أمان Azure Data Box Gateway وحماية البيانات

يعد الأمان مصدر قلق رئيسي عند اعتماد تقنية جديدة، خاصة إذا تم استخدام التقنية مع بيانات سرية أو خاصة. تساعدك Azure Data Box Gateway على التأكد من أن الكيانات المعتمدة فقط يمكنها عرض بياناتك أو تعديلها أو حذفها.

توضح هذه المقالة ميزات أمان Azure Data Box Gateway التي تساعد في حماية كل مكون من مكونات الحل والبيانات المخزنة فيها.

يتكون حل Data Box Gateway من أربعة مكونات رئيسية تتفاعل مع بعضها البعض:

• خدمة Data Box Gateway، المستضافة في Azure. مورد الإدارة الذي تستخدمه لإنشاء أمر الجهاز وتكوين الجهاز ثم تعقب الطلب حتى الاكتمال.
• جهاز Data Box Gateway. الجهاز الظاهري الذي تقوم بتوفيره في برنامج hypervisor للنظام الذي توفره. يتم استخدام هذا الجهاز الظاهري لاستيراد البيانات المحلية إلى Azure.
• العملاء/المضيفون المتصلون بالجهاز. العملاء في البنية الأساسية الخاصة بك الذين يتصلون بجهاز Data Box Gateway ويحتويون على بيانات تحتاج إلى الحماية.
• التخزين السحابي. الموقع في النظام الأساسي السحابي Azure حيث يتم تخزين البيانات. هذا الموقع هو عادة حساب التخزين المرتبط بمورد Data Box Gateway الذي تقوم بإنشائه.

حماية خدمة Data Box Gateway

خدمة Data Box Gateway هي خدمة إدارة مستضافة في Azure. يتم استخدام الخدمة لتكوين الجهاز وإدارته.

• للوصول إلى خدمة Azure Stack Edge، تحتاج مؤسستك إلى اشتراك اتفاقية Enterprise (EA) أو Cloud Solution Provider (CSP). لمزيد من المعلومات، راجع التسجيل للحصول على اشتراك Azure.
• نظرا لأن خدمة الإدارة هذه مستضافة في Azure، فهي محمية بواسطة ميزات أمان Azure. لمزيد من المعلومات حول ميزات الأمان التي يوفرها Azure، انتقل إلى مركز توثيق Microsoft Azure.
• بالنسبة لعمليات إدارة SDK، يمكنك الحصول على مفتاح التشفير لموردك في خصائص الجهاز. يمكنك عرض مفتاح التشفير فقط إذا كان لديك أذونات ل Resource Graph API.

حماية جهاز Data Box Gateway

جهاز Data Box Gateway هو جهاز ظاهري يتم توفيره في برنامج مراقبة الأجهزة الافتراضية للنظام المحلي الذي توفره. يساعد الجهاز في إرسال البيانات إلى Azure. جهازك:

• يحتاج إلى مفتاح تنشيط للوصول إلى خدمة Azure Stack Edge Pro/Data Box Gateway.
• محمي في جميع الأوقات بكلمة مرور الجهاز.

يحتوي جهاز Data Box Gateway على القدرات التالية التي توفر الدفاع في العمق:

• الحماية من البرامج الضارة المستندة إلى Defender على قرص نظام التشغيل
• دعم Device Guard المستند إلى Defender لإجراء فحوصات أكثر صرامة على الثنائي الذي يعمل في النظام.

حماية الجهاز عبر مفتاح التنشيط

يسمح فقط لجهاز Data Box Gateway المعتمد بالانضمام إلى خدمة Data Box Gateway التي تقوم بإنشائها في اشتراك Azure. لتخويل جهاز، تحتاج إلى استخدام مفتاح تنشيط لتنشيط الجهاز باستخدام خدمة Data Box Gateway.

مفتاح التنشيط الذي تستخدمه:

• هو مفتاح مصادقة يستند إلى معرف Microsoft Entra.
• تنتهي صلاحيتها بعد ثلاثة أيام.
• لا يتم استخدامه بعد تنشيط الجهاز.

