Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Data Box offre una soluzione sicura per la protezione dei dati, garantendo che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati. Questo articolo descrive le funzionalità di sicurezza di Azure Data Box che consentono di proteggere ciascuno dei componenti della soluzione Data Box e i dati archiviati su di essi.
Note
Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Flusso dei dati nei vari componenti
La soluzione Microsoft Azure Data Box è costituita da quattro componenti principali che interagiscono tra loro:
- Servizio Azure Data Box ospitato in Azure: il servizio di gestione usato per creare l'ordine del dispositivo, configurare il dispositivo e quindi monitorare l'ordine fino al completamento.
- Dispositivo di Data Box: il dispositivo di trasferimento spedito all'utente per l'importazione dei dati locali Azure.
- Client/host connessi al dispositivo: i client nell'infrastruttura che si connettono al dispositivo Data Box tramite USB e che contengono i dati da proteggere.
- Archiviazione cloud – Posizione nel cloud di Azure in cui vengono archiviati i dati. Questa posizione è in genere l'account di archiviazione collegato alla risorsa di Azure Data Box creata.
Il diagramma seguente illustra il flusso di dati locale di un ordine di importazione in Azure tramite la soluzione Azure Data Box. Vengono evidenziate anche le varie funzionalità di sicurezza all'interno della soluzione.
Il diagramma seguente illustra un flusso di dati dell'ordine di esportazione per Data Box.
I log vengono generati e i dati degli eventi vengono rilevati man mano che i dati passano attraverso questa soluzione. Per altre informazioni, vedere:
- Rilevamento e registrazione eventi per gli ordini di importazione di Azure Data Box.
- Rilevamento e registrazione eventi per gli ordini di esportazione di Azure Data Box
Funzionalità di sicurezza
Data Box offre una soluzione sicura per la protezione dei dati, garantendo che solo le entità autorizzate possano visualizzare, modificare o eliminare i dati. Le funzionalità di sicurezza per questa soluzione riguardano sia i dischi che il servizio associato a garantire la sicurezza dei dati archiviati.
Protezione del dispositivo Data Box
Il dispositivo Data Box è protetto dalle funzionalità seguenti:
- Un dispositivo robusto che protegge da shock, trasporti volatili e condizioni ambientali sfavorevoli.
- Rilevamento di manomissione dell'hardware e del software che impedisce altre operazioni del dispositivo.
- Sistema predefinito di rilevamento delle intrusioni che identifica l'accesso fisico non autorizzato ai dispositivi.
- Tecnologia Semper Secure Flash integrata con un hardware Root of Trust (RoT) all'interno della memoria flash, garantendo l'integrità del firmware e abilitando aggiornamenti sicuri senza modifiche hardware.
- TPM (Trusted Platform Module) che esegue funzioni correlate alla sicurezza basate su hardware. Il TPM gestisce e protegge segreti e dati che devono essere salvati in modo permanente nel dispositivo.
- Le limitazioni di esecuzione limitano l'esecuzione a software proprietario specifico di Data Box.
- Stato di avvio bloccato predefinito.
- L'accesso al dispositivo è controllato tramite una chiave passkey e una chiave di crittografia di sblocco del dispositivo. È possibile usare la propria chiave gestita dal cliente per proteggere la passkey. Per altre informazioni, vedere Usare chiavi gestite dal cliente in Azure Key Vault per Azure Data Box.
- Credenziali di accesso per copiare dati da e nel dispositivo. Tutti gli accessi alla pagina Credenziali dispositivo nel portale di Azure vengono registrati nei log attività.
- È possibile usare password personalizzate per l'accesso al dispositivo e alla condivisione. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
- Un dispositivo robusto che protegge da shock, trasporti volatili e condizioni ambientali sfavorevoli.
- Rilevamento di manomissione dell'hardware e del software che impedisce altre operazioni del dispositivo.
- TPM (Trusted Platform Module) che esegue funzioni correlate alla sicurezza basate su hardware. Il TPM gestisce e protegge segreti e dati che devono essere salvati in modo permanente nel dispositivo.
- Limita l'esecuzione a software proprietario specifico di Data Box.
- Viene avviato per impostazione predefinita in uno stato bloccato.
- L'accesso al dispositivo è controllato tramite una chiave passkey e una chiave di crittografia di sblocco del dispositivo. È possibile usare la propria chiave gestita dal cliente per proteggere la passkey. Per altre informazioni, vedere Usare chiavi gestite dal cliente in Azure Key Vault per Azure Data Box.
- Credenziali di accesso per copiare dati da e nel dispositivo. Tutti gli accessi alla pagina Credenziali dispositivo nel portale di Azure vengono registrati nei log attività.
- È possibile usare password personalizzate per l'accesso al dispositivo e alla condivisione. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
Stabilire una relazione di trust con il dispositivo tramite certificati
Un dispositivo Data Box consente di usare i propri certificati quando ci si connette all'interfaccia utente Web locale e all'archiviazione BLOB. Per altre informazioni, vedere Usare i propri certificati con i dispositivi Data Box.
Protezione dei dati di Data Box
I dati in ingresso e in uscita da Data Box sono protetti dalle funzionalità seguenti:
- Crittografia AES a 256 bit per i dati a riposo. In un ambiente a sicurezza elevata è possibile usare la doppia crittografia basata su software. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
- Crittografia basata su software migliorata dalla crittografia hardware basata su controller RAID.
