Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Data Box biztonságos megoldást kínál az adatok védelmére, mivel garantálja, hogy az adatokat csak a jogosult entitások tekinthetik meg, módosíthatják vagy törölhetik. A cikk az Azure Data Box biztonsági szolgáltatásait ismerteti, amelyekkel biztosítható a Data Box megoldás összetevőinek és a bennük tárolt adatoknak a védelme.
Megjegyzés
Ez a cikk a személyes adatok eszközről vagy szolgáltatásból való törlésének lépéseit ismerteti, és a GDPR szerinti kötelezettségek támogatására használható. A GDPR-ról a Microsoft Adatvédelmi központ GDPR-szakaszában, valamint a Szolgáltatásmegbízhatósági portál GDPR-szakaszában találhat általános információkat.
Az adatok áramlása az összetevők között
A Microsoft Azure Data Box megoldást négy, egymással együttműködő fő összetevő alkotja:
- Az Azure-ban üzemeltetett Azure Data Box szolgáltatás – a felügyeleti szolgáltatás, amellyel eszközmegrendeléseket hozhat létre, konfigurálhatja az eszközöket, majd nyomon követheti a rendelést a teljesítésig.
- Data Box-eszköz – az átviteli eszköz, amelyet helyszíni adatai az Azure-ba való importálásához kiküldünk Önnek.
- Az eszközhöz csatlakoztatott ügyfelek/gazdagépek – az infrastruktúra védeni kívánt adatokat tartalmazó, a Data Box-eszközhöz csatlakozó ügyfelei.
- Felhőalapú tároló – a hely az Azure-felhőben, ahol az adatok tárolása történik. Ez a hely általában a létrehozott Azure Data Box-erőforráshoz társított tárfiók.
Az alábbi ábra egy importálási rendelés helyszíni adatfolyamát mutatja be az Azure Data Box-megoldáson keresztül az Azure-ba. A megoldás különböző biztonsági funkciói is ki vannak emelve.
Az alábbi ábrán a Data Box exportálási rendelési adatfolyama látható.
A rendszer naplókat hoz létre, és az eseményadatok nyomon lesznek követve a megoldáson keresztüli adatfolyamként. További információ:
- Az Azure Data Box importálási rendeléseinek nyomon követése és eseménynaplózása.
- Azure Data Box-exportálási rendelések nyomon követése és eseménynaplózása
Biztonsági funkciók
A Data Box biztonságos megoldást kínál az adatok védelmére, mivel garantálja, hogy az adatokat csak a jogosult entitások tekinthetik meg, módosíthatják vagy törölhetik. A megoldás biztonsági szolgáltatásai a lemezekre és a rajtuk tárolt adatokat védő szolgáltatásra is vonatkoznak.
A Data Box-eszköz védelme
A Data Box-eszköz védelmét az alábbi funkciók biztosítják:
- Robusztus készülékház, amely védelmet nyújt a sokkok, a volatilis szállítás és a kedvezőtlen környezeti feltételek ellen.
- A hardverhez vagy a szoftverekhez való illetéktelen hozzáférés észlelése esetén az eszköz nem működtethető.
- Beépített behatolásészlelő rendszer, amely azonosítja az eszközökhöz való jogosulatlan fizikai hozzáférést.
- A Semper Secure Flash technológia integrálva van egy hardveres megbízhatósági gyökerével (RoT) a flash memóriában, biztosítva a belső vezérlőprogram integritását, és lehetővé teszi a biztonságos frissítéseket hardvermódosítások nélkül.
- Egy megbízható platformmodul (TPM), amely hardveralapú, biztonsággal kapcsolatos funkciókat hajt végre. A TPM kezeli és védi az eszközön megőrzendő titkos kulcsokat és adatokat.
- A végrehajtási korlátozások a végrehajtást a védett Data Box-specifikus szoftverekre korlátozzák.
- Alapértelmezett zárolt rendszerindítási állapot.
- Eszközhozzáférés egy eszköz zárolási kulcsával és titkosítási kulcsával vezérelve. A jelszó védelméhez használhatja saját, ügyfél által felügyelt kulcsát. További információért tekintse meg az Azure Key Vaultban tárolt, ügyfél által kezelt kulcsoknak az Azure Data Boxhoz történő használatát ismertető cikket.
- Az adatok külső helyre és helyről történő másolásához hozzáférési hitelesítő adatokat kell megadni. Az Azure Portal Eszköz hitelesítő adatai lapjának minden hozzáférése naplózva lesz a tevékenységnaplókban.
