Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. W tym artykule opisano funkcje zabezpieczeń usługi Azure Data Box, które pomagają chronić poszczególne składniki rozwiązania Data Box i przechowywane w nich dane.
Uwaga
Ten artykuł zawiera kroki usuwania danych osobowych z urządzenia lub usługi i może służyć do wspierania zobowiązań wynikających z RODO. Aby uzyskać ogólne informacje o RODO, zobacz sekcję RODO w Centrum zaufania Microsoft i sekcję RODO w portalu zaufania usług.
Przepływ danych za pośrednictwem składników
Rozwiązanie Microsoft Azure Data Box obejmuje cztery główne składniki, które wzajemnie ze sobą współdziałają:
- Usługa Azure Data Box hostowana na platformie Azure — usługa do zarządzania, umożliwiająca zamówienie urządzenia, skonfigurowanie go oraz śledzenie realizacji zamówienia.
- Urządzenie Data Box — urządzenie do transferu dostarczane w celu zaimportowania danych lokalnych na platformę Azure.
- Klienci/hosty, do których podłączane jest urządzenie — klienci w infrastrukturze lokalnej, do których podłącza się urządzenie Data Box i które zawierają dane wymagające ochrony.
- Przechowywanie w chmurze — miejsce, w którym dane są przechowywane w chmurze platformy Azure. Ta lokalizacja jest zazwyczaj kontem magazynu połączonym z zasobem, który utworzyłeś w usłudze Azure Data Box.
Na poniższym diagramie przedstawiono przepływ lokalnych danych zamówienia importu do platformy Azure za pośrednictwem rozwiązania Azure Data Box. Wyróżniono również różne funkcje zabezpieczeń w rozwiązaniu.
Na poniższym diagramie przedstawiono przepływ danych zamówienia eksportu dla urządzenia Data Box.
Dzienniki są generowane, a dane zdarzeń są śledzone w miarę przepływu danych za pośrednictwem tego rozwiązania. Aby uzyskać więcej informacji, przejdź do:
- Śledzenie i rejestrowanie zdarzeń dla zamówień importu usługi Azure Data Box.
- Śledzenie i rejestrowanie zdarzeń dla zamówień eksportu usługi Azure Data Box
Funkcje zabezpieczeń
Data Box to bezpieczne rozwiązanie do ochrony danych, które gwarantuje, że wyłącznie upoważnione podmioty będą mogły uzyskać dostęp do danych, zmodyfikować je lub usunąć. Zabezpieczenia rozwiązania obejmują zabezpieczenia urządzenia i powiązanej usługi, zapewniające bezpieczeństwo przechowywanych danych.
Ochrona urządzenia Data Box
Urządzenie Data Box jest chronione przez następujące funkcje:
- Odporna obudowa urządzenia, która chroni przed wstrząsami, lotnym transportem i niekorzystnymi warunkami środowiskowymi.
- Wykrywanie naruszeń sprzętu i oprogramowania, które uniemożliwiają dalsze operacje związane z urządzeniem.
- Wbudowany system wykrywania włamań, który identyfikuje nieautoryzowany fizyczny dostęp do urządzeń.
- Technologia Semper Secure Flash zintegrowana ze sprzętowym korzeniem zaufania (RoT) w pamięci flash, zapewniając integralność oprogramowania układowego oraz umożliwiając bezpieczne aktualizacje bez modyfikacji sprzętu.
- Moduł TPM (Trusted Platform Module), który wykonuje funkcje związane ze sprzętem i zabezpieczeniami. Moduł TPM zarządza wpisami tajnymi i danymi, które muszą być utrwalane na urządzeniu i chroni je.
- Ograniczenia wykonawcze ograniczają korzystanie z zastrzeżonego oprogramowania przeznaczonego wyłącznie dla Data Box.
- Domyślny zablokowany stan rozruchu.
