Az Azure Data Box Gateway biztonsága és adatvédelem

Az új technológia bevezetésekor a biztonság jelentős problémát jelent, különösen akkor, ha a technológiát bizalmas vagy védett adatokkal használják. Az Azure Data Box Gateway segítségével biztosíthatja, hogy csak a jogosult entitások tekinthetik meg, módosíthatják vagy törölhetik az adatokat.

Ez a cikk az Azure Data Box Gateway biztonsági funkcióit ismerteti, amelyek segítenek az egyes megoldásösszetevők és a bennük tárolt adatok védelmében.

A Data Box Gateway-megoldás négy fő összetevőből áll, amelyek kommunikálnak egymással:

• Az Azure-ban üzemeltetett Data Box Gateway szolgáltatás. Az eszközrendelés létrehozásához, az eszköz konfigurálásához, majd a megrendelés befejezéséhez használt felügyeleti erőforrás.
• Data Box Gateway-eszköz. Az a virtuális eszköz, amelyet a megadott rendszer hipervizorában épít ki. Ezzel a virtuális eszközzel importálhatja a helyszíni adatokat az Azure-ba.
• Az eszközhöz csatlakoztatott ügyfelek/gazdagépek. Az infrastruktúra azon ügyfelei, amelyek a Data Box Gateway-eszközhöz csatlakoznak, és védett adatokat tartalmaznak.
• Felhőbeli tárolás. Az adatok tárolásának helye az Azure felhőplatformon. Ez a hely általában a létrehozott Data Box Gateway-erőforráshoz társított tárfiók.

Data Box Gateway szolgáltatásvédelem

A Data Box Gateway szolgáltatás az Azure-ban üzemeltetett felügyeleti szolgáltatás. A szolgáltatás az eszköz konfigurálására és kezelésére szolgál.

• Az Azure Stack Edge szolgáltatás eléréséhez a szervezetnek Nagyvállalati Szerződés (EA) vagy Felhőszolgáltató (CSP) előfizetéssel kell rendelkeznie. További információ: Regisztráció Azure-előfizetésre.
• Mivel ez a felügyeleti szolgáltatás az Azure-ban üzemel, az Azure biztonsági funkciói védik. Az Azure által biztosított biztonsági funkciókkal kapcsolatos további információkért látogasson el a Microsoft Azure Adatvédelmi központba.
• Az SDK felügyeleti műveleteihez lekérheti az erőforrás titkosítási kulcsát az Eszköz tulajdonságai között. A titkosítási kulcsot csak akkor tekintheti meg, ha rendelkezik a Resource Graph API-hoz szükséges engedélyekkel.

Data Box Gateway eszközvédelem

A Data Box Gateway-eszköz egy virtuális eszköz, amely egy ön által megadott helyszíni rendszer hipervizorában van kiépítve. Az eszköz segít adatokat küldeni az Azure-ba. Az eszköz:

• Aktiválási kulcsra van szükség az Azure Stack Edge Pro/Data Box Gateway szolgáltatás eléréséhez.
• Mindig egy eszközjelszó védi.

A Data Box Gateway-eszköz a következő képességekkel rendelkezik, amelyek mélységi védelmet nyújtanak:

• Defender-alapú kártevővédelem operációsrendszer-lemezen
• A Defender-alapú Device Guard támogatja a rendszerben futó bináris fájlok szigorúbb ellenőrzését.

Az eszköz védelme aktiválási kulccsal

Az Azure-előfizetésben létrehozott Data Box Gateway szolgáltatáshoz csak egy engedélyezett Data Box Gateway-eszköz csatlakozhat. Az eszköz engedélyezéséhez aktiválási kulccsal kell aktiválnia az eszközt a Data Box Gateway szolgáltatással.

A használt aktiválási kulcs:

• A Microsoft Entra ID-alapú hitelesítési kulcs.
• Három nap után lejár.
• Az eszköz aktiválása után nem használható.

Az eszköz aktiválása után jogkivonatokkal kommunikál az Azure-ral.

További információ: Aktiválási kulcs lekérése.

Az eszköz védelme jelszóval

A jelszavak biztosítják, hogy csak a jogosult felhasználók férhessenek hozzá az adataihoz. A Data Box Gateway-eszközök zárolt állapotban indulnak el.

A következőket teheti:

• Csatlakozzon az eszköz helyi webes felhasználói felületéhez egy böngészőn keresztül, majd adjon meg egy jelszót az eszközre való bejelentkezéshez.
• Távolról csatlakozzon az eszköz PowerShell-felületéhez HTTP-en keresztül. A távfelügyelet alapértelmezés szerint be van kapcsolva. Ezután megadhatja az eszköz jelszavát az eszközre való bejelentkezéshez. További információ: Csatlakozás távolról a Data Box Gateway-eszközhöz.

Tartsa szem előtt az alábbi ajánlott eljárásokat:

• Javasoljuk, hogy az összes jelszót biztonságos helyen tárolja, hogy ne kelljen új jelszót beállítania, ha elfelejti. A felügyeleti szolgáltatás nem tudja lekérni a meglévő jelszavakat. Csak az Azure Portalon keresztül állíthatja alaphelyzetbe őket. Ha alaphelyzetbe állít egy jelszót, mindenképpen értesítse az összes felhasználót az alaphelyzetbe állítás előtt.
• Az eszköz Windows PowerShell-felületét távolról, HTTP-en keresztül érheti el. Ajánlott biztonsági eljárásként a HTTP-t csak megbízható hálózatokon érdemes használni.
• Győződjön meg arról, hogy az eszköz jelszavai erősek és jól védettek. Kövesse a jelszóval kapcsolatos ajánlott eljárásokat.

