Azure公有云安全合規(guī)

MicrosoftAzure

平安,隱私和法規(guī)遵從介紹430B+MicrosoftAzureAD認(rèn)證數(shù)量280%MicrosoftAzure數(shù)據(jù)庫的年增長率(YOY)50%的財(cái)富500強(qiáng)使用MicrosoftAzure$25,000在云上的開銷對(duì)比在本地部署的$100,000

(MicrosoftAzureBITeam,STMGProofPointsCentral)效益規(guī)模30,000

提升到

250,000

可幾乎從瞬間將站點(diǎn)訪問量從2周部署新服務(wù)vs.6-12個(gè)月用傳統(tǒng)方式部署(CaseStudy:HarperCollinsPublishers)速度2的CIO將接受云計(jì)算優(yōu)先的發(fā)展戰(zhàn)略(2016年)(IDCCIOAgendawebinar)云計(jì)算趨勢(shì):70%優(yōu)勢(shì)AZURE成績使用服務(wù)前的關(guān)注點(diǎn)60%的受訪者對(duì)云平臺(tái)的數(shù)據(jù)安全有所顧慮45%的人認(rèn)為云計(jì)算將使得數(shù)據(jù)缺乏控制帶來的機(jī)會(huì)94%的使用者認(rèn)為云計(jì)算讓他們有了在內(nèi)部部署環(huán)境中沒有的安全方面的優(yōu)勢(shì)62%的使用者認(rèn)為遷移到云平臺(tái)上增強(qiáng)了他們的隱私保護(hù)云計(jì)算創(chuàng)新云平臺(tái)的平安與合規(guī)方面的優(yōu)勢(shì)將帶來時(shí)機(jī)平安設(shè)計(jì)/運(yùn)營根底架構(gòu)網(wǎng)絡(luò)認(rèn)證和訪問數(shù)據(jù)隱私合規(guī)BarrierstoCloudAdoptionstudy,ComScore,September2021MicrosoftAzure4

全球物理根底設(shè)施效勞器/網(wǎng)絡(luò)/數(shù)據(jù)中心計(jì)算數(shù)據(jù)效勞網(wǎng)絡(luò)效勞NCentralUS,SCentralUS,NEurope,WEurope,EAsia,SEAsia+24EdgeCDNLocations自動(dòng)化受管理的資源彈性基于用量針對(duì)現(xiàn)代化企業(yè)的一體化平臺(tái)應(yīng)用效勞云平臺(tái)的可靠運(yùn)營根底建立在微軟以往的經(jīng)驗(yàn)和效勞創(chuàng)新上20+數(shù)據(jù)中心可信賴計(jì)算計(jì)劃安全的應(yīng)用開發(fā)生命周期全球數(shù)據(jù)中心服務(wù)防惡意軟件保護(hù)中心微軟安全響應(yīng)中心Windows

更新1stMicrosoft

數(shù)據(jù)中心Active

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECH數(shù)字犯罪追蹤SOC2E.U.DataProtectionDirective運(yùn)營安全保障19891995200020052010TrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterMicrosoft

UpdateActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssurance1stMicrosoft

DataCenter19891995200020052010TrustworthyComputingCreatedtheSDLwhichhasbecometheindustrystandardfordevelopingsecuresoftware20+DataCenters20+DataCentersTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesWindows

Update1stMicrosoft

DataCenterActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssuranceMalware

Protection

CenterMicrosoftSecurity

ResponseCenter19891995200020052010SecurityCentersof

Excellence:ProtectingMicrosoftcustomersbycombattingevolvingthreatsTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterMicrosoft

UpdateActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssurance1stMicrosoft

DataCenter1989199520002005201020+DataCenters:OperatingMicrosoftAzurein11datacentersaroundtheworld,plus2inChina20+DataCenters20+DataCentersTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterWindows

Update1stMicrosoft

DataCenterActive

DirectoryDigitalCrimesUnitSOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHSOC2E.U.DataProtectionDirective19891995200020052010ComplianceStandards:Investingheavilyinrobustcomplianceprocesses,includingISO27001,FedRAMP,andHIPAAOperationsSecurityAssuranceTrustworthyfoundationBuiltonMicrosoftexperienceandinnovation共同的責(zé)任與分工降低平安風(fēng)險(xiǎn)+保持靈活性,訪問和控制CustomerMicrosoft內(nèi)部部署IaaSPaaSSaaS存儲(chǔ)物理效勞器網(wǎng)絡(luò)O/S中間件虛擬化數(shù)據(jù)應(yīng)用運(yùn)行時(shí)透明度和獨(dú)立認(rèn)證8最佳實(shí)踐第三方認(rèn)證云安全聯(lián)盟安全情報(bào)報(bào)告合規(guī)性報(bào)告信任中心訪問審計(jì)報(bào)告安全響應(yīng)中心的進(jìn)度報(bào)告幫助客戶滿足合規(guī)性和平安性的要求是我們的目標(biāo)平安微軟的行動(dòng)9合規(guī)隱私安全設(shè)計(jì)方案嵌入在軟件開發(fā)生命周期中的規(guī)劃,設(shè)計(jì),開發(fā)和部署等各個(gè)方面采取各類嚴(yán)格的受管制措施用于預(yù)防,發(fā)現(xiàn)和對(duì)現(xiàn)有威脅進(jìn)行響應(yīng)通過模擬真實(shí)世界的攻擊來強(qiáng)化云服務(wù)擁有全球化的,7*24的事件響應(yīng)平臺(tái)以減輕攻擊的影響程度設(shè)計(jì)和運(yùn)維運(yùn)營平安控制假定違反事件響應(yīng)軟件開發(fā)生命周期(SDL)作為發(fā)布標(biāo)準(zhǔn)并成為最終安全評(píng)審中的一部分(FSR)事件響應(yīng)(MSRC)指導(dǎo)產(chǎn)品團(tuán)隊(duì)來滿足SDL的各種需求定期進(jìn)行開發(fā)安全培訓(xùn)培訓(xùn)需求設(shè)計(jì)實(shí)現(xiàn)驗(yàn)證發(fā)布響應(yīng)培訓(xùn)進(jìn)度問責(zé)持續(xù)的過程改進(jìn)平安的開發(fā)生命周期(SDL)假定破壞在線網(wǎng)站滲透測(cè)試集中管理平安日志和監(jiān)控記錄防止破壞建立威脅模型執(zhí)行代碼審查進(jìn)行平安測(cè)試假定違反假定違反用于識(shí)別和解決潛在的問題

安全響應(yīng)計(jì)劃的測(cè)試范圍涵蓋在線站點(diǎn),這能夠明顯的提升威脅檢測(cè)的時(shí)間和恢復(fù)效率減少暴露給內(nèi)部的攻擊面(確保即便進(jìn)入內(nèi)部,攻擊者也無法進(jìn)行廣泛攻擊)周期性的環(huán)境破壞程度評(píng)估和狀態(tài)更新13事件被檢測(cè)到平安團(tuán)隊(duì)參與平安事件確認(rèn)事件發(fā)生DevOps

參與事件評(píng)估確定客戶的影響程度通知Azure平臺(tái)用戶客戶流程1確定受影響的客戶客戶通知9大步驟的事件響應(yīng)流程專注于遏制和恢復(fù)按照合同規(guī)定對(duì)客戶進(jìn)行通知事件響應(yīng)14根底架構(gòu)運(yùn)營15效勞平安始于物理數(shù)據(jù)中心攝像頭24X7安保人員障礙物(護(hù)欄/電網(wǎng))圍墻/圍欄警報(bào)雙因素的訪問控制:生物識(shí)別類和讀卡器平安運(yùn)營中心可持續(xù)數(shù)日的備用電源抗震設(shè)計(jì)建筑控制區(qū)機(jī)房16多租戶的平安設(shè)計(jì)架構(gòu)AzureStorageSQLDatabaseFabricController客戶管理員GuestVMGuestVMCustomer2GuestVMCustomer1PortalSMAPI終端用戶HostOSHypervisorMicrosoftAzure17Customer1應(yīng)用層邏輯層數(shù)據(jù)層虛擬網(wǎng)絡(luò)云效勞訪問客戶端443443VPN企業(yè)內(nèi)部防火墻INTERNETMicrosoftAzure18AZURE:對(duì)平臺(tái)定期的進(jìn)行更新立即發(fā)布關(guān)鍵補(bǔ)丁嚴(yán)格審查和測(cè)試所有變化客戶:對(duì)自己運(yùn)行的虛擬機(jī)采用類似的補(bǔ)丁管理策略補(bǔ)丁管理每月的MSRC

