Azure 資料箱閘道安全性和資料保護

安全性是您在採用新技術時的主要考量，尤其是當技術用於機密或專屬資料時。 Azure 資料箱閘道可協助您確保只有授權的實體可以檢視、修改或刪除您的資料。

本文說明 Azure 資料箱閘道的安全性功能，這些功能可協助保護每個解決方案元件，以及這些元件中儲存的資料。

資料箱閘道解決方案是由四個彼此互動的主要元件組成：

• 裝載於 Azure 的資料箱閘道服務。 可供您用來建立裝置訂單、設定裝置，然後追蹤訂單直到完成的管理資源。
• 資料箱閘道裝置。 您在所提供系統 Hypervisor 中佈建的虛擬裝置。 此虛擬裝置可用來將內部部署資料匯入 Azure。
• 連線到裝置的用戶端/主機。 基礎結構中的用戶端可連線至資料箱閘道裝置，並包含需要保護的資料。
• 雲端儲存體。 Azure 雲端平台中儲存資料的位置。 此位置通常是儲存體帳戶，並連結到您所建立的資料箱閘道資源。

資料箱閘道服務保護

資料箱閘道服務是裝載於 Azure 的管理服務。 服務是用來設定和管理裝置。

• 若要存取 Azure Stack Edge 服務，您的組織必須擁有 Enterprise 合約 (EA) 或雲端解決方案提供者 (CSP) 訂閱。 如需詳細資訊，請參閱註冊 Azure 訂閱。
• 因為此管理服務裝載於 Azure 中，所以會受到 Azure 安全性功能的保護。 如需 Azure 提供的安全性功詳細資訊，請前往 Microsoft Azure 信任中心。
• 針對 SDK 管理作業，您可以在 [裝置屬性] 中取得資源的加密金鑰。 只有在您具有 Resource Graph API 的權限時，才能檢視加密金鑰。

資料箱閘道裝置保護

資料箱閘道裝置是在您提供的內部部署系統 Hypervisor 中佈建的虛擬裝置。 裝置有助於將資料傳送至 Azure。 您的裝置：

• 需要啟用金鑰才能存取 Azure Stack Edge Pro/資料箱閘道服務。
• 隨時受裝置密碼保護。

透過啟用金鑰保護裝置

只有授權的資料箱閘道裝置可以加入您在 Azure 訂用帳戶中建立的資料箱閘道服務。 若要授權裝置，您必須使用啟用金鑰來啟用採用資料箱閘道服務的裝置。

您使用的啟用金鑰：

• 是 Microsoft Entra ID 型驗證金鑰。
• 三天後到期。
• 裝置啟用後即不使用。

啟動裝置後，裝置會使用權杖來與 Azure 通訊。

如需詳細資訊，請參閱取得啟用金鑰。

透過密碼保護裝置

密碼可確保只有授權使用者才能存取您的資料。 資料箱閘道裝置以鎖定狀態開機。

您可以：

• 透過瀏覽器連線到裝置的本機 Web UI，然後提供登入裝置的密碼。
• 透過 HTTP 從遠端連線到裝置的 PowerShell 介面。 遠端管理預設為開啟。 然後，您可以提供裝置密碼來登入裝置。 如需詳細資訊，請參閱從遠端連線到您的資料箱閘道裝置。

請記住以下最佳做法：

• 建議您將所有密碼儲存在安全的地方，讓您在忘記密碼時無需重設密碼。 管理服務無法擷取現有的密碼。 只能透過 Azure 入口網站重設密碼。 如果您要重設密碼，重設之前請務必通知所有使用者。
• 您可以透過 HTTP 從遠端存取裝置的 Windows PowerShell 介面。 基於安全性最佳做法，請只在受信任的網路上使用 HTTP。
• 請確定裝置密碼是強式密碼且受到妥善保護。 請依照密碼最佳做法。

