Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Data Box fornece uma solução segura para a proteção de dados, garantindo que somente entidades autorizadas possam exibir, modificar ou excluir seus dados. Este artigo descreve os recursos de segurança do Azure Data Box que ajudam a proteger cada um dos componentes da solução do Data Box e os dados armazenados neles.
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.
Fluxo de dados por meio de componentes
A solução Microsoft Azure Data Box consiste em quatro componentes principais que interagem entre si:
- Serviço do Azure Data Box hospedado no Azure – o serviço de gerenciamento que você usa para criar o pedido do disco, configurar o dispositivo e, em seguida, controlar o pedido até a conclusão.
- Dispositivo Data Box – o dispositivo de transferência que é enviado para você para importar seus dados locais no Azure.
- Clientes/hosts conectados ao dispositivo – os clientes em sua infraestrutura que se conectam ao dispositivo do Data Box e contêm dados que precisam ser protegidos.
- Armazenamento em nuvem – O local na nuvem do Azure onde os dados são armazenados. Esse local geralmente é a conta de armazenamento vinculada ao recurso do Azure Data Box que você criou.
O diagrama a seguir mostra o fluxo de dados local de uma ordem de importação para o Azure por meio da solução do Azure Data Box. Os vários recursos de segurança dentro da solução também são realçados.
O diagrama a seguir mostra um fluxo de dados de pedido de exportação para o Data Box.
Os logs são gerados e os dados de eventos são acompanhados à medida que os dados fluem por essa solução. Para obter mais informações, consulte:
- Rastreamento e log de eventos para seu pedido de importação do Azure Data Box.
- Rastreamento e log de eventos para seu pedido de exportação do Azure Data Box
Recursos de segurança
O Data Box fornece uma solução segura para a proteção de dados, garantindo que somente entidades autorizadas possam exibir, modificar ou excluir seus dados. Os recursos de segurança para essa solução são destinados ao disco e ao serviço associado, garantindo a segurança dos dados armazenados neles.
Proteção de dispositivo do Data Box
O dispositivo do Data Box é protegido pelos seguintes recursos:
- Um dispositivo robusto que protege contra choques, transporte volátil e condições ambientais desfavoráveis.
- Detecção de violação de hardware e software que impede operações do dispositivo.
- Sistema de detecção de intrusão interno que identifica o acesso físico não autorizado aos dispositivos.
- Tecnologia Semper Secure Flash integrada a uma raiz de confiança de hardware (RoT) na memória flash, garantindo a integridade do firmware e permitindo atualizações seguras sem modificações de hardware.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. O TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
- As limitações de execução restringem a execução a softwares específicos do Data Box proprietários.
- Estado de inicialização bloqueado por padrão.
- Acesso ao dispositivo controlado por meio de uma chave de desbloqueio do dispositivo e chave de criptografia. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, confira Usar chaves gerenciadas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Todos os acessos à página Credenciais do dispositivo no portal do Azure são registrados nos logs de atividade.
- Você pode usar suas próprias senhas para acesso de dispositivo e compartilhamento. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
- Um dispositivo robusto que protege contra choques, transporte volátil e condições ambientais desfavoráveis.
- Detecção de violação de hardware e software que impede operações do dispositivo.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. O TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
- Limita a execução a um software proprietário específico do Data Box.
- Inicializa por padrão em um estado bloqueado.
- Acesso ao dispositivo controlado por meio de uma chave de desbloqueio do dispositivo e chave de criptografia. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, confira Usar chaves gerenciadas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Todos os acessos à página Credenciais do dispositivo no portal do Azure são registrados nos logs de atividade.
- Você pode usar suas próprias senhas para acesso de dispositivo e compartilhamento. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
Estabelecer confiança com o dispositivo por meio de certificados
Um dispositivo Data Box permite que você utilize seus próprios certificados ao se conectar à interface do usuário da Web local e ao armazenamento de blobs. Para obter mais informações, consulte Usar seus próprios certificados com dispositivos Data Box.
Proteção de dados do Data Box
Os dados que entram e saem do Data Box são protegidos pelos seguintes recursos:
- Criptografia AES de 256 bits para dados em repouso. Em um ambiente de alta segurança, você pode usar a criptografia dupla baseada em software. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
- Criptografia baseada em software aprimorada pela criptografia de hardware baseada em controlador RAID.
