Microsoft Azure云安全應(yīng)用場景(演示)

1、Microsoft Azure云的安全及應(yīng)用場景12 億全球用戶數(shù)超過 3 億每月用戶數(shù)4800 萬57 個國家/地區(qū)的成員總數(shù)57%的財富 500 強(qiáng)企業(yè)每周新增訂戶 10,000 個350 萬活躍用戶Online超過 55 億每月全球查詢數(shù)量3超過 4.5 億每月有效用戶數(shù)全球微軟可信云超過 200 個云服務(wù)，超過 1 百萬臺服務(wù)器，基礎(chǔ)結(jié)構(gòu)投入超過 150億美元10 億客戶，2000 萬家企業(yè)，覆蓋全球 90 個國家/地區(qū)12微軟可信云的基本原則隱私保護(hù)透明度合規(guī)性安全性33Azure 的安全性微軟為客戶提供了可信賴的企業(yè)級云服務(wù)技術(shù)在線服務(wù)的設(shè)計和管理方面實(shí)施了業(yè)界領(lǐng)先的最佳實(shí)踐增強(qiáng)的

2、安全性、運(yùn)營管理，以及威脅緩解實(shí)踐可信賴的企業(yè)級云服務(wù)技術(shù)卓越中心4從代碼開發(fā)到事件響應(yīng)，我們的所有工作皆以安全為頭等要務(wù)安全開發(fā)生命周期（SDL）和運(yùn)營安全保障（OSA）Azure 的安全設(shè)計和運(yùn)營全天候事件響應(yīng)服務(wù)，以減輕攻擊和惡意活動的影響。專屬的安全專家“紅色小組”會在網(wǎng)絡(luò)、平臺，以及應(yīng)用程序?qū)用婺M現(xiàn)實(shí)世界中的攻擊，對Azure 檢測入侵，面對入侵提供保護(hù)，以及入侵后的恢復(fù)能力進(jìn)行測試事件響應(yīng)全公司范圍內(nèi)強(qiáng)制實(shí)施的開發(fā)和運(yùn)營流程已經(jīng)將安全意識融入到開發(fā)和運(yùn)維工作的每個階段假定違反模擬5運(yùn)營安全Strategy: Employ risk-based, multi-dimensional

3、 approach to safeguarding services and 數(shù)據(jù)安全監(jiān)控和響應(yīng)數(shù)據(jù)和密鑰數(shù)據(jù)保護(hù)訪問控制，加密，密鑰管理用戶管理訪問身份管理，雙重身份驗(yàn)證，培訓(xùn)和宣傳，篩選，最少特權(quán)和臨時特權(quán)應(yīng)用程序應(yīng)用程序安全訪問控制，監(jiān)控，反惡意軟件，漏洞掃描，補(bǔ)丁和配置管理宿主機(jī)系統(tǒng)宿主機(jī)保護(hù)訪問控制，監(jiān)控，反惡意軟件，漏洞掃描，補(bǔ)丁和配置管理內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)安全網(wǎng)絡(luò)分割，入侵檢測，漏洞掃描網(wǎng)絡(luò)周邊網(wǎng)絡(luò)安全邊緣 ACL，DOS，入侵檢測，漏洞掃描設(shè)施物理安全物理控制，視頻監(jiān)控，訪問控制威脅情報來源6數(shù)據(jù)中心的物理安全周邊建筑物防震加固安全運(yùn)營中心24X7安保人員持續(xù)數(shù)天的備用電源攝像機(jī)警報

4、雙重驗(yàn)證訪問控制：生物特征驗(yàn)證裝置和讀卡器柵欄圍墻機(jī)房7事件評估通知客戶引入 Ops事件被檢測到引入安全團(tuán)隊(duì)事件開始確定對客戶產(chǎn)生的影響客戶流程第一步確定受影響的客戶安全事件已確認(rèn)Azure 客戶通知 專注于遏制和恢復(fù) 針對平臺級的事件，分析日志和VHD 映像，有必要時為客戶提供取證信息 在客戶通知中做出合同承諾Azure 事件響應(yīng) 完善的九步驟事件響應(yīng)流程8AzurePrivacy 的隱私和控制由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure 承諾將客戶隱私看作第一要務(wù)，并承諾應(yīng)用獨(dú)立審計策略和實(shí)踐，包括不會通過挖掘客戶數(shù)據(jù)以展示廣告，或?qū)⒖蛻魯?shù)據(jù)用于其他商業(yè)用途。9Privacy信任的基礎(chǔ)

