Zabezpieczenia i ochrona danych w usłudze Azure Data Box
Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. W tym artykule opisano funkcje zabezpieczeń usługi Azure Data Box, które pomagają chronić poszczególne składniki rozwiązania Data Box i przechowywane w nich dane.
Uwaga
Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
Przepływ danych za pośrednictwem składników
Rozwiązanie Microsoft Azure Data Box obejmuje cztery główne składniki, które wzajemnie ze sobą współdziałają:
- Usługa Azure Data Box hostowana na platformie Azure — usługa do zarządzania, umożliwiająca zamówienie urządzenia, skonfigurowanie go oraz śledzenie realizacji zamówienia.
- Urządzenie Data Box — urządzenie do transferu dostarczane w celu zaimportowania danych lokalnych na platformę Azure.
- Klienci/hosty, do których podłączane jest urządzenie — klienci w infrastrukturze lokalnej, do których podłącza się urządzenie Data Box i które zawierają dane wymagające ochrony.
- Magazyn w chmurze — lokalizacja w chmurze platformy Azure, w której są przechowywane dane. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z utworzonym zasobem usługi Azure Data Box.
Na poniższym diagramie przedstawiono przepływ danych za pośrednictwem rozwiązania Azure Data Box ze środowiska lokalnego do platformy Azure oraz różne funkcje zabezpieczeń w miarę przepływu danych przez rozwiązanie. Ten przepływ jest przeznaczony dla zamówienia importu urządzenia Data Box.
Na poniższym diagramie przedstawiono kolejność eksportowania urządzenia Data Box.
Gdy dane przepływają przez to rozwiązanie, zdarzenia są rejestrowane i generowane są dzienniki. Aby uzyskać więcej informacji, przejdź do:
- Śledzenie i rejestrowanie zdarzeń dla zamówień importu usługi Azure Data Box.
- Śledzenie i rejestrowanie zdarzeń dla zamówień eksportu usługi Azure Data Box
Funkcje zabezpieczeń
Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. Zabezpieczenia rozwiązania obejmują zabezpieczenia urządzenia i powiązanej usługi, zapewniające bezpieczeństwo przechowywanych danych.
Ochrona urządzenia Data Box
Urządzenie Data Box jest chronione przez następujące funkcje:
- Wytrzymała obudowa urządzenia odporna na wstrząsy, negatywny wpływ transportu i warunki otoczenia.
- Wykrywanie naruszeń sprzętu i oprogramowania, które uniemożliwiają dalsze operacje związane z urządzeniem.
- Moduł TPM (Trusted Platform Module), który wykonuje funkcje związane ze sprzętem i zabezpieczeniami. W szczególności moduł TPM zarządza wpisami tajnymi i danymi, które muszą być utrwalane na urządzeniu i chroni je.
- Uruchamia się tylko oprogramowanie urządzenia Data Box.
- Urządzenie uruchamia się w stanie zablokowanym.
- Kontroluje dostęp urządzenia za pośrednictwem klucza dostępu odblokowywania urządzenia. Ten klucz dostępu jest chroniony przez klucz szyfrowania. Aby chronić klucz dostępu, możesz użyć własnego klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box.
- Poświadczenia dostępu umożliwiające kopiowanie danych do i z urządzenia. Każdy dostęp do strony Poświadczenia urządzenia w witrynie Azure Portal jest rejestrowany w dziennikach aktywności.
- Możesz użyć własnych haseł dla urządzeń i dostępu do udostępniania. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
Ustanawianie zaufania z urządzeniem za pośrednictwem certyfikatów
Urządzenie Data Box umożliwia korzystanie z własnych certyfikatów i instalowanie tych, które mają być używane do nawiązywania połączenia z lokalnym internetowym interfejsem użytkownika i magazynem obiektów blob. Aby uzyskać więcej informacji, zobacz Używanie własnych certyfikatów z urządzeniami Data Box i Data Box Heavy.
Ochrona danych na urządzeniu Data Box
Dane przesyłane do i z rozwiązania Data Box są chronione przez następujące funkcje:
- 256-bitowe szyfrowanie AES magazynowanych danych. W środowisku o wysokim poziomie zabezpieczeń można użyć podwójnego szyfrowania opartego na oprogramowaniu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
- W przypadku transmitowanych danych można używać zaszyfrowanych protokołów. Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
- Bezpieczne wymazywanie danych z urządzenia po zakończeniu przekazywania na platformę Azure. Wymazywanie danych jest zgodne z wytycznymi w dodatku A dla dysków twardych usługi ATA w standardach NIST 800-88r1. Zdarzenie wymazywania danych jest rejestrowane w historii zamówień.
Ochrona usługi Data Box
Usługa Data Box jest chroniona przez następujące funkcje.
- Dostęp do usługi Data Box wymaga, aby Organizacja miała subskrypcję platformy Azure obejmującą usługę Data Box. Subskrypcja określa funkcje, do których masz dostęp w witrynie Azure Portal.
- Ponieważ usługa Data Box jest hostowana na platformie Azure, chronią ją funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń platformy Microsoft Azure, zobacz Centrum zaufania Microsoft Azure.
- Dostęp do zamówienia urządzenia Data Box można kontrolować za pomocą ról platformy Azure. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontroli dostępu dla zamówienia urządzenia Data Box
- Usługa Data Box przechowuje hasło odblokowywania używane do odblokowania urządzenia w usłudze.
- W usłudze Data Box są przechowywane szczegóły zamówienia i jego stan. Te informacje są usuwane po usunięciu zamówienia.
Zarządzanie danymi osobowymi
W usłudze Azure Data Box dane osobowe są zbierane i wyświetlane w następujących kluczowych przypadkach:
Ustawienia powiadomień — podczas tworzenia zamówienia w ustawieniach powiadomień są wprowadzane adresy e-mail użytkowników. Te informacje są widoczne dla administratora. Te informacje są usuwane z usługi, gdy zadanie zmieni stan na końcowy lub gdy zamówienie zostanie usunięte.
Szczegóły zamówienia — po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkowników są przechowywane w witrynie Azure Portal. Zapisane informacje obejmują:
Nazwa kontaktu
Numer telefonu
Poczta e-mail
Ulica
City (Miasto)
Kod pocztowy
Stan
Kraj/Województwo/Region
Numer konta operatora
Numer śledzenia dostawy
Szczegóły zamówienia są usuwane z usługi Data Box po zakończeniu zadania lub usunięciu zamówienia.
Adres wysyłkowy — po złożeniu zamówienia usługa Data Box przekazuje adres wysyłkowy operatorom zewnętrznym, na przykład firmie UPS lub DHL.
Aby uzyskać więcej informacji, zapoznaj się z Zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.
Dokumentacja wytycznych dotyczących zabezpieczeń
W usłudze Data Box są zaimplementowane następujące wytyczne dotyczące zabezpieczeń:
| Wytyczna | opis |
|---|---|
| IEC 60529 IP52 | Dotyczy ochrony przed wodą i pyłem |
| ISTA 2A | Dotyczy odporności na niekorzystne warunki podczas transportu |
| NIST SP 800-147 | Dotyczy bezpiecznej aktualizacji oprogramowania układowego |
| FIPS 140-2 Level 2 | Dotyczy ochrony danych |
| Dodatek A, dla dysków twardych ATA w NIST SP 800-88r1 | Dotyczy oczyszczania danych |
Następne kroki
- Zapoznaj się z wymaganiami rozwiązania Data Box.
- Poznaj ograniczenia usługi Data Box.
- Szybko wdróż usługę Azure Data Box w witrynie Azure Portal.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla