Zabezpečení a ochrana dat ve službě Azure Data Box Gateway

Zabezpečení je zásadním zájmem při zavádění nové technologie, zejména pokud se tato technologie používá s důvěrnými nebo proprietárními daty. Azure Data Box Gateway pomáhá zajistit, aby vaše data mohli prohlížet, upravovat nebo odstraňovat jenom autorizované entity.

Tento článek popisuje funkce zabezpečení služby Azure Data Box Gateway, které pomáhají chránit jednotlivé komponenty řešení a data uložená v nich.

Řešení Data Box Gateway se skládá ze čtyř hlavních komponent, které vzájemně spolupracují:

  • Služba Data Box Gateway hostovaná v Azure. Prostředek pro správu, který použijete k vytvoření objednávky zařízení, konfiguraci zařízení a následné sledování pořadí dokončení.
  • Zařízení Data Box Gateway Virtuální zařízení, které zřídíte v hypervisoru systému, který zadáte. Toto virtuální zařízení slouží k importu místních dat do Azure.
  • Klienti/hostitelé připojení k zařízení. Klienti ve vaší infrastruktuře, kteří se připojují k zařízení Data Box Gateway a obsahují data, která je potřeba chránit.
  • Cloudové úložiště. Umístění v cloudové platformě Azure, kde jsou uložená data. Toto umístění je obvykle účet úložiště propojený s prostředkem Data Box Gateway, který vytvoříte.

Ochrana služby Data Box Gateway

Služba Data Box Gateway je služba pro správu hostovaná v Azure. Služba se používá ke konfiguraci a správě zařízení.

  • Aby vaše organizace měla přístup ke službě Azure Stack Edge, musí mít předplatné smlouva Enterprise (EA) nebo CSP (Cloud Solution Provider). Další informace najdete v tématu Registrace předplatného Azure.
  • Vzhledem k tomu, že tato služba pro správu je hostovaná v Azure, chrání ji funkce zabezpečení Azure. Další informace o funkcích zabezpečení poskytovaných Azure najdete v Centru zabezpečení Microsoft Azure.
  • V případě operací správy sady SDK můžete získat šifrovací klíč pro váš prostředek ve vlastnostech zařízení. Šifrovací klíč můžete zobrazit jenom v případě, že máte oprávnění pro rozhraní Resource Graph API.

Ochrana zařízení Data Box Gateway

Zařízení Data Box Gateway je virtuální zařízení, které je zřízené v hypervisoru místního systému, který zadáte. Zařízení pomáhá odesílat data do Azure. Vaše zařízení:

  • Potřebuje aktivační klíč pro přístup ke službě Azure Stack Edge Pro/Data Box Gateway.
  • Je vždy chráněn heslem zařízení.

Zařízení Data Box Gateway má následující možnosti, které nabízejí hloubkovou ochranu:

  • Ochrana malwaru založená na defenderu na disku s operačním systémem
  • Podpora ochrany Device Guard založená na defenderu pro přísnější kontroly binárního souboru spuštěného v systému.

Ochrana zařízení prostřednictvím aktivačního klíče

Ke službě Data Box Gateway, kterou vytvoříte ve svém předplatném Azure, může připojit jenom autorizované zařízení Data Box Gateway. Pokud chcete autorizovat zařízení, musíte k aktivaci zařízení ve službě Data Box Gateway použít aktivační klíč.

Aktivační klíč, který používáte:

  • Je ověřovací klíč založený na Microsoft Entra ID.
  • Vyprší po třech dnech.
  • Po aktivaci zařízení se nepoužívá.

Po aktivaci zařízení používá tokeny ke komunikaci s Azure.

Další informace najdete v tématu Získání aktivačního klíče.

Ochrana zařízení pomocí hesla

Hesla zajišťují, aby k vašim datům měli přístup jenom autorizovaní uživatelé. Zařízení Data Box Gateway se spouští v uzamčeném stavu.

Můžete provádět následující akce:

  • Připojte se k místnímu webovému uživatelskému rozhraní zařízení přes prohlížeč a pak zadejte heslo pro přihlášení k zařízení.
  • Vzdáleně se připojte k rozhraní PowerShellu zařízení přes PROTOKOL HTTP. Vzdálená správa je ve výchozím nastavení zapnutá. Pak můžete zadat heslo zařízení pro přihlášení k zařízení. Další informace najdete v tématu Vzdálené připojení k zařízení Data Box Gateway.

Mějte na paměti tyto osvědčené postupy:

  • Doporučujeme uložit všechna hesla na bezpečné místo, abyste nemuseli resetovat heslo, pokud jste zapomněli. Služba pro správu nemůže načíst existující hesla. Dá se resetovat jenom prostřednictvím webu Azure Portal. Pokud resetujete heslo, nezapomeňte před resetováním upozornit všechny uživatele.
  • Ke vzdálenému přístupu k rozhraní Windows PowerShellu zařízení můžete přistupovat přes protokol HTTP. Osvědčeným postupem zabezpečení je použití protokolu HTTP pouze v důvěryhodných sítích.
  • Ujistěte se, že hesla zařízení jsou silná a dobře chráněná. Postupujte podle osvědčených postupů pro heslo.

