Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Data Box proporciona una solución segura para proteger los datos al garantizar que solo las entidades autorizadas puedan ver, modificar o eliminar los datos. En este artículo se describen las características de seguridad de Azure Data Box que ayudan a proteger cada uno de los componentes de la solución Data Box y los datos almacenados en ellos.
Nota:
En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Para obtener información general sobre RGPD, consulte Información sobre los procedimientos recomendados para el cumplimiento del RGPD y la sección RGPD del portal de confianza de servicios.
Flujo de datos a través de componentes
La solución Microsoft Azure Data Box consta de cuatro componentes principales que interactúan entre sí:
- Servicio Azure Data Box hospedado en Azure: el servicio de administración que se usa para crear el pedido del dispositivo, configurar el dispositivo y, a continuación, supervisar el pedido hasta que se realiza.
- Dispositivo de Data Box: el dispositivo de transferencia que se envía para importar los datos del entorno local a Azure.
- Clientes/hosts conectados al dispositivo: los clientes en la infraestructura que se conectan al dispositivo de Data Box y contienen los datos que se deben proteger.
- Almacenamiento en la nube : la ubicación en la nube de Azure donde se almacenan los datos. Suele ser la cuenta de almacenamiento vinculada al recurso de Azure Data Box que ha creado.
En el diagrama siguiente se muestra el flujo de datos local de un pedido de importación a Azure a través de la solución Azure Data Box. También se resaltan las distintas características de seguridad de la solución.
En el diagrama siguiente se muestra un flujo de datos de pedido de exportación para Data Box.
Los registros se generan y se realiza un seguimiento de los datos de eventos a medida que fluyen los datos a través de esta solución. Para obtener más información, consulte:
- Seguimiento y registro de eventos para los pedidos de importación de Azure Data Box.
- Seguimiento y registro de eventos para los pedidos de exportación de Azure Data Box.
Características de seguridad
Data Box proporciona una solución segura para proteger los datos al garantizar que solo las entidades autorizadas puedan ver, modificar o eliminar los datos. Las características de seguridad de esta solución están destinadas al disco y al servicio asociado, lo que garantiza la seguridad de los datos almacenados.
Protección del dispositivo Data Box
El dispositivo Data Box se protege mediante las siguientes características:
- Una carcasa resistente de dispositivo que protege contra choques, transporte volátil y condiciones ambientales desfavorables.
- Detección de manipulaciones en hardware y software que impide más operaciones en el dispositivo.
- Sistema de detección de intrusiones integrado que identifica el acceso físico no autorizado a los dispositivos.
- La tecnología Semper Secure Flash integrada con una raíz de confianza de hardware (RoT) dentro de la memoria flash garantiza la integridad del firmware y permite actualizaciones seguras sin modificaciones de hardware.
- Tiene un Módulo de plataforma segura (TPM) que realiza funciones basadas en hardware relacionadas con la seguridad. El TPM administra y protege los secretos y los datos que deben conservarse en el dispositivo.
- Las limitaciones de ejecución restringen la ejecución al software propietario específico de Data Box.
- Estado de arranque bloqueado predeterminado.
- Acceso de dispositivo controlado a través de una clave de desbloqueo de dispositivo y una clave de cifrado. Puede usar su propia clave administrada por el cliente para proteger la clave de paso. Para más información, consulte Uso de claves administradas por el cliente en Azure Key Vault para Azure Data Box.
- Credenciales de acceso para copiar datos hacia y desde el dispositivo. Todos los accesos a la página Credenciales del dispositivo en Azure Portal quedan registrados en los registros de actividad.
- Puede usar sus propias contraseñas para el acceso de dispositivos y recursos compartidos. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.
- Una carcasa resistente de dispositivo que protege contra choques, transporte volátil y condiciones ambientales desfavorables.
- Detección de manipulaciones en hardware y software que impide más operaciones en el dispositivo.
- Tiene un Módulo de plataforma segura (TPM) que realiza funciones basadas en hardware relacionadas con la seguridad. El TPM administra y protege los secretos y los datos que deben conservarse en el dispositivo.
- Limita la ejecución a software propietario específico de Data Box.
- Arranca de forma predeterminada en un estado bloqueado.
- Acceso de dispositivo controlado a través de una clave de desbloqueo de dispositivo y una clave de cifrado. Puede usar su propia clave administrada por el cliente para proteger la clave de paso. Para más información, consulte Uso de claves administradas por el cliente en Azure Key Vault para Azure Data Box.
- Credenciales de acceso para copiar datos hacia y desde el dispositivo. Todos los accesos a la página Credenciales del dispositivo en Azure Portal quedan registrados en los registros de actividad.
- Puede usar sus propias contraseñas para el acceso de dispositivos y recursos compartidos. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.
Establecer la confianza con el dispositivo mediante certificados
Un dispositivo Data Box le permite usar sus propios certificados al conectarse a la interfaz de usuario web local y al almacenamiento de blobs. Para obtener más información, consulte Uso de sus propios certificados con dispositivos Data Box.