5、Azure 的隱私原則在設(shè)計上更清晰地界定了客戶數(shù)據(jù)的使用責(zé)任，所有實(shí)踐維持極高透明度，提供了有意義的隱私選擇相關(guān)指導(dǎo)措施有助于確保在產(chǎn)品和服務(wù)的開發(fā)與部署階段就充分考慮到隱私保護(hù)的要求Azure 使用邏輯隔離將每個客戶的數(shù)據(jù)相互隔離與生俱來的隱私Azure 隱私標(biāo)準(zhǔn)數(shù)據(jù)隔離10客戶數(shù)據(jù)使用 Azure 服務(wù)的過程中，客戶數(shù)據(jù)依然歸客戶自己所有決定數(shù)據(jù)存儲位置控制對數(shù)據(jù)的訪問加密密鑰的管理控制數(shù)據(jù)的刪除客戶自行選擇數(shù)據(jù)存儲位置和復(fù)制選項(xiàng)強(qiáng)有力的身份驗(yàn)證，被慎重記錄的“即時” 訪問只用于服務(wù)支持，并會定期進(jìn)行審計客戶可以靈活地生成并管理自己的加密密鑰當(dāng)客戶刪除自己的數(shù)據(jù)或不再使用 Azure 服

6、務(wù)時，世紀(jì)互聯(lián)會按照標(biāo)準(zhǔn)流程確保上一位客戶的數(shù)據(jù)無法被訪問11數(shù)據(jù)控制數(shù)據(jù)位置數(shù)據(jù)訪問數(shù)據(jù)保護(hù)對于很多服務(wù)，客戶可以指定自己客戶數(shù)據(jù)存儲到的地理位置為了保護(hù)客戶數(shù)據(jù)，世紀(jì)互聯(lián)員工對客戶數(shù)據(jù)的訪問受到嚴(yán)格限制，世紀(jì)互聯(lián)針對 Azure 服務(wù)提供了隱私聲明，以及強(qiáng)有力的合同承諾通過技術(shù)手段確?？蛻魯?shù)據(jù)安全無虞，客戶可以靈活地實(shí)施額外的加密技術(shù)，并自行管理自己的密鑰12數(shù)據(jù)位置和數(shù)據(jù)的復(fù)制 世紀(jì)互聯(lián)不會將客戶數(shù)據(jù)存儲在客戶指定的地理位置之外 Azure 會在本地和不同的地理位置對客戶數(shù)據(jù)創(chuàng)建副本 每個存儲 Blob 會在同一個 Azure 數(shù)據(jù)中心內(nèi)復(fù)制到三臺計算機(jī)上 地域復(fù)制功能會將數(shù)據(jù)復(fù)制到10

7、00公里之外的數(shù)據(jù)中心內(nèi)Azure 選擇數(shù)據(jù)的存儲位置 配置數(shù)據(jù)復(fù)制選項(xiàng)客戶13訪問控制機(jī)制已獲獨(dú)立審計驗(yàn)證并獲得認(rèn)證受限的數(shù)據(jù)訪問只有在為使用 Azure 的客戶提供支持（例如排錯或改善功能），或法律要求時，才允許訪問客戶數(shù)據(jù)所有獲批的訪問都受到嚴(yán)密的控制和記錄通過強(qiáng)有力的身份驗(yàn)證，包括 MFA，確保僅獲得授權(quán)的人員可以訪問客戶數(shù)據(jù)不再需要時，批準(zhǔn)的訪問權(quán)會被立刻撤銷15只批準(zhǔn)完成任務(wù)所需的最小特權(quán)所有管理工作需要通過多重身份驗(yàn)證世紀(jì)互聯(lián)員工的訪問管理無法直接訪問客戶數(shù)據(jù)篩選過的管理員申請?jiān)L問管理者授予臨時訪問權(quán)即時，基于角色的訪問AzureBLOB表隊(duì)列驅(qū)動器運(yùn)維網(wǎng)絡(luò)訪問申請會被審計、記錄

