Azure Data Box 보안 및 데이터 보호

  • 아티클

Data Box는 인증된 엔터티만 데이터를 확인, 수정 또는 삭제할 수 있도록 하는 방식으로 데이터 보호용 보안 솔루션을 제공합니다. 이 문서에서는 각 Data Box 솔루션 구성 요소 및 저장된 데이터를 보호하는 데 사용할 수 있는 Azure Data Box 보안 기능에 대해 설명합니다.

참고 항목

이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반정인 정보는 Microsoft Trust Center의 GDPR 섹션Service Trust 포털의 GDPR 섹션을 참조하세요.

구성 요소를 통한 데이터 흐름

Microsoft Azure Data Box 솔루션은 서로 상호 작용 하는 네 가지 기본 구성 요소로 이루어져 있습니다.

  • Azure에서 호스팅되는 Azure Data Box 서비스 - 디바이스 주문을 작성하고 디바이스를 구성한 다음, 주문이 완료될 때까지의 과정을 추적하는 데 사용하는 관리 서비스입니다.
  • Data Box 디바이스 – Azure로 온-프레미스 데이터를 가져올 수 있도록 함께 제공되는 전송 디바이스입니다.
  • 디바이스에 연결된 클라이언트/호스트 – Data Box 디스크에 연결하고 보호되어야 하는 데이터를 포함하는 인프라 내의 클라이언트입니다.
  • 클라우드 스토리지 – 데이터가 저장되는 Azure 클라우드의 위치입니다. 해당 위치는 일반적으로 사용자가 만든 Azure Data Box 리소스에 연결된 스토리지 계정입니다.

다음 다이어그램은 온-프레미스에서 Azure로 Azure Data Box 솔루션을 통한 데이터 흐름 및 솔루션을 통해 데이터가 흐를 때의 다양한 보안 기능을 나타냅니다. 이 흐름은 Data Box의 가져오기 주문에 대해 설명합니다.

Data Box import security

다음 다이어그램은 Data Box의 내보내기 주문에 대해 설명합니다.

Data Box export security

데이터가 이러한 솔루션을 흐르면 이벤트가 로깅되고 로그가 생성됩니다. 자세한 내용은 다음을 참조하세요.

보안 기능

Data Box는 인증된 엔터티만 데이터를 확인, 수정 또는 삭제할 수 있도록 하는 방식으로 데이터 보호용 보안 솔루션을 제공합니다. 이 솔루션에 대한 보안 기능은 저장된 데이터의 보안을 보장하는 디스크 및 연결된 서비스를 위한 것입니다.

Data Box 디바이스 보호

Data Box 디바이스는 다음 기능을 통해 보호됩니다.

  • 충격, 운송 과정의 부적절한 취급 및 환경 상황으로부터 디바이스를 보호하는 견고한 디바이스 케이스
  • 추가적인 디바이스 작동을 방지하는 하드웨어 및 소프트웨어 변조 검색 기능
  • 하드웨어 기반, 소프트웨어 관련 기능을 수행하는 TPM(신뢰할 수 있는 플랫폼 모듈)입니다. 특히 TPM은 디바이스에 유지되어야 하는 비밀 및 데이터를 관리하고 보호합니다.
  • Data Box용 소프트웨어만 실행 가능
  • 잠긴 상태로 부팅됨
  • 디바이스 잠금 해제 암호를 통해 디바이스 액세스 제어. 이 암호는 암호화 키로 보호됩니다. 사용자 고유의 고객 관리형 키를 사용하여 암호를 보호할 수 있습니다. 자세한 내용은 Azure Data Box에 Azure Key Vault의 고객 관리형 키 사용를 참조하세요.
  • 디바이스 내부에서/외부로 데이터를 복사하는 데 필요한 액세스 자격 증명 Azure Portal의 디바이스 자격 증명 페이지에 대한 각 액세스는 활동 로그에 로깅됩니다.
  • 디바이스 및 공유 액세스에 고유한 암호를 사용할 수 있습니다. 자세한 내용은 자습서: Azure Data Box 주문을 참조하세요.

