Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Data Box oferece uma solução segura para proteção de dados ao garantir que apenas as entidades autorizadas podem ver, modificar ou eliminar os seus dados. Este artigo descreve as funcionalidades de segurança do Azure Data Box que ajudam a proteger todos os componentes da solução Data Box e os respetivos dados armazenados.
Nota
Este artigo fornece passos sobre como eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.
Fluxo de dados através dos componentes
A solução Microsoft Azure Data Box é composta por quatro componentes principais que interagem entre si:
- Serviço Azure Data Box alojado no Azure – O serviço de gestão que utiliza para criar a encomenda dos dispositivos, configurar os dispositivos e, em seguida, controlar a encomenda até à conclusão.
- Dispositivo Data Box – O dispositivo de transferência enviado para permitir-lhe importar os seus dados locais para o Azure.
- Clientes/anfitriões ligados ao dispositivo – Os clientes na sua infraestrutura que ligam ao dispositivo Data Box e contêm dados que precisam de ser protegidos.
- Armazenamento na cloud – A localização na cloud do Azure onde os dados são armazenados. Esse local normalmente é a conta de armazenamento vinculada ao recurso Azure Data Box que você criou.
O diagrama a seguir mostra o fluxo de dados local de uma ordem de importação para o Azure por meio da solução Azure Data Box. Os vários recursos de segurança dentro da solução também são destacados.
O diagrama a seguir mostra um fluxo de dados de ordem de exportação para sua Data Box.
Os logs são gerados e os dados de eventos são rastreados à medida que os dados fluem através desta solução. Para mais informações, aceda a:
- Acompanhamento e registo de eventos para as suas ordens de importação do Azure Data Box.
- Acompanhamento e registo de eventos para as suas encomendas de exportação do Azure Data Box
Funcionalidades de segurança
O Data Box oferece uma solução segura para proteção de dados ao garantir que apenas as entidades autorizadas podem ver, modificar ou eliminar os seus dados. As funcionalidades de segurança desta solução destinam-se ao disco e ao serviço associado para garantir a segurança dos dados armazenados nos mesmos.
Proteção do dispositivo do Data Box
O dispositivo do Data Box está protegido pelas seguintes funcionalidades:
- Um invólucro robusto do dispositivo que protege contra choques, transporte volátil e condições ambientais desfavoráveis.
- Deteção de adulteração de hardware e software que impede outras operações do dispositivo.
- Sistema de deteção de intrusão integrado que identifica o acesso físico não autorizado aos dispositivos.
- Tecnologia Semper Secure Flash integrada com um hardware Root of Trust (RoT) dentro da memória flash, garantindo a integridade do firmware e permitindo atualizações seguras sem modificações de hardware.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. O TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
- As limitações de execução restringem a execução a software proprietário específico do Data Box.
- Estado de inicialização bloqueado padrão.
- Acesso ao dispositivo controlado através de uma chave de desbloqueio do dispositivo e chave de criptografia. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, consulte Usar chaves geridas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Cada acesso à página Credenciais do dispositivo no portal do Azure é registado nos registos de atividades.
- Você pode usar suas próprias senhas para o dispositivo e compartilhar o acesso. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
- Um invólucro robusto do dispositivo que protege contra choques, transporte volátil e condições ambientais desfavoráveis.
- Deteção de adulteração de hardware e software que impede outras operações do dispositivo.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. O TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
- Limita a execução a software proprietário específico do Data Box.
- Inicializa por padrão em um estado bloqueado.
- Acesso ao dispositivo controlado através de uma chave de desbloqueio do dispositivo e chave de criptografia. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, consulte Usar chaves geridas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Cada acesso à página Credenciais do dispositivo no portal do Azure é registado nos registos de atividades.
- Você pode usar suas próprias senhas para o dispositivo e compartilhar o acesso. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
Estabeleça confiança com o dispositivo através de certificados
Um dispositivo Data Box permite que você utilize seus próprios certificados ao se conectar à interface do usuário da Web local e ao armazenamento de blobs. Para obter mais informações, consulte Usar seus próprios certificados com dispositivos Data Box.
Proteção de dados do Data Box
O fluxo de dados de entrada e saída do Data Box está protegido pelas seguintes funcionalidades:
- Criptografia AES de 256 bits para dados em repouso. Em um ambiente de alta segurança, você pode usar criptografia dupla baseada em software. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
- Criptografia baseada em software aprimorada pela criptografia de hardware baseada em controlador RAID.