補(bǔ)丁審查補(bǔ)丁封裝掃描審核驗(yàn)證監(jiān)測(cè)100,000+的漏洞報(bào)告來自于客戶或全球網(wǎng)絡(luò)平安研究員的信息優(yōu)先處理關(guān)鍵更新每月的補(bǔ)丁更新日處理更新調(diào)查報(bào)告情況匯總掃描和收集所有Azure虛擬機(jī)的報(bào)告跟蹤和修復(fù)任何調(diào)查到的問題Thepatchesareautomaticallyappliedtothecustomers’GuestVMsunlessthecustomerhasconfiguredtheVMformanualupgrades.Inthiscase,thecustomerisresponsibleforpatching.19監(jiān)控和日志記錄AZURE:實(shí)現(xiàn)平臺(tái)的運(yùn)行監(jiān)控和平安事件告警通過監(jiān)控代理或Windows事件轉(zhuǎn)發(fā)來激活平安數(shù)據(jù)收集過程客戶:配置監(jiān)視導(dǎo)出事件記錄到SQLDB,HDInsight或SIEM用作分析使用監(jiān)控效勞報(bào)警和匯總報(bào)告針對(duì)告警做出響應(yīng)AzureStorage客戶管理員GuestVMCloudServices用戶虛擬機(jī)PortalSMAPIGuestVM激活監(jiān)控代理事件提取事件信息到SIEM或其他日志系統(tǒng)EventIDComputerEventDescriptionSeverityDateTime1150Machine1Examplesecurityevent404/29/20142002Machine2SignatureUpdatedSuccessfully404/29/20145007Machine3ConfigurationApplied404/29/20141116Machine2Examplesecurityevent104/29/20141117Machine2Accessattempted104/29/2014SIEMAdminView警報(bào)和匯總報(bào)告HDInsightMicrosoftAzure20防病毒/反惡意軟件AZURE:實(shí)現(xiàn)平臺(tái)的運(yùn)行監(jiān)控和惡意軟件事件的報(bào)警可針對(duì)CloudService和VM提供實(shí)時(shí)的防護(hù),按需掃描和監(jiān)控客戶:配置微軟的反惡意軟件或采用Partner的防病毒/反惡意軟件的方案提取事件到SIEM監(jiān)控效勞報(bào)警和匯總報(bào)告針對(duì)告警做出響應(yīng)AzureStorage客戶管理員GuestVMCloudServicesCustomerVMsPortalSMAPIGuestVM激活并配置防病毒軟件事件提取事件信息到SIEM或其他日志系統(tǒng)EventIDComputerEventDescriptionSeverityDateTime1150Machine1ClientinHealthyState404/29/20142002Machine2SignatureUpdatedSuccessfully404/29/20145007Machine3ConfigurationApplied404/29/20141116Machine2MalwareDetected104/29/20141117Machine2MalwareRemoved104/29/2014SIEMAdminView警報(bào)和匯總報(bào)告MicrosoftAzure21威脅檢測(cè)CustomerEnvironment應(yīng)用層邏輯層數(shù)據(jù)層虛擬網(wǎng)絡(luò)INTERNETVPNCorp1威脅檢測(cè):DOS/IDS功能DOS/IDSDOS/IDSDOS/IDSEndUsersMicrosoftAzure22取證AZURE:執(zhí)行平臺(tái)級(jí)事件的日志分析,協(xié)調(diào)和VHD映像取證工作客戶:在需要的時(shí)候聯(lián)系微軟獲得取證數(shù)據(jù)使用標(biāo)準(zhǔn)的平安響應(yīng)流程和取證過程23網(wǎng)絡(luò)保護(hù)防止來自其他客戶/Internet的流量進(jìn)入到客戶的私有IP地址使用私有IP連接一個(gè)或多個(gè)云服務(wù)站點(diǎn)到站點(diǎn),端點(diǎn)到站點(diǎn),ExpressRoute等功能幫助用戶實(shí)現(xiàn)到Azure的安全連接虛擬網(wǎng)絡(luò)云平臺(tái)到內(nèi)部部署的連接網(wǎng)絡(luò)隔離24網(wǎng)絡(luò)隔離客戶2INTERNET隔離的虛擬網(wǎng)絡(luò)客戶1隔離的虛擬網(wǎng)絡(luò)部署X部署A部署YAZURE:當(dāng)虛擬機(jī)在站點(diǎn)中被創(chuàng)立時(shí),默認(rèn)僅開啟遠(yuǎn)程管理節(jié)點(diǎn)的方式,不激活一般性的Internet訪問客戶:配置端點(diǎn)所需的訪問方式創(chuàng)立到其他云或者內(nèi)部部署資源的連接PortalSmartAPI客戶管理員VNETtoVNET云服務(wù)訪問層Web端點(diǎn)(publicaccess)RDP端點(diǎn)(passwordaccess)客戶端客戶端VPNCorp1MicrosoftAzurePortalSMAPICustomer1虛擬網(wǎng)絡(luò)AZURE:允許客戶創(chuàng)立獨(dú)立的虛擬專用網(wǎng)絡(luò)(VPN)CUSTOMER:創(chuàng)立虛擬網(wǎng)絡(luò)的子網(wǎng)和私有IP地址激活虛擬網(wǎng)絡(luò)之間的通信可以使用自己的DNS虛擬機(jī)可以參加域Customer2INTERNET隔離的虛擬網(wǎng)絡(luò)子網(wǎng)1部署X部署YVNETtoVNET云訪問層RDP端點(diǎn)(passwordaccess)客戶端子網(wǎng)2子網(wǎng)3DNS效勞器VPNMicrosoftAzureCorp1隔離的虛擬網(wǎng)絡(luò)26VPN連接Customer1隔離的虛擬網(wǎng)絡(luò)部署XMicrosoftAzureVPNSite-to-SiteVPNPoint-to-SiteVPN遠(yuǎn)程工作員工CustomerSite防火墻后的計(jì)算機(jī)AZURE:支持客戶從企業(yè)內(nèi)部或遠(yuǎn)程辦公室做S2S或P2S的VPN連接CUSTOMERS:在Windows中配置VPN客戶端管理證書,策略和用戶訪問27ExpressRoute連接Customer1IsolatedVirtualNetworkDeploymentXMicrosoftAzureSite1ExpressRoutePeerSite2WANAZURE:通過ExpressRoute提供專用光纖連接實(shí)現(xiàn)針對(duì)Azure計(jì)算,存儲(chǔ)和其他效勞的訪問客戶:可通過提供商在ExpressRoute的位置建立連接到Azure中(ExpressRoutePeer)可直接連接您現(xiàn)有的WAN網(wǎng)絡(luò)(如網(wǎng)絡(luò)效勞供給商提供的MPLSVPN)到Azure中管理證書,策略和用戶訪問28微軟員工訪問管理企業(yè)級(jí)云身份認(rèn)證平臺(tái)-AzureAD云應(yīng)用訪問的監(jiān)控與保護(hù)多因素認(rèn)證認(rèn)證和訪問29微軟員工訪問管理Pre-screenedAdmin

