Keamanan dan perlindungan data Azure Data Box Gateway

Keamanan adalah perhatian utama ketika Anda mengadopsi teknologi baru, terutama jika teknologi digunakan dengan data rahasia atau kepemilikan. Azure Data Box Gateway membantu Anda memastikan bahwa hanya entitas yang berwenang yang dapat melihat, mengubah, atau menghapus data Anda.

Artikel ini menjelaskan fitur keamanan Azure Data Box Gateway yang membantu melindungi setiap komponen solusi dan data yang disimpan di dalamnya.

Solusi Data Box Gateway terdiri dari empat komponen utama yang berinteraksi satu sama lain:

• Layanan Data Box Gateway, dihosting di Azure. Sumber daya manajemen yang Anda gunakan untuk membuat pesanan perangkat, mengonfigurasi perangkat, lalu melacak urutan penyelesaian.
• perangkat Data Box Gateway. Perangkat virtual yang Anda sediakan di hypervisor sistem yang Anda sediakan. Perangkat virtual ini digunakan untuk mengimpor data lokal Anda ke Azure.
• Klien/host yang terhubung ke perangkat. Klien dalam infrastruktur Anda yang terhubung ke perangkat Data Box Gateway dan berisi data yang perlu dilindungi.
• Penyimpanan cloud. Lokasi di platform cloud Azure tempat data disimpan. Lokasi ini biasanya merupakan akun penyimpanan yang ditautkan ke sumber daya Azure Data Box Gateway yang Anda buat.

Proteksi layanan Data Box Gateway

Layanan Data Box Gateway adalah layanan manajemen yang dihosting di Azure. Layanan ini digunakan untuk mengonfigurasi dan mengelola perangkat.

• Untuk mengakses layanan Azure Stack Edge, organisasi Anda harus memiliki langganan Perjanjian Enterprise (EA) atau Penyedia Solusi Cloud (CSP). Untuk informasi selengkapnya, lihat Mendaftar untuk langganan Azure.
• Karena layanan manajemen ini dihosting di Azure, layanan ini dilindungi oleh fitur keamanan Azure. Untuk informasi selengkapnya tentang fitur keamanan yang diberikan oleh Azure, buka Pusat Kepercayaan Microsoft Azure.
• Untuk operasi manajemen SDK, Anda bisa mendapatkan kunci enkripsi untuk sumber daya di Properti perangkat. Anda dapat melihat kunci enkripsi hanya jika Anda memiliki izin API Azure Resource Graph.

Proteksi perangkat Data Box Gateway

Perangkat Data Box Gateway adalah perangkat virtual yang tersedia dalam hypervisor sistem lokal yang Anda sediakan. Perangkat membantu mengirim data ke Azure. Perangkat Anda:

• Perlu kunci aktivasi untuk mengakses layanan Azure Stack Edge Pro/Data Box Gateway.
• Selalu terlindungi oleh kata sandi perangkat.

Melindungi perangkat melalui kunci aktivasi

Hanya perangkat Data Box Gateway yang diotorisasi diizinkan untuk bergabung dengan layanan Data Box Gateway yang Anda buat di langganan Azure Anda. Untuk mengotorisasi perangkat, Anda perlu menggunakan kunci aktivasi untuk mengaktifkan perangkat dengan layanan Data Box Gateway.

Kunci aktivasi yang Anda gunakan:

• Adalah kunci autentikasi berbasis ID Microsoft Entra.
• Kedaluwarsa setelah tiga hari.
• Tidak digunakan setelah aktivasi perangkat.

Setelah Anda mengaktifkan perangkat, perangkat menggunakan token untuk berkomunikasi dengan Azure.

Untuk informasi selengkapnya, lihat Mendapatkan kunci aktivasi.

Lindungi perangkat melalui kata sandi

Kata sandi memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses data Anda. Perangkat Data Box Gateway di-boot dalam keadaan terkunci.

Anda dapat:

• Menyambungkan ke antarmuka pengguna web lokal perangkat melalui browser lalu berikan kata sandi untuk masuk ke perangkat.
• Menyambungkan dari jarak jauh ke perangkat antarmuka PowerShell melalui HTTP. Manajemen jarak jauh diaktifkan secara default. Anda kemudian dapat memberikan kata sandi perangkat untuk masuk ke perangkat. Untuk informasi selengkapnya, lihat Menyambungkan dari jarak jauh ke perangkat Data Box Gateway Anda.

Ingatlah praktik terbaik ini:

• Kami menyarankan Anda menyimpan semua kata sandi di tempat yang aman sehingga tidak perlu mengatur ulang kata sandi jika lupa. Layanan manajemen tidak dapat mengambil kata sandi yang ada. Layanan manajemen hanya dapat mengatur ulang sandi melalui portal Azure. Jika Anda mengatur ulang sandi, pastikan untuk memberi tahu semua pengguna sebelum mengatur ulang.
• Anda dapat mengakses antarmuka Windows PowerShell perangkat Anda dari jarak jauh melalui HTTP. Sebagai praktik terbaik keamanan, Anda harus menggunakan HTTP hanya di jaringan tepercaya.
• Pastikan kata sandi perangkat kuat dan terlindungi dengan baik. Ikuti praktik terbaik kata sandi.