- Os protocolos encriptados podem ser utilizados para dados em trânsito. Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados quando você copia para eles a partir de seus servidores de dados.
- Apagamento seguro de dados do dispositivo assim que o carregamento para o Azure estiver concluído. A eliminação de dados está de acordo com as diretrizes do Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de eliminação de dados é registado no histórico de encomendas.
- Encriptação AES de 256 bits para dados em repouso. Em um ambiente de alta segurança, você pode usar criptografia dupla baseada em software. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
- Os protocolos encriptados podem ser utilizados para dados em trânsito. Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados quando você copia para eles a partir de seus servidores de dados.
- Apagamento seguro de dados do dispositivo assim que o carregamento para o Azure estiver concluído. A eliminação de dados está de acordo com as diretrizes do Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de eliminação de dados é registado no histórico de encomendas.
Proteção do serviço Data Box
O serviço Data Box está protegido pelas seguintes funcionalidades.
- O acesso ao serviço Data Box requer uma assinatura do Azure habilitada para Data Box. As subscrições individuais limitam o acesso a funcionalidades no portal do Azure.
- Como o serviço Data Box está hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre as funcionalidades de segurança fornecidas pelo Microsoft Azure, aceda ao Centro de Fidedignidade do Microsoft Azure.
- O acesso ao pedido do Data Box pode ser controlado usando funções do Azure. Para obter mais informações, consulte Configurar o controle de acesso para o pedido do Data Box
- O serviço Data Box armazena a senha usada para desbloquear o dispositivo.
- O serviço Caixa de dados armazena os detalhes e o status do pedido. O serviço Data Box exclui essas informações quando o trabalho atinge o estado do terminal ou quando você exclui o pedido.
Gerir dados pessoais
A coleta e exibição de informações pessoais pelo Azure Data Box é limitada às seguintes instâncias principais no serviço:
Configurações de notificação - Ao criar um pedido, você define as configurações de notificação para usar o endereço de e-mail de um usuário. Essas informações são visíveis para o administrador. O serviço Data Box exclui essas informações quando o trabalho atinge o estado do terminal ou quando você exclui o pedido.
Detalhes do pedido – Depois que o pedido é criado, o endereço de entrega, o email e as informações de contato dos usuários são armazenados no portal do Azure. Estas informações incluem:
Nome do contacto
Número de telefone
Email
Endereço
Cidade
Código postal
Estado
País/Província/Região
Número de conta da operadora
Número de controlo de envio
O serviço Data Box exclui os detalhes do pedido quando o trabalho atinge o estado terminal ou quando o utilizador exclui o pedido.
Endereço de envio – Após a encomenda ser feita, o serviço Data Box fornece o endereço de envio a parceiros de envio como UPS ou DHL.
Para obter mais informações, reveja a política de privacidade da Microsoft no Centro de Fidedignidade.
Referência das diretrizes de segurança
As seguintes diretrizes de segurança são implementadas no Data Box:
| Diretriz | Descrição |
|---|---|
| IEC 60529 IP52 | Proteção contra água e poeira |
| ISTA 2A | Resistência a condições de transporte voláteis |
| NIST SP 800-147 | Atualização segura de firmware |
| FIPS 140-2 Nível 2 | Proteção de dados |
| Apêndice A, para unidades de disco rígido ATA no NIST SP 800-88r1 | Higienização de dados |
Apagar com segurança os detalhes de higienização de mídia
O processo de eliminação segura realizado em nossos dispositivos é compatível com NIST SP 800-88r1 e a seguir estão os detalhes da implementação:
| Dispositivo | Tipo de eliminação de dados | Ferramenta utilizada |
|---|---|---|
| Azure Data Box | Na nuvem pública: Crypto Erase Na nuvem Gov: Apagamento Criptográfico + Sobrescrição de Disco |
Ferramenta ARCCONF |
| Azure Data Box 120 | Na nuvem pública e do governo: Bloquear eliminação | Ferramenta ARCCONF |
| Azure Data Box 525 | Na nuvem pública e do governo: Bloquear eliminação | Ferramenta ARCCONF |
| Azure Data Box Disk | Na nuvem pública e do governo: Bloquear eliminação | Ferramenta MSECLI |
Próximos passos
- Reveja os Requisitos do Data Box.
- Compreenda os limites do Data Box.
- Implemente rapidamente o Azure Data Box no portal do Azure.