Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Data Box fournit une solution sécurisée pour la protection des données en veillant à ce que seules les entités autorisées affichent, modifient ou suppriment vos données. Cet article décrit les fonctionnalités de sécurité du disque Azure Data Box qui permettent de protéger chacun des composants de la solution Data Box et les données stockées sur ces derniers.
Remarque
Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.
Flux de données via des composants
La solution Microsoft Azure Data Box repose sur l’interaction de quatre composants principaux :
- Service Azure Data Box hébergé dans Azure : le service de gestion qui vous permet de créer la commande de l’appareil, de configurer l’appareil et de suivre la commande jusqu'à son achèvement.
- Appareil Data Box : appareil de transfert qui vous est livré pour importer vos données locales dans Azure.
- Les clients/hôtes connectés à l’appareil : les clients de votre infrastructure se connectant à l’appareil Data Box et contenant des données devant être protégées.
- Le stockage cloud : emplacement dans le cloud Azure où les données sont stockées. Cet emplacement correspond généralement au compte de stockage lié à la ressource Azure Data Box que vous avez créée.
Le diagramme suivant montre le flux de données local d’une commande d’importation vers Azure via la solution Azure Data Box. Les différentes fonctionnalités de sécurité de la solution sont également mises en évidence.
Le diagramme suivant montre un flux de données d’ordre d’exportation pour votre Data Box.
Les journaux sont générés et les données d’événement sont suivies en tant que flux de données via cette solution. Pour plus d'informations, accédez à :
- Suivi et journalisation des événements pour les commandes d’importation de votre Azure Data Box.
- Suivi et journalisation des événements pour les commandes d’exportation de votre Azure Data Box
Fonctionnalités de sécurité
Data Box fournit une solution sécurisée pour la protection des données en veillant à ce que seules les entités autorisées affichent, modifient ou suppriment vos données. Les fonctionnalités de sécurité de cette solution pour le disque et le service associé, garantissent la sécurité des données stockées sur ces derniers.
Protection de l’appareil Data Box
Le service Data Box est protégé par les fonctionnalités suivantes :
- Un boîtier robuste qui protège contre les chocs, les transports volatiles et les conditions environnementales défavorables.
- Un système de détection des altérations matérielles et logicielles empêchant d’autres opérations sur l’appareil.
- Système de détection d’intrusion intégré qui identifie l’accès physique non autorisé aux appareils.
- La technologie Semper Secure Flash intégrée à une racine de confiance matérielle (RoT) au sein de la mémoire flash, garantissant ainsi l’intégrité du microprogramme et l’activation des mises à jour sécurisées sans modification matérielle.
- Module de plateforme sécurisée (TPM) qui effectue des fonctions matérielles et liées à la sécurité. Le module TPM gère et protège les secrets et les données qui doivent être conservés sur l’appareil.
- Les limitations d’exécution limitent l’exécution à des logiciels propres à Data Box propriétaires.
- État de démarrage verrouillé par défaut.
- Accès de l'appareil contrôlé via une clé de chiffrement et une clé de déverrouillage de l'appareil. Vous pouvez utiliser votre propre clé gérée par le client pour protéger la clé d’accès. Pour plus d’informations, consultez Utiliser des clés gérées par le client dans Azure Key Vault pour Azure Data Box.
- Identifiants d’accès pour copier des données vers et depuis l’appareil. Tous les accès à la page Informations d’identification de l’appareil dans le portail Azure sont consignés dans les journaux d’activité.
- Vous pouvez utiliser vos propres mots de passe pour l’accès aux appareils et aux partages. Pour plus d’informations, consultez Tutoriel : commander une Azure Data Box.
- Un boîtier robuste qui protège contre les chocs, les transports volatiles et les conditions environnementales défavorables.
- Un système de détection des altérations matérielles et logicielles empêchant d’autres opérations sur l’appareil.
- Module de plateforme sécurisée (TPM) qui effectue des fonctions matérielles et liées à la sécurité. Le module TPM gère et protège les secrets et les données qui doivent être conservés sur l’appareil.
- Limite l’exécution à des logiciels propriétaires spécifiques à Data Box.
- Démarre par défaut dans un état verrouillé.
- Accès de l'appareil contrôlé via une clé de chiffrement et une clé de déverrouillage de l'appareil. Vous pouvez utiliser votre propre clé gérée par le client pour protéger la clé d’accès. Pour plus d’informations, consultez Utiliser des clés gérées par le client dans Azure Key Vault pour Azure Data Box.
- Identifiants d’accès pour copier des données vers et depuis l’appareil. Tous les accès à la page Informations d’identification de l’appareil dans le portail Azure sont consignés dans les journaux d’activité.
- Vous pouvez utiliser vos propres mots de passe pour l’accès aux appareils et aux partages. Pour plus d’informations, consultez Tutoriel : commander une Azure Data Box.
Établir une relation de confiance avec l’appareil via des certificats
Un appareil Data Box vous permet d’utiliser vos propres certificats lors de la connexion à l’interface utilisateur web locale et au stockage BLOB. Pour plus d’informations, consultez Utiliser vos propres certificats avec des appareils Data Box.
