Beveiliging en gegevensbeveiliging van Azure Data Box Gateway

Beveiliging is een belangrijke zorg wanneer u een nieuwe technologie gebruikt, vooral als de technologie wordt gebruikt met vertrouwelijke of bedrijfseigen gegevens. Met Azure Data Box Gateway kunt u ervoor zorgen dat alleen geautoriseerde entiteiten uw gegevens kunnen bekijken, wijzigen of verwijderen.

In dit artikel worden de beveiligingsfuncties van Azure Data Box Gateway beschreven waarmee u elk van de oplossingsonderdelen en de daarin opgeslagen gegevens kunt beveiligen.

De Data Box Gateway-oplossing bestaat uit vier hoofdonderdelen die met elkaar communiceren:

• Data Box Gateway-service, gehost in Azure. De beheerresource die u gebruikt om de apparaatvolgorde te maken, het apparaat te configureren en vervolgens de order bij te houden voor voltooiing.
• Data Box Gateway-apparaat. Het virtuele apparaat dat u inricht in de hypervisor van het systeem dat u opgeeft. Dit virtuele apparaat wordt gebruikt om uw on-premises gegevens te importeren in Azure.
• Clients/hosts die zijn verbonden met het apparaat. De clients in uw infrastructuur die verbinding maken met het Data Box Gateway-apparaat en gegevens bevatten die moeten worden beveiligd.
• Cloudopslag. De locatie in het Azure-cloudplatform waar gegevens worden opgeslagen. Deze locatie is doorgaans het opslagaccount dat is gekoppeld aan de Data Box Gateway-resource die u maakt.

Data Box Gateway-servicebeveiliging

De Data Box Gateway-service is een beheerservice die wordt gehost in Azure. De service wordt gebruikt voor het configureren en beheren van het apparaat.

• Voor toegang tot de Azure Stack Edge-service moet uw organisatie een abonnement hebben op Enterprise Overeenkomst (EA) of Cloud Solution Provider (CSP). Zie Registreren voor een Azure-abonnement voor meer informatie.
• Omdat deze beheerservice wordt gehost in Azure, wordt deze beveiligd door de Azure-beveiligingsfuncties. Ga naar het Vertrouwenscentrum van Microsoft Azure voor meer informatie over de beveiligingsfuncties van Azure.
• Voor SDK-beheerbewerkingen kunt u de versleutelingssleutel voor uw resource ophalen in apparaateigenschappen. U kunt de versleutelingssleutel alleen weergeven als u machtigingen hebt voor de Resource Graph API.

Data Box Gateway-apparaatbeveiliging

Het Data Box Gateway-apparaat is een virtueel apparaat dat is ingericht in de hypervisor van een on-premises systeem dat u opgeeft. Het apparaat helpt bij het verzenden van gegevens naar Azure. Uw apparaat:

• Er is een activeringssleutel nodig voor toegang tot de Azure Stack Edge Pro/Data Box Gateway-service.
• Wordt altijd beveiligd door een apparaatwachtwoord.

Het apparaat beveiligen via activeringssleutel

Alleen een geautoriseerd Data Box Gateway-apparaat mag deelnemen aan de Data Box Gateway-service die u in uw Azure-abonnement maakt. Als u een apparaat wilt autoriseren, moet u een activeringssleutel gebruiken om het apparaat te activeren met de Data Box Gateway-service.

De activeringssleutel die u gebruikt:

• Is een verificatiesleutel op basis van Microsoft Entra ID.
• Verloopt na drie dagen.
• Wordt niet gebruikt na de activering van het apparaat.

Nadat u een apparaat hebt geactiveerd, worden tokens gebruikt om te communiceren met Azure.

Zie Een activeringssleutel ophalen voor meer informatie.

Het apparaat beveiligen via een wachtwoord

Wachtwoorden zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot uw gegevens. Data Box Gateway-apparaten worden opgestart in een vergrendelde status.

U kunt:

• Verbinding maken via een browser naar de lokale webgebruikersinterface van het apparaat en geef vervolgens een wachtwoord op om u aan te melden bij het apparaat.
• Maak op afstand verbinding met de PowerShell-interface van het apparaat via HTTP. Extern beheer is standaard ingeschakeld. Vervolgens kunt u het apparaatwachtwoord opgeven om u aan te melden bij het apparaat. Zie Verbinding maken op afstand naar uw Data Box Gateway-apparaat voor meer informatie.

Houd rekening met deze aanbevolen procedures:

• U wordt aangeraden alle wachtwoorden op een veilige plaats op te slaan, zodat u een wachtwoord niet opnieuw hoeft in te stellen als u dit bent vergeten. De beheerservice kan bestaande wachtwoorden niet ophalen. Ze kunnen alleen opnieuw worden ingesteld via Azure Portal. Als u een wachtwoord opnieuw instelt, moet u alle gebruikers waarschuwen voordat u het opnieuw instelt.
• U hebt toegang tot de Windows PowerShell-interface van uw apparaat op afstand via HTTP. Als best practice voor beveiliging moet u alleen HTTP op vertrouwde netwerken gebruiken.
• Zorg ervoor dat apparaatwachtwoorden sterk en goed zijn beveiligd. Volg de aanbevolen procedures voor wachtwoorden.

• Gebruik de lokale webinterface om het wachtwoord te wijzigen. Als u het wachtwoord wijzigt, moet u alle gebruikers van externe toegang op de hoogte stellen, zodat ze zich niet kunnen aanmelden.

