Segurança e proteção de dados do Azure Data Box Gateway

A segurança é uma grande preocupação quando você está adotando uma nova tecnologia, especialmente se a tecnologia for usada com dados confidenciais ou proprietários. O Azure Data Box Gateway ajuda a garantir que apenas entidades autorizadas possam exibir, modificar ou excluir seus dados.

Este artigo descreve os recursos de segurança do Gateway do Azure Data Box que ajudam a proteger cada um dos componentes da solução e os dados armazenados neles.

A solução Data Box Gateway consiste em quatro componentes principais que interagem entre si:

• Serviço Data Box Gateway, hospedado no Azure. O recurso de gerenciamento que você usa para criar a ordem do dispositivo, configurar o dispositivo e, em seguida, acompanhar a ordem até a conclusão.
• Dispositivo Data Box Gateway. O dispositivo virtual que você provisiona no hipervisor do sistema que você fornece. Esse dispositivo virtual é usado para importar seus dados locais para o Azure.
• Clientes/hosts conectados ao dispositivo. Os clientes em sua infraestrutura que se conectam ao dispositivo Data Box Gateway e contêm dados que precisam ser protegidos.
• Armazenamento na nuvem. O local na plataforma de nuvem do Azure onde os dados são armazenados. Esse local normalmente é a conta de armazenamento vinculada ao recurso Data Box Gateway que você cria.

Proteção do serviço Data Box Gateway

O serviço Data Box Gateway é um serviço de gerenciamento hospedado no Azure. O serviço é usado para configurar e gerenciar o dispositivo.

• Para acessar o serviço Azure Stack Edge, sua organização precisa ter uma assinatura Enterprise Agreement (EA) ou CSP (Cloud Solution Provider). Para obter mais informações, consulte Inscrever-se para uma assinatura do Azure.
• Como esse serviço de gerenciamento é hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Azure, vá para a Central de Confiabilidade do Microsoft Azure.
• Para operações de gerenciamento do SDK, você pode obter a chave de criptografia para seu recurso em Propriedades do dispositivo. Você pode exibir a chave de criptografia somente se tiver permissões para a API do Resource Graph.

Proteção de dispositivo Data Box Gateway

O dispositivo Data Box Gateway é um dispositivo virtual provisionado no hipervisor de um sistema local que você fornece. O dispositivo ajuda a enviar dados para o Azure. O seu dispositivo:

• Precisa de uma chave de ativação para acessar o serviço Azure Stack Edge Pro/Data Box Gateway.
• Está sempre protegido por uma palavra-passe de dispositivo.

Proteja o dispositivo através da chave de ativação

Somente um dispositivo autorizado do Data Box Gateway tem permissão para ingressar no serviço Data Box Gateway que você cria em sua assinatura do Azure. Para autorizar um dispositivo, você precisa usar uma chave de ativação para ativar o dispositivo com o serviço Data Box Gateway.

A chave de ativação que você usa:

• É uma chave de autenticação baseada no Microsoft Entra ID.
• Expira após três dias.
• Não é usado após a ativação do dispositivo.

Depois de ativar um dispositivo, ele usa tokens para se comunicar com o Azure.

Para obter mais informações, consulte Obter uma chave de ativação.

Proteja o dispositivo através de palavra-passe

As palavras-passe garantem que apenas utilizadores autorizados podem aceder aos seus dados. Os dispositivos Data Box Gateway são inicializados em um estado bloqueado.

Pode:

• Conecte-se à interface do usuário da Web local do dispositivo por meio de um navegador e, em seguida, forneça uma senha para entrar no dispositivo.
• Conecte-se remotamente à interface PowerShell do dispositivo por HTTP. O gerenciamento remoto está ativado por padrão. Em seguida, pode fornecer a palavra-passe do dispositivo para iniciar sessão no dispositivo. Para obter mais informações, consulte Conectar-se remotamente ao dispositivo Data Box Gateway.

Tenha estas práticas recomendadas em mente:

• Recomendamos que guarde todas as palavras-passe num local seguro para não ter de repor uma palavra-passe se esta for esquecida. O serviço de gerenciamento não pode recuperar senhas existentes. Ele só pode redefini-los por meio do portal do Azure. Se você redefinir uma senha, certifique-se de notificar todos os usuários antes de redefini-la.
• Você pode acessar a interface do Windows PowerShell do seu dispositivo remotamente por HTTP. Como prática recomendada de segurança, você deve usar HTTP somente em redes confiáveis.
• Certifique-se de que as palavras-passe dos dispositivos são fortes e estão bem protegidas. Siga as práticas recomendadas de senha.

• Use a interface do usuário da Web local para alterar a senha. Se alterar a palavra-passe, certifique-se de que notifica todos os utilizadores de acesso remoto para que não tenham problemas em iniciar sessão.

