data Box Gateway autorizado tem permissão para ingressar no serviço do Data Box Gateway que você cria na assinatura do Azure. Para autorizar um dispositivo é necessário usar uma chave de ativação para ativar o dispositivo com o serviço do Data Box Gateway.

A chave de ativação que você usa:

• É uma chave de autenticação baseada em ID do Microsoft Entra.
• Expira após três dias.
• Não é usada após a ativação do dispositivo.

Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.

Para obter mais informações, consulte Obter uma chave de ativação.

Proteger o dispositivo por senha

As senhas garantem que somente os usuários autorizados possam acessar seus dados. Os dispositivos do Data Box Gateway inicializam em um estado bloqueado.

Você poderá:

• Conectar-se à IU da Web local do dispositivo por meio de um navegador e, em seguida, digitar uma senha para entrar no dispositivo.
• Conectar-se remotamente à interface do dispositivo do PowerShell por HTTP. O gerenciamento remoto é ativado por padrão. Em seguida, você pode inserir a senha para entrar no dispositivo. Para saber mais, confira Conectar-se remotamente ao dispositivo do Data Box Gateway.

Tenha em mente as seguintes melhores práticas:

• É recomendável armazenar todas as senhas em um local seguro para não precisar redefinir uma senha se ela for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-las por meio do portal do Azure. Se precisar redefinir uma senha, certifique-se de notificar todos os usuários antes de fazer isso.
• É possível acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como melhor prática de segurança, use HTTP somente em redes confiáveis.
• Certifique-se de que as senhas do dispositivo sejam fortes e bem protegidas. Siga as melhores práticas de senha.

• Use a IU da Web local para alterar a senha. Se você alterar a senha, certifique-se de notificar todos os usuários de acesso remoto para que eles não tenham problemas ao entrar.

Proteger seus dados

Esta seção descreve os recursos de segurança do Data Box Gateway que protegem dados armazenados e em movimento.

Proteger dados em repouso

Para dados inativos:

• O acesso a dados armazenados em compartilhamentos é restrito.

  • Clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
  • Os endereços IP de clientes NFS que acessam um compartilhamento precisam ser adicionados quando o compartilhamento é criado.

Proteger dados em trânsito

Para dados em trânsito:

• O TLS 1.2 padrão é usado para dados que trafegam entre o dispositivo e o Azure. Não há nenhum fallback para o TLS 1.1 e anterior. A comunicação do agente será bloqueada se o TLS 1.2 não for compatível. O TLS 1.2 também é necessário para gerenciamento de portal e SDK.

• Quando os clientes acessam seu dispositivo por meio da IU da web local de um navegador, o padrão TLS 1.2 é usado como o protocolo de segurança padrão.

  • A prática recomendada é configurar seu navegador para usar TLS 1.2.
  • Se o navegador não oferecer suporte a TLS 1.2, você poderá usar TLS 1.1 ou TLS 1.0.

• Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.

Proteger dados usando contas de armazenamento

O dispositivo está associado a uma conta de armazenamento usada como destino dos dados no Azure. O acesso a uma conta de armazenamento é controlado pela assinatura e pelas duas chaves de acesso de armazenamento de 512 bits associadas àquela conta de armazenamento.

Uma das chaves é usada para autenticação quando o dispositivo do Azure Stack Edge acessa a conta de armazenamento. A outra chave fica de reserva para que você possa alternar as chaves periodicamente.

Por motivos de segurança, muitos data centers exigem a rotação de chaves. Recomendamos seguir estas práticas recomendadas para a rotação de chaves:

• Sua chave de conta de armazenamento é semelhante para a senha raiz da sua conta de armazenamento. Proteja a chave de conta com cuidado. Não distribua a senha para outros usuários, nem codifique ou salve em qualquer lugar em texto sem formatação acessível a outras pessoas.
• Regenere sua chave de conta por meio do portal do Azure se você suspeitar que ela pode estar comprometida. Para obter mais informações, confira Gerenciar chaves de acesso da conta de armazenamento.
• Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar diretamente a conta de armazenamento.

• Gire e sincronize suas chaves da conta de armazenamento regularmente para ajudar a protegê-la de usuários não autorizados.

Proteger os dados do dispositivo usando o BitLocker

Para proteger os discos virtuais em sua máquina virtual do Data Box Gateway, recomendamos que você habilite o BitLocker. Por padrão, o BitLocker não fica habilitado. Para obter mais informações, consulte:

• Configurações de suporte para criptografia no Gerenciador do Hyper-V
• Suporte para BitLocker em uma máquina virtual

Gerenciar informações pessoais

O serviço do Data Box Gateway coleta informações pessoais nos seguintes cenários:

• Detalhes do pedido. Quando uma ordem é criada, o endereço de envio, endereço de email e as informações de contato dos usuários são armazenadas no portal do Azure. As informações salvas incluem:

  • Nome do contato

  • Número do telefone

  • Endereço de email

  • Endereço

  • City

  • CEP/código postal

  • State

  • País/região/província

  • Enviar número de controle

    Os detalhes do pedido são criptografados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou o pedido. A exclusão do recurso e o pedido correspondente são bloqueados desde o momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.

• Endereço para entrega. Depois que um pedido for feito, o serviço do Data Box fornecerá o endereço de entrega para operadoras de terceiros como a UPS.

• Usuários do compartilhamento. Os usuários em seu dispositivo também podem acessar os dados localizados nos compartilhamentos. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser vista. Quando os compartilhamentos são excluídos, essa lista também será excluída.

Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no Data Box Gateway.

Para saber mais, leia a política de privacidade da Microsoft na Central de Confiabilidade.

Próximas etapas

Implantar o dispositivo do Data Box Gateway