Säkerhet och dataskydd för Azure Data Box Gateway
Säkerhet är ett stort problem när du använder en ny teknik, särskilt om tekniken används med konfidentiella eller upphovsrättsskyddade data. Azure Data Box Gateway hjälper dig att se till att endast auktoriserade entiteter kan visa, ändra eller ta bort dina data.
I den här artikeln beskrivs säkerhetsfunktionerna i Azure Data Box Gateway som hjälper dig att skydda var och en av lösningskomponenterna och de data som lagras i dem.
Data Box Gateway-lösningen består av fyra huvudkomponenter som interagerar med varandra:
- Data Box Gateway-tjänsten som finns i Azure. Den hanteringsresurs som du använder för att skapa enhetsordningen, konfigurera enheten och sedan spåra beställningen till slutförande.
- Data Box Gateway-enhet. Den virtuella enhet som du etablerar i hypervisor-programmet för det system som du tillhandahåller. Den här virtuella enheten används för att importera dina lokala data till Azure.
- Klienter/värdar som är anslutna till enheten. Klienterna i din infrastruktur som ansluter till Data Box Gateway-enheten och innehåller data som måste skyddas.
- Molnlagring. Platsen på Azure-molnplattformen där data lagras. Den här platsen är vanligtvis det lagringskonto som är länkat till den Data Box Gateway-resurs som du skapar.
Data Box Gateway-tjänstskydd
Data Box Gateway-tjänsten är en hanteringstjänst som finns i Azure. Tjänsten används för att konfigurera och hantera enheten.
- För att få åtkomst till Azure Stack Edge-tjänsten måste din organisation ha en prenumeration på företagsavtal (EA) eller Molnlösningsleverantör (CSP). Mer information finns i Registrera dig för en Azure-prenumeration.
- Eftersom den här hanteringstjänsten finns i Azure skyddas den av Azure-säkerhetsfunktionerna. Mer information om säkerhetsfunktionerna som tillhandahålls av Azure finns i Microsoft Azure Trust Center.
- För SDK-hanteringsåtgärder kan du hämta krypteringsnyckeln för din resurs i Enhetsegenskaper. Du kan bara visa krypteringsnyckeln om du har behörighet för Resource Graph-API:et.
Data Box Gateway-enhetsskydd
Data Box Gateway-enheten är en virtuell enhet som etableras i hypervisor-programmet för ett lokalt system som du tillhandahåller. Enheten hjälper till att skicka data till Azure. Enheten:
- Behöver en aktiveringsnyckel för att få åtkomst till Azure Stack Edge Pro/Data Box Gateway-tjänsten.
- Skyddas hela tiden av ett enhetslösenord.
Data Box Gateway-enheten har följande funktioner som ger skydd på djupet:
- Skydd mot skadlig kod i Defender på OS-disk
- Defender-baserat Device Guard-stöd för strängare kontroller av binärfilen som körs i systemet.
Skydda enheten via aktiveringsnyckel
Endast en auktoriserad Data Box Gateway-enhet tillåts ansluta till den Data Box Gateway-tjänst som du skapar i din Azure-prenumeration. Om du vill auktorisera en enhet måste du använda en aktiveringsnyckel för att aktivera enheten med Data Box Gateway-tjänsten.
Aktiveringsnyckeln som du använder:
- Är en Microsoft Entra ID-baserad autentiseringsnyckel.
- Upphör att gälla efter tre dagar.
- Används inte efter enhetsaktivering.
När du har aktiverat en enhet använder den token för att kommunicera med Azure.
Mer information finns i Hämta en aktiveringsnyckel.
Skydda enheten via lösenord
Lösenord säkerställer att endast behöriga användare kan komma åt dina data. Data Box Gateway-enheter startar i låst tillstånd.
Du kan:
- Anslut till enhetens lokala webbgränssnitt via en webbläsare och ange sedan ett lösenord för att logga in på enheten.
- Fjärranslutning till enhetens PowerShell-gränssnitt via HTTP. Fjärrhantering är aktiverat som standard. Du kan sedan ange enhetslösenordet för att logga in på enheten. Mer information finns i Ansluta via fjärranslutning till din Data Box Gateway-enhet.
Tänk på följande metodtips:
- Vi rekommenderar att du lagrar alla lösenord på en säker plats så att du inte behöver återställa ett lösenord om det glöms bort. Hanteringstjänsten kan inte hämta befintliga lösenord. Det kan bara återställa dem via Azure Portal. Om du återställer ett lösenord måste du meddela alla användare innan du återställer det.