- Protocolos criptografados podem ser usados para dados em trânsito. Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.
- Eliminação segura de dados do dispositivo após a conclusão do upload no Azure. A eliminação de dados está de acordo com as diretrizes no Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de apagamento de dados é registrado no histórico de pedidos.
- Criptografia de 256 bits AES para dados em repouso. Em um ambiente de alta segurança, você pode usar a criptografia dupla baseada em software. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
- Protocolos criptografados podem ser usados para dados em trânsito. Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.
- Eliminação segura de dados do dispositivo após a conclusão do upload no Azure. A eliminação de dados está de acordo com as diretrizes no Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de apagamento de dados é registrado no histórico de pedidos.
Proteção de serviço do Data Box
O serviço do Data Box é protegido pelos seguintes recursos.
- O acesso ao serviço Data Box requer uma assinatura do Azure com suporte para Data Box. Assinaturas individuais limitam o acesso aos recursos no portal do Azure.
- Como o serviço Data Box está hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Microsoft Azure, acesse a Central de Confiabilidade do Microsoft Azure.
- O acesso ao pedido do Data Box pode ser controlado por meio do uso de funções do Azure. Para saber mais, confira Configurar controle de acesso para pedido do Data Box
- O serviço Data Box armazena a senha usada para desbloquear o dispositivo.
- O serviço Data box armazena os detalhes e o status do pedido. O serviço Data Box exclui essas informações quando o trabalho atinge o estado do terminal ou quando você exclui o pedido.
Gerenciando dados pessoais
A coleta e exibição de informações pessoais pelo Azure Data Box é limitada às seguintes instâncias principais no serviço:
Configurações de notificação – Ao criar um pedido, você define as configurações de notificação para usar o endereço de email de um usuário. Essas informações são visíveis para o administrador. O serviço Data Box exclui essas informações quando o trabalho atinge o estado do terminal ou quando você exclui o pedido.
Detalhes do pedido – depois que o pedido é criado, o endereço de envio, o email e as informações de contato dos usuários são armazenados no portal do Azure. Essas informações incluem:
Nome de contato
Número de telefone
Email
Endereço
City
CEP/Código postal
Estado
Região/País/Região
Número da conta da operadora
Enviar número de controle
O serviço Data Box exclui os detalhes do pedido quando o trabalho atinge o estado final ou quando você exclui o pedido.
Endereço de envio – depois que o pedido é feito, o serviço Data Box fornece o endereço de envio para parceiros de envio, como UPS ou DHL.
Para mais informações, revise a Política de Privacidade da Microsoft na Central de Confiabilidade.
Referência das diretrizes de segurança
As seguintes diretrizes de segurança são implementadas no Data Box:
| Diretriz | Descrição |
|---|---|
| IEC 60529 IP52 | Proteção contra água e poeira |
| ISTA 2A | Resistência às condições de transporte volátil |
| NIST SP 800-147 | Atualização de firmware segura |
| FIPS 140-2 Nível 2 | Proteção de dados |
| Apêndice A para unidades de disco rígido ATA em NIST SP 800-88r1 | Limpeza de dados |
Apagamento seguro dos detalhes de limpeza da mídia
O processo de apagamento seguro executado em nossos dispositivos está em conformidade com o NIST SP 800-88r1 e a seguir estão os detalhes da implementação:
| Dispositivo | Tipo de eliminação de dados | Ferramenta usada |
|---|---|---|
| Azure Data Box | Na nuvem pública: Apagamento Criptográfico Na nuvem Governamental: Apagamento Criptográfico + Sobrescrita de Disco |
Ferramenta ARCCONF |
| Azure Data Box 120 | Na nuvem pública e governamental: apagar registros em bloco | Ferramenta ARCCONF |
| Azure Data Box 525 | Na nuvem pública e governamental: apagar registros em bloco | Ferramenta ARCCONF |
| Azure Data Box Disk | Na nuvem pública e governamental: apagar registros em bloco | Ferramenta MSECLI |
Próximas etapas
- Examine os requisitos do Data Box.
- Entenda os limites do Data Box.
- Implante rapidamente o Azure Data Box no portal do Azure.