Документ обсуждает безопасность облачных решений Microsoft Azure, охватывая вопросы защиты данных, доступности, сертификации и методах обеспечения безопасности. Он также подчеркивает гарантии конфиденциальности и неприведение к доступу к данным клиента со стороны Microsoft, а также важность соответствия международным стандартам. Рассматриваются механизмы защиты, такие как шифрование, многофакторная аутентификация и аудит безопасности.

1. Безопасность облака
Microsoft снаружи и изнутри
ответы на главные вопросы
Владимир Юнев
эксперт по стратегическим технологиям
Microsoft

2. Agenda
• Облако Microsoft Azure снаружи и изнутри
• Ответы на вопросы:
• Безопасность данных в облаке Azure
• Получает ли кто-нибудь доступ к мои данным
• Сертификация
• Персональные данные
• Гарантии безопасности от Microsoft
• Сервисы, которые сделают ваши решения безопаснее

3. Microsoft Azure
как мы храним свои и ваши данные

4. Основные ЦОДы
Узлы CDN
Доступные субрегионы
Анонсированные субрегионы
Субрегион управляемый партнером
рынков по всему миру

6. Разделение ответственности
уменьшение затрат на безопасность + гибкость, доступ и управление
Локально IaaS PaaS SaaS
Клиент Microsoft

8. Безопасность сервиса начинается с дата-центра
World-Class
Security
Тщательный
мониторинг
Безопасность Защита от огня
периметра
Мультифакторная
аутентификация

9. Защита инфраструктуры
Круглосуточный мониторинг объектов
Мониторинг и ведение логов системы
Управление патчами
Защита от вредоносного ПО
Определение вторжений и DDoS
Тестирование на проникновени
Выделенное облако для правительств

10. Сетевая защита
Сетевая Шифрование
Виртуальные
ExpressRoute
изоляция
соединений
сети

12. Идентификация и доступ
Облачная идентификация – Azure Active Directory
Мониторинг и аудит доступа
Функция единого входа (Single sign-on)
Мультифакторная аутентификация
Контроль доступа на базе ролей

13. Шифрование передачи данных
Опции шифрования при хранении данных
Разнесение данных
Выбор места хранения данных
Избыточность при хранении данных
Строгий процесс уничтожения носителей
Защита данных

14. Запрет на слежение за вашими данными
Azure не предоставляет
ваши данные
рекламным сервисам
Azure не исследует
ваши данные
для рекламы

15. Соответствие нормам и стандартам
ISO 27001 SOC 1 Type 2
SOC 2 Type 2
FedRAMP/FISMA
PCI DSS Level 1
UK G-Cloud
HIPAA/HITECH
Стандарт
информационной
безопасности
Эффективность
управления
Индустриальная и
правительственная
сертификация

16. Фундамент для доверия
строится на опыте и инновациях microsoft
Trustworthy
Computing
Initiative
Security
Development
Global Lifecycle
Data Center
Services
Malware
Protection
Center
Windows
Update
Microsoft Security
Response Center
1st
Microsoft
Data
Center
Active
Directory SOC 1
FedRAMP/
FISMA
CSA Cloud
Controls Matrix
PCI DSS
Level 1
UK G-Cloud
Level 2
ISO/IEC
27001:2005
HIPAA/
HITECH
Digital
Crimes
Unit
SOC 2
E.U. Data
Protection
Directive

17. Operations Centers

18. Infrastructure
Asset Logs
Firewall Logs
Intrusion
Prevention
System Logs
Network
Device Logs
Domain
Controller
Logs
Security Server
Logs
Sensitive
Information
Server Logs
User Logons
Security policy
configuration
changes

19. Ответы на основные вопросы

20. В. Безопасны ли мои данные в Azure?
О. Данные в Azure защищены
шифрованием данных при передаче
и хранении, а так же операционными
процессами, такими как политиками
уничтожения носителей
Ресурсы:
Trust Center – Privacy (data location)

21. В. Как мне безопасно подключить
свою инфраструктуру к облаку Azure?
О. Виртуальные сети Azure
позволяют легко расширить
в Azure ваши корпоративные
сети через VPN.
Для корпоративных заказчиков
развивается прямой доступ
из ЦОД в Azure через ExpressRoute
Ресурсы:
Azure Network Security Whitepaper
VPN
Remote
Workers
Customer Site
Computers
Behind Firewall

