Azure Data Box Gateway güvenliği ve veri koruması

Özellikle teknoloji gizli veya özel verilerle kullanılıyorsa, yeni bir teknolojiyi benimserken güvenlik önemli bir konudur. Azure Data Box Gateway verilerinizi yalnızca yetkili varlıkların görüntüleyebilmesini, değiştirebilmesini veya silebilmesini sağlamanıza yardımcı olur.

Bu makalede, çözüm bileşenlerinin ve içinde depolanan verilerin korunmasına yardımcı olan Azure Data Box Gateway güvenlik özellikleri açıklanmaktadır.

Data Box Gateway çözümü, birbiriyle etkileşim kuran dört ana bileşenden oluşur:

• Azure'da barındırılan Data Box Gateway hizmeti. Cihaz sırasını oluşturmak, cihazı yapılandırmak ve ardından tamamlanma sırasını izlemek için kullandığınız yönetim kaynağı.
• Data Box Gateway cihazı. Sağladığınız sistemin hiper yöneticisinde sağladığınız sanal cihaz. Bu sanal cihaz, şirket içi verilerinizi Azure'a aktarmak için kullanılır.
• Cihaza bağlı istemciler/konaklar. Altyapınızdaki Data Box Gateway cihazına bağlanan ve korunması gereken verileri içeren istemciler.
• Bulut depolama alanı. Azure bulut platformunda verilerin depolandığı konum. Bu konum genellikle oluşturduğunuz Data Box Gateway kaynağına bağlı depolama hesabıdır.

Data Box Gateway hizmet koruması

Data Box Gateway hizmeti, Azure'da barındırılan bir yönetim hizmetidir. Hizmet, cihazı yapılandırmak ve yönetmek için kullanılır.

• Azure Stack Edge hizmetine erişmek için kuruluşunuzun bir Kurumsal Anlaşma (EA) veya Bulut Çözümü Sağlayıcısı (CSP) aboneliğine sahip olması gerekir. Daha fazla bilgi için bkz . Azure aboneliğine kaydolma.
• Bu yönetim hizmeti Azure'da barındırılıyor olduğundan, Azure güvenlik özellikleri tarafından korunur. Azure tarafından sağlanan güvenlik özellikleri hakkında daha fazla bilgi için Microsoft Azure Güven Merkezi'ne gidin.
• SDK yönetim işlemleri için Cihaz özellikleri'nde kaynağınızın şifreleme anahtarını alabilirsiniz. Şifreleme anahtarını yalnızca Kaynak Grafı API'sine yönelik izinleriniz varsa görüntüleyebilirsiniz.

Data Box Gateway cihaz koruması

Data Box Gateway cihazı, sağladığınız bir şirket içi sistemin hiper yöneticisinde sağlanan bir sanal cihazdır. Cihaz Azure'a veri göndermeye yardımcı olur. Cihazınız:

• Azure Stack Edge Pro/Data Box Gateway hizmetine erişmek için bir etkinleştirme anahtarı gerekir.
• Cihaz parolası ile her zaman korunur.

Etkinleştirme anahtarıyla cihazı koruma

Azure aboneliğinizde oluşturduğunuz Data Box Gateway hizmetine yalnızca yetkili bir Data Box Gateway cihazının katılmasına izin verilir. Bir cihazı yetkilendirmek için, cihazı Data Box Gateway hizmetiyle etkinleştirmek için bir etkinleştirme anahtarı kullanmanız gerekir.

Kullandığınız etkinleştirme anahtarı:

• Microsoft Entra Id tabanlı bir kimlik doğrulama anahtarıdır.
• Süresi üç gün sonra dolar.
• Cihaz etkinleştirmeden sonra kullanılmaz.

Bir cihazı etkinleştirdikten sonra, Azure ile iletişim kurmak için belirteçleri kullanır.

Daha fazla bilgi için bkz . Etkinleştirme anahtarı alma.

Cihazı parolayla koruma

Parolalar, verilerinize yalnızca yetkili kullanıcıların erişebilmesini sağlar. Data Box Gateway cihazları kilitli durumda önyüklenir.

Şunları yapabilirsiniz:

• Tarayıcı aracılığıyla cihazın yerel web kullanıcı arabirimine Bağlan ve ardından cihazda oturum açmak için bir parola sağlayın.
• HTTP üzerinden cihazın PowerShell arabirimine uzaktan bağlanın. Uzaktan yönetim varsayılan olarak açıktır. Daha sonra cihazda oturum açmak için cihaz parolasını sağlayabilirsiniz. Daha fazla bilgi için bkz. Data Box Gateway cihazınıza uzaktan Bağlan.

Şu en iyi yöntemleri aklınızda bulundurun:

• Unutulan bir parolayı sıfırlamak zorunda kalmayın diye tüm parolaları güvenli bir yerde saklamanızı öneririz. Yönetim hizmeti mevcut parolaları alamıyor. Bunları yalnızca Azure portalı üzerinden sıfırlayabilir. Parolayı sıfırlarsanız, sıfırlamadan önce tüm kullanıcılara bildirmeyi unutmayın.
• Cihazınızın Windows PowerShell arabirimine HTTP üzerinden uzaktan erişebilirsiniz. En iyi güvenlik uygulaması olarak, HTTP'yi yalnızca güvenilen ağlarda kullanmanız gerekir.
• Cihaz parolalarının güçlü ve iyi korunduğundan emin olun. Parolayla ilgili en iyi yöntemleri izleyin.

• Parolayı değiştirmek için yerel web kullanıcı arabirimini kullanın. Parolayı değiştirirseniz, oturum açarken sorun yaşamamaları için tüm uzaktan erişim kullanıcılarını bilgilendirdiğinizden emin olun.

