Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Data Box предоставляет безопасное решение для защиты данных, гарантируя, что только авторизованные субъекты могут просматривать, изменять или удалять данные. В этой статье описываются функции безопасности Azure Data Box, которые помогают защитить каждый компонент решения Data Box и хранимые на нем данные.
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Поток данных через компоненты
Решение Microsoft Azure Data Box состоит из четырех основных компонентов, которые взаимодействуют друг с другом.
- Служба Azure Data Box, размещенная в Azure — это служба управления, с помощью которой можно заказывать и настраивать устройства, а затем отслеживать заказы до их завершения.
- Устройство Data Box — это устройство передачи, которое доставляется к вам с целью импорта локальных данных в Azure.
- Клиенты или серверы, подключенные к устройству — это клиенты инфраструктуры, которые подключаются к устройству Data Box и содержат данные, которые необходимо защитить.
- Облачное хранилище – расположение в облаке Azure, где хранятся данные. Обычно это учетная запись хранения, которая связана с ресурсом Azure Data Box, созданным вами.
На следующей схеме показан локальный поток данных заказа импорта в Azure через решение Azure Data Box. Также выделены различные функции безопасности в решении.
На следующей схеме показан поток данных заказа на экспорт для Data Box.
Журналы создаются, а данные событий отслеживаются по мере прохождения через это решение. Дополнительные сведения см. в разделах:
- Отслеживание и регистрация событий заказов на импорт для Azure Data Box
- Отслеживание и регистрация событий заказов на экспорт для Azure Data Box
Функции безопасности
Data Box предоставляет безопасное решение для защиты данных, гарантируя, что только авторизованные субъекты могут просматривать, изменять или удалять данные. Функции безопасности этого решения предназначены для диска и для связанной службы, обеспечивающих безопасность хранимых на них данных.
Защита устройства Data Box
Устройство Data Box защищено с помощью следующих функций:
- Прочный корпус устройства, который защищает от ударов, вибраций при транспортировке и неблагоприятных условий окружающей среды.
- обнаружение незаконного изменения оборудования и программного обеспечения, которое предотвращает дальнейшие операции с устройством;
- Встроенная система обнаружения вторжений, которая определяет несанкционированный физический доступ к устройствам.
- Технология Semper Secure Flash, интегрированная с аппаратным корнем доверия (RoT) во флэш-памяти, обеспечивающая целостность встроенного ПО и безопасные обновления без изменений в оборудовании.
- Доверенный модуль платформы (TPM), который выполняет аппаратные функции, связанные с безопасностью. TPM управляет и защищает конфиденциальные данные и информацию, которые необходимо сохранять на устройстве.
- Ограничения на выполнение ограничивают его использованием проприетарного программного обеспечения, специфичного для Data Box.
- Состояние загрузки заблокировано по умолчанию.
- Доступ к устройству, контролируемый с помощью секретного ключа разблокировки устройства и ключа шифрования. Для защиты ключа доступа можно использовать собственный ключ, управляемый клиентом. Дополнительные сведения см. в статье Использование ключей, управляемых клиентом, в Azure Key Vault для Azure Data Box.
- доступ к учетным данным для копирования данных на устройство и из него. Все события доступа к странице учетных данных устройства на портале Azure фиксируются в журналах действий.
- Вы можете использовать собственные пароли для доступа к устройствам и общим папкам. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.
- Прочный корпус устройства, который защищает от ударов, вибраций при транспортировке и неблагоприятных условий окружающей среды.
- обнаружение незаконного изменения оборудования и программного обеспечения, которое предотвращает дальнейшие операции с устройством;
- Доверенный модуль платформы (TPM), который выполняет аппаратные функции, связанные с безопасностью. TPM управляет и защищает конфиденциальные данные и информацию, которые необходимо сохранять на устройстве.
- Ограничивает выполнение программным обеспечением, специально разработанным для Data Box.
- Загружается по умолчанию в заблокированное состояние.
- Доступ к устройству, контролируемый с помощью секретного ключа разблокировки устройства и ключа шифрования. Для защиты ключа доступа можно использовать собственный ключ, управляемый клиентом. Дополнительные сведения см. в статье Использование ключей, управляемых клиентом, в Azure Key Vault для Azure Data Box.
- доступ к учетным данным для копирования данных на устройство и из него. Все события доступа к странице учетных данных устройства на портале Azure фиксируются в журналах действий.
- Вы можете использовать собственные пароли для доступа к устройствам и общим папкам. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.
Установка отношения доверия с устройством с помощью сертификатов
Устройство Data Box позволяет использовать собственные сертификаты при подключении к локальному веб-интерфейсу и хранилищу BLOB-объектов. Дополнительные сведения см. в разделе "Использование собственных сертификатов с устройствами Data Box".
Защита данных от Data Box
Входные и выходные данные Data Box защищены следующими функциями:
- Шифрование 256-разрядной версии AES для неактивных данных. В среде с высоким уровнем безопасности можно использовать двойное шифрование на основе программного обеспечения. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.
- Шифрование на основе программного обеспечения, улучшенное аппаратным шифрованием на основе контроллера RAID.
- Зашифрованные протоколы могут использоваться для данных в процессе передачи. Для защиты данных при копировании с серверов данных рекомендуется использовать SMB 3.0 с шифрованием.
- Безопасное удаление данных с устройства после завершения передачи данных в Azure. Удаление данных осуществляется в соответствии с рекомендациями, приведенными в Приложении А для жестких дисков ATA из стандарта NIST 800-88r1. Событие удаления данных фиксируется в журнале заказов.
- 256-битное шифрование AES для данных в состоянии покоя. В среде с высоким уровнем безопасности можно использовать двойное шифрование на основе программного обеспечения. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.
- Зашифрованные протоколы могут использоваться для данных в процессе передачи. Для защиты данных при копировании с серверов данных рекомендуется использовать SMB 3.0 с шифрованием.
- Безопасное удаление данных с устройства после завершения передачи данных в Azure. Удаление данных осуществляется в соответствии с рекомендациями, приведенными в Приложении А для жестких дисков ATA из стандарта NIST 800-88r1. Событие удаления данных фиксируется в журнале заказов.
Защита службы Data Box
Служба Data Box защищена с помощью следующих функций.
- Для доступа к службе Data Box требуется подписка Azure с поддержкой Data Box. Отдельные подписки ограничивают доступ к функциям на портале Azure.
- Так как служба Data Box размещена в Azure, она защищена функциями безопасности Azure. Дополнительные сведения о функциях безопасности, предоставляемых Microsoft Azure, см. в центре управления безопасностью Microsoft Azure.
- Доступ к заказу Data Box можно контролировать с помощью ролей Azure. Дополнительные сведения см. в разделе о настройке управления доступом для заказа Data Box.
- Служба Data Box сохраняет пароль, используемый для разблокировки устройства.
- Служба Data Box хранит сведения о заказе и состоянии. Служба Data Box удаляет эти сведения, когда задание достигает состояния терминала или при удалении заказа.
Управление персональными данными
Сбор и отображение персональных данных в Azure Data Box ограничены следующими ключевыми случаями использования в службе:
Параметры уведомлений . При создании заказа вы настраиваете параметры уведомлений для использования адреса электронной почты пользователя. Эта информация отображается администратору. Служба Data Box удаляет эти сведения, когда задание достигает состояния терминала или при удалении заказа.
Сведения о заказе . После создания заказа адрес доставки, электронная почта и контактные данные пользователей хранятся на портале Azure. Эти сведения включают:
Имя контакта
Номер телефона
Эл. почта
Улица, дом
Город
почтовый индекс;
Штат
страна, область, край, округ, регион;
Номер счета перевозчика
номер отслеживания доставки.
Служба Data Box удаляет сведения о заказе, когда задание достигает состояния терминала или при удалении заказа.
Адрес доставки— после размещения заказа служба Data Box предоставляет адрес доставки партнерам по доставке, таким как UPS или DHL.
Дополнительные сведения см. в политике конфиденциальности Майкрософт в центре управления безопасностью.
Ссылка на рекомендации по безопасности
В Data Box реализованы следующие рекомендации по безопасности.
| Рекомендация | Описание |
|---|---|
| IEC 60529 IP52 | Защита от воды и пыли |
| ISTA 2A | Выносливость при неустойчивых условиях транспортировки |
| NIST SP 800-147 | Безопасное обновление встроенного ПО |
| Уровень 2 FIPS 140-2 | Защита данных |
| Приложение A для жестких дисков ATA в документе NIST SP 800-88r1 | Очистка данных |
Сведения о безопасном удалении носителей информации
Процесс безопасной стирки, выполняемый на наших устройствах, соответствует NIST SP 800-88r1 и ниже приведены сведения о реализации:
| Устройство | Тип стирания данных | Используемое средство |
|---|---|---|
| Azure Data Box | В общедоступном облаке: Crypto Erase В государственном облаке: Криптостирание и перезапись диска. |
Инструмент ARCCONF |
| Azure Data Box 120 | В общедоступном и Gov облаке: стирание блоков | Инструмент ARCCONF |
| Azure Data Box 525 | В общедоступном и Gov облаке: стирание блоков | Инструмент ARCCONF |
| Диск Azure Data Box | В общедоступном и Gov облаке: стирание блоков | Средство MSECLI |
Следующие шаги
- Ознакомьтесь с разделом Azure Data Box system requirements (Системные требования Azure Data Box).
- Изучите ограничения Data Box.
- Оперативно разверните Azure Data Box на портале Azure.