인증서를 통해 디바이스에 신뢰 설정

Data Box 디바이스를 사용하면 사용자 고유의 인증서를 가져와서 로컬 웹 UI 및 Blob Storage에 연결하는 데 사용할 인증서를 설치할 수 있습니다. 자세한 내용은 Data Box 및 Data Box Heavy 디바이스에서 사용자 고유의 인증서 사용을 참조하세요.

Data Box 데이터 보호

Data Box 내부에서/외부로 전송되는 데이터는 다음 기능을 통해 보호됩니다.

  • 미사용 데이터용 AES 256비트 암호화 보안 수준이 높은 환경에서는 소프트웨어 기반 이중 암호화를 사용할 수 있습니다. 자세한 내용은 자습서: Azure Data Box 주문을 참조하세요.
  • 처리 중인 데이터에 암호화된 프로토콜 사용 가능 데이터 서버에서 데이터를 복사하는 경우 암호화 기능을 갖춘 SMB 3.0을 사용하여 데이터를 보호하는 것이 좋습니다.
  • Azure로 업로드가 완료되면 디바이스에서 데이터를 안전하게 지웁니다. 데이터 지우기는 NIST 800-88r1 표준의 ATA 하드 디스크 드라이브에 대한 부록 A의 지침에 따릅니다. 데이터 지우기 이벤트는 주문 기록에 기록됩니다.

Data Box 서비스 보호

Data Box 서비스는 다음 기능을 통해 보호됩니다.

  • Data Box 서비스에 액세스하려면 조직에 Data Box를 포함하는 Azure 구독이 있어야 합니다. 구독은 Azure Portal에서 액세스할 수 있는 기능을 제어합니다.
  • Data Box Disk 서비스는 Azure에서 호스팅되므로 Azure 보안 기능으로 보호됩니다. Microsoft Azure에서 제공하는 보안 기능에 대한 자세한 내용은 Microsoft Azure 보안 센터로 이동합니다.
  • Azure 역할을 사용하면 Data Box 주문에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 Data Box 주문의 액세스 제어 설정을 참조하세요.
  • Data Box 서비스는 서비스에서 디바이스를 잠금 해제하는 데 사용되는 잠금 해제 암호를 저장합니다.
  • Data Box 서비스에는 주문 세부 정보 및 상태가 저장됩니다. 이 정보는 주문이 삭제될 때 삭제됩니다.

개인 데이터 관리

Azure Data Box는 서비스의 다음 주요 인스턴스에서 개인 정보를 수집하고 표시합니다.

  • 알림 설정 - 주문을 만들 때 알림 설정에 따라 사용자의 이메일 주소를 구성합니다. 이 정보는 관리자가 볼 수 있습니다. 이 정보는 작업이 종료 상태에 도달하거나 주문을 삭제하면 서비스에서 삭제됩니다.

  • 주문 세부 정보 – 주문이 만들어지면 사용자의 배송 주소, 이메일, 연락처 정보가 Azure Portal에 저장됩니다. 저장되는 정보는 다음과 같습니다.

    • 연락처 이름

    • 전화번호

    • 전자 메일

    • 상세 주소

    • City

    • 우편 번호

    • State(상태)

    • 국가/시/도/지역

    • 운송업체 계정 번호

    • 배송 추적 번호

      주문 세부 정보는 작업이 완료되거나 주문을 삭제하면 Data Box 서비스에 의해 삭제됩니다.

  • 배송 주소 – 주문이 완료되면 Data Box 서비스는 UPS 또는 DHL과 같은 타사 운송업체에 배송 주소를 제공합니다.

자세한 내용은 보안 센터에서 Microsoft 개인 정보 취급 방침을 검토합니다.

보안 지침 참조

Data Box에서 구현되는 보안 지침은 다음과 같습니다.

지침 설명
IEC 60529 IP52 방수/방진
ISTA 2A 배송 중의 부적절한 취급으로부터 장치 보호
NIST SP 800-147 보안 펌웨어 업데이트
FIPS 140-2 수준 2 데이터 보호
NIST SP 800-88r1의 ATA 하드 디스크 드라이브용 부록 A 데이터 삭제

다음 단계