Azure Data Box-beveiliging en -gegevensbescherming
Data Box biedt een veilige oplossing voor gegevensbescherming door te garanderen dat alleen bevoegde entiteiten uw gegevens kunnen bekijken, wijzigen of verwijderen. In dit artikel worden de Azure Data Box-beveiligingsfuncties beschreven die de Data Box-oplossingsonderdelen helpen te beschermen, evenals de gegevens die daarin worden opgeslagen.
Notitie
Dit artikel bevat stappen voor het verwijderen van persoonlijke gegevens van het apparaat of de service. U kunt het ook gebruiken om uw verplichtingen met betrekking tot de AVG (Algemene Verordening Gegevensbescherming) na te komen. Zie voor algemene informatie over AVG de AVG-sectie van het Vertrouwenscentrum van Microsoft en de AVG-sectie van de Service Trust Portal.
Gegevens stromen door onderdelen
De Microsoft Azure Data Box-oplossing bestaat uit vier hoofdonderdelen die met elkaar samenwerken:
- Azure Data Box-service die in Azure wordt gehost – De beheerservice die u gebruikt om de apparaatorder te maken, het apparaat te configureren en de order vervolgens bij te houden totdat deze is voltooid.
- Data Box-apparaat – Het overdrachtsapparaat dat naar u worden verzonden om uw on-premises gegevens in Azure te importeren.
- Clients/hosts die met het apparaat zijn verbonden – De clients in uw infrastructuur die via USB verbinding maken met de Data Box-apparaat en gegevens bevatten die moeten worden beschermd.
- Cloudopslag – De locatie in de Azure-cloud waar gegevens worden opgeslagen. Deze locatie is doorgaans het opslagaccount dat is gekoppeld aan de Azure Data Box-resource die u hebt gemaakt.
In het volgende diagram ziet u de stroom van gegevens via de Azure Data Box-oplossing van on-premises naar Azure en de verschillende beveiligingsfuncties die aanwezig zijn wanneer de gegevens door de oplossing stromen. Deze stroom is bedoeld voor een importorder voor uw Data Box.
Het volgende diagram is bedoeld voor de exportorder voor uw Data Box.
Wanneer de gegevens door deze oplossing stromen, worden gebeurtenissen geregistreerd en worden logboeken gegenereerd. Ga voor meer informatie naar:
- Tracering en logboekregistratie van gebeurtenissen voor uw Azure Data Box-importorders.
- Tracering en logboekregistratie van gebeurtenissen voor uw Azure Data Box-exportorders
Beveiligingsfuncties
Data Box biedt een veilige oplossing voor gegevensbescherming door te garanderen dat alleen bevoegde entiteiten uw gegevens kunnen bekijken, wijzigen of verwijderen. De beveiligingsfuncties van deze oplossing zijn voor de schijf en voor de bijbehorende service, zodat de gegevens worden beschermd die daarop worden opgeslagen.
Data Box-apparaatbescherming
Het Data Box-apparaat wordt door de volgende functies beschermd:
- Een robuuste apparaatbehuizing die bestand is tegen schokken, nadelig transport en milieuomstandigheden.
- Detectie van onrechtmatig gebruik van de hard- en software die verder gebruik van het apparaat voorkomt.
- Een TRUSTED Platform Module (TPM) die hardwaregebaseerde, beveiligingsgerelateerde functies uitvoert. Met name de TPM beheert en beveiligt geheimen en gegevens die op het apparaat moeten worden bewaard.
- Kan alleen worden uitgevoerd met Data Box-specifieke software.
- Wordt in vergrendelde toestand opgestart.
- Hiermee bepaalt u de apparaattoegang via een wachtwoordsleutel voor ontgrendelen van een apparaat. Deze wachtwoordsleutel wordt beveiligd door een versleutelingssleutel. U kunt uw eigen door de klant beheerde sleutel gebruiken om de wachtwoordsleutel te beveiligen. Zie Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box voor meer informatie.
- Toegangsreferenties om gegevens van en naar het apparaat te kopiëren. Elke toegang tot de pagina Apparaatreferenties in Azure Portal wordt geregistreerd in de activiteitenlogboeken.
- U kunt uw eigen wachtwoorden gebruiken voor apparaat- en sharetoegang. Zie Zelfstudie: Azure Data Box bestellen voor meer informatie.