Protección de datos de Data Box
Los datos que fluyen en Data Box se protegen mediante las siguientes características:
- Cifrado AES de 256 bits para datos en reposo. En un entorno de alta seguridad, puede usar el cifrado doble basado en software. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.
- Cifrado basado en software mejorado por el cifrado de hardware basado en controlador RAID.
- Se pueden usar protocolos cifrados para los datos en movimiento. Se recomienda utilizar SMB 3.0 con cifrado para proteger los datos cuando se copien de los servidores de datos.
- Eliminación segura de los datos desde el dispositivo una vez completada la carga de datos en Azure. La eliminación de datos se ha establecido de acuerdo con las instrucciones del Apéndice A para las unidades de disco duro ATA en el estándar NIST 800-88r1. El evento de eliminación de datos se registra en el historial de pedidos.
- Cifrado AES de 256 bits para datos en reposo. En un entorno de alta seguridad, puede usar el cifrado doble basado en software. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.
- Se pueden usar protocolos cifrados para los datos en movimiento. Se recomienda utilizar SMB 3.0 con cifrado para proteger los datos cuando se copien de los servidores de datos.
- Eliminación segura de los datos desde el dispositivo una vez completada la carga de datos en Azure. La eliminación de datos se ha establecido de acuerdo con las instrucciones del Apéndice A para las unidades de disco duro ATA en el estándar NIST 800-88r1. El evento de eliminación de datos se registra en el historial de pedidos.
Protección del servicio Data Box
El servicio Data Box se protege mediante las siguientes características:
- El acceso al servicio Data Box requiere una suscripción de Azure habilitada para Data Box. Las suscripciones individuales limitan el acceso a las características de Azure Portal.
- Dado que el servicio Data Box se hospeda en Azure, está protegido por las características de seguridad de Azure. Para obtener más información acerca de las características de seguridad que proporciona Microsoft Azure, visite el Centro de confianza de Microsoft Azure.
- El acceso al pedido de Data Box se puede controlar a través del uso de roles de Azure. Para obtener más información, consulte Set up access control for Data Box order (Configuración del control de accesos para el pedido de Data Box).
- El servicio Data Box almacena la contraseña usada para desbloquear el dispositivo.
- El servicio Data box almacena los detalles y el estado del pedido. El servicio Data Box elimina esta información cuando el trabajo alcanza el estado de terminal o al eliminar el pedido.
Administración de datos personales
La recopilación y visualización de información personal de Azure Data Box se limita a las siguientes instancias clave del servicio:
Configuración de notificación: al crear un pedido, se configuran las opciones de notificación para usar la dirección de correo electrónico de un usuario. Esta información es visible para el administrador. El servicio Data Box elimina esta información cuando el trabajo alcanza el estado de terminal o al eliminar el pedido.
Detalles del pedido: una vez creado el pedido, la dirección de envío, el correo electrónico y la información de contacto de los usuarios se almacenan en Azure Portal. Esta información incluye lo siguiente:
Nombre de contacto
Número de teléfono
Email
Dirección
City
Código postal
State
País/región/provincia
Número de cuenta del transportista
Número de seguimiento del envío
El servicio Data Box elimina los detalles del pedido cuando el trabajo alcanza el estado de terminal o al eliminar el pedido.
Dirección de envío : después de realizar el pedido, el servicio Data Box proporciona la dirección de envío a socios de envío como UPS o DHL.
Para obtener más información, revise la directiva de privacidad de Microsoft en el Centro de confianza.
Referencia de directrices de seguridad
Las siguientes directrices de seguridad están implementadas en Data Box:
| Directrices | Descripción |
|---|---|
| IEC 60529 IP52 | Protección contra el agua y el polvo |
| ISTA 2A | Resistencia de las condiciones de transporte volátiles |
| NIST SP 800-147 | Actualización de firmware segura |
| FIPS 140-2 nivel 2 | Protección de los datos |
| Apéndice A, para unidades de disco duro ATA en NIST SP 800-88r1 | Saneamiento de datos |
Detalles de borrado seguro y desinfección de medios.
El proceso de borrado seguro realizado en nuestros dispositivos es compatible con NIST SP 800-88r1 y a continuación se muestran los detalles de la implementación:
| Dispositivo | Tipo de borrado de datos | Herramienta usada |
|---|---|---|
| Azure Data Box | En la nube pública: Crypto Erase En la nube gubernamental: Borrado criptográfico + Sobrescritura de disco |
Herramienta ARCCONF |
| Azure Data Box 120 | En la nube pública y gubernamental: bloquear borrado | Herramienta ARCCONF |
| Azure Data Box 525 | En la nube pública y gubernamental: bloquear borrado | Herramienta ARCCONF |
| Azure Data Box Disk | En la nube pública y gubernamental: bloquear borrado | Herramienta MSECLI |
Pasos siguientes
- Revise los requisitos de Data Box.
- Información acerca de los límites de Data Box.
- Implemente rápidamente Azure Data Box en Azure Portal.