通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Data Box Gateway 安全性和数据保护

  • 项目

当采用新技术时(尤其是在将此技术用于机密或专有数据时),安全性是一个主要问题。 Azure Data Box Gateway 可帮助确保只有授权实体才能查看、修改或删除数据。

本文介绍了帮助保护每个解决方案组件及其存储的数据的 Azure Data Box Gateway 安全功能。

Data Box Gateway 解决方案包括四个主要的交互组件:

  • Azure 中托管的 Data Box Gateway 服务。 用于创建设备订单、配置设备,然后跟踪订单完成状态的管理资源。
  • Data Box Gateway 设备。 在所提供系统的虚拟机监控程序中预配的虚拟设备。 此虚拟设备用于将本地数据导入 Azure 中。
  • 连接到设备的客户端/主机。 基础结构中的客户端,它们连接到 Data Box Gateway 设备,并包含需要保护的数据。
  • 云存储。 Azure 云平台中存储数据的位置。 该位置通常是链接到所创建的 Data Box Gateway 资源的存储帐户。

Data Box Gateway 服务保护

Data Box Gateway 服务是 Azure 中托管的一项管理服务。 此服务用于配置和管理设备。

  • 若要访问 Azure Stack Edge 服务,组织需要具有企业协议 (EA) 或云解决方案提供商 (CSP) 订阅。 有关详细信息,请参阅注册 Azure 订阅
  • 由于此管理服务是在 Azure 中托管的,因此受 Azure 安全功能的保护。 有关 Azure 提供的安全功能的详细信息,请转到 Microsoft Azure 信任中心
  • 对于 SDK 管理操作,你可以在“设备属性”中获取资源的加密密钥。 只有拥有 Resource Graph API 的权限,才能查看加密密钥。

Data Box Gateway 设备保护

Data Box Gateway 设备是在所提供的本地系统的虚拟机监控程序中预配的虚拟设备。 该设备可帮助将数据发送到 Azure。 你的设备:

  • 需要使用激活密钥来访问 Azure Stack Edge Pro/Data Box Gateway 服务。
  • 始终受设备密码保护。

Data Box Gateway 设备具有以下功能,可提供深度防御:

  • OS 磁盘上基于 Defender 的恶意软件防护
  • 基于 Defender 的 Device Guard 支持对系统中运行的二进制文件进行更严格的检查。

通过激活密钥保护设备

仅允许授权 Data Box Gateway 设备加入在 Azure 订阅中创建的 Data Box Gateway 服务。 若要授权设备,需要使用通过 Data Box Gateway 服务激活设备的激活密钥。

你使用的激活密钥:

  • 是基于 Microsoft Entra ID 的身份验证密钥。
  • 三天后过期。
  • 设备激活后将不可使用。

激活设备后,该设备将使用令牌与 Azure 进行通信。

有关详细信息,请参阅获取激活密钥

通过密码保护设备

密码可确保只有授权用户才能访问数据。 Data Box Gateway 设备将在锁定状态下启动。

您可以:

  • 通过浏览器连接到设备的本地 Web UI,然后提供密码来登录设备。
  • 通过 HTTP 远程连接到设备 PowerShell 界面。 默认情况下启用远程管理。 然后,你可以提供用于登录设备的设备密码。 有关详细信息,请参阅远程连接到 Data Box Gateway 设备

牢记以下最佳做法:

  • 建议将所有密码都存储在安全位置,以便在忘记密码时不必重置密码。 管理服务无法检索现有密码, 只能通过 Azure 门户重置。 如果要重置密码,请务必在重置密码前通知所有用户。
  • 可以通过 HTTP 远程访问设备的 Windows PowerShell 界面。 安全的最佳做法是仅在受信任的网络上使用 HTTP。
  • 确保设备密码是强密码并且受到严密保护。 遵循密码最佳做法
  • 使用本地 Web UI 更改密码。 如果更改密码,请务必通知所有远程访问用户,以便用户在登录时不会出现问题。

保护数据

本节介绍保护传输中数据和存储数据的 Data Box Gateway 安全功能。

保护静止的数据

对于静态数据:

  • 对共享中存储的数据的访问受到限制。

    • 访问共享数据的 SMB 客户端需要与共享关联的用户凭据。 这些凭据是在创建共享时定义的。
    • 需要在创建共享时添加访问共享的 NFS 客户端的 IP 地址。

保护使用中的数据

对于使用中的数据:

  • 标准 TLS 1.2,用于在设备与 Azure 之间传输的数据。 不能回退到 TLS 1.1 和更早版本。 如果不支持 TLS 1.2,则代理通信将被阻止。 门户和 SDK 管理也需要 TLS 1.2。

  • 当客户端通过浏览器的本地 Web UI 访问设备时,将使用标准 TLS 1.2 作为默认安全协议。

    • 最佳做法是将浏览器配置为使用 TLS 1.2。
    • 如果浏览器不支持 TLS 1.2,可以使用 TLS 1.1 或 TLS 1.0。

  • 从数据服务器复制数据时,建议使用具有加密功能的 SMB 3.0 来保护数据。

使用存储帐户保护数据

设备与用作 Azure 中数据的目标的存储帐户关联。 对存储帐户的访问权限由与该存储帐户关联的订阅以及 512 位存储访问密钥控制。

Azure Stack Edge 设备访问存储帐户时,将使用其中某个密钥进行身份验证。 保留其他密钥,以便可以定期轮换密钥。

出于安全原因,很多数据中心都要求密钥轮换。 我们建议遵循密钥轮换的以下最佳实践:

  • 存储帐户密钥类似于存储帐户的根密码。 请小心保护帐户密钥。 请勿将密码分发给其他用户、对其进行硬编码或将其以纯文本格式保存在其他人可以访问的位置。
  • 如果你认为帐户密钥可能已泄漏,请通过 Azure 门户重新生成帐户密钥。 有关详细信息,请参阅管理存储帐户访问密钥
  • Azure 管理员应该定期更改或重新生成主密钥或辅助密钥,具体方法是使用 Azure 门户的“存储”部分来直接访问存储帐户。

使用 BitLocker 保护设备数据

若要保护 Data Box Gateway 虚拟机上的虚拟磁盘,建议启用 BitLocker。 默认情况下,不启用 BitLocker。 有关详细信息,请参阅:

管理个人信息

Data Box Gateway 服务在以下场景收集个人信息:

  • 订单详细信息。 创建订单后,用户的寄送地址、电子邮件地址和联系信息将存储在 Azure 门户中。 保存的信息包括:

    • 联系人姓名

    • 电话号码

    • 电子邮件地址

    • 街道地址

    • 城市

    • 邮政编码

    • State

    • 国家/地区/省

    • 运输跟踪号

      订单详细信息已加密并存储在服务中。 在显式删除资源或订单之前,服务会保留这些信息。 从设备运送起到退回 Microsoft 之前,都将阻止删除该资源和相应的订单。

  • 送货地址。 下单后,Data Box 服务会向第三方承运人(如 UPS)提供寄送地址。

  • 共享用户。 设备上的用户还可访问共享上的数据。 可查看可访问共享数据的用户列表。 删除共享时也会删除此列表。

要查看可访问或删除共享的用户的列表,请按照管理 Data Box Gateway 上的共享中的步骤操作。

有关详细信息,请在信任中心查看 Microsoft 隐私策略。

后续步骤

部署 Data Box Gateway 设备