Protection des données Data Box
Les données qui circulent vers et depuis Data Box sont protégées par les fonctionnalités suivantes :
- Chiffrement AES 256 bits pour les données au repos. Dans un environnement de haute sécurité, vous pouvez utiliser le double chiffrement basé sur logiciel. Pour plus d’informations, consultez Tutoriel : commander une Azure Data Box.
- Chiffrement basé sur logiciel amélioré par le chiffrement matériel basé sur le contrôleur RAID.
- Des protocoles chiffrés peuvent être utilisés pour les données en transit. Nous vous recommandons d’utiliser SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.
- Effacement sécurisé des données de l’appareil une fois le chargement des données vers Azure terminé. L’effacement des données est conforme aux instructions de l’annexe A relative aux lecteurs de disque dur ATA dans les normes NIST 800-88r1. L’événement d’effacement de données est enregistré dans le l’historique des commandes.
- Chiffrement AES 256 bits pour les données au repos. Dans un environnement de haute sécurité, vous pouvez utiliser le double chiffrement basé sur logiciel. Pour plus d’informations, consultez Tutoriel : commander une Azure Data Box.
- Des protocoles chiffrés peuvent être utilisés pour les données en transit. Nous vous recommandons d’utiliser SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.
- Effacement sécurisé des données de l’appareil une fois le chargement des données vers Azure terminé. L’effacement des données est conforme aux instructions de l’annexe A relative aux lecteurs de disque dur ATA dans les normes NIST 800-88r1. L’événement d’effacement de données est enregistré dans le l’historique des commandes.
Protection du service Data Box
Le service Data Box est protégé par les fonctionnalités suivantes.
- L’accès au service Data Box nécessite un abonnement Azure avec Data Box. Les abonnements individuels limitent l’accès aux fonctionnalités dans le portail Azure.
- Étant donné que le service Data Box est hébergé dans Azure, il est protégé par les fonctionnalités de sécurité Azure. Pour plus d’informations sur les fonctionnalités de sécurité fournies par Microsoft Azure, accédez au Centre de confidentialité Microsoft Azure.
- L’accès à la commande Data Box peut être contrôlé par le biais de l’utilisation des rôles Azure. Pour plus d’informations, consultez Configurer le contrôle d’accès pour la commande Data Box
- Le service Data Box stocke le mot de passe utilisé pour déverrouiller l’appareil.
- Le service Data Box stocke les détails et l’état des commandes. Le service Data Box supprime ces informations lorsque le travail atteint l’état du terminal ou lorsque vous supprimez la commande.
Gestion des données personnelles
La collecte et l’affichage des informations personnelles par Azure Data Box sont limitées aux instances clés suivantes dans le service :
Paramètres de notification : lorsque vous créez une commande, vous configurez les paramètres de notification pour utiliser l’adresse e-mail d’un utilisateur. Ces informations sont visibles par l’administrateur. Le service Data Box supprime ces informations lorsque le travail atteint l’état du terminal ou lorsque vous supprimez la commande.
Détails de la commande : une fois la commande créée, l’adresse d’expédition, l’e-mail et les informations de contact des utilisateurs sont stockées dans le portail Azure. Ces informations incluent :
Nom du contact
Numéro de téléphone
E-mail
Adresse postale
City
Code postal
State
Pays/Province/Région
Numéro de compte du transporteur
Numéro de suivi d’expédition
Le service Data Box supprime les détails de la commande lorsque le travail atteint l’état du terminal ou lorsque vous supprimez la commande.
Adresse d’expédition : une fois la commande passée, le service Data Box fournit l’adresse d’expédition aux partenaires d’expédition tels que UPS ou DHL.
Pour plus d’informations, consultez la Politique de confidentialité Microsoft sur le Centre de gestion de la confidentialité.
Référence des instructions de sécurité
Les consignes de sécurité suivantes sont implémentées dans Data Box :
| Instruction | Description |
|---|---|
| IEC 60529 IP52 | Protection contre l’eau et la poussière |
| ISTA 2A | Endurance des conditions de transport volatiles |
| NIST SP 800-147 | Mise à jour sécurisée du microprogramme |
| FIPS 140-2 niveau 2 | Protection de données |
| Annexe A, concernant les lecteurs de disque durs ATA dans NIST SP 800-88r1 | Nettoyage des données |
Détails de l'effacement sécurisé des supports
Le processus d’effacement sécurisé effectué sur nos appareils est conforme à NIST SP 800-88r1 et voici les détails de l’implémentation :
| Appareil | Type d’effacement des données | Outil utilisé |
|---|---|---|
| Azure Data Box | Dans le cloud public : Effacement de chiffrement Dans le cloud Gov : Crypto Erase + réécriture du disque |
Outil ARCCONF |
| Azure Data Box 120 | Dans le cloud Public et Gouvernement : Effacement par bloc | Outil ARCCONF |
| Azure Data Box 525 | Dans le cloud Public et Gouvernement : Effacement par bloc | Outil ARCCONF |
| Azure Data Box Disk | Dans le cloud Public et Gouvernement : Effacement par bloc | Outil MSECLI |
Étapes suivantes
- Consultez les Conditions requises pour le système Data Box.
- Comprendre les limites de Data Box.
- Déployez rapidement Azure Data Box sur le portail Azure.