أمان وحماية بيانات Azure Data Box

يوفر Data Box حلاً آمناً لحماية البيانات من خلال ضمان أن الكيانات المخولة فقط يمكنها عرض بياناتك أو تعديلها أو حذفها. توضح هذه المقالة ميزات أمان Azure Data Box التي تساعد على حماية كل من مكونات حل Data Box والبيانات المخزنة عليه.

Note

توفر هذه المقالة خطوات حول كيفية حذف بيانات التعريف من الجهاز أو الخدمة، ويمكن استخدامها لدعم التزاماتك بموجب القانون العام لحماية البيانات (GDPR). للحصول على معلومات عامة حول GDPR، راجع قسم GDPR في مركز توثيق Microsoft وقسم GDPR في Service Trust Portal.

تدفق البيانات من خلال المكونات

يتكون حل Microsoft Azure Data Box من أربعة مكونات رئيسية تتفاعل مع بعضها:

• خدمة Azure Data Box المستضافة في Azure – خدمة الإدارة التي تستخدمها لإنشاء طلب الجهاز، وتكوين الجهاز، ثم تتبع الطلب حتى يكتمل.
• خدمة Data Box – جهاز النقل الذي يتم شحنه إليك لاستيراد البيانات الداخلية في Azure.
• أجهزة الكمبيوتر العميلة/المضيفة المتصلة بالجهاز – أجهزة الكمبيوتر العميلة الموجودة في بنيتك الأساسية التي تتصل بجهاز Data Box وتشمل البيانات التي تحتاج إلى الحماية.
• التخزين السحابي - الموقع في سحابة Azure حيث يتم تخزين البيانات. يكون ذلك الموقع هو عادةً حساب التخزين المرتبط بمورد Azure Data Box الذي قمت بإنشائه.

يوضح الرسم التخطيطي التالي تدفق البيانات المحلي لأمر الاستيراد إلى Azure من خلال حل Azure Data Box. يتم أيضا تسليط الضوء على ميزات الأمان المختلفة داخل الحل.

يوضح الرسم التخطيطي التالي تدفق بيانات أمر التصدير لصندوق البيانات الخاص بك.

يتم إنشاء السجلات وتتبع بيانات الحدث أثناء تدفق البيانات عبر هذا الحل. لمزيد من المعلومات، انتقل إلى:

• التعقب وتسجيل الأحداث لطلبات استيراد Azure Data Box.
• التعقب وتسجيل الأحداث لطلبات تصدير Azure Data Box

ميزات الأمان

يوفر Data Box حلاً آمناً لحماية البيانات من خلال ضمان أن الكيانات المخولة فقط يمكنها عرض بياناتك أو تعديلها أو حذفها. تُعد ميزات الأمان لهذا الحل مخصصة للخدمة المقترنة مع ضمان أمان البيانات المخزنة عليها.

حماية جهاز Data Box

تتم حماية جهاز Data Box بواسطة الميزات التالية:

• غلاف متين للجهاز يحمي من الصدمات والنقل المتقلب والظروف البيئية غير المواتية.
• الكشف عن العبث بالأجهزة والبرامج الذي يمنع استمرار عمليات الجهاز الأخرى.
• نظام مدمج للكشف عن التسلل يحدد الوصول المادي غير المصرح به إلى الأجهزة.
• تقنية Semper Secure Flash المدمجة مع جذر الثقة للأجهزة (RoT) داخل ذاكرة الفلاش، مما يضمن سلامة البرامج الثابتة ويتيح التحديثات الآمنة دون تعديلات على الأجهزة.
• وحدة النظام الأساسي الموثوق بها (TPM) التي تقوم بتنفيذ وظائف متعلقة بالأمان تستند إلى الأجهزة. يدير TPM ويحمي الأسرار والبيانات التي يجب استمرارها على الجهاز.
• تقيد قيود التنفيذ التنفيذ على البرامج الخاصة ب Data Box.
• حالة التمهيد المغلق الافتراضية.
• يتم التحكم في الوصول إلى الجهاز عبر مفتاح مرور قفل الجهاز ومفتاح التشفير. يمكنك استخدام المفتاح الخاص بك الذي يتحكم به العميل لحماية مفتاح المرور. لمزيد من المعلومات، راجع استخدام المفاتيح المُدارة من قِبل العملاء في Azure Key Vault لـ Azure Data Box.
• الوصول إلى بيانات الاعتماد لنسخ البيانات داخل الجهاز وخارجه. يتم تسجيل كل وصول إلى صفحة بيانات اعتماد الجهاز في مدخل Microsoft Azure في سجلات النشاط.
• يمكنك استخدام كلمات المرور الخاصة بك للجهاز ومشاركة الوصول. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.