- Dostęp do urządzenia kontrolowany za pomocą klucza dostępu do urządzenia oraz klucza szyfrowania. Aby chronić klucz dostępu, możesz użyć własnego klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box.
- Poświadczenia dostępu umożliwiające kopiowanie danych do i z urządzenia. Każdy dostęp do strony Poświadczenia urządzenia w portalu Azure jest rejestrowany w dziennikach aktywności.
- Możesz użyć własnych haseł do urządzenia i udostępniania dostępu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
- Odporna obudowa urządzenia, która chroni przed wstrząsami, lotnym transportem i niekorzystnymi warunkami środowiskowymi.
- Wykrywanie naruszeń sprzętu i oprogramowania, które uniemożliwiają dalsze operacje związane z urządzeniem.
- Moduł TPM (Trusted Platform Module), który wykonuje funkcje związane ze sprzętem i zabezpieczeniami. Moduł TPM zarządza wpisami tajnymi i danymi, które muszą być utrwalane na urządzeniu i chroni je.
- Ogranicza wykonywanie do zastrzeżonego oprogramowania specyficznego dla urządzenia Data Box.
- Domyślnie uruchamia się w stanie zablokowanym.
- Dostęp do urządzenia kontrolowany za pomocą klucza dostępu do urządzenia oraz klucza szyfrowania. Aby chronić klucz dostępu, możesz użyć własnego klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box.
- Poświadczenia dostępu umożliwiające kopiowanie danych do i z urządzenia. Każdy dostęp do strony Poświadczenia urządzenia w portalu Azure jest rejestrowany w dziennikach aktywności.
- Możesz użyć własnych haseł do urządzenia i udostępniania dostępu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
Ustanawianie zaufania z urządzeniem za pośrednictwem certyfikatów
Urządzenie Data Box umożliwia korzystanie z własnych certyfikatów podczas nawiązywania połączenia z lokalnym interfejsem użytkownika i magazynem blob. Aby uzyskać więcej informacji, zobacz Używanie własnych certyfikatów z urządzeniami Data Box.
Ochrona danych na urządzeniu Data Box
Dane przesyłane do i z rozwiązania Data Box są chronione przez następujące funkcje:
- Szyfrowanie 256-bitowe AES dla danych w stanie spoczynku. W środowisku o wysokim poziomie zabezpieczeń można użyć podwójnego szyfrowania opartego na oprogramowaniu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
- Szyfrowanie oparte na oprogramowaniu ulepszone przez szyfrowanie sprzętowe oparte na kontrolerze RAID.
- Zaszyfrowane protokoły mogą być używane dla danych w tranzycie. Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
- Bezpieczne wymazywanie danych z urządzenia po zakończeniu przekazywania na platformę Azure. Wymazywanie danych jest zgodne z wytycznymi zawartymi w dodatku A standardów NIST 800-88r1 dla dysków twardych ATA. Zdarzenie wymazywania danych jest rejestrowane w historii zamówień.
- 256-bitowe szyfrowanie AES dla danych w spoczynku. W środowisku o wysokim poziomie zabezpieczeń można użyć podwójnego szyfrowania opartego na oprogramowaniu. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.
- Zaszyfrowane protokoły mogą być używane dla danych w tranzycie. Zalecamy użycie protokołu SMB 3.0 z szyfrowaniem w celu ochrony danych podczas kopiowania ich z serwerów danych.
- Bezpieczne wymazywanie danych z urządzenia po zakończeniu przekazywania na platformę Azure. Wymazywanie danych jest zgodne z wytycznymi zawartymi w dodatku A standardów NIST 800-88r1 dla dysków twardych ATA. Zdarzenie wymazywania danych jest rejestrowane w historii zamówień.
Ochrona usługi Data Box
Usługa Data Box jest chroniona przez następujące funkcje.
- Dostęp do usługi Data Box wymaga subskrypcji platformy Azure z obsługą urządzenia Data Box. Poszczególne subskrypcje ograniczają dostęp do funkcji w witrynie Azure Portal.