• Gunakan antarmuka pengguna web lokal untuk mengubah kata sandi. Jika Anda mengubah kata sandi, pastikan untuk memberi tahu semua pengguna akses jarak jauh agar tidak mengalami masalah saat masuk.

Lindungi data Anda

Bagian ini menjelaskan fitur keamanan Data Box Gateway yang melindungi data dalam transit dan disimpan.

Lindungi data yang tidak aktif

Untuk data tidak aktif:

• Akses ke data yang disimpan dalam berbagi dibatasi.

  • Klien SMB yang mengakses data berbagi memerlukan kredensial pengguna yang terkait dengan berbagi. Info masuk ini ditentukan saat berbagi dibuat.
  • Alamat IP klien NFS yang mengakses berbagi perlu ditambahkan saat berbagi dibuat.

Lindungi data dalam penerbangan

Untuk data dalam penerbangan:

• TLS 1.2 standar digunakan untuk data yang melakukan perjalanan antara perangkat dan Azure. Tidak ada fallback ke TLS 1.1 dan yang lebih awal. Komunikasi agen akan diblokir jika TLS 1.2 tidak didukung. TLS 1.2 juga diperlukan untuk manajemen portal dan SDK.

• Saat klien mengakses perangkat melalui UI web lokal browser, TLS 1.2 standar digunakan sebagai protokol aman default.

  • Praktik terbaik adalah mengonfigurasi browser Anda untuk menggunakan TLS 1.2.
  • Jika browser tidak mendukung TLS 1.2, Anda dapat menggunakan TLS 1.1 atau TLS 1.0.

• Sebaiknya Anda menggunakan SMB 3.0 dengan enkripsi untuk melindungi data saat Anda menyalinnya dari server data.

Memproteksi data menggunakan akun penyimpanan

Perangkat Anda dikaitkan dengan akun penyimpanan yang digunakan sebagai tujuan data Anda di Azure. Akses ke akun penyimpanan dikontrol oleh langganan dan dua kunci akses penyimpanan 512-bit yang terkait dengan akun penyimpanan tersebut.

Salah satu kunci digunakan untuk autentikasi saat perangkat Azure Stack Edge mengakses akun penyimpanan. Kunci lainnya dipegang sebagai cadangan, sehingga Anda dapat merotasi kunci secara berkala.

Untuk alasan keamanan, banyak pusat data memerlukan rotasi kunci. Sebaiknya ikuti praktik terbaik untuk rotasi kunci ini:

• Kunci akun penyimpanan Anda mirip dengan kata sandi akar untuk akun penyimpanan Anda. Lindungi kunci akun Anda dengan hati-hati. Jangan membagikan kata sandi ke pengguna lain, di-hard code, atau menyimpannya di mana saja dalam teks biasa yang dapat diakses oleh orang lain.
• Regenerasi kunci akun Anda melalui portal Azure jika Anda merasa bahwa akun Anda dapat disusupi. Untuk informasi selengkapnya, lihat Mengelola kunci akses akun penyimpanan.
• Admin Azure Anda harus secara berkala mengubah atau meregenerasi kunci primer atau sekunder menggunakan bagian Penyimpanan portal Azure untuk mengakses akun penyimpanan secara langsung.

• Putar lalu sinkronkan kunci akun penyimpanan Anda secara teratur untuk membantu melindungi akun penyimpanan Anda dari pengguna yang tidak sah.

Lindungi data perangkat menggunakan BitLocker

Untuk mengamankan disk virtual di komputer virtual Data Box Gateway Anda, kami sarankan Anda mengaktifkan BitLocker. Secara default, BitLocker tidak diaktifkan. Untuk informasi selengkapnya, lihat:

• Pengaturan dukungan enkripsi di Manajer Hyper-V
• Dukungan BitLocker di komputer virtual

Mengelola informasi pribadi

Layanan Data Box Gateway mengumpulkan informasi pribadi dalam skenario berikut:

• Detail pesanan. Ketika pesanan dibuat, alamat pengiriman, alamat email, dan informasi kontak pengguna disimpan di portal Microsoft Azure. Informasi yang disimpan meliputi:

  • Nama kontak

  • Nomor telepon

  • Alamat email

  • Alamat jalan

  • Kota

  • Kode ZIP/kode pos

  • Provinsi

  • Negara/wilayah/provinsi

  • Nomor pelacakan pengiriman

    Detail pesanan dienkripsi dan disimpan dalam layanan. Layanan ini menyimpan informasi hingga Anda secara eksplisit menghapus sumber daya atau pesanan. Penghapusan sumber daya dan pesanan yang sesuai diblokir sejak perangkat dikirim hingga perangkat kembali ke Microsoft.

• Alamat pengiriman. Setelah pesanan dilakukan, layanan Azure Data Box menyediakan alamat pengiriman ke operator pihak ketiga seperti UPS.

• Bagikan pengguna. Pengguna di perangkat Anda juga dapat mengakses data yang terletak di berbagi. Daftar pengguna yang dapat mengakses data berbagi dapat ditampilkan. Saat berbagi dihapus, daftar ini juga dihapus.

Untuk menampilkan daftar pengguna yang bisa mengakses atau menghapus berbagi, ikuti langkah-langkah dalam Mengelola berbagi di Data Box Gateway.

Untuk informasi selengkapnya, tinjau kebijakan privasi Microsoft di Pusat Kepercayaan.

Langkah berikutnya

Menggunakan perangkat Data Box Gateway Anda