• A jelszó módosításához használja a helyi webes felhasználói felületet. Ha módosítja a jelszót, mindenképpen értesítse az összes távelérési felhasználót, hogy ne okozzon problémát a bejelentkezés.

Adatok védelme

Ez a szakasz az átvitel közbeni és a tárolt adatokat védő Data Box Gateway biztonsági funkciókat ismerteti.

Az inaktív adatok védelme

Inaktív adatok esetén:

• A megosztásokban tárolt adatokhoz való hozzáférés korlátozott.

  • A megosztási adatokat elérő SMB-ügyfeleknek a megosztáshoz társított felhasználói hitelesítő adatokra van szükségük. Ezek a hitelesítő adatok a megosztás létrehozásakor lesznek meghatározva.
  • A megosztáshoz hozzáférő NFS-ügyfelek IP-címét hozzá kell adni a megosztás létrehozásakor.

Adatok védelme repülés közben

Repülés közbeni adatok esetén:

• A standard TLS 1.2 az eszköz és az Azure között áthaladó adatokhoz használható. A TLS 1.1-es és korábbi verzióira nincs tartalék. Az ügynök kommunikációja le lesz tiltva, ha a TLS 1.2 nem támogatott. A portál- és SDK-felügyelethez TLS 1.2 szükséges.

• Amikor az ügyfelek egy böngésző helyi webes felhasználói felületén keresztül férnek hozzá az eszközhöz, a standard TLS 1.2 lesz az alapértelmezett biztonságos protokoll.

  • Az ajánlott eljárás a böngésző konfigurálása a TLS 1.2 használatára.
  • Ha a böngésző nem támogatja a TLS 1.2-t, használhatja a TLS 1.1-et vagy a TLS 1.0-t.

• Javasoljuk, hogy az SMB 3.0 titkosítással védje az adatokat az adatkiszolgálókról való másoláskor.

Adatok védelme tárfiókokkal

Az eszköze társítva van a tárfiókhoz, amelyet az Azure-ban tárolt adatok célhelyeként szolgál. A tárfiók elérését az előfizetés és két 512 bites tárelérési kulcs szabályozza, amelyek társítva vannak a tárfiókkal.

Az egyik kulcs hitelesítésre használatos, amikor az Azure Stack Edge-eszköz hozzáfér a tárfiókhoz. A másik kulcs a tartalék, így a kulcsok rendszeresen lecserélhetők.

Biztonsági okokból számos adatközpont megköveteli a kulcsváltást. Azt javasoljuk, hogy kövesse a kulcsváltás ajánlott eljárásait:

• A tárfiók kulcsa hasonlít a tárfiók rendszergazdai jelszavához. Ügyeljen a fiókja kulcsának védelmére. Ne ossza el a jelszót más felhasználók között, ne kódozza be, és ne mentse más felhasználók számára elérhető egyszerű szövegben.
• Hozza létre újra a fiókkulcsot az Azure Portalon, ha úgy gondolja, hogy az veszélybe kerülhet. További információ: Tárfiók hozzáférési kulcsainak kezelése.
• Az Azure-rendszergazdának rendszeresen módosítania vagy újra kell létrehoznia az elsődleges vagy másodlagos kulcsot az Azure Portal Storage szakaszával a tárfiók közvetlen eléréséhez.

• A tárfiók kulcsait rendszeresen elforgathatja, majd szinkronizálhatja, hogy megvédhesse tárfiókját a jogosulatlan felhasználóktól.

Az eszközadatok védelme a BitLockerrel

A Data Box Gateway virtuális gép virtuális lemezeinek védelméhez javasoljuk, hogy engedélyezze a BitLockert. Alapértelmezés szerint a BitLocker nincs engedélyezve. További információk:

• Titkosítási támogatási beállítások a Hyper-V Managerben
• BitLocker-támogatás virtuális gépen

Személyes adatok kezelése

A Data Box Gateway szolgáltatás a következő esetekben gyűjt személyes adatokat:

• Rendelés részletei. A megrendelés létrehozásakor a rendszer a felhasználó szállítási címét, e-mail-címét és kapcsolattartási adatait az Azure Portalon tárolja. A mentett információk a következők:

  • Kapcsolattartó neve

  • Telefonszám

  • E-mail-cím

  • Utca, házszám

  • Város

  • Irányítószám/irányítószám

  • Állapot

  • Ország/régió/tartomány

  • Szállítmány nyomkövetési száma

    A rendelés részletei titkosítva vannak, és a szolgáltatásban vannak tárolva. A szolgáltatás mindaddig megőrzi az adatokat, amíg ön nem törli az erőforrást vagy a rendelést. Az erőforrás és a megfelelő rendelés törlése az eszköz szállításának időpontjától kezdve az eszköz Microsofthoz való visszatéréséig le lesz tiltva.

• Szállítási cím. A megrendelés leadása után a Data Box szolgáltatás megadja a szállítási címet külső szolgáltatóknak, például a UPS-nek.

• Felhasználók megosztása. Az eszköz felhasználói hozzáférhetnek a megosztásokon található adatokhoz is. Megtekintheti a megosztási adatokhoz hozzáférő felhasználók listáját. A megosztások törlésekor a lista is törlődik.

A megosztások elérésére vagy törlésére jogosult felhasználók listájának megtekintéséhez kövesse a Data Box Gateway megosztásainak kezelése című szakasz lépéseit.

További információkért tekintse át a Microsoft adatvédelmi szabályzatát az Adatvédelmi központban.

Következő lépések

A Data Box Gateway-eszköz üzembe helyezése