requestsaccessLeadershipgrantstemporaryprivilegeNostandingaccesstotheplatformandnoaccesstocustomerVirtualMachinesGrantsleastprivilegerequiredtocompletetaskMulti-factorauthenticationrequiredforalladministrationAccessrequestsareauditedandloggedJustinTime

&Role-BasedAccessMicrosoftCorporateNetworkMicrosoftAzureBLOBSTABLESQUEUESDRIVES企業(yè)級(jí)云身份認(rèn)證平臺(tái)-AzureAD30AZURE:提供企業(yè)級(jí)云身份和訪問管理提供跨云應(yīng)用的單點(diǎn)登錄提供多因素認(rèn)證方式以增強(qiáng)平安性客戶:集中管理用戶訪問O365,Azure和數(shù)百款默認(rèn)提供AzureAD集成的云應(yīng)用將AzureAD移植到現(xiàn)有的Web和移動(dòng)應(yīng)用上可以擴(kuò)展企業(yè)內(nèi)部的身份目錄平臺(tái)到AzureAD中最終用戶ActiveDirectoryAzureActiveDirectory云應(yīng)用AZURE:使用密碼哈希作為同步方式提供平安報(bào)告來反映不一致的通信模式,其中包括:來源不明的登錄信息屢次失敗的登錄信息短時(shí)間內(nèi)來自多個(gè)地區(qū)的登錄信息來自可疑IP地址和可疑設(shè)備的登錄信息客戶:查看相關(guān)報(bào)告并緩解潛在的威脅可啟用多因素身份驗(yàn)證方式云應(yīng)用訪問的監(jiān)控與保護(hù)XXXXXXXXXXXXXXXUserNon-user數(shù)據(jù)加密選項(xiàng)數(shù)據(jù)隔離數(shù)據(jù)存儲(chǔ)位置和冗余數(shù)據(jù)銷毀32數(shù)據(jù)保護(hù)數(shù)據(jù)在傳輸過程中加密AZURE:Azure數(shù)據(jù)中心之間的傳輸,絕大多數(shù)的通信將保持加密狀態(tài)通過Azure門戶使用HTTPS加密傳輸支持FIPS140-2標(biāo)準(zhǔn)客戶:選擇HTTPS方式調(diào)用RESTAPI(推薦)配置Azure中運(yùn)行的應(yīng)用端點(diǎn)使用HTTPS在IIS上通過TLS實(shí)現(xiàn)Web客戶端與效勞器之間的加密AzurePortalAzureDataCenterAzureDataCenter34空閑時(shí)加密虛擬機(jī):數(shù)據(jù)盤-使用BitLocker進(jìn)行全盤加密啟動(dòng)盤–使用Bitlocker和Partner的相關(guān)解決方案SQLServer–透明的數(shù)據(jù)和列級(jí)別加密文件和文件夾-WinSvr中的EFS加密存儲(chǔ):使用Azure導(dǎo)入導(dǎo)出效勞時(shí)開啟Bitlocker加密StorSimple使用AES-256加密機(jī)制應(yīng)用:客戶端方面通過.NETCryptoAPI進(jìn)行加密為應(yīng)用程序提供RMS效勞和SDK加密方式RMSSDK.NETCryptoSQLTDEBitlockerPartnersEFS虛擬機(jī)應(yīng)用存儲(chǔ)BitlockerStorSimple35數(shù)據(jù)隔離存儲(chǔ)隔離:通過存儲(chǔ)訪問密鑰和共享訪問簽名密鑰(SAS)進(jìn)行訪問存儲(chǔ)塊由Hypervisor進(jìn)行哈希計(jì)算并分配給用戶使用SQL隔離:SQLDatabase使用SQL賬戶進(jìn)行隔離網(wǎng)絡(luò)隔離:主機(jī)級(jí)別上的虛擬交換機(jī)默認(rèn)阻止租戶之間的網(wǎng)絡(luò)交換FabricController客戶管理員GuestVMGuestVMCustomer2GuestVMCustomer1PortalSMAPIEndUsersHostOSHypervisorMicrosoftAzureAzureStorageSQLDatabase訪問控制數(shù)據(jù)存儲(chǔ)位置和冗余Note:MicrosoftAzuredatacenters,Australia–Q2FY15AZURE:在每個(gè)數(shù)據(jù)中心創(chuàng)立數(shù)據(jù)的三個(gè)副本提供相隔至少400英里以上的另外數(shù)據(jù)中心的數(shù)據(jù)復(fù)制默認(rèn)在大洲之間不傳輸用戶的數(shù)據(jù).(如從US到Europe或者是從Asia到US)客戶:選擇數(shù)據(jù)所駐留的位置配置數(shù)據(jù)的復(fù)制方式37數(shù)據(jù)刪除數(shù)據(jù)銷毀磁盤處理兼容國際指標(biāo)NIST800-88有缺陷的/損壞的磁盤將在數(shù)據(jù)中心進(jìn)行銷毀指向數(shù)據(jù)源位置的指針立即被刪除異地復(fù)制的數(shù)據(jù)(指針)進(jìn)行異步刪除用戶只能從他們已經(jīng)寫過數(shù)據(jù)的磁盤空間中進(jìn)行讀操作磁盤處理隱私保護(hù)的控制融入到Azure平臺(tái)整體的設(shè)計(jì)和運(yùn)營中間用戶數(shù)據(jù)僅用于提供服務(wù),絕對(duì)不會(huì)被用于任何廣告投放上數(shù)據(jù)處理協(xié)議遵從歐盟示范條款(EUModelClauses)和HIPAABAA限制數(shù)據(jù)的訪問與使用合同承諾為保護(hù)隱私而設(shè)計(jì)為保護(hù)隱私進(jìn)行設(shè)計(jì)39限制使用Azure從不分享用戶的數(shù)據(jù)給廣告效勞商Azure從不挖掘用戶的數(shù)據(jù)用于任何廣告請(qǐng)注意讀取其他云效勞供給商的隱私聲明小字合同承諾歐盟數(shù)據(jù)隱私保護(hù)認(rèn)證微軟會(huì)堅(jiān)定的履行其合同承諾來保護(hù)用戶的數(shù)據(jù),這些數(shù)據(jù)均在HIPAABAA,數(shù)據(jù)處理協(xié)議和歐盟用戶數(shù)據(jù)處理示范條款等各種規(guī)范中被保護(hù)企業(yè)級(jí)的云服務(wù)平臺(tái)可針對(duì)每個(gè)行業(yè)/地區(qū)提供更加具體的隱私保護(hù)機(jī)制微軟滿足保護(hù)歐洲客戶數(shù)據(jù)隱私的最高標(biāo)準(zhǔn)微軟為用戶提供了歐盟示范條款來幫助客戶考慮在跨國界轉(zhuǎn)移用戶數(shù)據(jù)方面的工作微軟的做法被歐盟數(shù)據(jù)保護(hù)委員會(huì)認(rèn)可并批準(zhǔn),成為第一個(gè)通過此認(rèn)證的公司廣泛的合同范圍ISO27001SOC1Type2SOC2Type2FedRAMP/FISMAPCIDSSLevel1UKG-CloudHIPAA/HITECH信息平安標(biāo)準(zhǔn)有效的控制政府與行業(yè)認(rèn)證簡化合規(guī)性42

