Segurança e proteção de dados do Azure Data Box
O Data Box fornece uma solução segura para a proteção de dados, garantindo que somente entidades autorizadas possam exibir, modificar ou excluir seus dados. Este artigo descreve os recursos de segurança do Azure Data Box que ajudam a proteger cada um dos componentes da solução do Data Box e os dados armazenados neles.
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Para obter informações gerais sobre o GDPR, confira a seção GDPR da Central de Confiabilidade da Microsoft e a seção GDPR do Portal de Confiança do Serviço.
Fluxo de dados por meio de componentes
A solução Microsoft Azure Data Box consiste em quatro componentes principais que interagem entre si:
- Serviço do Azure Data Box hospedado no Azure – o serviço de gerenciamento que você usa para criar o pedido do disco, configurar o dispositivo e, em seguida, controlar o pedido até a conclusão.
- Dispositivo Data Box – o dispositivo de transferência que é enviado para você para importar seus dados locais no Azure.
- Clientes/hosts conectados ao dispositivo – os clientes em sua infraestrutura que se conectam ao dispositivo do Data Box e contêm dados que precisam ser protegidos.
- Armazenamento em nuvem – O local na nuvem do Azure onde os dados são armazenados. Esse local geralmente é a conta de armazenamento vinculada ao recurso do Azure Data Box que você criou.
O diagrama a seguir indica o fluxo de dados por meio da solução de Azure Data Box do local para o Azure e os vários recursos de segurança em vigor, pois os dados fluem pela solução. Esse fluxo é para uma ordem de importação para seu Data Box.
O diagrama a seguir é para a ordem de exportação para seu Data Box.
Conforme os dados fluem por essa solução, os eventos são registrados e os logs são gerados. Para obter mais informações, acesse:
- Rastreamento e log de eventos para seu pedido de importação do Azure Data Box.
- Rastreamento e log de eventos para seu pedido de exportação do Azure Data Box
Recursos de segurança
O Data Box fornece uma solução segura para a proteção de dados, garantindo que somente entidades autorizadas possam exibir, modificar ou excluir seus dados. Os recursos de segurança para essa solução são destinados ao disco e ao serviço associado, garantindo a segurança dos dados armazenados neles.
Proteção de dispositivo do Data Box
O dispositivo do Data Box é protegido pelos seguintes recursos:
- Uma caixa reforçada para o dispositivo que suporta choques, transporte adverso e condições ambientais.
- Detecção de violação de hardware e software que impede operações do dispositivo.
- Um TPM (Trusted Platform Module) que executa funções relacionadas à segurança baseadas em hardware. Especificamente, o TPM gerencia e protege os segredos e os dados que precisam ser persistidos no dispositivo.
- Executa apenas o software específico do Data Box.
- Inicializa em um estado bloqueado.
- Controla o acesso ao dispositivo por meio da senha de desbloqueio do dispositivo. Essa chave de acesso é protegida por uma chave de criptografia. Você pode usar sua própria chave gerenciada pelo cliente para proteger a chave de acesso. Para obter mais informações, confira Usar chaves gerenciadas pelo cliente no Azure Key Vault para o Azure Data Box.
- Credenciais de acesso para copiar dados dentro e fora do dispositivo. Todos os acessos à página Credenciais do dispositivo no portal do Azure são registrados nos logs de atividade.
- Você pode usar suas próprias senhas para acesso de dispositivo e compartilhamento. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
Estabelecer confiança com o dispositivo por meio de certificados
Um dispositivo Data Box permite que você traga seus próprios certificados e instale-os para serem usados para se conectar à interface do usuário da Web local e ao armazenamento de BLOBs. Para obter mais informações, consulte Usar seus próprios certificados com Data box e dispositivos Data Box Heavy.
Proteção de dados do Data Box
Os dados que entram e saem do Data Box são protegidos pelos seguintes recursos:
- Criptografia de 256 bits AES para dados em repouso. Em um ambiente de alta segurança, você pode usar a criptografia dupla baseada em software. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.
- Protocolos criptografados podem ser usados para dados em trânsito. Recomendamos que você use SMB 3.0 com criptografia para proteger os dados ao copiá-los de seus servidores de dados.
- Eliminação segura de dados do dispositivo após a conclusão do upload no Azure. A eliminação de dados está de acordo com as diretrizes no Apêndice A para unidades de disco rígido ATA nos padrões NIST 800-88r1. O evento de apagamento de dados é registrado no histórico de pedidos.
Proteção de serviço do Data Box
O serviço do Data Box é protegido pelos seguintes recursos.
- O acesso ao serviço do Data Box requer que a organização tenha uma assinatura do Azure que inclua o Data Box. Sua assinatura determina os recursos que você pode acessar no portal do Azure.
- Como o serviço do Data Box está hospedado no Azure, ele é protegido pelos recursos de segurança do Azure. Para obter mais informações sobre os recursos de segurança fornecidos pelo Microsoft Azure, acesse a Central de Confiabilidade do Microsoft Azure.
- O acesso ao pedido do Data Box pode ser controlado por meio do uso de funções do Azure. Para saber mais, confira Configurar controle de acesso para pedido do Data Box
- O serviço do Data Box armazena a senha de desbloqueio que é usada para desbloquear o dispositivo no serviço.
- O serviço do Data Box armazena os detalhes do pedido e o status no serviço. Essas informações são excluídas quando o pedido é excluído.
Gerenciando dados pessoais
O Azure Data Box reúne e exibe informações pessoais nas seguintes instâncias de chave no serviço:
Configurações de notificação - ao criar um pedido, você configura o endereço de email dos usuários nas configurações de notificação. Essas informações podem ser visualizadas pelo administrador. Essas informações são excluídas pelo serviço quando o trabalho atingir o estado terminal ou quando você excluir o pedido.
Detalhes do pedido - após a ordem ser criada, o endereço de envio, email e as informações de contato dos usuários são armazenadas no portal do Azure. As informações salvas incluem:
Nome do contato
Número do telefone
Email
Endereço
City
CEP/Código postal
Estado
Região/País/Região
Número da conta da operadora
Enviar número de controle
Os detalhes do pedido serão excluídos pelo serviço do Data Box quando o trabalho for concluído ou quando você excluir o pedido.
Endereço para entrega – depois que o pedido for feito, o serviço do Data Box fornecerá o endereço de entrega para operadoras de terceiros, como a UPS ou a DHL.
Para mais informações, revise a Política de Privacidade da Microsoft na Central de Confiabilidade.
Referência das diretrizes de segurança
As seguintes diretrizes de segurança são implementadas no Data Box:
| Diretriz | Descrição |
|---|---|
| IEC 60529 IP52 | Para proteção contra água e poeira |
| ISTA 2A | Para durabilidade em condições adversas de transporte |
| NIST SP 800-147 | Para atualização de firmware segura |
| FIPS 140-2 Nível 2 | Para proteção de dados |
| Apêndice A para unidades de disco rígido ATA em NIST SP 800-88r1 | Para limpeza de dados |
Próximas etapas
- Examine os requisitos do Data Box.
- Entenda os limites do Data Box.
- Implante rapidamente o Azure Data Box no portal do Azure.