Proteção de dados e segurança do Azure Data Box
O Data Box oferece uma solução segura para proteção de dados ao garantir que apenas as entidades autorizadas podem ver, modificar ou eliminar os seus dados. Este artigo descreve as funcionalidades de segurança do Azure Data Box que ajudam a proteger todos os componentes da solução Data Box e os respetivos dados armazenados.
Nota
Este artigo fornece passos sobre como eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para apoiar as suas obrigações ao abrigo do RGPD. Para obter informações gerais sobre o RGPD, consulte a secção RGPD do Centro de Confiança da Microsoft e a secção RGPD do Portal de Confiança do Serviço.
Fluxo de dados através dos componentes
A solução Microsoft Azure Data Box é composta por quatro componentes principais que interagem entre si:
- Serviço Azure Data Box alojado no Azure – O serviço de gestão que utiliza para criar a encomenda dos dispositivos, configurar os dispositivos e, em seguida, controlar a encomenda até à conclusão.
- Dispositivo Data Box – O dispositivo de transferência que é enviado para si para importar os dados no local para o Azure.
- Clientes/anfitriões ligados ao dispositivo – Os clientes na sua infraestrutura que ligam ao dispositivo Data Box e contêm dados que precisam de ser protegidos.
- Armazenamento na cloud – A localização na cloud do Azure onde os dados são armazenados. Esse local normalmente é a conta de armazenamento vinculada ao recurso Azure Data Box que você criou.
O diagrama a seguir indica o fluxo de dados por meio da solução Azure Data Box do local para o Azure e os vários recursos de segurança em vigor à medida que os dados fluem pela solução. Este fluxo é para uma ordem de importação para o seu Data Box.
O diagrama a seguir é para a ordem de exportação para o seu Data Box.
À medida que os dados fluem através desta solução, os eventos são registados e os registos são gerados. Para mais informações, aceda a:
- Acompanhamento e registo de eventos para as suas ordens de importação do Azure Data Box.
- Acompanhamento e registo de eventos para as suas encomendas de exportação do Azure Data Box
Funcionalidades de segurança
O Data Box oferece uma solução segura para proteção de dados ao garantir que apenas as entidades autorizadas podem ver, modificar ou eliminar os seus dados. As funcionalidades de segurança desta solução destinam-se ao disco e ao serviço associado para garantir a segurança dos dados armazenados nos mesmos.
Proteção do dispositivo do Data Box
O dispositivo do Data Box está protegido pelas seguintes funcionalidades:
- Uma caixa robusta para o dispositivo resistente a choques, transporte adverso e condições ambientais.
- Deteção de adulteração de hardware e software que impede outras operações do dispositivo.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. Especificamente, o TPM gerencia e protege segredos e dados que precisam ser mantidos no dispositivo.
- Executa apenas o software específico do Data Box.
- Arranca num estado bloqueado.
- Controla o acesso ao dispositivo através de uma chave de acesso de desbloqueio de dispositivo. Esta chave de acesso está protegida por uma chave de encriptação. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, veja Chaves geridas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Cada acesso à página Credenciais do dispositivo no portal do Azure é registrado nos logs de atividades.
- Você pode usar suas próprias senhas para o dispositivo e compartilhar o acesso. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
Estabeleça confiança com o dispositivo através de certificados
Um dispositivo Data Box permite que você traga seus próprios certificados e instale aqueles que serão usados para se conectar à interface do usuário da Web local e ao armazenamento de blobs. Para obter mais informações, consulte Usar seus próprios certificados com dispositivos Data Box e Data Box Heavy.
Proteção de dados do Data Box
O fluxo de dados de entrada e saída do Data Box está protegido pelas seguintes funcionalidades:
- Encriptação AES de 256 bits para Dados inativos. Em um ambiente de alta segurança, você pode usar criptografia dupla baseada em software. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
- Os protocolos encriptados podem ser utilizados para dados em trânsito. Recomendamos que você use o SMB 3.0 com criptografia para proteger os dados quando você copia para eles a partir de seus servidores de dados.
- Apagamento seguro de dados do dispositivo assim que o carregamento para o Azure estiver concluído. A eliminação de dados está de acordo com as diretrizes do Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de eliminação de dados é registrado no histórico de pedidos.
Proteção do serviço Data Box
O serviço Data Box está protegido pelas seguintes funcionalidades.
- O acesso ao serviço Data Box requer que sua organização tenha uma assinatura do Azure que inclua o Data Box. A subscrição controla as funcionalidades a que pode aceder no portal do Azure.
- Uma vez que o serviço Data Box está alojado no Azure, é protegido pelas funcionalidades de segurança do Azure. Para obter mais informações sobre as funcionalidades de segurança fornecidas pelo Microsoft Azure, aceda ao Centro de Fidedignidade do Microsoft Azure.
- O acesso à ordem do Data Box pode ser controlado por meio do uso de funções do Azure. Para obter mais informações, consulte Configurar o controle de acesso para o pedido do Data Box
- O serviço Data Box armazena a senha de desbloqueio usada para desbloquear o dispositivo no serviço.
- O serviço Data Box armazena os detalhes da encomenda e o estado no serviço. Estas informações são eliminadas quando a encomenda é eliminada.
Gerir dados pessoais
O Azure Data Box recolhe e apresenta informações pessoais nas seguintes instâncias-chave no serviço:
Definições de notificação – Quando cria uma encomenda, pode configurar o endereço de e-mail dos utilizadores nas definições de notificação. Estas informações podem ser visualizadas pelo administrador. Estas informações são eliminadas pelo serviço quando a tarefa atinge o estado terminal ou ao eliminar a encomenda.
Detalhes do pedido – Depois que o pedido é criado, o endereço de entrega, o email e as informações de contato dos usuários são armazenados no portal do Azure. As informações guardadas incluem:
Nome do contacto
Número de telefone
Correio Eletrónico
Endereço
City
Código postal
Estado
País/Província/Região
Número de conta da operadora
Número de controlo de envio
Os detalhes da encomenda são eliminados pelo serviço Data Box quando a tarefa é concluída ou ao eliminar a encomenda.
Endereço de envio – Depois de realizada a encomenda, o serviço Data Box oferece o endereço de envio a operadoras de terceiros, como UPS ou DHL.
Para obter mais informações, reveja a política de privacidade da Microsoft no Centro de Fidedignidade.
Referência das diretrizes de segurança
As seguintes diretrizes de segurança são implementadas no Data Box:
| Diretriz | Descrição |
|---|---|
| IEC 60529 IP52 | Para proteção contra água e poeira |
| ISTA 2A | Para resistir a condições de transporte adversas |
| NIST SP 800-147 | Para a atualização de firmware seguro |
| FIPS 140-2 Level 2 | Para proteção de dados |
| Apêndice A, para unidades de disco rígido ATA no NIST SP 800-88R1 | Para a limpeza de dados |
Próximos passos
- Reveja os Requisitos do Data Box.
- Compreenda os limites do Data Box.
- Implemente rapidamente o Azure Data Box no portal do Azure.