- Per i dati in movimento è possibile usare i protocolli crittografati. È consigliabile usare SMB 3.0 con crittografia per proteggere i dati quando si esegue la copia dai server dati.
- Cancellazione sicura dei dati dal dispositivo dopo il completamento del caricamento dei dati in Azure. La cancellazione dei dati è conforme alle linee guida indicate nell'Appendice A per le unità disco rigido ATA negli standard NIST 800-88r1. L'evento di cancellazione dei dati viene registrato nella cronologia ordini.
- Crittografia AES a 256 bit dei dati inattivi. In un ambiente a sicurezza elevata è possibile usare la doppia crittografia basata su software. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
- Per i dati in movimento è possibile usare i protocolli crittografati. È consigliabile usare SMB 3.0 con crittografia per proteggere i dati quando si esegue la copia dai server dati.
- Cancellazione sicura dei dati dal dispositivo dopo il completamento del caricamento dei dati in Azure. La cancellazione dei dati è conforme alle linee guida indicate nell'Appendice A per le unità disco rigido ATA negli standard NIST 800-88r1. L'evento di cancellazione dei dati viene registrato nella cronologia ordini.
Protezione del servizio Data Box
Il servizio Data Box è protetto dalle funzionalità seguenti.
- L'accesso al servizio Data Box richiede una sottoscrizione di Azure abilitata per Data Box. Le singole sottoscrizioni limitano l'accesso alle funzionalità all'interno del portale di Azure.
- Poiché il servizio Data Box è ospitato in Azure, è protetto dalle funzionalità di sicurezza di Azure. Per altre informazioni sulle funzionalità di sicurezza fornite da Microsoft Azure, andare in Centro protezione Microsoft Azure.
- L'accesso all'ordine di Data Box può essere controllato tramite l'uso dei ruoli di Azure. Per altre informazioni, vedere Impostare il controllo di accesso dell'ordine di Data Box.
- Il servizio Data Box archivia la password usata per sbloccare il dispositivo.
- Il servizio Data box archivia i dettagli e lo stato dell'ordine. Il servizio Data Box elimina queste informazioni quando il processo raggiunge lo stato del terminale o quando si elimina l'ordine.
Gestione dei dati personali
La raccolta e la visualizzazione di informazioni personali da Parte di Azure Data Box è limitata alle seguenti istanze chiave nel servizio:
Impostazioni di notifica : quando si crea un ordine, configurare le impostazioni di notifica per l'uso dell'indirizzo di posta elettronica di un utente. Queste informazioni sono visibili all'amministratore. Il servizio Data Box elimina queste informazioni quando il processo raggiunge lo stato del terminale o quando si elimina l'ordine.
Dettagli dell'ordine : dopo la creazione dell'ordine, l'indirizzo di spedizione, l'indirizzo di posta elettronica e le informazioni di contatto degli utenti vengono archiviate nel portale di Azure. Queste informazioni includono:
Nome del contatto
Numero di telefono
Email
Indirizzo
city
CAP
State
Paese/provincia/area geografica
Numero di account del vettore
Numero di tracciabilità della spedizione
Il servizio Data Box elimina i dettagli dell'ordine quando il processo raggiunge lo stato del terminale o quando si elimina l'ordine.
Indirizzo di spedizione : dopo l'ordine, il servizio Data Box fornisce l'indirizzo di spedizione ai partner di spedizione, ad esempio UPS o DHL.
Per altre informazioni, consultare l'Informativa sulla privacy Microsoft nel Centro protezione.
Riferimento delle linee guida sulla sicurezza
In Data Box sono implementate le seguenti linee guida sulla sicurezza:
| Linee guida | Descrizione |
|---|---|
| IEC 60529 IP52 | Protezione dall'acqua e dalla polvere |
| ISTA 2A | Resistenza alle condizioni di trasporto volatili |
| NIST SP 800-147 | Aggiornamento del firmware sicuro |
| FIPS 140-2 livello 2 | Protezione dei dati |
| Appendice A, per le unità disco rigido ATA in NIST SP 800-88r1 | Purificazione dei dati |
Dettagli sulla purificazione dei supporti
Il processo di cancellazione sicura eseguito sui dispositivi è conforme a NIST SP 800-88r1 e di seguito sono riportati i dettagli dell'implementazione:
| Dispositivo | Tipo di cancellazione dati | Strumento usato | Controllo di convalida |
|---|---|---|---|
| Azure Data Box | Nel cloud pubblico: Crypto Erase Nel cloud Gov: Cancellazione crittografica + Sovrascrittura del disco |
Strumento ARCCONF | Campionamento casuale del 10% + campionamento secondario 2% con lo strumento interno |
| Azure Data Box 120 | Nel cloud Pubblico e Gov: Blocca cancellazione | Strumento ARCCONF | Campionamento casuale del 10% + campionamento secondario 2% con lo strumento interno |
| Azure Data Box 525 | Nel cloud Pubblico e Gov: Blocca cancellazione | Strumento ARCCONF | Campionamento casuale del 10% + campionamento secondario 2% con lo strumento interno |
| Azure Data Box Disk | Nel cloud Pubblico e Gov: Blocca cancellazione | Strumento MSECLI | Campionamento casuale del 10% + campionamento secondario 2% con lo strumento interno |
Passaggi successivi
- Rivedere i requisiti per Data Box.
- Comprendere i limiti di Data Box.
- Distribuire rapidamente Azure Data Box nel portale di Azure.