Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Data Box menyediakan solusi yang aman untuk perlindungan data dengan memastikan bahwa hanya entitas yang berwenang yang dapat melihat, memodifikasi, atau menghapus data Anda. Artikel ini menjelaskan fitur keamanan Azure Data Box yang membantu melindungi setiap komponen solusi Data Box dan data yang tersimpan di dalamnya.
Catatan
Artikel ini memberikan langkah-langkah tentang cara menghapus data privat dari perangkat atau layanan dan dapat digunakan untuk mendukung kewajiban Anda berdasarkan GDPR. Untuk informasi umum tentang GDPR, lihat bagian GDPR di Pusat Kepercayaan Microsoft dan bagian GDPR di portal Kepercayaan Layanan.
Aliran data melalui komponen
Solusi Microsoft Azure Data Box terdiri dari empat komponen utama yang berinteraksi satu sama lain:
- Layanan Azure Data Box yang dihosting di Azure – Layanan manajemen yang Anda gunakan untuk membuat pesanan perangkat, mengonfigurasi perangkat, lalu melacak urutan penyelesaiannya.
- Perangkat Data Box – Perangkat transfer yang dikirimkan kepada Anda untuk mengimpor data lokal Anda ke Azure.
- Klien/host yang terhubung ke perangkat - Klien dalam infrastruktur Anda yang terhubung ke perangkat Data Box dan berisi data yang perlu dilindungi.
- Penyimpanan cloud – Lokasi di cloud Azure tempat data disimpan. Lokasi ini biasanya merupakan akun penyimpanan yang ditautkan ke sumber daya Azure Data Box yang Anda buat.
Diagram berikut menunjukkan aliran data lokal pesanan impor ke Azure melalui solusi Azure Data Box. Berbagai fitur keamanan dalam solusi juga disorot.
Diagram berikut menunjukkan aliran data pesanan ekspor untuk Data Box Anda.
Log-log dihasilkan dan data peristiwa dilacak saat data mengalir melalui solusi ini. Selengkapnya, kunjungi:
- Pelacakan dan pengelogan kejadian untuk pesanan impor Azure Data Box Anda.
- Pelacakan dan pengelogan kejadian untuk pesanan ekspor Azure Data Box Anda
Fitur keamanan
Data Box menyediakan solusi yang aman untuk perlindungan data dengan memastikan bahwa hanya entitas yang berwenang yang dapat melihat, memodifikasi, atau menghapus data Anda. Fitur keamanan untuk solusi ini adalah untuk disk dan untuk layanan terkait yang memastikan keamanan data yang tersimpan di dalamnya.
Perlindungan perangkat Data Box
Perangkat Data Box dilindungi oleh fitur berikut:
- Casing perangkat tangguh yang melindungi dari guncangan, transportasi yang tak stabil, dan kondisi lingkungan yang buruk.
- Deteksi perusakan perangkat keras dan perangkat lunak yang mencegah operasi perangkat lebih lanjut.
- Sistem deteksi intrusi bawaan yang mengidentifikasi akses fisik yang tidak sah ke perangkat.
- Teknologi Semper Secure Flash yang terintegrasi dengan Root of Trust (RoT) perangkat keras dalam memori flash, memastikan integritas firmware dan mengaktifkan pembaruan aman tanpa modifikasi perangkat keras.
- Modul Platform Tepercaya (TPM) yang melakukan fungsi terkait keamanan berbasis perangkat keras. TPM mengelola dan melindungi rahasia dan data yang perlu dipertahankan pada perangkat.
- Batasan eksekusi membatasi eksekusi pada perangkat lunak khusus milik Data Box.
- Keadaan boot terkunci secara default.
- Akses perangkat dikontrol melalui kata sandi pembuka kunci perangkat dan kunci enkripsi. Anda dapat menggunakan kunci yang dikelola pelanggan milik Anda sendiri untuk melindungi kunci akses. Selengkapnya, lihat Menggunakan kunci yang dikelola pelanggan di Azure Key Vault untuk Azure Data Box.
- Kredensial akses untuk menyalin data ke dan dari perangkat. Setiap akses ke halaman Informasi masuk perangkat di portal Microsoft Azure dicatat di log aktivitas.
- Anda dapat menggunakan kata sandi Anda sendiri untuk perangkat dan berbagi akses. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.