Ochrana vašich dat

Tato část popisuje funkce zabezpečení služby Data Box Gateway, které chrání přenášená a uložená data.

Ochrana neaktivních uložených dat

Neaktivní uložená data:

  • Přístup k datům uloženým ve sdílených složkách je omezený.

    • Klienti SMB, kteří přistupuje ke sdíleným datům, potřebují přihlašovací údaje uživatele přidružené ke sdílené složce. Tyto přihlašovací údaje jsou definovány při vytváření sdílené složky.
    • Při vytváření sdílené složky je potřeba přidat IP adresy klientů SYSTÉMU SOUBORŮ NFS, kteří přistupí ke sdílené složce.

Ochrana dat v testovacím systému

Pro data v testovací verzi:

  • Standard TLS 1.2 se používá pro data, která cestují mezi zařízením a Azure. Pro protokol TLS 1.1 a starší neexistuje žádná záložní verze. Komunikace agenta se zablokuje, pokud se nepodporuje protokol TLS 1.2. Protokol TLS 1.2 se také vyžaduje pro správu portálu a sady SDK.

  • Když klienti přistupují k vašemu zařízení prostřednictvím místního webového uživatelského rozhraní prohlížeče, použije se standardní protokol TLS 1.2 jako výchozí zabezpečený protokol.

    • Osvědčeným postupem je nakonfigurovat prohlížeč tak, aby používal protokol TLS 1.2.
    • Pokud prohlížeč nepodporuje protokol TLS 1.2, můžete použít protokol TLS 1.1 nebo TLS 1.0.
  • K ochraně dat při kopírování z datových serverů doporučujeme používat protokol SMB 3.0 s šifrováním.

Ochrana dat pomocí účtů úložiště

Vaše zařízení je přidružené k účtu úložiště, který slouží jako cíl pro vaše data v Azure. Přístup k účtu úložiště řídí předplatné a dva 512bitové přístupové klíče k úložišti přidružené k danému účtu úložiště.

Jeden z těchto klíčů slouží k ověřování při přístupu zařízení Azure Stack Edge k účtu úložiště. Druhý klíč slouží jako záložní, abyste mohli klíče pravidelně obměňovat.

Řada datacenter z bezpečnostních důvodů vyžaduje obměnu klíčů. Při obměně klíčů doporučujeme postupovat podle těchto osvědčených postupů:

  • Klíč účtu úložiště je podobný kořenovému heslu vašeho účtu úložiště. Pečlivě chraňte klíč svého účtu. Heslo nedistribuujte ostatním uživatelům, pevně zakódujte ani ho neuložte kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům.
  • Pokud si myslíte, že by mohlo dojít k ohrožení zabezpečení, znovu vygenerujte klíč účtu prostřednictvím webu Azure Portal. Další informace najdete v tématu Správa přístupových klíčů účtu úložiště.
  • Váš správce Azure by měl pravidelně měnit nebo znovu vygenerovat primární nebo sekundární klíč pomocí oddílu Úložiště na webu Azure Portal pro přímý přístup k účtu úložiště.
  • Pravidelně obměňujte a synchronizujte klíče účtu úložiště, abyste mohli chránit účet úložiště před neoprávněnými uživateli.

Ochrana dat zařízení pomocí BitLockeru

Pokud chcete zabezpečit virtuální disky na virtuálním počítači Data Box Gateway, doporučujeme povolit Nástroj BitLocker. Ve výchozím nastavení není BitLocker povolený. Další informace naleznete v tématu:

Správa osobních údajů

Služba Data Box Gateway shromažďuje osobní údaje v následujících scénářích:

  • Podrobnosti objednávky. Při vytvoření objednávky se na webu Azure Portal uloží dodací adresa, e-mailová adresa a kontaktní údaje uživatele. Uložené údaje zahrnují:

    • Jméno kontaktu

    • Telefonní číslo

    • E-mailová adresa

    • Adresa ulice

    • City

    • PSČ/PSČ

    • State

    • Země/oblast/provincie

    • Sledovací číslo zásilky

      Podrobnosti objednávky se šifrují a ukládají ve službě. Služba uchovává informace, dokud prostředek nebo objednávku neodstraníte explicitně. Odstranění prostředku a odpovídající objednávky se zablokuje od okamžiku odeslání zařízení, dokud se zařízení nevrátí do Microsoftu.

  • Dodací adresa. Po odeslání objednávky poskytuje služba Data Box dodací adresu operátorům třetích stran, jako je UPS.

  • Sdílejte uživatele. Uživatelé na vašem zařízení mají také přístup k datům umístěným ve sdílených složkách. Zobrazí se seznam uživatelů, kteří mají přístup ke sdíleným datům. Po odstranění sdílených složek se tento seznam odstraní také.

Pokud chcete zobrazit seznam uživatelů, kteří mají přístup ke sdílené složce nebo ji odstranit, postupujte podle pokynů v tématu Správa sdílených složek ve službě Data Box Gateway.

Další informace najdete v zásadách ochrany osobních údajů společnosti Microsoft v Centru zabezpečení.

Další kroky

Nasazení zařízení Data Box Gateway