Uw gegevens beveiligen

In deze sectie worden de Data Box Gateway-beveiligingsfuncties beschreven die in-transit en opgeslagen gegevens beschermen.

Data-at-rest beschermen

Voor data-at-rest:

• De toegang tot gegevens die zijn opgeslagen in shares is beperkt.

  • SMB-clients die toegang hebben tot sharegegevens, hebben gebruikersreferenties nodig die zijn gekoppeld aan de share. Deze referenties worden gedefinieerd wanneer de share wordt gemaakt.
  • De IP-adressen van NFS-clients die toegang hebben tot een share, moeten worden toegevoegd wanneer de share wordt gemaakt.

Gegevens beveiligen tijdens de vlucht

Voor gegevens in vlucht:

• Standaard TLS 1.2 wordt gebruikt voor gegevens die tussen het apparaat en Azure worden verzonden. Er is geen terugval naar TLS 1.1 en eerder. Agentcommunicatie wordt geblokkeerd als TLS 1.2 niet wordt ondersteund. TLS 1.2 is ook vereist voor portal- en SDK-beheer.

• Wanneer clients toegang hebben tot uw apparaat via de lokale webinterface van een browser, wordt standaard TLS 1.2 gebruikt als het standaardbeveiligingsprotocol.

  • De aanbevolen procedure is om uw browser te configureren voor het gebruik van TLS 1.2.
  • Als tls 1.2 niet wordt ondersteund in de browser, kunt u TLS 1.1 of TLS 1.0 gebruiken.

• U wordt aangeraden SMB 3.0 te gebruiken met versleuteling om gegevens te beveiligen wanneer u deze kopieert van uw gegevensservers.

Gegevens beveiligen met opslagaccounts

Uw apparaat is gekoppeld aan een opslagaccount dat wordt gebruikt als een bestemming voor uw gegevens in Azure. De toegang tot het opslagaccount wordt bepaald door het abonnement en twee 512-bits opslagtoegangssleutels die aan dat opslagaccount zijn gekoppeld.

Een van de sleutels wordt gebruikt voor verificatie wanneer het Azure Stack Edge-apparaat toegang heeft tot het opslagaccount. De andere sleutel wordt als reserve bewaard, zodat u de sleutels regelmatig kunt omwisselen.

Om veiligheidsredenen eisen veel datacenters dat sleutels regelmatig worden omgewisseld. We raden u aan de volgende aanbevolen procedures te volgen voor het omwisselen van sleutels:

• De sleutel van uw opslagaccount is vergelijkbaar met het hoofdwachtwoord voor uw opslagaccount. Bewaar uw accountsleutel op een veilige plaats. Distribueer het wachtwoord niet naar andere gebruikers, codeer het of sla het ergens op in tekst zonder opmaak die toegankelijk is voor anderen.
• Genereer uw accountsleutel opnieuw via Azure Portal als u denkt dat deze kan worden aangetast. Zie Toegangssleutels voor een opslagaccount beheren voor meer informatie.
• Uw Azure-beheerder moet de primaire of secundaire sleutel periodiek wijzigen of opnieuw genereren met behulp van de sectie Storage van Azure Portal om rechtstreeks toegang te krijgen tot het opslagaccount.

• Draai en synchroniseer uw opslagaccountsleutels regelmatig om uw opslagaccount te beschermen tegen onbevoegde gebruikers.

De apparaatgegevens beveiligen met BitLocker

Als u de virtuele schijven op uw virtuele Data Box Gateway-machine wilt beveiligen, raden we u aan BitLocker in te schakelen. BitLocker is standaard niet ingeschakeld. Zie voor meer informatie:

• Instellingen voor ondersteuning van versleuteling in Hyper-V Manager
• BitLocker-ondersteuning op een virtuele machine

Persoonlijke gegevens beheren

De Data Box Gateway-service verzamelt persoonlijke gegevens in de volgende scenario's:

• Ordergegevens. Wanneer een bestelling wordt gemaakt, worden het verzendadres, het e-mailadres en de contactgegevens van de gebruiker opgeslagen in Azure Portal. De opgeslagen informatie omvat:

  • Naam van contactpersoon

  • Telefoonnummer

  • E-mailadres

  • Adres

  • Plaats

  • Postcode

  • Toestand

  • Land/regio/provincie

  • Volgnummer van verzending

    Ordergegevens worden versleuteld en opgeslagen in de service. De service behoudt de informatie totdat u de resource of order expliciet verwijdert. Het verwijderen van de resource en de bijbehorende bestelling wordt geblokkeerd vanaf het moment dat het apparaat wordt verzonden totdat het apparaat terugkeert naar Microsoft.

• Verzendadres. Nadat een bestelling is geplaatst, levert de Data Box-service het verzendadres aan externe providers zoals UPS.

• Gebruikers delen. Gebruikers op uw apparaat hebben ook toegang tot de gegevens die zich op de shares bevinden. Een lijst met gebruikers die toegang hebben tot de sharegegevens, kunnen worden bekeken. Wanneer de shares worden verwijderd, wordt deze lijst ook verwijderd.

Als u de lijst met gebruikers wilt weergeven die toegang hebben tot of een share kunnen verwijderen, volgt u de stappen in Shares beheren op de Data Box Gateway.

Raadpleeg het Privacybeleid van Microsoft in het Vertrouwenscentrum voor meer informatie.

Volgende stappen

Uw Data Box Gateway-apparaat implementeren