Microsoft Azure云安全应用场景(演示)

MicrosoftAzure云的安全及应用场景12亿全球用户数超过3亿每月用户数4800万57个国家/地区的成员总数57%的财富500强企业每周新增订户10,000个350万活跃用户Online超过55亿每月全球查询数量3超过4.5亿每月有效用户数全球微软可信云超过200个云服务，超过1百万台服务器，基础结构投入超过150亿美元10亿客户，2000万家企业，覆盖全球90个国家/地区12微软可信云的基本原则隐私保护透明度合规性安全性33Azure的安全性微软为客户提供了可信赖的企业级云服务技术••••在线服务的设计和管理方面实施了业界领先的最佳实践增强的安全性、运营管理，以及威胁缓解实践可信赖的企业级云服务技术卓越中心4从代码开发到事件响应，我们的所有工作皆以安全为头等要务安全开发生命周期（SDL）和运营安全保障（OSA）Azure的安全设计和运营全天候事件响应服务，以减轻攻击和恶意活动的影响。专属的安全专家“红色小组”会在网络、平台，以及应用程序层面模拟现实世界中的攻击，对Azure检测入侵，面对入侵提供保护，以及入侵后的恢复能力进行测试事件响应全公司范围内强制实施的开发和运营流程已经将安全意识融入到开发和运维工作的每个阶段假定违反模拟5运营安全Strategy:Employrisk-based,multi-dimensionalapproachtosafeguardingservicesand数据安全监控和响应数据和密钥数据保护访问控制，加密，密钥管理用户管理访问身份管理，双重身份验证，培训和宣传，筛选，最少特权和临时特权应用程序应用程序安全访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理宿主机系统宿主机保护访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理内部网络网络安全网络分割，入侵检测，漏洞扫描网络周边网络安全边缘ACL，DOS，入侵检测，漏洞扫描设施物理安全物理控制，视频监控，访问控制威胁情报来源6数据中心的物理安全周边建筑物防震加固安全运营中心24X7安保人员持续数天的备用电源摄像机警报双重验证访问控制：生物特征验证装置和读卡器栅栏围墙机房7事件评估通知客户引入Ops事件被检测到引入安全团队事件开始确定对客户产生的影响客户流程第一步确定受影响的客户安全事件已确认Azure客户通知•专注于遏制和恢复•针对平台级的事件，分析日志和VHD映像，有必要时为客户提供取证信息•在客户通知中做出合同承诺Azure事件响应•完善的九步骤事件响应流程8AzurePrivacy的隐私和控制由世纪互联运营的MicrosoftAzure承诺将客户隐私看作第一要务，并承诺应用独立审计策略和实践，包括不会通过挖掘客户数据以展示广告，或将客户数据用于其他商业用途。9Privacy信任的基础Azure的隐私原则在设计上更清晰地界定了客户数据的使用责任，所有实践维持极高透明度，提供了有意义的隐私选择相关指导措施有助于确保在产品和服务的开发与部署阶段就充分考虑到隐私保护的要求Azure使用逻辑隔离将每个客户的数据相互隔离与生俱来的隐私Azure隐私标准数据隔离10客户数据使用Azure服务的过程中，客户数据依然归客户自己所有决定数据存储位置控制对数据的访问加密密钥的管理控制数据的删除客户自行选择数据存储位置和复制选项强有力的身份验证，被慎重记录的“即时”访问只用于服务支持，并会定期进行审计客户可以灵活地生成并管理自己的加密密钥当客户删除自己的数据或不再使用Azure服务时，世纪互联会按照标准流程确保上一位客户的数据无法被访问11数据控制数据位置数据访问数据保护对于很多服务，客户可以指定自己客户数据存储到的地理位置为了保护客户数据，世纪互联员工对客户数据的访问受到严格限制，世纪互联针对Azure服务提供了隐私声明，以及强有力的合同承诺通过技术手段确保客户数据安全无虞，客户可以灵活