Vertrouwen met het apparaat tot stand brengen via certificaten
Met een Data Box-apparaat kunt u uw eigen certificaten gebruiken en deze installeren om verbinding te maken met de lokale webgebruikersinterface en blobopslag. Zie Uw eigen certificaten gebruiken met Data Box- en Data Box Heavy-apparaten voor meer informatie.
Data Box-gegevensbescherming
De gegevens die in en uit de Data Box stromen, worden door de volgende functies beschermd:
- AES 256-bits versleuteling voor data-at-rest. In een omgeving met hoge beveiliging kunt u dubbele versleuteling op basis van software gebruiken. Zie Zelfstudie: Azure Data Box bestellen voor meer informatie.
- Versleutelde protocollen kunnen worden gebruikt voor data-in-flight. U wordt aangeraden SMB 3.0 te gebruiken met versleuteling om gegevens te beveiligen wanneer u er gegevens naar kopieert vanaf uw gegevensservers.
- Veilige verwijdering van gegevens van het apparaat zodra het uploaden naar Azure is voltooid. Gegevensverwijdering is in overeenstemming met de richtlijnen in bijlage A voor ATA-harde schijven in NIST 800-88r1-standaarden. De gebeurtenis voor gegevensverwijdering wordt vastgelegd in de bestelgeschiedenis.
Data Box-servicebescherming
De Data Box-service wordt door de volgende functies beschermd:
- Voor toegang tot de Data Box-service moet uw organisatie een Azure-abonnement hebben dat Data Box bevat. Uw abonnement bepaalt tot welke functies u toegang hebt in de Azure-portal.
- Omdat de Data Box-service in Azure wordt gehost, wordt deze beschermd door de Azure-beveiligingsfuncties. Ga naar het Vertrouwenscentrum van Microsoft Azure voor meer informatie over de beveiligingsfuncties die worden geleverd door Microsoft Azure.
- Toegang tot de Data Box-bestelling kan worden beheerd via het gebruik van Azure-rollen. Zie Toegangsbeheer instellen voor Data Box-bestelling voor meer informatie
- De Data Box-service slaat het ontgrendelingswachtwoord op dat wordt gebruikt om het apparaat in de service te ontgrendelen.
- In de Data Box-service worden de ordergegevens en -status opgeslagen. Deze informatie wordt verwijderd wanneer de order wordt verwijderd.
Persoonlijke gegevens beheren
Azure Data Box verzamelt en toont persoonlijke informatie in de volgende belangrijke gevallen in de service:
Meldingsinstellingen – Wanneer u een order maakt, configureert u het e-mailadres van gebruikers onder Meldingsinstellingen. Deze informatie kan worden bekeken door de beheerder. Deze informatie wordt verwijderd door de service wanneer de order de definitieve status bereikt of wanneer u de order verwijdert.
Ordergegevens : zodra de bestelling is gemaakt, worden het verzendadres, het e-mailadres en de contactgegevens van gebruikers opgeslagen in Azure Portal. De opgeslagen informatie omvat:
Naam van contactpersoon
Telefoonnummer
Email
Adres
Plaats
Postcode
Toestand
Land/Provincie/Regio
Accountnummer van transporteur
Volgnummer van verzending
De ordergegevens worden verwijderd door de Data Box-service wanneer de order is voltooid of wanneer u de order verwijdert.
Verzendadres – Nadat de order is geplaatst, geeft de Data Box-service het verzendadres aan externe transporteurs, zoals UPS of DHL.
Bekijk het Microsoft-privacybeleid in het Vertrouwenscentrum voor meer informatie.
Naslag met richtlijnen voor beveiliging
De volgende beveiligingsrichtlijnen zijn geïmplementeerd in Data Box:
| Richtlijn | Omschrijving |
|---|---|
| IEC 60529 IP52 | Voor bescherming tegen water en stof |
| ISTA 2A | Voor het weerstaan van nadelige vervoersomstandigheden |
| NIST SP 800-147 | Voor het veilig bijwerken van firmware |
| FIPS 140-2 Level 2 | Voor gegevensbescherming |
| Bijlage A, voor ATA-harde schijven in NIST SP 800-88r1 | Voor het opschonen van gegevens |
Volgende stappen
- De Vereisten voor Data Box bekijken.
- Informatie over de limieten voor Data Box.
- Azure Data Box snel implementeren in de Azure Portal.