Zabezpieczenia i ochrona danych w usłudze Azure Data Box

Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. W tym artykule opisano funkcje zabezpieczeń usługi Azure Data Box, które pomagają chronić poszczególne składniki rozwiązania Data Box i przechowywane w nich dane.

Uwaga

Ten artykuł zawiera kroki dotyczące usuwania danych osobowych z urządzenia lub usługi i może służyć do obsługi zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje na temat RODO, zobacz sekcję RODO w Centrum zaufania firmy Microsoft i w sekcji RODO w portalu zaufania usług.

Przepływ danych za pośrednictwem składników

Rozwiązanie Microsoft Azure Data Box obejmuje cztery główne składniki, które wzajemnie ze sobą współdziałają:

  • Usługa Azure Data Box hostowana na platformie Azure — usługa do zarządzania, umożliwiająca zamówienie urządzenia, skonfigurowanie go oraz śledzenie realizacji zamówienia.
  • Urządzenie Data Box — urządzenie do transferu dostarczane w celu zaimportowania danych lokalnych na platformę Azure.
  • Klienci/hosty, do których podłączane jest urządzenie — klienci w infrastrukturze lokalnej, do których podłącza się urządzenie Data Box i które zawierają dane wymagające ochrony.
  • Magazyn w chmurze — lokalizacja w chmurze platformy Azure, w której są przechowywane dane. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z utworzonym zasobem usługi Azure Data Box.

Na poniższym diagramie przedstawiono przepływ danych za pośrednictwem rozwiązania Azure Data Box ze środowiska lokalnego na platformę Azure oraz różne funkcje zabezpieczeń w miarę przepływu danych przez rozwiązanie. Ten przepływ jest przeznaczony dla zamówienia importu urządzenia Data Box.

Data Box import security

Poniższy diagram dotyczy zamówienia eksportu urządzenia Data Box.

Data Box export security

Gdy dane przepływają przez to rozwiązanie, zdarzenia są rejestrowane, a dzienniki są generowane. Aby uzyskać więcej informacji, przejdź do:

Funkcje zabezpieczeń

Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. Zabezpieczenia rozwiązania obejmują zabezpieczenia urządzenia i powiązanej usługi, zapewniające bezpieczeństwo przechowywanych danych.

Ochrona urządzenia Data Box

Urządzenie Data Box jest chronione przez następujące funkcje:

  • Wytrzymała obudowa urządzenia odporna na wstrząsy, negatywny wpływ transportu i warunki otoczenia.
  • Wykrywanie naruszeń sprzętu i oprogramowania, które uniemożliwiają dalsze operacje związane z urządzeniem.
  • Moduł TPM (Trusted Platform Module), który wykonuje funkcje związane ze sprzętem i zabezpieczeniami. W szczególności moduł TPM zarządza wpisami tajnymi i danymi, które muszą być utrwalane na urządzeniu i chroni je.
  • Uruchamia się tylko oprogramowanie urządzenia Data Box.
  • Urządzenie uruchamia się w stanie zablokowanym.
  • Kontroluje dostęp urządzenia za pośrednictwem klucza dostępu odblokowywania urządzenia. Ten klucz dostępu jest chroniony przez klucz szyfrowania. Możesz użyć własnego klucza zarządzanego przez klienta, aby chronić klucz dostępu. Aby uzyskać więcej informacji, zobacz Use customer-managed keys in Azure Key Vault for Azure Data Box (Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box).
  • Poświadczenia dostępu umożliwiające kopiowanie danych do i z urządzenia. Każdy dostęp do strony Poświadczenia urządzenia w Azure Portal jest rejestrowany w dziennikach aktywności.
  • Możesz użyć własnych haseł dla urządzeń i dostępu współużytkować. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.