- Használhatja saját jelszavait az eszközhöz, és megoszthatja a hozzáférést. További információ: Oktatóanyag: Az Azure Data Box megrendelése.
- Robusztus készülékház, amely védelmet nyújt a sokkok, a volatilis szállítás és a kedvezőtlen környezeti feltételek ellen.
- A hardverhez vagy a szoftverekhez való illetéktelen hozzáférés észlelése esetén az eszköz nem működtethető.
- Egy megbízható platformmodul (TPM), amely hardveralapú, biztonsággal kapcsolatos funkciókat hajt végre. A TPM kezeli és védi az eszközön megőrzendő titkos kulcsokat és adatokat.
- Korlátozza a végrehajtást a védett Data Box-specifikus szoftverekre.
- Alapértelmezés szerint zárolt állapotba lép.
- Eszközhozzáférés egy eszköz zárolási kulcsával és titkosítási kulcsával vezérelve. A jelszó védelméhez használhatja saját, ügyfél által felügyelt kulcsát. További információért tekintse meg az Azure Key Vaultban tárolt, ügyfél által kezelt kulcsoknak az Azure Data Boxhoz történő használatát ismertető cikket.
- Az adatok külső helyre és helyről történő másolásához hozzáférési hitelesítő adatokat kell megadni. Az Azure Portal Eszköz hitelesítő adatai lapjának minden hozzáférése naplózva lesz a tevékenységnaplókban.
- Használhatja saját jelszavait az eszközhöz, és megoszthatja a hozzáférést. További információ: Oktatóanyag: Az Azure Data Box megrendelése.
Megbízhatóság létrehozása az eszközzel tanúsítványokon keresztül
A Data Box-eszközök segítségével saját tanúsítványokat használhat a helyi webes felhasználói felülethez és blobtárolóhoz való csatlakozáskor. További információ: Saját tanúsítványok használata Data Box-eszközökkel.
A Data Box-adatok védelme
A Data Box szolgáltatás bejövő és kimenő adatainak biztonságát az alábbi szolgáltatások biztosítják:
- AES 256 bites titkosítás inaktív adatokhoz. Magas biztonsági környezetben szoftveralapú dupla titkosítást használhat. További információ: Oktatóanyag: Az Azure Data Box megrendelése.
- A RAID vezérlőalapú hardvertitkosításával bővített szoftveralapú titkosítás.
- A titkosított protokollok átvitel közben is biztosítják az adatok védelmét. Javasoljuk, hogy az SMB 3.0 titkosítással védje az adatokat, amikor az adatkiszolgálókról másolja azokat.
- Az azure-ba való feltöltés után biztonságosan törölhetők az adatok az eszközről. Az adattörlés összhangban van az A. függelékben meghatározott irányelvekkel az NIST 800-88r1 szabványban található ATA-merevlemezekhez. Az adattörlési esemény a rendelési előzményekben lesz rögzítve.
- Az inaktív adatokat 256 bites AES titkosítással védjük. Magas biztonsági környezetben szoftveralapú dupla titkosítást használhat. További információ: Oktatóanyag: Az Azure Data Box megrendelése.
- A titkosított protokollok átvitel közben is biztosítják az adatok védelmét. Javasoljuk, hogy az SMB 3.0 titkosítással védje az adatokat, amikor az adatkiszolgálókról másolja azokat.
- Az azure-ba való feltöltés után biztonságosan törölhetők az adatok az eszközről. Az adattörlés összhangban van az A. függelékben meghatározott irányelvekkel az NIST 800-88r1 szabványban található ATA-merevlemezekhez. Az adattörlési esemény a rendelési előzményekben lesz rögzítve.
A Data Box szolgáltatás védelme
A Data Box szolgáltatás biztonságát az alábbi funkciók biztosítják.
- A Data Box szolgáltatáshoz való hozzáféréshez Data Box-kompatibilis Azure-előfizetés szükséges. Az egyes előfizetések korlátozzák az Azure Portal funkcióinak elérését.
- Mivel a Data Box szolgáltatás az Azure-ban üzemel, az Azure biztonsági funkciói védik. A Microsoft Azure által biztosított biztonsági funkciókról a Microsoft Azure biztonsági és adatkezelési központban talál további információt.
- A Data Box-rendeléshez való hozzáférés az Azure-szerepkörök használatával szabályozható. További információ: Hozzáférés-vezérlés beállítása a Data Box-rendeléshez
- A Data Box szolgáltatás tárolja az eszköz zárolásának feloldásához használt jelszót.
- A Data box szolgáltatás tárolja a rendelés részleteit és állapotát. A Data Box szolgáltatás törli ezeket az adatokat, amikor a feladat eléri a terminálállapotot, vagy amikor törli a rendelést.