- Ponieważ usługa Data Box jest hostowana na platformie Azure, jest chroniona przez funkcje zabezpieczeń platformy Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń platformy Microsoft Azure, zobacz Centrum zaufania Microsoft Azure.
- Dostęp do zamówienia urządzenia Data Box można kontrolować za pomocą ról platformy Azure. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontroli dostępu dla zamówienia urządzenia Data Box
- Usługa Data Box przechowuje hasło używane do odblokowania urządzenia.
- Usługa Data box przechowuje szczegóły zamówienia i stan. Usługa Data Box usuwa te informacje, gdy zadanie osiągnie stan terminalu lub po usunięciu zamówienia.
Zarządzanie danymi osobowymi
Zbieranie i wyświetlanie danych osobowych przez Azure Data Box jest ograniczone do następujących kluczowych przypadków w usłudze:
Ustawienia powiadomień — podczas tworzenia zamówienia można skonfigurować ustawienia powiadomień tak, aby używały adresu e-mail użytkownika. Te informacje są widoczne dla administratora. Usługa Data Box usuwa te informacje, gdy zadanie osiągnie stan terminalu lub po usunięciu zamówienia.
Szczegóły zamówienia — po utworzeniu zamówienia adres wysyłkowy, adres e-mail i informacje kontaktowe użytkowników są przechowywane w witrynie Azure Portal. Te informacje obejmują:
Nazwa kontaktu
Numer telefonu
Email
Ulica
miasto
Kod pocztowy/ZIP
Stan
Kraj/Województwo/Region
Numer konta operatora
Numer śledzenia dostawy
Usługa Data Box usuwa szczegóły zamówienia, gdy zadanie osiągnie stan terminalu lub po usunięciu zamówienia.
Adres wysyłkowy — po złożeniu zamówienia usługa Data Box udostępnia adres wysyłkowy partnerom wysyłkowym, takim jak UPS lub DHL.
Aby uzyskać więcej informacji, zapoznaj się z Zasadami ochrony prywatności firmy Microsoft w Centrum zaufania.
Odniesienie do wytycznych dotyczących zabezpieczeń
W usłudze Data Box są zaimplementowane następujące wytyczne dotyczące zabezpieczeń:
| Wytyczna | opis |
|---|---|
| IEC 60529 IP52 | Ochrona przed wodą i pyłem |
| ISTA 2A | Trwałość w zmiennych warunkach transportu |
| NIST SP 800-147 | Bezpieczna aktualizacja oprogramowania układowego |
| FIPS 140-2 poziom 2 | Ochrona danych |
| Dodatek A dotyczący dysków twardych ATA w NIST SP 800-88r1 | Oczyszczanie danych |
Szczegóły bezpiecznego usuwania i sanityzacji nośników
Bezpieczny proces wymazywania wykonywany na naszych urządzeniach jest zgodny z NIST SP 800-88r1 i poniżej przedstawiono szczegóły implementacji:
| Urządzenie | Typ wymazywania danych | Używane narzędzie |
|---|---|---|
| Azure Data Box | W chmurze publicznej: Wymazywanie kryptograficzne W chmurze rządowej: Crypto Erase + Nadpisanie dysku |
Narzędzie ARCCONF |
| Azure Data Box 120 | W chmurze publicznej i gov: blokuj wymazywanie | Narzędzie ARCCONF |
| Azure Data Box 525 | W chmurze publicznej i gov: blokuj wymazywanie | Narzędzie ARCCONF |
| Azure Data Box Disk | W chmurze publicznej i gov: blokuj wymazywanie | Narzędzie MSECLI |
Następne kroki
- Zapoznaj się z wymaganiami rozwiązania Data Box.
- Poznaj ograniczenia usługi Data Box.
- Szybko wdróż usługę Azure Data Box w witrynie Azure Portal.