22. В. Какие методы защиты предлагает
облако Azure по умолчанию?
О. Автоматическое определение
и предотвращение вторжений,
предотвращение DDoS-атак,
регулярное тестирование инфраструктуры
на проникновение и другие инструменты
предотвращения криминальных активностей
снаружи и изнутри Azure
Ресурсы:
Azure Network Security Whitepaper
Azure Security: Technical Insights Whitepaper

23. В. Как Azure отвечает на инциденты и работает
со мной в случае нарушения безопасности?
О. Azure поддерживается
глобальной командой
поддержки, которая работает
круглосуточно и ежедневно
для предотвращения атак
на безопасность и действий
злоумышленников
Ресурсы:
Microsoft Security Response Center

24. В. Имеет ли Microsoft доступ
к моим данным в Azure?
О. Персонал Microsoft не имеет
доступа к данным клиентов.
В случае запроса поддержки
пользователем, предоставляется
доступ с низкими привилегиями,
с требованием мультифакторной
аутентификации.
Доступ логируется и ведется аудит.
Ресурсы:
Trust Center – Privacy (data location)
Pre-screened Admin
requests access
Leadership grants
temporary privilege
Microsoft Corporate
Network
Just in Time
&
Role-Based
Access

25. В. Что насчет аудита ЦОД и операций Azure?
О. Предлагается независимый аудит
и сертификация организациями
и стандартами вместо личного
аудита пользователями
Ресурсы:
Azure Trust Center – Compliance
Request Audit Report
HIPAA

26. В. Какие гарантии дает Microsoft?
О. Microsoft гарантирует защиту
приватности данных
и уведомление об инцидентах
безопасности всем клиентам.
Предлагает специальные
соглашения для регуляторов
в индустриях вроде финансов
и здравоохранения
Ресурсы:
Trust Center – Privacy
Microsoft Online Service Terms (OST)
• Commitments regarding use & disclosure of Customer Data,
security Incident notification, and use of subcontractors
Data Processing Terms
• Applies to narrower scope of core services
• Commitments regarding data location, audit, data protection, EU
law
HIPAA Business Associate Agreement
• Applies to narrower scope of core services
• Commitments regarding security and privacy and special
provisions related to breach notification
Financial Services
• Includes Regulator (not customer) Right to Examine
• Offers optional paid Financial Services Compliance Program

27. В. Как Microsoft реагирует на запросы
данных клиентов от правоохранителей?
О. Microsoft гарантирует защиту приватности
данных и расширяет эти гарантии на ответы
на все запросы информации о клиентах
от правительственных структур.
Вне зависимости от того, относятся ли
они к криминальным вопросам
или национальной безопасности
Ресурсы:
Law Enforcement Request Report
Ясные принципы
и Защита Клиентов
Прозрачность

28. В. Что, если государство следит…?
О. Если даже государство каким-то образом
участвует в сборе информации,
то это производится без вовлечения
или уведомления Microsoft.
Microsoft постоянно улучшает защиту своих
коммуникаций и безопасность хранения
данных пользователей.
Ресурсы:
Law Enforcement Request Report
Нет бэкдоров
Улучшение
безопасности

29. Является трудностью для построения
решений по всему миру
(не только в России)
Клиенты должны самостоятельно
построить решение с учетом того,
что будет, а что не будет храниться в облаке
В первую очередь, необходимо перенести
данные не попадающие под понятие
«персональных данных»
В ряде случаев вы можете
использовать шифрование
или другие защитные механизмы

30. Сервисы, которые сделают
ваши решения безопаснее

31. 31
Благодаря Azure Active Directory Premium:
• Управление группами и обеспечение их безопасности,
аудиторские отчеты
• Самостоятельный сброс пароля и многофакторная аутентификация
• Взаимодействие между AD и Azure AD
Благодаря Windows Intune:
• Управление параметрами и настройками мобильных устройств
• Управление жизненным циклом мобильных приложений
• Очистка и удаление данных с устройства
Благодаря Azure Rights Management Service:
• Защита информации
• Условный доступ
Из чего он состоит....
Цена в рамках Enterprise Agreement от $4 за пользователя в месяц*
* Промоцена по соглашению EA уровня A действует ограниченное время.
Доступно при приобретении не менее 250 мест и наличии лицензии CAL Suite (CoreCAL/ECAL)