合規(guī)性的持續(xù)改進(jìn)平安分析風(fēng)險(xiǎn)管理與最正確實(shí)踐平安標(biāo)準(zhǔn)分析測(cè)試和審核平安合規(guī)框架按照商業(yè)和工業(yè)方面的要求設(shè)置平安目標(biāo)執(zhí)行平安分析和最正確實(shí)踐,用于檢測(cè)和應(yīng)對(duì)威脅通過各類隱私方面的認(rèn)證來確保合規(guī)性的標(biāo)準(zhǔn)足夠高持續(xù)的監(jiān)控,測(cè)試和審核合規(guī)性情況為新推出的效勞不斷更新證書業(yè)務(wù)目標(biāo)行業(yè)標(biāo)準(zhǔn)與法規(guī)證書和認(rèn)證工作43類別描述ISO/IEC27001TheISO/IEC27001:2005certificatevalidatesthatAzurehasimplementedtheinternationallyrecognizedinformationsecuritycontrolsdefinedinthisstandard.SOC1

SSAE16/ISAE3402AzurehasalsobeenauditedagainsttheServiceOrganizationControl(SOC)reportingframeworkforSOC1Type2(formerlySAS70),attestingtothedesignandoperatingeffectivenessofitscontrols.SOC2AzurehasbeenauditedforSOC2Type2,whichincludesafurtherexaminationofAzurecontrolsrelatedtosecurity,availability,andconfidentialityFedRAMP/FISMAAzurehasreceivedProvisionalAuthorizationtoOperatefromtheFederalRiskandAuthorizationManagementProgram(FedRAMP)JointAuthorizationBoard(JAB),havingundergonetheassessmentsnecessarytoverifythatitmeetsFedRAMPsecuritystandards.PCIDSSLevel1AzurehasbeenvalidatedforPCI-DSSLevel1compliancebyanindependentQualifiedSecurityAssessor(QSA).UKG-CloudIL2IntheUnitedKingdom,AzurehasbeenawardedImpactLevel2(IL2)accreditation,furtherenhancingMicrosoftanditspartnerofferingsonthecurrentG-CloudprocurementFrameworkandCloudStore.HIPAABAATohelpcustomerscomplywithHIPAAandHITECHActsecurityandprivacyprovisions,MicrosoftoffersaHIPAABusinessAssociateAgreement(BAA)tohealthcareentitieswithaccesstoProtectedHealthInformation(PHI).相關(guān)認(rèn)證針對(duì)現(xiàn)代化企業(yè)設(shè)計(jì)的統(tǒng)一平臺(tái)微軟的承諾增強(qiáng)平安保護(hù)隱私簡化合規(guī)微軟云效勞被這些行業(yè)的龍頭企業(yè)所信任45AzureMooncake