- Casing perangkat tangguh yang melindungi dari guncangan, transportasi yang tak stabil, dan kondisi lingkungan yang buruk.
- Deteksi perusakan perangkat keras dan perangkat lunak yang mencegah operasi perangkat lebih lanjut.
- Modul Platform Tepercaya (TPM) yang melakukan fungsi terkait keamanan berbasis perangkat keras. TPM mengelola dan melindungi rahasia dan data yang perlu dipertahankan pada perangkat.
- Membatasi eksekusi pada perangkat lunak khusus yang spesifik untuk Data Box.
- Boot secara default ke dalam status terkunci.
- Akses perangkat dikontrol melalui kata sandi pembuka kunci perangkat dan kunci enkripsi. Anda dapat menggunakan kunci yang dikelola pelanggan milik Anda sendiri untuk melindungi kunci akses. Selengkapnya, lihat Menggunakan kunci yang dikelola pelanggan di Azure Key Vault untuk Azure Data Box.
- Kredensial akses untuk menyalin data ke dan dari perangkat. Setiap akses ke halaman Informasi masuk perangkat di portal Microsoft Azure dicatat di log aktivitas.
- Anda dapat menggunakan kata sandi Anda sendiri untuk perangkat dan berbagi akses. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.
Membangun kepercayaan dengan perangkat melalui sertifikat
Perangkat Data Box memungkinkan Anda menggunakan sertifikat Anda sendiri saat menyambungkan ke antarmuka pengguna web lokal dan penyimpanan blob. Untuk informasi selengkapnya, lihat Menggunakan sertifikat Anda sendiri dengan perangkat Data Box.
Perlindungan Data untuk Data Box
Data yang mengalir masuk dan keluar dari Data Box dilindungi oleh fitur berikut:
- Enkripsi AES 256-bit untuk data yang disimpan. Dalam lingkungan keamanan tinggi, Anda dapat menggunakan enkripsi ganda berbasis perangkat lunak. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.
- Enkripsi berbasis perangkat lunak ditingkatkan oleh enkripsi perangkat keras berbasis pengontrol RAID.
- Protokol terenkripsi dapat digunakan untuk data dalam perjalanan. Kami merekomendasikan untuk menggunakan SMB 3.0 dengan enkripsi untuk melindungi data saat Anda menyalinnya dari server data Anda.
- Penghapusan data yang aman dari perangkat setelah pengunggahan ke Azure selesai. Penghapusan data sesuai dengan pedoman dalam Lampiran A untuk Hard Disk Drive ATA dalam standar NIST 800-88r1. Kejadian penghapusan data direkam dalam riwayat pesanan.
- Enkripsi AES 256-bit untuk data saat tidak digunakan. Dalam lingkungan keamanan tinggi, Anda dapat menggunakan enkripsi ganda berbasis perangkat lunak. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.
- Protokol terenkripsi dapat digunakan untuk data dalam perjalanan. Kami merekomendasikan untuk menggunakan SMB 3.0 dengan enkripsi untuk melindungi data saat Anda menyalinnya dari server data Anda.
- Penghapusan data yang aman dari perangkat setelah pengunggahan ke Azure selesai. Penghapusan data sesuai dengan pedoman dalam Lampiran A untuk Hard Disk Drive ATA dalam standar NIST 800-88r1. Kejadian penghapusan data direkam dalam riwayat pesanan.
Perlindungan layanan Data Box
Perangkat Data Box dilindungi oleh fitur berikut.
- Akses ke layanan Data Box memerlukan langganan Azure dengan dukungan Data Box. Langganan individual membatasi akses ke fitur dalam portal Microsoft Azure.
- Karena layanan Data Box dihosting di Azure, layanan ini dilindungi oleh fitur keamanan Azure. Selengkapnya tentang fitur keamanan yang disediakan oleh Microsoft Azure, buka Pusat Kepercayaan Microsoft Azure.
- Akses ke pesanan Data Box dapat dikontrol melalui penggunaan peran Azure. Selengkapnya, lihat Menyiapkan kontrol akses untuk pesanan Data Box
- Layanan Data Box menyimpan kata sandi yang digunakan untuk membuka kunci perangkat.
- Layanan Data box menyimpan detail dan status pesanan. Layanan Data Box menghapus informasi ini saat pekerjaan mencapai status terminal atau saat Anda menghapus pesanan.