• 使用本機 Web UI 來變更密碼。 如果您變更密碼，請務必通知所有遠端存取使用者，以免他們無法登入。

保護您的資料

本節描述保護傳輸中資料和已儲存資料的資料箱閘道安全性功能。

保護待用資料

針對待用資料：

• 儲存在共用中的資料存取權會受到限制。

  • 存取共用資料的 SMB 用戶端，需要使用與該共用建立關聯的使用者認證。 這些認證是於建立共用時定義。
  • 建立共用時，需要新增存取共用的 NFS 用戶端 IP 位址。

保護傳輸中的資料

對於傳輸中的資料：

• 標準 TLS 1.2 適用於在裝置與 Azure 之間移動的資料。 無法退回使用 TLS 1.1 及之前的版本。 如果不支援 TLS 1.2，將會封鎖代理程式通訊。 入口網站和 SDK 管理也需要使用 TLS 1.2。

• 當用戶端透過瀏覽器的本機 Web UI 存取您的裝置時，會使用標準 TLS 1.2 作為預設的安全通訊協定。

  • 最佳做法是將您的瀏覽器設定為使用 TLS 1.2。
  • 如果瀏覽器不支援 TLS 1.2，您可以使用 TLS 1.1 或 TLS 1.0。

• 建議您從資料伺服器複製資料時，使用 SMB 3.0 搭配加密來保護資料。

使用儲存體帳戶來保護資料

您的裝置會與儲存體帳戶相關聯，以作為您在 Azure 中的資料目的地使用。 儲存體帳戶的存取權受到與該儲存體帳戶相關聯的訂用帳戶和兩個 512 位元的儲存體存取金鑰控制。

當 Azure Stack Edge 裝置存取儲存體帳戶時，會使用其中一個金鑰來進行驗證。 系統會保留其他金鑰，讓您可以定期輪替金鑰。

基於安全性理由，許多資料中心需要金鑰輪替。 建議您按照這些最佳作法進行金鑰輪替：

• 儲存體帳戶金鑰很類似儲存體帳戶的根密碼。 謹慎保護您的帳戶金鑰。 不要將密碼散佈給其他使用者、進行硬式編碼，或將密碼以純文字儲存在其他人可以存取的位置。
• 如果您認為帳戶金鑰可能遭到盜用，請透過 Azure 入口網站重新產生帳戶金鑰。 如需詳細資訊，請參閱管理儲存體帳戶存取金鑰。
• Azure 系統管理員應使用 Azure 入口網站的 [儲存體] 區段來直接存取儲存體帳戶，定期變更或重新產生主要或次要金鑰。

• 定期輪替並同步處理儲存體帳戶金鑰，以協助保護儲存體帳戶，避免遭到未獲授權的使用者存取。

使用 BitLocker 保護裝置資料

若要保護資料箱閘道虛擬機器上的虛擬磁片，建議您啟用 BitLocker。 根據預設，不會啟用 BitLocker。 如需詳細資訊，請參閱

• Hyper-V 管理員中的加密支援設定
• 虛擬機器中的 BitLocker 支援

管理個人資訊

資料箱閘道服務會收集下列案例中的個人資訊：

• 訂單詳細資料。 建立訂單後，使用者的交貨地址、電子郵件地址和連絡人資訊都會儲存在 Azure 入口網站中。 儲存的資訊包括︰

  • 連絡人名稱

  • 電話號碼

  • 電子郵件地址

  • 街道地址

  • 縣/市

  • 郵遞區號

  • 州/省

  • 國家/地區/省

  • 運送追蹤號碼

    訂單詳細資料會經過加密並儲存在服務中。 服務會保留資訊，直到您明確刪除資源或訂單為止。 從裝置出貨起即會封鎖資源和相對應訂單的刪除功能，直到裝置回到 Microsoft 為止。

• 交貨地址。 下訂單之後，資料箱服務會向第三方貨運公司 (例如 UPS) 提供交貨地址。

• 共用使用者。 裝置上的使用者也可以存取位於共用上的資料。 可以檢視能夠存取共用資料的使用者清單。 刪除共用時，也會一併刪除此清單。

若要檢視可存取或刪除共用的使用者清單，請遵循管理資料箱閘道上的共用中的步驟。

如需詳細資訊，請檢閱信任中心的 Microsoft 隱私權原則。

下一步

部署資料箱閘道裝置