地实施额外的加密技术，并自行管理自己的密钥12数据位置和数据的复制•世纪互联不会将客户数据存储在客户指定的地理位置之外•Azure会在本地和不同的地理位置对客户数据创建副本•每个存储Blob会在同一个Azure数据中心内复制到三台计算机上•地域复制功能会将数据复制到1000公里之外的数据中心内Azure•选择数据的存储位置•配置数据复制选项客户13访问控制机制已获独立审计验证并获得认证受限的数据访问只有在为使用Azure的客户提供支持（例如排错或改善功能），或法律要求时，才允许访问客户数据所有获批的访问都受到严密的控制和记录通过强有力的身份验证，包括MFA，确保仅获得授权的人员可以访问客户数据不再需要时，批准的访问权会被立刻撤销15只批准完成任务所需的最小特权所有管理工作需要通过多重身份验证世纪互联员工的访问管理无法直接访问客户数据筛选过的管理员申请访问管理者授予临时访问权即时，基于角色的访问AzureBLOB表队列驱动器运维网络访问申请会被审计、记录，以及审查16数据保护数据分隔通过逻辑隔离机制分隔不同客户的客户数据传输中数据的保护默认使用符合业界标准的协议加密组件内外传入和传出的数据，以及内部环境中传输的数据数据冗余客户可通过多种选项对数据进行复制，包括副本的数量、以及复制数据中心的位置存储后数据的保护客户可以为虚拟机和存储实施一系列加密选项加密存储后或传输中数据的加密可由客户自行部署，以确保满足客户最佳实践的要求，借此保障数据的机密性和完整性数据销毁当客户删除数据或停止使用Azure服务时，世纪互联会按照标准流程确保上一位客户的数据无法再被访问17传输中的数据加密Azure•加密Azure数据中心之间的大部分通讯•使用HTTPS加密Azure门户事务•支持FIPS140-2客户Azure数据中心Azure数据中心Azure门户•可为RESTAPI选择使用HTTPS（推荐做法）•为Azure中运行的应用程序终结点配置HTTPS•在IIS上实施TLS，借此加密Web客户端和服务器之间的通讯19•••数据驱动器引导驱动器SQLServer–透明数据加密和列级加密•文件和文件夹–WindowsServer中的EFS存储后数据的加密虚拟机存储•对使用Azure导入/导出服务的驱动器应用BitLocker加密•StorSimple可支持AES-256加密应用程序•通过.NETCryptoAPI实现客户端加密•通过RMSService和SDK为您的应用程序实现文件加密20SQLTDE合作伙伴技术EFSBitLocker.NETCryptoStorSimpleRMSSDK虚拟机存储应用程序数据销毁数据删除•索引会在第一时间从主要位置中移除•数据（索引）的地域复制副本会被异步移除磁盘的处理•使用符合业界标准的流程销毁退役的磁盘•客户只能读取自己曾经写入过的磁盘空间21Azure的透明度通过可访问的工具和简洁直观的语言，以透明的方式披露数据存储位置、可以访问的人员，以及世纪互联用何种方法保护客户数据，Azure可以帮助客户更好地控制自己的客户数据。22安全实践将安全性融入产品代码（SDL）确保Azure基础结构可以承受攻击保护用户访问Azure环境的过程通过加密通讯确保客户数据安全无虞客户知道我们如何为他们的数据提供保护23Azure与合规性在开发创新式合规性技术和流程，将其纳入Azure的过程中，微软和世纪互联分别从技术层面和运营层面做出了大量投入。适用于在线服务的合规性框架列出了各种制度标准和控制机制之间的对应关系，有助于促进服务的设计和开发，能满足当今用户对安全和隐私的高标准严要求。