平安和隱私以及合規(guī)性問題解答46AzureMooncake根本情況Mooncake平安概述-148Mooncake平安概述-2平安控制和功能WindowsAzure為客戶提供一個(gè)可信賴的平臺(tái)，以供他們?cè)O(shè)計(jì)、構(gòu)建和管理自己的平安云應(yīng)用程序以及根底結(jié)構(gòu)。24小時(shí)監(jiān)視物理平安性：采取物理措施構(gòu)造、管理和監(jiān)視數(shù)據(jù)中心，防止未經(jīng)授權(quán)訪問數(shù)據(jù)和效勞以及防范一些環(huán)境風(fēng)險(xiǎn)。監(jiān)視和日志記錄：借助集中式的監(jiān)視、相關(guān)性和分析系統(tǒng)〔可用于管理由環(huán)境內(nèi)的設(shè)備生成的大量信息〕來監(jiān)視平安性，并提供及時(shí)警報(bào)。此外，提供多種級(jí)別的監(jiān)視、日志記錄和報(bào)告，方便客戶了解平安狀況。修補(bǔ)：使用集成的部署系統(tǒng)來管理平安修補(bǔ)程序的分發(fā)和安裝。對(duì)于WindowsAzure中部署的虛擬機(jī)，客戶可以采用相似的修補(bǔ)管理流程。入侵檢測(cè)和DDoS：入侵檢測(cè)和防護(hù)系統(tǒng)、拒絕效勞攻擊防護(hù)、定期滲透測(cè)試和法醫(yī)式工具幫助識(shí)別WindowsAzure內(nèi)部和外部的潛在威脅并加以預(yù)防。49Mooncake平安概述-3平安控制和功能不授予長期使用的權(quán)限：默認(rèn)情況下，拒絕運(yùn)營和支持人員訪問客戶數(shù)據(jù)。授予他們權(quán)限時(shí)，謹(jǐn)慎管理和記錄其訪問情況。數(shù)據(jù)中心對(duì)存儲(chǔ)客戶數(shù)據(jù)的系統(tǒng)的訪問通過鎖箱流程進(jìn)行嚴(yán)格控制。隔離：Azure使用網(wǎng)絡(luò)隔離來防止部署之間不必要的通信，通過訪問控制阻止未授權(quán)的用戶訪問系統(tǒng)。虛擬機(jī)不接收來自Internet的傳入流量，除非客戶配置它們接收。Azure虛擬網(wǎng)絡(luò)：客戶可以選擇將多個(gè)部署分配給一個(gè)隔離的虛擬網(wǎng)絡(luò)，并允許這些部署通過私有IP地址進(jìn)行相互通信。加密的通信：內(nèi)置的SSL和TLS加密方法使用戶可以加密部署內(nèi)、部署之間、從WindowsAzure到本地?cái)?shù)據(jù)中心以及從WindowsAzure到管理員和用戶的通信。數(shù)據(jù)加密：Azure提供包括AES-256在內(nèi)的各種加密功能，便于客戶采用滿足自己需求的最正確方法。標(biāo)識(shí)和訪問權(quán)限：通過AzureActiveDirectory，客戶可以管理對(duì)WindowsAzure、Office365和其他云應(yīng)用程序的訪問。實(shí)施多重身份驗(yàn)證和訪問監(jiān)視，進(jìn)一步提高了平安性。50Mooncake隱私概述51Mooncake合規(guī)性概述-1我們與客戶合作以幫助其滿足法規(guī)要求。通過為客戶提供合規(guī)的、獨(dú)立驗(yàn)證的云效勞，我們使客戶能夠更輕松地實(shí)現(xiàn)其在WindowsAzure中運(yùn)行的根底結(jié)構(gòu)和應(yīng)用程序的合規(guī)性。我們?yōu)閃indowsAzure客戶提供了有關(guān)我們的平安性和合規(guī)性方案的信息，旨在幫助客戶針對(duì)其自己的法律和法規(guī)要求評(píng)估我們的效勞。此外，我們還開發(fā)了一個(gè)可擴(kuò)展的合規(guī)性框架，可通過該框架使用一組控件來設(shè)計(jì)和構(gòu)建效勞，從而加速并簡化跨一組不同的法規(guī)的合規(guī)性的實(shí)現(xiàn)，并快速適應(yīng)規(guī)章制度的變更。ISO/IEC27001:2005審核和認(rèn)證ISO27001是全球最正確平安基準(zhǔn)之一。由世紀(jì)互聯(lián)運(yùn)營的WindowsAzure已實(shí)施ISO27001定義的嚴(yán)格物理、邏輯、流程和管理控制。世紀(jì)互聯(lián)承諾每年基于ISO/IEC27001:2005〔這是一種適用范圍廣泛的國際信息平安標(biāo)準(zhǔn)〕進(jìn)行認(rèn)證。ISO/IEC27001:2005證書確認(rèn)世紀(jì)互聯(lián)已實(shí)施此標(biāo)準(zhǔn)中定義的國際上認(rèn)可的信息平安控制措施，包括有關(guān)啟動(dòng)、實(shí)施、維護(hù)和改進(jìn)組織中的信息平安管理的指南和一般原那么。ISO范圍：信息平安管理系統(tǒng)(ISMS)，其中包含了操作、平安和對(duì)商務(wù)流程管理。該證書由北京賽西認(rèn)證有限責(zé)任公司(CESI)公開頒發(fā)。52Mooncake合規(guī)性概述-253Mooncake合規(guī)性概述-354Mooncake信任中心信任中心首頁:://常見問題解答:://平安與隱私的說明文檔://555621V方面目前能提供的招投標(biāo)資源(見右)AzureMooncake法律中心:/AzureMooncake支持方案:/Azure效勞的SLA指標(biāo)://其他資料Getstartedtoday!TalktoaMicrosoftsecurityexpertExploreadditionalresources:TrustworthyComputingCloudServices:MicrosoftTrustCenterforMicrosoftAzure:://AuditCertified*InProgressAnnualUpdateAnnualupdateContinuousComplianceCompliancebyServiceAzureISO/IEC27001:2005SOC1andSOC2