Személyes adatok kezelése
A személyes adatok Azure Data Box általi gyűjtése és megjelenítése a szolgáltatás következő fő példányaira korlátozódik:
Értesítési beállítások – Megrendelés létrehozásakor az értesítési beállításokat úgy konfigurálja, hogy a felhasználó e-mail-címét használja. Ez az információ látható a rendszergazda számára. A Data Box szolgáltatás törli ezeket az adatokat, amikor a feladat eléri a terminálállapotot, vagy amikor törli a rendelést.
Rendelés részletei – A rendelés létrehozása után a felhasználók szállítási címét, e-mail-címét és kapcsolattartási adatait az Azure Portal tárolja. Ezek az információk a következőket tartalmazzák:
Kapcsolattartó neve
Telefonszám
Email
Utcai cím
Város
Irányítószám
Állapot
Ország/Tartomány/Régió
Szállítmányozó fiókszáma
Szállítmány nyomkövetési száma
A Data Box szolgáltatás törli a rendelés részleteit, amikor a feladat eléri a terminálállapotot, vagy amikor törli a rendelést.
Szállítási cím – A megrendelés elküldése után a Data Box szolgáltatás megadja a szállítási címet a szállítási partnereknek, például a UPS-nek vagy a DHL-nek.
További információkért lásd a Microsoft szabályzatát a biztonsági és adatkezelési központban.
Biztonsági irányelvek – referencia
A Data Box szolgáltatásra a következő biztonsági irányelvek vonatkoznak:
| Irányelv | Leírás |
|---|---|
| IEC 60529 IP52 | Víz- és porvédelem |
| ISTA 2A | Az illékony szállítási feltételek tartóssága |
| NIST SP 800-147 | Belső vezérlőprogram biztonságos frissítése |
| 2. szintű FIPS 140-2 | Adatvédelem |
| A melléklet A, amely az ATA-merevlemez-meghajtókra vonatkozik a NIST SP 800-88r1-ben. | Adattisztítás |
Médiafertőtlenítés részleteinek biztonságos törlése
Az eszközeinken végzett biztonságos törlési folyamat megfelel az NIST SP 800-88 2. változatának. Az ügyfelek egy biztonságos törlési tanúsítványt is kapnak, amely a törlési folyamat részeként automatikusan jön létre, és közvetlenül az Azure Portalról érhető el a megrendelés befejezése után. A tanúsítvány letölthető, és megerősíti, hogy az eszközön lévő összes adat biztonságosan törölve lett a NIST-szabványok által megkövetelt megvalósítási adatokkal együtt, ezáltal növelve a biztonsági biztonságot, és leegyszerűsíti a szigorúan szabályozott és bizalmas forgatókönyvek megfelelőségét. Az alábbi táblázat a megvalósítás részleteit ismerteti:
| Eszköz | Adattörlés típusa | Használt eszköz |
|---|---|---|
| Azure Data Box 120 | Blokk törlés | ARCCONF 4.17.00 eszköz |
| Azure Data Box 525 | Blokk törlés | ARCCONF 4.17.00 eszköz |
| Azure Data Box Disk | Blokk törlése | MSECLI eszköz |
Az alábbiakban egy Data Box 120-eszközhöz tartozó mintatanúsítvány látható:
Microsoft Azure Data Box Certificate of Erasure
SubscriptionName: <>
ResourceGroupName: <>
JobName: <>
{
"MediaInformation": {
"Model": "Azure Data Box 120",
“Manufacturer”:XXXXX
"SerialNumber": "XXXXXXX",
"Disks": ["ABC1", "ABC2"],
"MediaType": "Flash Memory SSDs",
"DataBackedUp": "No backup created before erasure"
}
"SanitizationDetails": {
"ErasureMethodType": "NIST 800-88 Purge",
"MethodUsed": "Block Erase",
"ToolsUsed": "ARCCONF tool",
"Verification Methods": "Random 10% sampling + Secondary 2% Sampling"
}
"MediaDestination": "Azure Inventory"
"Signature": {
"Details": "We hereby state that the data erasure and validation process has been carried out in accordance with the NIST 800-88r2 standards. ",
"SanitizedBy": "Azure Data Box team",
"Date": "YYYY-MM-DD HH:MM:SS"
}
}
Következő lépések
- A Data Box használatára vonatkozó előfeltételek áttekintése.
- A Data Box korlátjainak értelmezése.
- Az Azure Data Box gyors üzembe helyezése az Azure Portalon.