33. Доверие лидеров индустрии

34. Основа
Microsoft Azure –
многоуровневая
безопасность
Безопасность
в облаке –
общее дело
Microsoft Azure
применяет
лучшие практики
и соответствует
всем современным
требованиям
безопасности
Хранить данные
в Azure безопасно
и надежно
Microsoft
вкладывает
миллионы долларов
в свою и вашу
безопасность
Сервисы Azure
позволяют строить
безопасные
решения

35. SECURITY
RESPONSE
CENTER
SECURITY
DEVELOPMENT
LIFECYCLE
SECURITY
TECH CENTER
SECURITY
INTELLIGENCE
REPORT
MICROSOFT
SECURITY
UPDATE GUIDE
SECURITY
DEVELOPMENT
CENTER
END TO END
TRUST
MALWARE
PROTECTION
CENTER
TRUSTWORTHY
COMPUTING
SECURITY BLOG
www.microsoft.com
/security/msrc
www.microsoft.com
/security/sir
www.microsoft.com
/sdl
technet.microsoft.com
/security
www.microsoft.com
/securityupdateguide
msdn.microsoft.com
/security
www.microsoft.com
/twc
www.microsoft.com
/endtoendtrust
www.microsoft.com
/security/portal
www.microsoft.com
/about/twc/en/us/blogs.aspx

36. azurerus@microsoft.com
facebook.com/yunev
blogs.msdn.com/b/vyunev
facebook.com/groups/azurerus
azure.com AzureHub.ru msftva.ru

38. Клиенты могут использовать Azure для гнусных целей:
Хакеры могут создавать учетные записи на базе
украденных кредитных карт
Эти учетные записи могут быть использованы
для размещения мощных ботов
Исходящие DoS-атаки
Распространение спама
Атаки SQL-инъекций
Хостинг фишинговых веб-сайтов
Публикация вредоносных приложений
Публикация материалов защищенных авторским правом
Наше пользовательское соглашение говорит, что мы не можем
наблюдать за тем что делают клиенты
Без проверки клиентов с нашей стороны, сторонние сервисы
включат наши IP в черные списки
Не существует стандартов по которым можно оценивать поведение

42. Центр защищенный 24x7
Площадь в 700,000
квадратных футов
Десятки тысяч серверов
Резервного питания
хватит на дни работы

46. Worker role
Web role

56. Лучшие практики безопасности
для разработки приложений Azure
Безопасность зависит от возможности гипервизора
содержать враждебную ВМ
Опции для запуска кода с более низким уровнем доверия
Наблюдает ли Azure за приложениями клиентов?
Нет, гостевые ВМ считаются недоверенными
Контроль за приложениями клиентов внутри гостевых ВМ отсутствует
Антивирусное сканирование клиентских приложений
Обращение с мошенническими приложениями клиентов

57.  Валидация ввода
 Аутентификация
 Авторизация
 Управление
конфигурациями
 Обращение с
важными данными
 Управление сессиями
 Криптография
 Манипуляция параметрами
 Обработка исключений
 Аудит и логирование

58. Работает для защиты наших пользователей…
Уменьшает число уязвимостей, ограничивает последствия от эксплойтов
Ведущий промышленный процесс
обеспечения выпуска безопасного
программного обеспечения
Онлайн-сервисы обязаны
соответствовать требованиям
Расширено на инфраструктуру размещения
Моделирование угроз
Валидация использования
допустимых инструментов,
документации, паттернов и практик

59. Является трудностью для построения
решений по всему миру
(не только в России)
Клиенты должны самостоятельно построить
решение с учетом того, что будет,
а что не будет храниться в облаке
В первую очередь, необходимо перенести
данные не попадающие под понятие
«персональных данных»
В ряде случаев вы можете
использовать шифрование
или другие защитные механизмы

60. Infrastructure
Asset Logs
Firewall Logs
Intrusion
Prevention
System Logs
Network
Device Logs
Domain
Controller
Logs
Security Server
Logs
Sensitive
Information
Server Logs
User Logons
Security policy
configuration
changes