8、，以及審查16數(shù)據(jù)保護(hù)數(shù)據(jù)分隔通過邏輯隔離機(jī)制分隔不同客戶的客戶數(shù)據(jù)傳輸中數(shù)據(jù)的保護(hù)默認(rèn)使用符合業(yè)界標(biāo)準(zhǔn)的協(xié)議加密組件內(nèi)外傳入和 傳出的數(shù)據(jù)，以及內(nèi)部環(huán)境中傳輸?shù)臄?shù)據(jù)數(shù)據(jù)冗余客戶可通過多種選項(xiàng)對數(shù)據(jù)進(jìn)行復(fù)制，包括副本的數(shù)量、以及復(fù)制數(shù)據(jù)中心的位置存儲后數(shù)據(jù)的保護(hù)客戶可以為虛擬機(jī)和存儲實(shí)施一系列加密選項(xiàng)加密存儲后或傳輸中數(shù)據(jù)的加密可由客戶自行部署，以確保滿足客戶最佳實(shí)踐的要求，借此保障數(shù)據(jù)的機(jī)密性和完整性數(shù)據(jù)銷毀當(dāng)客戶刪除數(shù)據(jù)或停止使用 Azure 服務(wù)時，世紀(jì)互聯(lián)會按照標(biāo)準(zhǔn)流程確保上一位客戶的數(shù)據(jù)無法再被訪問17傳輸中的數(shù)據(jù)加密Azure 加密 Azure 數(shù)據(jù)中心之間的大部分通訊 使用 HT

9、TPS 加密 Azure 門戶事務(wù) 支持 FIPS 140-2客戶Azure數(shù)據(jù)中心Azure數(shù)據(jù)中心Azure門戶 可為 REST API 選擇使用 HTTPS（推薦做法） 為 Azure 中運(yùn)行的應(yīng)用程序終結(jié)點(diǎn)配置HTTPS 在 IIS 上實(shí)施 TLS，借此加密 Web 客戶端和服務(wù)器之間的通訊19數(shù)據(jù)驅(qū)動器引導(dǎo)驅(qū)動器SQL Server 透明數(shù)據(jù)加密和列級加密 文件和文件夾 Windows Server 中的 EFS存儲后數(shù)據(jù)的加密虛擬機(jī)存儲 對使用 Azure 導(dǎo)入/導(dǎo)出服務(wù)的驅(qū)動器應(yīng)用 BitLocker 加密 StorSimple 可支持 AES-256 加密應(yīng)用程序 通過 .NE

10、T Crypto API 實(shí)現(xiàn)客戶端加密 通過 RMS Service 和 SDK 為您的應(yīng)用程序?qū)崿F(xiàn)文件加密20SQL TDE合作伙伴技術(shù)EFSBitLocker.NET CryptoStorSimpleRMS SDK虛擬機(jī)存儲應(yīng)用程序數(shù)據(jù)銷毀數(shù)據(jù)刪除 索引會在第一時間從主要位置中移除 數(shù)據(jù)（索引）的地域復(fù)制副本會被異步移除磁盤的處理 使用符合業(yè)界標(biāo)準(zhǔn)的流程銷毀退役的磁盤 客戶只能讀取自己曾經(jīng)寫入過的磁盤空間21Azure 的透明度通過可訪問的工具和簡潔直觀的語言，以透明的方式披露數(shù)據(jù)存儲位置、可以訪問的人員，以及世紀(jì)互聯(lián)用何種方法保護(hù)客戶數(shù)據(jù)，Azure 可以幫助客戶更好地控制自己的客戶數(shù)

11、據(jù)。22安全實(shí)踐將安全性融入產(chǎn)品代碼（SDL）確保 Azure 基礎(chǔ)結(jié)構(gòu)可以承受攻擊保護(hù)用戶訪問 Azure 環(huán)境的過程通過加密通訊確?？蛻魯?shù)據(jù)安全無虞客戶知道我們?nèi)绾螢樗麄兊臄?shù)據(jù)提供保護(hù)23Azure 與合規(guī)性在開發(fā)創(chuàng)新式合規(guī)性技術(shù)和流程，將其納入 Azure的過程中，微軟和世紀(jì)互聯(lián)分別從技術(shù)層面和運(yùn)營層面做出了大量投入。適用于在線服務(wù)的合規(guī)性框架列出了各種制度標(biāo)準(zhǔn)和控制機(jī)制之間的對應(yīng)關(guān)系，有助于促進(jìn)服務(wù)的設(shè)計和開發(fā)，能滿足當(dāng)今用戶對安全和隱私的高標(biāo)準(zhǔn)嚴(yán)要求。24合規(guī)性框架合規(guī)性認(rèn)證世紀(jì)互聯(lián)和微軟組建了專家團(tuán)隊(duì)，專注于確保Azure 滿足合規(guī)義務(wù)，進(jìn)而幫助客戶滿足自己的合規(guī)性要求持續(xù)評估，標(biāo)