• غلاف متين للجهاز يحمي من الصدمات والنقل المتقلب والظروف البيئية غير المواتية.
• الكشف عن العبث بالأجهزة والبرامج الذي يمنع استمرار عمليات الجهاز الأخرى.
• وحدة النظام الأساسي الموثوق بها (TPM) التي تقوم بتنفيذ وظائف متعلقة بالأمان تستند إلى الأجهزة. يدير TPM ويحمي الأسرار والبيانات التي يجب استمرارها على الجهاز.
• يحد التنفيذ على البرامج الخاصة ب Data Box.
• يتم التمهيد افتراضيا في حالة القفل.
• يتم التحكم في الوصول إلى الجهاز عبر مفتاح مرور قفل الجهاز ومفتاح التشفير. يمكنك استخدام المفتاح الخاص بك الذي يتحكم به العميل لحماية مفتاح المرور. لمزيد من المعلومات، راجع استخدام المفاتيح المُدارة من قِبل العملاء في Azure Key Vault لـ Azure Data Box.
• الوصول إلى بيانات الاعتماد لنسخ البيانات داخل الجهاز وخارجه. يتم تسجيل كل وصول إلى صفحة بيانات اعتماد الجهاز في مدخل Microsoft Azure في سجلات النشاط.
• يمكنك استخدام كلمات المرور الخاصة بك للجهاز ومشاركة الوصول. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.

إنشاء الثقة مع الجهاز بواسطة الشهادات

يتيح لك جهاز Data Box استخدام شهاداتك الخاصة عند الاتصال بواجهة مستخدم الويب المحلية وتخزين الكائن الثنائي كبير الحجم. لمزيد من المعلومات، راجع استخدام الشهادات الخاصة بك مع أجهزة Data Box.

حماية بيانات Data Box

البيانات التي تتدفق داخل Data Box وخارجه محمية بالميزات التالية:

• تشفير AES 256 بت للبيانات الثابتة. في بيئة عالية الأمان، يمكنك استخدام التشفير المزدوج المستند إلى البرامج. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.
• التشفير المستند إلى البرامج المعزز من خلال تشفير الأجهزة المستند إلى وحدة التحكم RAID.
• يمكن استخدام البروتوكولات المشفرة للبيانات أثناء نقلها. نوصي باستخدام SMB 3.0 مع التشفير لحماية البيانات عند نسخها من خوادم البيانات الخاصة بك.
• إزالة آمنة للبيانات من الجهاز بمجرد اكتمال التحميل إلى Azure. يتم إزالة البيانات وفقاً للإرشادات الواردة في الملحق أ لمحركات الأقراص الثابتة ATA في معايير NIST 800-88r1. يتم تسجيل حدث محو البيانات في محفوظات الطلبات.

• تشفير AES 256 بت للبيانات الثابتة. في بيئة عالية الأمان، يمكنك استخدام التشفير المزدوج المستند إلى البرامج. لمزيد من المعلومات، راجع البرنامج التعليمي: طلب Azure Data Box.
• يمكن استخدام البروتوكولات المشفرة للبيانات أثناء نقلها. نوصي باستخدام SMB 3.0 مع التشفير لحماية البيانات عند نسخها من خوادم البيانات الخاصة بك.
• إزالة آمنة للبيانات من الجهاز بمجرد اكتمال التحميل إلى Azure. يتم إزالة البيانات وفقاً للإرشادات الواردة في الملحق أ لمحركات الأقراص الثابتة ATA في معايير NIST 800-88r1. يتم تسجيل حدث محو البيانات في محفوظات الطلبات.