بعد تنشيط جهاز، يستخدم الرموز المميزة للتواصل مع Azure.

لمزيد من المعلومات، راجع الحصول على مفتاح تنشيط.

حماية الجهاز عبر كلمة المرور

تضمن كلمات المرور أن المستخدمين المعتمدين فقط يمكنهم الوصول إلى بياناتك. يتم تشغيل أجهزة Data Box Gateway في حالة تأمين.

يمكنك:

• اتصل بواجهة مستخدم الويب المحلية للجهاز عبر مستعرض ثم قم بتوفير كلمة مرور لتسجيل الدخول إلى الجهاز.
• الاتصال عن بعد بواجهة PowerShell للجهاز عبر HTTP. يتم تشغيل الإدارة عن بعد بشكل افتراضي. يمكنك بعد ذلك توفير كلمة مرور الجهاز لتسجيل الدخول إلى الجهاز. لمزيد من المعلومات، راجع الاتصال عن بعد بجهاز Data Box Gateway.

ضع في اعتبارك أفضل الممارسات التالية:

• نوصي بتخزين جميع كلمات المرور في مكان آمن حتى لا تضطر إلى إعادة تعيين كلمة مرور إذا نسيتها. لا يمكن لخدمة الإدارة استرداد كلمات المرور الموجودة. يمكنه إعادة تعيينها فقط عبر مدخل Microsoft Azure. إذا قمت بإعادة تعيين كلمة مرور، فتأكد من إعلام جميع المستخدمين قبل إعادة تعيينها.
• يمكنك الوصول إلى واجهة Windows PowerShell لجهازك عن بعد عبر HTTP. كأفضل ممارسة أمان، يجب عليك استخدام HTTP فقط على الشبكات الموثوق بها.
• تأكد من أن كلمات مرور الجهاز قوية ومحمية بشكل جيد. اتبع أفضل ممارسات كلمة المرور.

• استخدم واجهة مستخدم الويب المحلية لتغيير كلمة المرور. إذا قمت بتغيير كلمة المرور، فتأكد من إعلام جميع مستخدمي الوصول عن بعد بحيث لا تواجههم مشاكل في تسجيل الدخول.

قم بحماية بياناتك.

يصف هذا القسم ميزات أمان Data Box Gateway التي تحمي البيانات أثناء النقل والمخزنة.

حماية البيانات الثابتة

للبيانات الثابتة:

• الوصول إلى البيانات المخزنة في المشاركات مقيد.

  • يحتاج عملاء SMB الذين يصلون إلى بيانات المشاركة إلى بيانات اعتماد المستخدم المقترنة بالمشاركة. يتم تعريف بيانات الاعتماد هذه عند إنشاء المشاركة.
  • يجب إضافة عناوين IP لعملاء NFS الذين يصلون إلى مشاركة عند إنشاء المشاركة.

حماية البيانات أثناء الطيران

للبيانات أثناء الطيران:

• يتم استخدام TLS القياسي 1.2 للبيانات التي تنتقل بين الجهاز وAzure. لا يوجد أي احتياطي إلى TLS 1.1 والإصدارات السابقة. سيتم حظر اتصال العامل إذا لم يكن TLS 1.2 مدعوما. TLS 1.2 مطلوب أيضا لإدارة المدخل وSDK.

• عندما يصل العملاء إلى جهازك من خلال واجهة مستخدم الويب المحلية للمستعرض، يتم استخدام TLS 1.2 القياسي كبروتوكول آمن افتراضي.

  • أفضل ممارسة هي تكوين المتصفح الخاص بك لاستخدام TLS 1.2.
  • إذا كان المستعرض لا يدعم TLS 1.2، يمكنك استخدام TLS 1.1 أو TLS 1.0.

• نوصي باستخدام SMB 3.0 مع التشفير لحماية البيانات عند نسخها من خوادم البيانات.