12、桿管理，采納、測試和審計合規(guī)性戰(zhàn)略可幫助客戶實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，符合行業(yè)標(biāo)準(zhǔn)和制度的要求，包括持續(xù)評估并采納新的標(biāo)準(zhǔn)和實(shí)踐獨(dú)立驗(yàn)證第三方審計機(jī)構(gòu)進(jìn)行持續(xù)不斷的驗(yàn)證審計報告的訪問世紀(jì)互聯(lián)會將審計報告的結(jié)論和合規(guī)程序包分享給客戶最佳實(shí)踐有關(guān) Azure 數(shù)據(jù)、應(yīng)用，以及基礎(chǔ)結(jié)構(gòu)安全的規(guī)范指南，使得客戶更容易實(shí)現(xiàn)合規(guī)性25全球微軟云豐富的經(jīng)驗(yàn)和認(rèn)證HIPAA/HITECHCJISSOC 1201220112010SOC 2FedRAMPP-ATOFISMAATO英國 G-Cloud OFFICIAL201320142015ISO/IEC27001:2005CSA 云控制矩陣PCI DSSLevel 1澳大

13、利亞IRAP 評審新加坡MCTSISO/IEC27018歐盟數(shù)據(jù)保護(hù)指令CDSA運(yùn)營安全保障26信息安全標(biāo)準(zhǔn)ISO 27001ISO 27018SOC 1 Type 2SOC 2 Type 2政府認(rèn)證美國 FedRAMP/FISMA美國 CJIS英國 G-Cloud澳大利業(yè) IRAP新加坡 MCTS行業(yè)認(rèn)證PCI DSS Level 1HIPAA/HITECH生命科學(xué) GxP全球微軟云合規(guī)性認(rèn)證*只適用于全球微軟云，不適用于只適用于全球微軟云，不適用于 Gallacake，只在客戶需要了解全球微軟云時提供，只在客戶需要了解全球微軟云時提供國際信息安全標(biāo)準(zhǔn)ISO 27001政府和機(jī)構(gòu)認(rèn)證MLPS

14、TCSAzure 和 Office 365 在中國獲得的合規(guī)認(rèn)證ISO/IEC 27001:2005 審核和認(rèn)證審核和認(rèn)證 由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure 和 Office 365 已實(shí)施 ISO 27001 定義的嚴(yán)格物理、邏輯、流程和管理控制 世紀(jì)互聯(lián)承諾每年基于 ISO/IEC 27001:2005 進(jìn)行認(rèn)證 ISO/IEC 27001:2005 證書確認(rèn)世紀(jì)互聯(lián)已實(shí)施此標(biāo)準(zhǔn)中定義的國際上認(rèn)可的信息安全控制措施，包括有關(guān)啟動、實(shí)施、維護(hù)和改進(jìn)組織中的信息安全管理的指南和一般原則可信云服務(wù)認(rèn)證可信云服務(wù)認(rèn)證 （ TCS ） 由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure

15、 成功地獲得針對云引擎、全網(wǎng)負(fù)載均衡、云備份的可信云服務(wù)認(rèn)證 這些服務(wù)接受了 SLA 服務(wù)協(xié)議框架內(nèi)，包括數(shù)據(jù)管理、業(yè)務(wù)質(zhì)量及權(quán)益保障三大類共16項(xiàng)指標(biāo)的測評。在運(yùn)行的穩(wěn)定性方面，這些服務(wù)達(dá)到了 99.9% 的 SLA 保證。 世紀(jì)互聯(lián)運(yùn)營的 Office365 在線應(yīng)用服務(wù)獲得了企業(yè)級電子郵件（ Exchange Online ）、文件共享（ SharePoint Online ）、聯(lián)機(jī)會議（Exchange Online）3項(xiàng)可信云服務(wù)認(rèn)證信息系統(tǒng)安全等級保護(hù)定級信息系統(tǒng)安全等級保護(hù)定級 由世紀(jì)互聯(lián)運(yùn)營的 Microsoft Azure 信息安全保護(hù)等級評定為第二級 由世紀(jì)互聯(lián)運(yùn)營的 Of

16、fice 365 信息安全保護(hù)等級評定為第三級Microsoft Confidential - Signed NDA RequiredMicrosoft Confidential - Signed NDA Required降低成本按需擴(kuò)展降低初期投入改善客戶體驗(yàn)拓展全球市場加速進(jìn)入市場時間應(yīng)用場景客戶難題Azure價值成功案例1LOB應(yīng)用存儲、備份、恢復(fù)昂貴的存儲成本,異地備份難以實(shí)現(xiàn)降低成本80%,即用即付；提供異地備份解決方案成都索貝-樓宇監(jiān)控PPTV亞洲電視網(wǎng)絡(luò)1.5M（MediaService&CDN;400-600coreKevinYu）Cannon照片共享系統(tǒng)300K2互聯(lián)網(wǎng)相關(guān)應(yīng)