Ustanawianie zaufania z urządzeniem za pomocą certyfikatów

Urządzenie Data Box umożliwia korzystanie z własnych certyfikatów i instalowanie tych, które mają być używane do nawiązywania połączenia z lokalnym internetowym interfejsem użytkownika i magazynem obiektów blob. Aby uzyskać więcej informacji, zobacz Używanie własnych certyfikatów z urządzeniami Data Box i Data Box Heavy.

Ochrona danych na urządzeniu Data Box

Dane przesyłane do i z rozwiązania Data Box są chronione przez następujące funkcje:

  • 256-bitowe szyfrowanie AES magazynowanych danych. W środowisku o wysokim poziomie zabezpieczeń można użyć podwójnego szyfrowania opartego na oprogramowaniu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
  • W przypadku transmitowanych danych można używać zaszyfrowanych protokołów. Zalecamy używanie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
  • Bezpieczne wymazywanie danych z urządzenia po zakończeniu przekazywania na platformę Azure. Wymazywanie danych jest zgodne z wytycznymi w dodatku A dla dysków twardych ATA w standardach NIST 800-88r1. Zdarzenie wymazywania danych jest rejestrowane w historii zamówień.

Ochrona usługi Data Box

Usługa Data Box jest chroniona przez następujące funkcje.

  • Dostęp do usługi Data Box wymaga, aby Organizacja miała subskrypcję platformy Azure obejmującą urządzenie Data Box. Subskrypcja określa funkcje, do których masz dostęp w witrynie Azure Portal.
  • Ponieważ usługa Data Box jest hostowana na platformie Azure, chronią ją funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń platformy Microsoft Azure, zobacz Centrum zaufania Microsoft Azure.
  • Dostęp do zamówienia urządzenia Data Box można kontrolować za pomocą ról platformy Azure. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontroli dostępu dla zamówienia urządzenia Data Box
  • Usługa Data Box przechowuje hasło odblokowania używane do odblokowania urządzenia w usłudze.
  • W usłudze Data Box są przechowywane szczegóły zamówienia i jego stan. Te informacje są usuwane po usunięciu zamówienia.

Zarządzanie danymi osobowymi

W usłudze Azure Data Box dane osobowe są zbierane i wyświetlane w następujących kluczowych przypadkach:

  • Ustawienia powiadomień — podczas tworzenia zamówienia w ustawieniach powiadomień są wprowadzane adresy e-mail użytkowników. Te informacje są widoczne dla administratora. Te informacje są usuwane z usługi, gdy zadanie zmieni stan na końcowy lub gdy zamówienie zostanie usunięte.

  • Szczegóły zamówienia — po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkowników są przechowywane w Azure Portal. Zapisane informacje obejmują:

    • Nazwa kontaktu

    • Numer telefonu

    • E-mail

    • Adres

    • City (Miasto)

    • Kod pocztowy

    • Stan

    • Kraj/Województwo/Region

    • Numer konta operatora

    • Numer śledzenia dostawy

      Szczegóły zamówienia są usuwane z usługi Data Box po zakończeniu zadania lub usunięciu zamówienia.

  • Adres wysyłkowy — po złożeniu zamówienia usługa Data Box przekazuje adres wysyłkowy operatorom zewnętrznym, na przykład firmie UPS lub DHL.

Aby uzyskać więcej informacji, zapoznaj się z Zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.

Dokumentacja wytycznych dotyczących zabezpieczeń

W usłudze Data Box są zaimplementowane następujące wytyczne dotyczące zabezpieczeń:

Wytyczna Opis
IEC 60529 IP52 Dotyczy ochrony przed wodą i pyłem
ISTA 2A Dotyczy odporności na niekorzystne warunki podczas transportu
NIST SP 800-147 Dotyczy bezpiecznej aktualizacji oprogramowania układowego
FIPS 140-2 Level 2 Dotyczy ochrony danych
Dodatek A, dla dysków twardych ATA w NIST SP 800-88r1 Dotyczy oczyszczania danych

Następne kroki