- Du kan fjärråtkomst till Windows PowerShell-gränssnittet på enheten via HTTP. Som bästa säkerhet bör du endast använda HTTP i betrodda nätverk.
- Kontrollera att enhetslösenorden är starka och väl skyddade. Följ metodtipsen för lösenord.
- Använd det lokala webbgränssnittet för att ändra lösenordet. Om du ändrar lösenordet bör du meddela alla fjärråtkomstanvändare så att de inte har problem med att logga in.
Skydda dina data
I det här avsnittet beskrivs säkerhetsfunktionerna för Data Box Gateway som skyddar under överföring och lagrade data.
Skydda data i vila
För vilande data:
Åtkomsten till data som lagras i resurser är begränsad.
- SMB-klienter som har åtkomst till resursdata behöver användarautentiseringsuppgifter som är associerade med resursen. Dessa autentiseringsuppgifter definieras när resursen skapas.
- IP-adresserna för NFS-klienter som har åtkomst till en resurs måste läggas till när resursen skapas.
Skydda data under flygning
För data under flygning:
Standard TLS 1.2 används för data som överförs mellan enheten och Azure. Det finns ingen återställning till TLS 1.1 och tidigare. Agentkommunikation blockeras om TLS 1.2 inte stöds. TLS 1.2 krävs också för portal- och SDK-hantering.
När klienter får åtkomst till din enhet via det lokala webbgränssnittet i en webbläsare används standard-TLS 1.2 som standardsäkerhetsprotokoll.
- Det bästa sättet är att konfigurera webbläsaren så att den använder TLS 1.2.
- Om webbläsaren inte stöder TLS 1.2 kan du använda TLS 1.1 eller TLS 1.0.
Vi rekommenderar att du använder SMB 3.0 med kryptering för att skydda data när du kopierar dem från dina dataservrar.
Skydda data med lagringskonton
Enheten associeras med ett lagringskonto som används som mål för dina data i Azure. Åtkomsten till lagringskontot styrs via prenumerationen och två lagringsåtkomstnycklar på 512 bitar som är kopplade till lagringskontot.
En av nycklarna används för autentisering när Azure Stack Edge-enheten ansluter till lagringskontot. Den andra nyckeln sparas i reserv så du kan rotera nycklarna med jämna mellanrum.
Många datacenter kräver nyckelrotation av säkerhetsskäl. Vi rekommenderar att du följer de här regelverken för nyckelrotation:
- Din nyckel för lagringskontot liknar rotlösenordet för lagringskontot. Skydda din kontonyckel noga. Distribuera inte lösenordet till andra användare, hårdkoda det eller spara det någonstans i oformaterad text som är tillgänglig för andra.
- Återskapa din kontonyckel via Azure Portal om du tror att den kan komprometteras. Mer information finns i Hantera åtkomstnycklar för lagringskonto.
- Azure-administratören bör regelbundet ändra eller återskapa den primära eller sekundära nyckeln med hjälp av avsnittet Lagring i Azure Portal för att komma åt lagringskontot direkt.
- Rotera och synkronisera sedan dina lagringskontonycklar regelbundet för att skydda ditt lagringskonto mot obehöriga användare.
Skydda enhetsdata med BitLocker
För att skydda de virtuella diskarna på din virtuella Data Box Gateway-dator rekommenderar vi att du aktiverar BitLocker. BitLocker är som standard inte aktiverat. Mer information finns i:
Hantera personlig information
Data Box Gateway-tjänsten samlar in personlig information i följande scenarier:
Orderinformation. När en beställning skapas lagras leveransadressen, e-postadressen och kontaktinformationen för användaren i Azure Portal. Informationen som sparas omfattar:
Kontaktnamn
Telefonnummer
E-postadress
Gatuadress
City
Postnummer/postnummer
Tillstånd
Land/region/provins
Spårningsnummer för leveransen
Orderinformation krypteras och lagras i tjänsten. Tjänsten behåller informationen tills du uttryckligen tar bort resursen eller beställningen. Borttagningen av resursen och motsvarande ordning blockeras från den tidpunkt då enheten levereras tills enheten återgår till Microsoft.
Leveransadress. När en beställning har gjorts tillhandahåller Data Box-tjänsten leveransadressen till tredjepartsföretag som UPS.
Dela användare. Användare på enheten kan också komma åt data som finns på resurserna. En lista över användare som kan komma åt resursdata kan visas. När resurserna tas bort tas även den här listan bort.
Om du vill visa listan över användare som kan komma åt eller ta bort en resurs följer du stegen i Hantera resurser på Data Box Gateway.
Mer information finns i Microsofts sekretesspolicy i Säkerhetscenter.