حماية خدمة Data Box

خدمة Data Box محمية بالميزات التالية.

• يتطلب الوصول إلى خدمة Data Box اشتراك Azure ممكن في Data Box. تحد الاشتراكات الفردية من الوصول إلى الميزات داخل مدخل Microsoft Azure.
• نظرا لأن خدمة Data Box مستضافة في Azure، فهي محمية بواسطة ميزات أمان Azure. لمزيد من المعلومات حول ميزات الأمان التي توفرها Microsoft Azure، انتقل إلى مركز توثيق Microsoft Azure.
• يمكن التحكم في الوصول إلى طلب Data Box عن طريق استخدام أدوار Azure. لمزيد من المعلومات، راجع إعداد عنصر التحكم في الوصول لطلب Data Box
• تخزن خدمة Data Box كلمة المرور المستخدمة لإلغاء قفل الجهاز.
• تخزن خدمة Data box تفاصيل الطلب وحالته. تقوم خدمة Data Box بحذف هذه المعلومات عندما تصل الوظيفة إلى الحالة الطرفية أو عند حذف الأمر.

إدارة البيانات الشخصية

يقتصر جمع المعلومات الشخصية وعرضها بواسطة Azure Data Box على المثيلات الرئيسية التالية في الخدمة:

• إعدادات الإشعارات - عند إنشاء طلب، يمكنك تكوين إعدادات الإعلام لاستخدام عنوان البريد الإلكتروني للمستخدم. هذه المعلومات مرئية للمسؤول. تقوم خدمة Data Box بحذف هذه المعلومات عندما تصل الوظيفة إلى الحالة الطرفية أو عند حذف الأمر.

• تفاصيل الطلب - بعد إنشاء الطلب، يتم تخزين عنوان الشحن والبريد الإلكتروني ومعلومات الاتصال الخاصة بالمستخدمين في مدخل Microsoft Azure. تتضمن هذه المعلومات:

  • اسم جهة الاتصال

  • رقم الهاتف

  • Email

  • عنوان الشارع

  • City

  • الرمز البريدي / الرمز البريدي

  • State

  • Country/Province/Region

  • رقم حساب المزود

  • رقم تعقب الشحن

    تقوم خدمة Data Box بحذف تفاصيل الأمر عندما تصل المهمة إلى الحالة الطرفية أو عند حذف الأمر.

• عنوان الشحن - بعد تقديم الطلب ، توفر خدمة Data Box عنوان الشحن لشركاء الشحن مثل UPS أو DHL.

لمزيد من المعلومات، راجع نهج خصوصية Microsoft في مركز التوثيق.

مرجع إرشادات الأمان

يتم تطبيق إرشادات الأمان التالية في Data Box:

Guideline	Description
IEC 60529 IP52	حماية من الماء والغبار
ISTA 2 أ	ظروف النقل المتطايرة التحمل
NIST SP 800-147	تحديث آمن للبرنامج الثابت
FIPS 140-2 المستوى 2	حماية البيانات
الملحق أ، لمحركات الأقراص الثابتة ATA في NIST SP 800-88r1	تعقيم البيانات

تفاصيل تعقيم الوسائط للمسح الآمن

تتوافق عملية المحو الآمنة التي يتم إجراؤها على أجهزتنا مع NIST SP 800-88r1 وفيما يلي تفاصيل التنفيذ:

Device	نوع محو البيانات	الأداة المستخدمة
Azure Data Box	في السحابة العامة: مسح التشفير في سحابة Gov: مسح التشفير + الكتابة فوق القرص	أداة ARCCONF
Azure Data Box 120	في سحابة Public وGov: حظر المسح	أداة ARCCONF
Azure Data Box 525	في سحابة Public وGov: حظر المسح	أداة ARCCONF
Azure Data Box Disk	في سحابة Public وGov: حظر المسح	أداة MSECLI

الخطوات التالية

• مراجعة متطلبات Data Box.
• فهم حدود Data Box.
• استخدام Azure Data Box سريعاً في مدخل Microsoft Azure.