Proteger os seus dados

Esta seção descreve os recursos de segurança do Data Box Gateway que protegem os dados armazenados e em trânsito.

Proteger os dados inativos

Para dados em repouso:

• O acesso aos dados armazenados em partilhas é restrito.

  • Os clientes SMB que acessam dados de compartilhamento precisam de credenciais de usuário associadas ao compartilhamento. Essas credenciais são definidas quando o compartilhamento é criado.
  • Os endereços IP dos clientes NFS que acessam um compartilhamento precisam ser adicionados quando o compartilhamento é criado.

Proteja os dados durante o voo

Para dados em voo:

• O TLS 1.2 padrão é usado para dados que viajam entre o dispositivo e o Azure. Não há fallback para TLS 1.1 e anteriores. A comunicação do agente será bloqueada se o TLS 1.2 não for suportado. O TLS 1.2 também é necessário para o gerenciamento de portal e SDK.

• Quando os clientes acessam seu dispositivo por meio da interface do usuário da Web local de um navegador, o TLS 1.2 padrão é usado como o protocolo seguro padrão.

  • A melhor prática é configurar seu navegador para usar o TLS 1.2.
  • Se o navegador não suportar TLS 1.2, você poderá usar TLS 1.1 ou TLS 1.0.

• Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.

Proteja os dados usando contas de armazenamento

O dispositivo encontra-se associado a uma conta de armazenamento que é utilizada como destino para os dados no Azure. O acesso à conta de armazenamento é controlado pela subscrição e estão associadas a essa conta de armazenamento duas chaves de acesso de armazenamento de 512 bits.

Uma das chaves é utilizada para autenticação quando o dispositivo do Azure Stack Edge acede à conta de armazenamento. A outra chave é mantida como reserva, para que possa rodar as chaves periodicamente.

Por motivos de segurança, muitos datacenters exigem a rotação de chaves. Recomendamos que siga estas melhores práticas para a rotação de chaves:

• A chave da conta de armazenamento é semelhante à palavra-passe de raiz da conta de armazenamento. Proteja cuidadosamente a chave da conta. Não distribua a senha para outros usuários, codifice-a ou salve-a em qualquer lugar em texto simples acessível a outras pessoas.
• Regenere sua chave de conta por meio do portal do Azure se achar que ela pode ser comprometida. Para obter mais informações, consulte Gerenciar chaves de acesso da conta de armazenamento.
• Seu administrador do Azure deve alterar ou regenerar periodicamente a chave primária ou secundária usando a seção Armazenamento do portal do Azure para acessar a conta de armazenamento diretamente.

• Rode e sincronize as chaves da sua conta de armazenamento regularmente para ajudar a proteger a sua conta de armazenamento de utilizadores não autorizados.

Proteger os dados do dispositivo usando o BitLocker

Para proteger os discos virtuais na máquina virtual do Data Box Gateway, recomendamos que habilite o BitLocker. Por padrão, o BitLocker não está habilitado. Para obter mais informações, consulte:

• Configurações de suporte de criptografia no Gerenciador do Hyper-V
• Suporte do BitLocker em uma máquina virtual

Gerenciar informações pessoais

O serviço Data Box Gateway coleta informações pessoais nos seguintes cenários:

• Detalhes da encomenda. Quando um pedido é criado, o endereço de entrega, o endereço de email e as informações de contato do usuário são armazenados no portal do Azure. As informações guardadas incluem:

  • Nome do contacto

  • Número de telefone

  • Endereço de e-mail

  • Endereço

  • City

  • CEP/código postal

  • Estado

  • País/região/província

  • Número de controlo de envio

    Os detalhes da encomenda são encriptados e armazenados no serviço. O serviço retém as informações até que você exclua explicitamente o recurso ou pedido. A exclusão do recurso e a ordem correspondente são bloqueadas a partir do momento em que o dispositivo é enviado até que o dispositivo retorne à Microsoft.

• Endereço de envio. Depois que um pedido é feito, o serviço Data Box fornece o endereço de entrega para transportadoras terceirizadas, como a UPS.

• Partilhe utilizadores. Os utilizadores no seu dispositivo também podem aceder aos dados localizados nas partilhas. Uma lista de usuários que podem acessar os dados de compartilhamento pode ser visualizada. Quando os compartilhamentos são excluídos, essa lista também é excluída.

Para exibir a lista de usuários que podem acessar ou excluir um compartilhamento, siga as etapas em Gerenciar compartilhamentos no Data Box Gateway.

Para obter mais informações, consulte a política de privacidade da Microsoft na Central de Confiabilidade.

Próximos passos

Implante seu dispositivo Data Box Gateway