Sicurezza e protezione dei dati di Azure Data Box
Data Box offre una soluzione sicura per la protezione dei dati, garantendo che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati. Questo articolo descrive le funzionalità di sicurezza di Azure Data Box che consentono di proteggere ciascuno dei componenti della soluzione Data Box e i dati archiviati su di essi.
Nota
Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Flusso dei dati nei vari componenti
La soluzione Microsoft Azure Data Box è costituita da quattro componenti principali che interagiscono tra loro:
- Servizio Azure Data Box ospitato in Azure: il servizio di gestione usato per creare l'ordine del dispositivo, configurare il dispositivo e quindi monitorare l'ordine fino al completamento.
- Dispositivo di Data Box: il dispositivo di trasferimento spedito all'utente per l'importazione dei dati locali Azure.
- Client/host connessi al dispositivo: i client nell'infrastruttura che si connettono al dispositivo Data Box tramite USB e che contengono i dati da proteggere.
- Archiviazione cloud – Posizione nel cloud di Azure in cui vengono archiviati i dati. Questa posizione è in genere l'account di archiviazione collegato alla risorsa di Azure Data Box creata.
Il diagramma seguente indica il flusso di dati attraverso la soluzione Azure Data Box dall'ambiente locale ad Azure e le varie funzionalità di sicurezza applicate mentre il flusso di dati attraversa la soluzione. Questo flusso è per un ordine di importazione per Data Box.
Il diagramma seguente è relativo all'ordine di esportazione per Data Box.
Con il passaggio dei dati attraverso questa soluzione, vengono registrati eventi e vengono generati log. Per altre informazioni, vai a:
- Rilevamento e registrazione eventi per gli ordini di importazione di Azure Data Box.
- Rilevamento e registrazione eventi per gli ordini di esportazione di Azure Data Box
Funzionalità di sicurezza
Data Box offre una soluzione sicura per la protezione dei dati, garantendo che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati. Le funzionalità di sicurezza per questa soluzione riguardano sia i dischi che il servizio associato a garantire la sicurezza dei dati archiviati.
Protezione del dispositivo Data Box
Il dispositivo Data Box è protetto dalle funzionalità seguenti:
- Un involucro per dispositivi robusto che resiste a urti, trasporti difficili e condizioni ambientali.
- Rilevamento di manomissione dell'hardware e del software che impedisce altre operazioni del dispositivo.
- TPM (Trusted Platform Module) che esegue funzioni correlate alla sicurezza basate su hardware. In particolare, il TPM gestisce e protegge segreti e dati che devono essere salvati in modo permanente nel dispositivo.
- Esecuzione solo del software specifico di Data Box.
- Avvio in stato bloccato.
- Controlla l'accesso al dispositivo mediante una passkey di sblocco del dispositivo. Questa passkey è protetta da una chiave di crittografia. È possibile usare la propria chiave gestita dal cliente per proteggere la passkey. Per altre informazioni, vedere Usare chiavi gestite dal cliente in Azure Key Vault per Azure Data Box.
- Credenziali di accesso per copiare dati da e nel dispositivo. Tutti gli accessi alla pagina Credenziali dispositivo nel portale di Azure vengono registrati nei log attività.
- È possibile usare password personalizzate per l'accesso al dispositivo e alla condivisione. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
Stabilire una relazione di trust con il dispositivo tramite certificati
Un dispositivo Data Box consente di usare i propri certificati e di installare quelli da usare per la connessione all'interfaccia utente Web locale e all'archiviazione BLOB. Per altre informazioni, vedere Usare certificati personalizzati con i dispositivi Data Box e Data Box Heavy.
Protezione dei dati di Data Box
I dati in ingresso e in uscita da Data Box sono protetti dalle funzionalità seguenti:
- Crittografia AES a 256 bit dei dati inattivi. In un ambiente a sicurezza elevata è possibile usare la doppia crittografia basata su software. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
- Per i dati in movimento è possibile usare i protocolli crittografati. È consigliabile usare SMB 3.0 con crittografia per proteggere i dati quando si esegue la copia dai server dati.
- Cancellazione sicura dei dati dal dispositivo dopo il completamento del caricamento dei dati in Azure. La cancellazione dei dati è conforme alle linee guida indicate nell'Appendice A per le unità disco rigido ATA negli standard NIST 800-88r1. L'evento di cancellazione dei dati viene registrato nella cronologia ordini.
Protezione del servizio Data Box
Il servizio Data Box è protetto dalle funzionalità seguenti.
- Per l'accesso al servizio Data Box, l'organizzazione deve avere una sottoscrizione di Azure che include Data Box. La sottoscrizione determina le funzionalità a cui si può accedere nel portale di Azure.
- Dato che il servizio Data Box è ospitato in Azure, viene protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Microsoft Azure, andare in Centro protezione Microsoft Azure.
- L'accesso all'ordine di Data Box può essere controllato tramite l'uso dei ruoli di Azure. Per altre informazioni, vedere Impostare il controllo di accesso dell'ordine di Data Box.
- Il servizio Data Box archivia la password di sblocco usata per sbloccare il dispositivo nel servizio.
- Il servizio Data Box archivia i dettagli e lo stato dell'ordine nel servizio. Queste informazioni vengono eliminate quando l'ordine viene eliminato.
Gestione dei dati personali
Azure Data Box raccoglie e visualizza informazioni personali nei principali casi seguenti nel servizio:
Impostazioni di notifica - Quando si crea un ordine, si configura l'indirizzo di posta elettronica degli utenti nelle impostazioni di notifica. Queste informazioni possono essere visualizzate dell'amministratore. Queste informazioni vengono eliminate dal servizio quando il processo raggiunge lo stato terminale o quando si elimina l'ordine.
Dettagli dell'ordine: dopo la creazione dell'ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto degli utenti vengono archiviate nel portale di Azure. Le informazioni salvate includono:
Nome contatto
Numero di telefono
E-mail
Via e numero civico
Città
CAP
Provincia
Paese/provincia/area geografica
Numero di account del vettore
Numero di tracciabilità della spedizione
Al termine del processo o quando si elimina l'ordine, i dettagli dell'ordine vengono eliminati dal servizio Data Box.
Indirizzo di spedizione: dopo l'inserimento dell'ordine, il servizio Data Box fornisce l'indirizzo di spedizione ai vettori di terze parti, ad esempio UPS o DHL.
Per altre informazioni, consultare l'Informativa sulla privacy Microsoft nel Centro protezione.
Riferimento delle linee guida sulla sicurezza
In Data Box sono implementate le seguenti linee guida sulla sicurezza:
| Linee guida | Descrizione |
|---|---|
| IEC 60529 IP52 | Per la protezione da acqua e polvere |
| ISTA 2A | Per la resistenza a condizioni di trasporto avverse |
| NIST SP 800-147 | Per l'aggiornamento protetto del firmware |
| FIPS 140-2 livello 2 | Per la protezione dei dati |
| Appendice A, per le unità disco rigido ATA in NIST SP 800-88r1 | Per la bonifica dei dati |
Passaggi successivi
- Rivedere i requisiti per Data Box.
- Comprendere i limiti di Data Box.
- Distribuire rapidamente Azure Data Box nel portale di Azure.