Verilerinizi koruma

Bu bölümde, aktarımdaki ve depolanan verileri koruyan Data Box Gateway güvenlik özellikleri açıklanmaktadır.

Bekleyen verileri koruma

Bekleyen veriler için:

• Paylaşımlarda depolanan verilere erişim kısıtlanmıştır.

  • Paylaşım verilerine erişen SMB istemcileri, paylaşımla ilişkilendirilmiş kullanıcı kimlik bilgilerine ihtiyaç duyar. Bu kimlik bilgileri, paylaşım oluşturulduğunda tanımlanır.
  • Paylaşım oluşturulduğunda bir paylaşıma erişen NFS istemcilerinin IP adreslerinin eklenmesi gerekir.

Verileri uçuşta koruma

Uçuştaki veriler için:

• Standart TLS 1.2, cihaz ile Azure arasında seyahat eden veriler için kullanılır. TLS 1.1 ve önceki sürümlere geri dönüş yoktur. TLS 1.2 desteklenmiyorsa aracı iletişimi engellenir. Portal ve SDK yönetimi için TLS 1.2 de gereklidir.

• İstemciler cihazınıza tarayıcının yerel web kullanıcı arabirimi aracılığıyla eriştiğinde, varsayılan güvenli protokol olarak standart TLS 1.2 kullanılır.

  • En iyi yöntem, tarayıcınızı TLS 1.2 kullanacak şekilde yapılandırmaktır.
  • Tarayıcı TLS 1.2'yi desteklemiyorsa TLS 1.1 veya TLS 1.0 kullanabilirsiniz.

• Verileri veri sunucularınızdan kopyalarken korumak için SMB 3.0'ı şifreleme ile kullanmanızı öneririz.

Depolama hesaplarını kullanarak verileri koruma

Cihazınız, Azure’daki verileriniz için hedef olarak kullanılan bir depolama hesabıyla ilişkilendirilir. Depolama hesabına erişim, abonelikle ve bu depolama hesabıyla ilişkili iki 512 bit depolama hesabı anahtarıyla denetlenir.

Anahtarlardan biri Azure Stack Edge cihazı depolama hesabına erişirken kullanılır. Diğer anahtar ayrılmış olarak tutulur, bu sayede düzenli olarak anahtarları döndürebilirsiniz.

Güvenlik nedenleriyle birçok veri merkezi anahtar döndürmeyi gerektirir. Anahtar döndürme için şu en iyi yöntemleri izlemenizi öneririz:

• Depolama hesabı anahtarınız depolama hesabınızın kök parolasına benzer. Hesap anahtarınızı dikkatle koruyun. Parolayı diğer kullanıcılara dağıtmayın, sabit kod uygulamayın veya başkalarının erişebileceği düz metin içinde herhangi bir yere kaydetmeyin.
• Risk altında olabileceğini düşünüyorsanız Azure portalı aracılığıyla hesap anahtarınızı yeniden oluşturun. Daha fazla bilgi için bkz . Depolama hesabı erişim anahtarlarını yönetme.
• Azure yöneticiniz, depolama hesabına doğrudan erişmek için Azure portalının Depolama bölümünü kullanarak birincil veya ikincil anahtarı düzenli aralıklarla değiştirmeli veya yeniden oluşturmalıdır.

• Depolama hesabınızın yetkisiz kullanıcılardan korunmasına yardımcı olmak için depolama hesabı anahtarlarınızı düzenli olarak döndürün ve eşitleyin.

BitLocker kullanarak cihaz verilerini koruma

Data Box Gateway sanal makinenizdeki sanal disklerin güvenliğini sağlamak için BitLocker'ı etkinleştirmenizi öneririz. Varsayılan olarak, BitLocker etkin değildir. Daha fazla bilgi için bkz.

• Hyper-V Yöneticisi'nde şifreleme desteği ayarları
• Sanal makinede BitLocker desteği

Kişisel bilgileri yönetme

Data Box Gateway hizmeti aşağıdaki senaryolarda kişisel bilgileri toplar:

• Sipariş ayrıntıları. Sipariş oluşturulduğunda, kullanıcının sevkiyat adresi, e-posta adresi ve iletişim bilgileri Azure portalında depolanır. Kaydedilen bilgiler:

  • İlgili kişi adı

  • Telefon numarası

  • E-posta adresi

  • Posta adresi

  • City

  • Posta kodu/posta kodu

  • State

  • Ülke/bölge/il

  • Kargo takip numarası

    Sipariş ayrıntıları şifrelenir ve hizmette depolanır. Siz kaynağı veya siparişi açıkça silene kadar hizmet bilgileri korur. Kaynağın silinmesi ve buna karşılık gelen sipariş, cihaz Microsoft'a dönene kadar cihazın gönderilmesinden sonra engellenir.

• Sevkiyat adresi. Bir sipariş verdikten sonra Data Box hizmeti, UPS gibi üçüncü taraf taşıyıcılara sevkiyat adresini sağlar.

• Kullanıcıları paylaşın. Cihazınızdaki kullanıcılar paylaşımlarda bulunan verilere de erişebilir. Paylaşım verilerine erişebilen kullanıcıların listesi görüntülenebilir. Paylaşımlar silindiğinde, bu liste de silinir.

Bir paylaşıma erişebilecek veya paylaşımları silebilen kullanıcıların listesini görüntülemek için Data Box Gateway'de paylaşımları yönetme sayfasındaki adımları izleyin.

Daha fazla bilgi için Güven Merkezi'ndeki Microsoft gizlilik ilkesini gözden geçirin.

Sonraki adımlar

Data Box Gateway cihazınızı dağıtma