حماية البيانات باستخدام حسابات التخزين

يرتبط جهازك بحساب تخزين يستخدم كوجهة لبياناتك في Azure. يتم التحكم في الوصول إلى حساب التخزين بواسطة الاشتراك ومفاتيح الوصول إلى التخزين 512 بت المقترنة بحساب التخزين هذا.

يتم استخدام أحد المفاتيح للمصادقة عندما يصل جهاز Azure Stack Edge إلى حساب التخزين. يتم الاحتفاظ بالمفتاح الآخر احتياطيا، بحيث يمكنك تدوير المفاتيح بشكل دوري.

لأسباب أمنية، تتطلب العديد من مراكز البيانات تدوير المفتاح. نوصي باتباع أفضل الممارسات هذه لتناوب المفاتيح:

• يشبه مفتاح حساب التخزين كلمة المرور الجذر لحساب التخزين الخاص بك. حماية مفتاح حسابك بعناية. لا توزع كلمة المرور على مستخدمين آخرين، أو تقوم بتكوين تعليمات برمجية مضمنة لها، أو حفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه.
• أعد إنشاء مفتاح حسابك عبر مدخل Microsoft Azure إذا كنت تعتقد أنه يمكن اختراقه. لمزيد من المعلومات، راجع إدارة مفاتيح الوصول إلى حساب التخزين.
• يجب على مسؤول Azure تغيير المفتاح الأساسي أو الثانوي أو إعادة إنشائه بشكل دوري باستخدام قسم التخزين في مدخل Microsoft Azure للوصول إلى حساب التخزين مباشرة.

• قم بتدوير مفاتيح حساب التخزين ثم مزامنتها بانتظام للمساعدة في حماية حساب التخزين الخاص بك من المستخدمين غير المصرح لهم.

حماية بيانات الجهاز باستخدام BitLocker

لتأمين الأقراص الظاهرية على الجهاز الظاهري Data Box Gateway، نوصي بتمكين BitLocker. لا يتم تمكين BitLocker بشكل افتراضي. لمزيد من المعلومات، راجع:

• إعدادات دعم التشفير في Hyper-V Manager
• دعم BitLocker في الجهاز الظاهري

إدارة المعلومات الشخصية

تجمع خدمة Data Box Gateway المعلومات الشخصية في السيناريوهات التالية:

• تفاصيل الطلب. عند إنشاء طلب، يتم تخزين عنوان الشحن وعنوان البريد الإلكتروني ومعلومات الاتصال الخاصة بالمستخدم في مدخل Microsoft Azure. تتضمن المعلومات المحفوظة ما يلي:

  • اسم جهة الاتصال

  • رقم الهاتف

  • عنوان البريد الإلكتروني

  • عنوان الشارع

  • المدينة

  • الرمز البريدي/الرمز البريدي

  • المنطقة

  • البلد/المنطقة/المقاطعة

  • رقم تعقب الشحن

    يتم تشفير تفاصيل الطلب وتخزينها في الخدمة. تحتفظ الخدمة بالمعلومات حتى تقوم بحذف المورد أو الطلب بشكل صريح. يتم حظر حذف المورد والنظام المقابل من وقت شحن الجهاز حتى يعود الجهاز إلى Microsoft.

• عنوان الشحن. بعد تقديم الطلب، توفر خدمة Data Box عنوان الشحن لشركات الشحن التابعة لجهة خارجية مثل UPS.

• مشاركة المستخدمين. يمكن للمستخدمين على جهازك أيضا الوصول إلى البيانات الموجودة على المشاركات. يمكن عرض قائمة بالمستخدمين الذين يمكنهم الوصول إلى بيانات المشاركة. عند حذف المشاركات، يتم حذف هذه القائمة أيضا.

لعرض قائمة المستخدمين الذين يمكنهم الوصول إلى مشاركة أو حذفها، اتبع الخطوات الواردة في إدارة المشاركات على Data Box Gateway.

لمزيد من المعلومات، راجع نهج خصوصية Microsoft في مركز التوثيق.

الخطوات التالية

نشر جهاز Data Box Gateway