Zabezpečení a ochrana dat v zařízení Azure Data Box

  • Článek

Data Box představuje bezpečné řešení pro přenos dat díky tomu, že prohlížet, upravovat a mazat data mohou jen oprávněné entity. Tento článek popisuje funkce zabezpečení zařízení Azure Data Box, které pomáhají chránit všechny komponenty řešení Data Box i v něm uložená data.

Poznámka:

Tento článek obsahuje postup odstranění osobních údajů ze zařízení nebo služby a dá se použít k podpoře vašich povinností v rámci GDPR. Obecné informace o GDPR naleznete v části GDPR Centra zabezpečení společnosti Microsoftčásti GDPR Service Trust Portal.

Tok dat přes jednotlivé komponenty

Řešení Microsoft Azure Data Box se skládá ze čtyř hlavních komponent, které spolu navzájem spolupracují:

  • Služba Azure Data Box hostovaná v Azure – služba pro správu, kterou použijete pro vytváření pořadí a konfiguraci zařízení a sledování průběhu operací.
  • Zařízení Data Box – zařízení pro přenos, které vám bude doručeno za účelem přenosu vašich místních dat do Azure.
  • Klienti/hostitelé připojení k zařízení – klienti ve vaší infrastruktuře připojující se k zařízení Data Box a obsahující data, která je třeba přenést a chránit.
  • Cloudové úložiště – umístění v cloudu Azure, kam se data uloží. Toto umístění je obvykle účet úložiště propojený s prostředkem Azure Data Boxu, který jste vytvořili.

Následující diagram znázorňuje tok dat prostřednictvím řešení Azure Data Box z místního prostředí do Azure a různé funkce zabezpečení, které jsou součástí řešení. Tento tok je určený pro objednávku importu data Boxu.

Data Box import security

Následující diagram je určený pro objednávku exportu data Boxu.

Data Box export security

Při průchodu dat tímto řešením se protokolují události a generují se protokoly. Další informace naleznete v:

Funkce zabezpečení

Data Box představuje bezpečné řešení pro přenos dat díky tomu, že prohlížet, upravovat a mazat data mohou jen oprávněné entity. Bezpečnostní funkce tohoto řešení se týkají disku a související služby a zajišťují maximální bezpečí uložených dat.

Ochrana zařízení Data Box

Zařízení Data Box je chráněno následujícími funkcemi.

  • Odolné pouzdro zařízení, které odolá nárazům, nešetrné přepravě a vnějším podmínkám.
  • Hardwarová a softwarová detekce nedovolené manipulace, která zabrání dalšímu používání zařízení.
  • Čip TPM (Trusted Platform Module), který provádí hardwarové funkce související se zabezpečením. Konkrétně čip TPM spravuje a chrání tajné kódy a data, která je potřeba na zařízení zachovat.
  • Běží pouze na softwaru specifickém pro Data Box.
  • Spouští se v uzamčeném stavu.
  • Řídí přístup k zařízení prostřednictvím klíče pro odemknutí zařízení. Tento klíč je chráněný šifrovacím klíčem. Klíč spravovaný zákazníkem můžete použít k ochraně klíče. Další informace najdete v tématu Používání klíčů spravovaných zákazníkem ve službě Azure Key Vault pro Azure Data Box.
  • Přístupové přihlašovací údaje ke kopírování na zařízení a ze zařízení. Každý přístup na stránku Přihlašovací údaje zařízení na webu Azure Portal se protokoluje v protokolech aktivit.
  • Pro zařízení a sdílení přístupu můžete použít vlastní hesla. Další informace najdete v tématu Kurz: Objednání Azure Data Boxu.

Navázání vztahu důvěryhodnosti se zařízením prostřednictvím certifikátů

Zařízení Data Box umožňuje používat vlastní certifikáty a nainstalovat je pro připojení k místnímu webovému uživatelskému rozhraní a úložišti objektů blob. Další informace najdete v tématu Použití vlastních certifikátů se zařízeními Data Box a Data Box Heavy.

Ochrana dat na zařízení Data Box

Data, která se na zařízení Data Box ukládají a která se z něho kopírují, jsou chráněna následujícími funkcemi:

  • 256bitové šifrování AES pro neaktivní uložená data. V prostředí s vysokým zabezpečením můžete použít dvojité šifrování založené na softwaru. Další informace najdete v tématu Kurz: Objednání Azure Data Boxu.
  • Pro přenášená data je možné použít šifrované protokoly. Doporučujeme používat protokol SMB 3.0 s šifrováním k ochraně dat při kopírování z datových serverů.
  • Po nahrání do Azure z zařízení je bezpečné vymazání dat. Vymazání dat je v souladu s pokyny v dodatku A pro pevné disky ATA ve standardech NIST 800-88r1. Událost vymazání dat se zaznamenává v historii objednávek.

Ochrana služby Data Box

Služba Data Box Disk je chráněná následujícími funkcemi.

  • Přístup ke službě Data Box vyžaduje, aby vaše organizace měla předplatné Azure, které zahrnuje Data Box. Vaše předplatné určuje funkce, které máte na webu Azure Portal dostupné.
  • Protože služba Data Box je hostovaná v Azure, je chráněna funkcemi zabezpečení Azure. Další informace o funkcích zabezpečení poskytovaných v prostředí Microsoft Azure najdete v Centru zabezpečení Microsoft Azure.
  • Přístup k objednávce Data Boxu je možné řídit pomocí rolí Azure. Další informace najdete v tématu Nastavení řízení přístupu pro objednávku Data Boxu.
  • Služba Data Box ukládá heslo pro odemknutí používané k odemknutí zařízení ve službě.
  • Služba Data Box ukládá údaje o objednávce a stavu přenosu v úložišti služby. Tyto informace se odstraní při smazání objednávky.

Správa osobních údajů

Azure Data Box shromažďuje a zobrazuje osobní údaje v následujících klíčových instancích služby:

  • Nastavení oznámení – při vytvoření objednávky můžete nastavit e-mailovou adresu uživatele v rámci nastavení oznámení. Tyto údaje může prohlížet pouze správce. Tyto údaje se odstraní, jakmile úloha dosáhne konečného stavu nebo když objednávku smažete.

  • Podrobnosti objednávky – Po vytvoření objednávky se na webu Azure Portal uloží dodací adresa, e-mail a kontaktní informace uživatelů. Uložené údaje zahrnují:

    • Jméno kontaktu

    • Telefonní číslo

    • E-mail

    • Adresa ulice

    • City (Město)

    • PSČ

    • State

    • Provincie/kraj/oblast

    • Číslo účtu dopravce

    • Sledovací číslo zásilky

      Údaje objednávky služba Data Box smaže po dokončení úlohy nebo když objednávku smažete.

  • Dodací adresa – po objednání služba Data Box předá dodací adresu externímu dopravci, jako je například UPS nebo DHL.

Další informace najdete v Zásadách ochrany osobních údajů společnosti Microsoft v Centru zabezpečení.

Referenční pokyny pro zabezpečení

V zařízení Data Box jsou implementovány následující pokyny pro zabezpečení:

Pokyn Popis
IEC 60529 IP52 Ochrana před vodou a prachem
ISTA 2A Odolnost před nešetrným zacházením při přepravě
NIST SP 800-147 Bezpečná aktualizace firmwaru
FIPS 140-2 Level 2 Ochrana dat
Příloha A pro pevné disky ATA v NIST SP 800-88r1 Sanitizace dat

Další kroky