SSAE16/ISAE3402FedRAMPPCIDSSUKG-CloudHIPAABAAEUModelClausesCompute

VirtualMachines???????CloudServices???????Websites??????MobileServices??????DataServices

Storage???????SQLDatabase??????HDInsight???

CacheBackup

?

SiteRecoveryAppServices

ActiveDirectory??

????ServiceBus??

????MediaServices??

????NotificationHubs

?

?

Multi-FactorAuthentication??

????BizTalkServices?

????Scheduler

CDN

RightsManagementService?

?

?

?NetworkServices

VirtualNetwork???????TrafficManager???????ExpressRoute

Securitypartners:BarracudaNextGenerationFirewallforPublic/PrivateCloudSecureRemoteAccesstoAzureCrossPremiseConnectivityGranularSecurity&PolicyManagementKeyUseCasesSecureHighSpeedVPNConnections(>1Gbps)Deployingmulti-tiernetworkarchitecturesMultisite-to-siteconnectivityBarracudaNGFirewallComprehensiveSolutionforApplicationSecurityProvidesconstantprotectionfromevolvingthreatsScalableapplicationsecurityGranularidentityandaccessmanagementKeyUseCasesApplicationsecurityforwebapplicationsSecuring&scalingelasticapplicationsTMGreplacementforpublishingSharePointinAzureBarracudaWebApplicationFirewallSecuritypartners:AlertLogicAlertLogicThreatManager?AlertLogicWebSecurityManager?AlertLogicLogManager?AlertLogicUnifiedWebUserInterfaceFullyManagedIntrusionDetection&

VulnerabilityScanningFullyManagedLogManagement&

ComplianceReportingFullyManagedActiveProtectionforWebApplications

61政府準(zhǔn)入問題沒有后門增強(qiáng)的平安AZURE:不向任何政府提供直接或隨意訪問您的數(shù)據(jù)的方式.不協(xié)助任何政府的工作人員來解密已經(jīng)加密的數(shù)據(jù),或者是提供在數(shù)據(jù)傳輸和存儲(chǔ)中被加密數(shù)據(jù)的密鑰不設(shè)計(jì)任何產(chǎn)品上的后門,我們通過明確的措施來確保政府可以