Säkerhet och dataskydd i Azure Data Box
Data Box är en säker lösning för dataskydd som garanterar att endast behöriga entiteter kan visa, ändra eller ta bort dina data. Den här artikeln beskriver säkerhetsfunktionerna i Azure Data Box som skyddar komponenterna i Data Box-lösningen och de data som lagras i dem.
Kommentar
Den här artikeln innehåller steg om hur du tar bort personuppgifter från enheten eller tjänsten och kan användas för att stödja dina skyldigheter enligt GDPR. För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.
Dataflöde genom komponenter
Microsoft Azure Data Box-lösningen består av fyra huvudkomponenter som interagerar med varandra:
- Azure Data Box-tjänsten i Azure – Hanteringstjänsten som du använder för att skapa enhetsbeställningen, konfigurera enheten och spåra ordern från början till slut.
- Data Box-enhet – Överföringsenheten som levereras till dig för att importera dina lokala data till Azure.
- Klienter/värdar som är anslutna till enheten – Klienterna i din infrastruktur som ansluter till Data Box-enheten via USB och som innehåller data som måste skyddas.
- Molnlagring – Platsen i Azure-molnet där data lagras. Den platsen är vanligtvis det lagringskonto som är länkat till den Azure Data Box-resurs som du skapade.
Följande diagram visar dataflödet via Azure Data Box-lösningen från lokalt till Azure och de olika säkerhetsfunktioner som finns när data flödar genom lösningen. Det här flödet är för en importorder för din Data Box.
Följande diagram är för exportordningen för din Data Box.
När data flödar genom den här lösningen loggas händelser och loggar genereras. För mer information, gå till:
- Spårning och händelseloggning för dina Azure Data Box-importorder.
- Spårning och händelseloggning för dina Azure Data Box-exportorder
Säkerhetsfunktioner
Data Box är en säker lösning för dataskydd som garanterar att endast behöriga entiteter kan visa, ändra eller ta bort dina data. Säkerhetsfunktionerna i den här lösningen omfattar disken och den associerade tjänsten, och skyddar de data som lagras på disken och i tjänsten.
Data Box-enhetsskydd
Data Box-enheten skyddas med hjälp av följande funktioner:
- Ett robust hölje som motstår stötar, felaktig transport och miljöförhållanden.
- Identifiering av manipulation av maskin- och programvara som förhindrar vidare enhetsåtgärder.
- En TPM (Trusted Platform Module) som utför maskinvarubaserade, säkerhetsrelaterade funktioner. Mer specifikt hanterar och skyddar TPM hemligheter och data som måste sparas på enheten.
- Kör endast Data Box-specifik programvara.
- Startar i låst tillstånd.
- Styr enhetsåtkomst via en nyckel för upplåsning av enhet. Den här nyckeln skyddas av en krypteringsnyckel. Du kan använda din egen kundhanterade nyckel för att skydda nyckeln. Mer information finns i Använda kundhanterade nycklar i Azure Key Vault för Azure Data Box.
- Autentiseringsuppgifter för åtkomst till att kopiera data till och från enheten. Varje åtkomst till sidan Enhetsautentiseringsuppgifter i Azure-portalen loggas i aktivitetsloggarna.
- Du kan använda dina egna lösenord för enhet och dela åtkomst. Mer information finns i Självstudie: Beställa Azure Data Box.
Upprätta förtroende med enheten via certifikat
Med en Data Box-enhet kan du ta med dina egna certifikat och installera dem som ska användas för att ansluta till det lokala webbgränssnittet och bloblagringen. Mer information finns i Använda dina egna certifikat med Data Box- och Data Box Heavy-enheter.
Data Box-dataskydd
Data som flödar in och ut från Data Box skyddas med hjälp av följande funktioner:
- AES 256-bitars kryptera för data i vila. I en högsäkerhetsmiljö kan du använda programvarubaserad dubbelkryptering. Mer information finns i Självstudie: Beställa Azure Data Box.
- Krypterade protokoll kan användas för data i flykt. Vi rekommenderar att du använder SMB 3.0 med kryptering för att skydda data när du kopierar till dem från dina dataservrar.
- Säker radering av data från enheten när uppladdningen till Azure är klar. Dataradering är i enlighet med riktlinjerna i bilaga A för ATA-hårddiskar i NIST 800-88r1-standarder. Dataraderingshändelsen registreras i orderhistoriken.
Skydd av Data Box-tjänsten
Data Box-tjänsten skyddas med hjälp av följande funktioner.
- Åtkomst till Data Box-tjänsten kräver att din organisation har en Azure-prenumeration som innehåller Data Box. Prenumerationen styr vilka funktioner du kan komma åt på Azure Portal.
- Eftersom Data Box-tjänsten finns i Azure skyddas den med hjälp av säkerhetsfunktionerna i Azure. Läs mer om säkerhetsfunktionerna i Microsoft Azure på Microsoft Azure Säkerhetscenter.
- Åtkomst till Data Box-ordningen kan styras med hjälp av Azure-roller. Mer information finns i Konfigurera åtkomstkontroll för Data Box-beställning
- Data Box-tjänsten lagrar upplåsningslösenordet som används för att låsa upp enheten i tjänsten.
- Data Box-tjänsten lagrar orderinformationen och orderstatusen i tjänsten. Den här informationen tas bort när ordern tas bort.
Hantera personliga data
Azure Data Box samlar in och visar personlig information i följande viktiga instanser i tjänsten:
Meddelandeinställningar – När du skapar en order konfigurerar du e-postadressen till användare i meddelandeinställningarna. Administratörer har tillgång till den här informationen. Den här informationen tas bort av tjänsten när jobbet har slutförts eller när du tar bort ordern.
Orderinformation – När beställningen har skapats lagras leveransadressen, e-postadressen och kontaktinformationen för användare i Azure-portalen. Informationen som sparas omfattar:
Kontaktnamn
Telefonnummer
Email
Gatuadress
City
Postnummer
Tillstånd
Land/region
Transportföretagets kontonummer
Spårningsnummer för leveransen
Orderinformationen tas bort av Data Box-tjänsten när jobbet har slutförts eller när du tar bort ordern.
Leveransadress – När beställningen har gjorts uppger Data Box-tjänsten leveransadressen till tredjepartsleverantörer, till exempel UPS eller DHL.
Mer information finns i Microsofts sekretesspolicy på Säkerhetscenter.
Referens för säkerhetsriktlinjer
Följande säkerhetsriktlinjer implementeras i Data Box:
| Riktlinjer | Description |
|---|---|
| IEC 60529 IP52 | För skydd mot vatten och damm |
| ISTA 2A | För tålighet mot felaktiga transportsförhållanden |
| NIST SP 800-147 | För säker uppdatering av inbyggd programvara |
| FIPS 140-2 nivå 2 | För dataskydd |
| Bilaga A, för ATA-hårddiskar i NIST SP 800-88r1 | För datasanering |
Nästa steg
- Läs kraven för Data Box.
- Förstå Data Box-begränsningarna.
- Distribuera snabbt Azure Data Box i Azure-portalen.