17、用及服務(wù)業(yè)務(wù)上線速度慢；本地機(jī)房或IDC機(jī)房的可用性不夠高；不同地區(qū)用戶訪問體驗(yàn)不一致業(yè)務(wù)快速上線；99.95%SLA保障；一直快速的訪問體驗(yàn)可樂MarketingCampaign三星KNOXPPTV-亞洲電視網(wǎng)絡(luò)3突發(fā)的業(yè)務(wù)需求傳統(tǒng)的機(jī)房沒有彈性，空間或者需要大量投入，難以應(yīng)付突發(fā)的業(yè)務(wù)量無限的擴(kuò)展，按需付費(fèi)，快速部署北京渲染平臺PPTV-亞洲電視網(wǎng)絡(luò)可樂MarketingCampaign三星-Galaxy手機(jī)終端管理服務(wù)Knox（AWSWinback）4開發(fā)測試環(huán)境資源消耗巨大，需要大量不同的環(huán)境，測試結(jié)束資源全部浪費(fèi)按需付費(fèi)和使用，提供大量的PaaS和SaaS服務(wù)加快應(yīng)用進(jìn)程和業(yè)務(wù)部門/

18、noITTopicSQL Server 管理工具直接 URL 備份到 Azure 存儲Microsoft AzureWindows Server & System Center備份工具地理復(fù)制用于存儲對象/表/驅(qū)動器/虛擬機(jī)提供多個數(shù)據(jù)副本（本地3份）更低的存儲總擁有成本更低的存儲總擁有成本更靈活的管理方式更靈活的管理方式更小的數(shù)據(jù)風(fēng)險更小的數(shù)據(jù)風(fēng)險可從任意互聯(lián)網(wǎng)連接在異地恢復(fù)數(shù)據(jù) 無縫整合 Windows Server 與 System 本地默認(rèn)存儲 3 份數(shù)據(jù)副本，可跨數(shù)最高可達(dá) 60%-80% 的存儲總擁有成本節(jié)?。ㄔO(shè)備，軟件，專業(yè)技術(shù)支持，能源/ 支持 REST API 進(jìn)行靈活的定制

19、開發(fā) Azure 存儲具備財政支持的 SLA，自冷卻，電力和人員成本，硬件折舊） 運(yùn)營以來從未丟失數(shù)據(jù)幫助IT部門專注新業(yè)務(wù)支持而不是存儲的 方便的擴(kuò)大與縮小容量的方式 數(shù)據(jù)加密遵循 AES-256 軍用級別加密擴(kuò)大與維護(hù)工作。存儲資源先使用后付費(fèi)，量化計算擁有以下需求的客戶群體更可能在 Microsoft Azure 上使用存儲功能IT 存儲成本居高不下存儲成本居高不下 存儲容量提升速度快，大筆投入占用了IT部門的其他項(xiàng)目投入 存儲設(shè)備類型多，管理復(fù)雜，無法支持業(yè)務(wù)的快速增長 多數(shù)被存儲和管理的數(shù)據(jù)并不是常常被使用，擠占了現(xiàn)有的存儲空間在 Microsoft Azure 上使用存儲功能的優(yōu)勢具有異地災(zāi)備數(shù)據(jù)中心建立意向，但苦于技術(shù)與設(shè)備缺乏具有異地災(zāi)備數(shù)據(jù)中心建立意向，但苦于技術(shù)與設(shè)備缺乏需要保證重要數(shù)據(jù)的高可用性，又希望盡可能降低存儲成需要保證重要數(shù)據(jù)的高可用性，又希望盡可能降低存儲成本本IoT 是一個轉(zhuǎn)折點(diǎn)硬件很便宜連接無處不在快速開發(fā)新的創(chuàng)新場景用戶強(qiáng)烈需求1.唯一標(biāo)識的通信節(jié)點(diǎn)：物，互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)絡(luò)、化學(xué)變化2.自動化的數(shù)據(jù)交換：非人工3.與現(xiàn)實(shí)環(huán)境的關(guān)聯(lián)：采集的數(shù)據(jù)具有特定時間、地點(diǎn)、特性三個重心1 設(shè)備連接和管理2 分析和業(yè)務(wù)運(yùn)營