Mengelola data pribadi
Pengumpulan dan tampilan informasi pribadi oleh Azure Data Box terbatas pada instans utama berikut dalam layanan:
Pengaturan pemberitahuan - Saat membuat pesanan, Anda mengonfigurasi pengaturan pemberitahuan untuk menggunakan alamat email pengguna. Informasi ini terlihat oleh administrator. Layanan Data Box menghapus informasi ini saat pekerjaan mencapai status terminal atau saat Anda menghapus pesanan.
Detail pesanan – Setelah pesanan dibuat, alamat pengiriman, email, dan informasi kontak pengguna disimpan di portal Microsoft Azure. Informasi ini mencakup:
Nama kontak
Nomor telepon
Email
Alamat jalan
Kota
Kode Pos
Negara
Negara/Provinsi/Wilayah
Nomor akun operator
Nomor pelacakan pengiriman
Layanan Data Box menghapus detail pesanan saat pekerjaan mencapai status terminal atau saat Anda menghapus pesanan.
Alamat pengiriman – Setelah pesanan dilakukan, layanan Data Box menyediakan alamat pengiriman kepada mitra pengiriman seperti UPS atau DHL.
Untuk informasi lebih lanjut, tinjau Kebijakan Privasi Microsoft di Pusat Kepercayaan.
Referensi panduan keamanan
Panduan keamanan berikut ini diterapkan dalam Data Box:
| Pedoman | Deskripsi |
|---|---|
| IEC 60529 IP52 | Perlindungan air dan debu |
| ISTA 2A | Daya tahan kondisi transportasi yang volatil |
| NIST SP 800-147 | Pembaruan firmware yang aman |
| FIPS 140-2 Level 2 | Perlindungan data |
| Lampiran A, untuk Hard Disk Drive ATA di NIST SP 800-88r1 | Sanitasi data |
Detail penghapusan sanitasi media yang aman
Proses penghapusan aman yang dilakukan pada perangkat kami mematuhi NIST SP 800-88 Revisi 2. Pelanggan juga menerima Sertifikat Penghapusan Aman yang dibuat secara otomatis sebagai bagian dari proses pembersihan dan tersedia langsung dari portal Microsoft Azure setelah pesanan selesai. Sertifikat dapat diunduh dan mengonfirmasi semua data pada perangkat telah dihapus dengan aman bersama dengan detail implementasi yang diperlukan oleh standar NIST, sehingga meningkatkan jaminan keamanan dan menyederhanakan kepatuhan untuk skenario yang sangat diatur dan sensitif. Tabel di bawah ini mencakup detail implementasi:
| Perangkat | Jenis Penghapusan Data | Alat yang digunakan |
|---|---|---|
| Azure Data Box 120 | Penghapusan Blok | Alat ARCCONF 4.17.00 |
| Azure Data Box 525 | Penghapusan Blok | Alat ARCCONF 4.17.00 |
| Azure Data Box Disk | Hapus Blok | Alat MSECLI |
Di bawah ini adalah contoh sertifikat untuk perangkat Data Box 120:
Microsoft Azure Data Box Certificate of Erasure
SubscriptionName: <>
ResourceGroupName: <>
JobName: <>
{
"MediaInformation": {
"Model": "Azure Data Box 120",
“Manufacturer”:XXXXX
"SerialNumber": "XXXXXXX",
"Disks": ["ABC1", "ABC2"],
"MediaType": "Flash Memory SSDs",
"DataBackedUp": "No backup created before erasure"
}
"SanitizationDetails": {
"ErasureMethodType": "NIST 800-88 Purge",
"MethodUsed": "Block Erase",
"ToolsUsed": "ARCCONF tool",
"Verification Methods": "Random 10% sampling + Secondary 2% Sampling"
}
"MediaDestination": "Azure Inventory"
"Signature": {
"Details": "We hereby state that the data erasure and validation process has been carried out in accordance with the NIST 800-88r2 standards. ",
"SanitizedBy": "Azure Data Box team",
"Date": "YYYY-MM-DD HH:MM:SS"
}
}
Langkah berikutnya
- Tinjau Persyaratan Data Box.
- Pahami Batasan Data Box.
- SebarkanAzure Data Box dengan cepat di portal Microsoft Azure.