24合规性框架合规性认证世纪互联和微软组建了专家团队，专注于确保Azure满足合规义务，进而帮助客户满足自己的合规性要求持续评估，标杆管理，采纳、测试和审计合规性战略可帮助客户实现业务目标，符合行业标准和制度的要求，包括持续评估并采纳新的标准和实践独立验证第三方审计机构进行持续不断的验证审计报告的访问世纪互联会将审计报告的结论和合规程序包分享给客户最佳实践有关Azure数据、应用，以及基础结构安全的规范指南，使得客户更容易实现合规性25全球微软云丰富的经验和认证HIPAA/HITECHCJISSOC1201220112010SOC2FedRAMPP-ATOFISMAATO英国G-CloudOFFICIAL201320142015ISO/IEC27001:2005CSA云控制矩阵PCIDSSLevel1澳大利亚IRAP评审新加坡MCTSISO/IEC27018欧盟数据保护指令CDSA运营安全保障26信息安全标准ISO27001ISO27018SOC1Type2SOC2Type2政府认证美国FedRAMP/FISMA美国CJIS英国G-Cloud澳大利业IRAP新加坡MCTS行业认证PCIDSSLevel1HIPAA/HITECH生命科学GxP全球微软云合规性认证*只适用于全球微软云，不适用于Gallacake，只在客户需要了解全球微软云时提供国际信息安全标准ISO27001政府和机构认证MLPSTCSAzure和Office365在中国获得的合规认证•••ISO/IEC27001:2005审核和认证•由世纪互联运营的MicrosoftAzure和Office365已实施ISO27001定义的严格物理、逻辑、流程和管理控制•世纪互联承诺每年基于ISO/IEC27001:2005进行认证•ISO/IEC27001:2005证书确认世纪互联已实施此标准中定义的国际上认可的信息安全控制措施，包括有关启动、实施、维护和改进组织中的信息安全管理的指南和一般原则可信云服务认证（TCS）•由世纪互联运营的MicrosoftAzure成功地获得针对云引擎、全网负载均衡、云备份的可信云服务认证•这些服务接受了SLA服务协议框架内，包括数据管理、业务质量及权益保障三大类共16项指标的测评。在运行的稳定性方面，这些服务达到了99.9%的SLA保证。•世纪互联运营的Office365在线应用服务获得了企业级电子邮件（ExchangeOnline）、文件共享（SharePointOnline）、联机会议（ExchangeOnline）3项可信云服务认证信息系统安全等级保护定级•由世纪互联运营的MicrosoftAzure信息安全保护等级评定为第二级•由世纪互联运营的Office365信息安全保护等级评定为第三级MicrosoftConfidential-SignedNDARequiredMicrosoftConfidential-SignedNDARequired降低成本按需扩展降低初期投入改善客户体验拓展全球市场加速进入市场时间＃应用场景客户难题Azure价值成功案例1LOB应用存储、备份、恢复昂贵的存储成本,异地备份难以实现降低成本80%,即用即付；提供异地备份解决方案成都索贝-楼宇监控PPTV–亚洲电视网络–1.5M（MediaService&CDN;400-600core–KevinYu）Cannon–照片共享系统300K2互联网相关应用及服务业务上线速度慢；本地机房或IDC机房的可用性不够高；不同地区用户访问体验不一致业务快速上线；99.95%SLA保障；一直快速的访问体验可乐－MarketingCampaign三星–KNOXPPTV-亚洲电视网络3突发的业务需求传统的机房没有弹性，空间或者需要大量投入，难以应付突发的业务量无限的扩展，按需付费，快速部署北京渲染平台PPTV-亚洲电视网络可乐－MarketingCampaign三星-Galaxy手机终端管理服务Knox（AWSWinback）4开发测试环境资源消耗巨大，需要大量不同的环境，测试结束资源全部浪费按需付费和使用，提供大量的PaaS和SaaS服务加快应用进程和业务部门/noITTopicSQLServer管理工具直接URL备份到Azure存储MicrosoftAzureWindowsServer&SystemCenter备份工具地理复制用于存储对象/表/驱动器/虚拟机提供多个数据副本（本地3份）更低的存储总拥有成本更灵活的管理方式更小的数据