حماية بيانات عملاء Azure

يتم رفض الوصول إلى بيانات العملاء بواسطة عمليات Microsoft وموظفي الدعم بشكل افتراضي. عند منح الوصول إلى البيانات المتعلقة بحالة دعم، يتم منحها فقط باستخدام نموذج في الوقت المناسب (JIT) باستخدام النهج التي يتم تدقيقها وفحصها مقابل سياسات التوافق والخصوصية الخاصة بنا. يتم إنشاء متطلبات التحكم في الوصول من خلال نهج أمان Azure التالي:

• لا يمكن الوصول إلى بيانات العملاء بشكل افتراضي.
• لا توجد حسابات مستخدم أو مسؤول على الأجهزة الظاهرية للعملاء (VMs).
• منح أقل امتياز مطلوب لإكمال المهمة؛ تدقيق وتسجيل طلبات الوصول.

تم تعيين حسابات Active Directory فريدة لموظفي دعم Azure بواسطة Microsoft. تعتمد Azure على Microsoft Corporate Active Directory، الذي تديره Microsoft Information Technology (MSIT)، للتحكم في الوصول إلى أنظمة المعلومات الأساسية. المصادقة متعددة العوامل مطلوبة، ويتم منح الوصول فقط من وحدات التحكم الآمنة.

حماية البيانات

يوفر Azure للعملاء أماناً قوياً للبيانات، سواء بشكل افتراضي أو كخيارات للعميل.

فصل البيانات: Azure هي خدمة متعددة المستأجرين، ما يعني أن عمليات نشر العملاء المتعددة والأجهزة الظاهرية يتم تخزينها على نفس الأجهزة الفعلية. يستخدم Azure العزل المنطقي لفصل بيانات كل عميل عن بيانات الآخرين. يوفر الفصل النطاق والفوائد الاقتصادية للخدمات متعددة المستأجرين مع منع العملاء بدقة من الوصول إلى بيانات بعضهم البعض.

حماية البيانات أثناء عدم التشغيل: يتحمل العملاء مسؤولية ضمان تشفير البيانات المخزنة في Azure وفقاً لمعاييرهم. يوفر Azure مجموعة واسعة من قدرات التشفير، ما يمنح العملاء المرونة لاختيار الحل الذي يلبي احتياجاتهم على أفضل نحو. يساعد Azure Key Vault العملاء على الحفاظ على التحكم بسهولة في المفاتيح التي تستخدمها التطبيقات والخدمات السحابية لتشفير البيانات. تشفير قرص Azure تمكن العملاء من تشفير الأجهزة الظاهرية. يتيح تشفير خدمة تخزين Azure تشفير جميع البيانات الموضوعة في حساب تخزين العميل.

حماية البيانات أثناء النقل: توفر Microsoft العديد من الخيارات التي يمكن للعملاء استخدامها لتأمين البيانات المتنقلة داخليا داخل شبكة Azure وخارجيا عبر الإنترنت للمستخدم النهائي. وتشمل هذه الاتصالات من خلال الشبكات الخاصة الظاهرية (باستخدام تشفير IPsec/IKE)، أمان طبقة النقل (TLS) 1.2 أو أحدث (عبر مكونات Azure مثل Application Gateway أو Azure Front Door)، والبروتوكولات مباشرة على أجهزة Azure الظاهرية (مثل Windows IPsec أو SMB)، والمزيد.

بالإضافة إلى ذلك، يتم تمكين "التشفير افتراضيا" باستخدام MACsec (معيار IEEE في طبقة ارتباط البيانات) لجميع حركة مرور Azure التي تنتقل بين مراكز بيانات Azure لضمان سرية بيانات العملاء وسلامتها.

تكرار البيانات: تساعد Microsoft على ضمان حماية البيانات إذا كان هناك هجوم إلكتروني أو ضرر مادي لمركز البيانات. يمكن للعملاء اختيار:

• التخزين داخل البلد/المنطقة لاعتبارات التوافق أو زمن الانتقال.
• التخزين خارج البلد/المنطقة لأغراض الأمان أو التعافي من الكوارث.

يمكن نسخ البيانات نسخا متماثلا داخل منطقة جغرافية محددة للتكرار ولكن لا يمكن إرسالها خارجها. لدى العملاء خيارات متعددة لنسخ البيانات، بما في ذلك عدد النسخ وعدد وموقع مراكز بيانات النسخ المتماثل.

عندما تقوم بإنشاء حساب التخزين الخاص بك، حدد أحد خيارات النسخ المتماثل التالية:

• التخزين الزائد محلياً (LRS): يحتفظ التخزين الزائد محلياً بثلاث نسخ من بياناتك. يتم تكرار LRS ثلاث مرات داخل منشأة واحدة في منطقة واحدة. يحمي LRS بياناتك من أعطال الأجهزة العادية، ولكن ليس من فشل منشأة واحدة.
• تخزين المنطقة الزائدة عن الحاجة (ZRS): تحتفظ منطقة التخزين الزائدة عن الحاجة بثلاث نسخ من بياناتك. يتم تكرار ZRS ثلاث مرات عبر منشأتين أو ثلاث لتوفير متانة أعلى من LRS. يحدث النسخ المتماثل داخل منطقة واحدة أو عبر منطقتين. يساعد ZRS على ضمان استمرارية بياناتك داخل منطقة واحدة.
• تخزين احتياطي جغرافي (GRS): يتم تمكين التخزين المتكرر جغرافياً لحساب التخزين الخاص بك افتراضياً عند إنشائه. تحتفظ GRS بست نسخ من بياناتك. باستخدام GRS، يتم نسخ بياناتك ثلاث مرات داخل المنطقة الأساسية. يتم أيضاً نسخ بياناتك ثلاث مرات في منطقة ثانوية تبعد مئات الأميال عن المنطقة الأساسية، مما يوفر أعلى مستوى من المتانة. إذا فشل في المنطقة الأساسية، يفشل Azure Storage في المنطقة الثانوية. يساعد GRS على ضمان أن بياناتك دائمة في منطقتين منفصلتين.

تدمير البيانات: عندما يحذف العملاء البيانات أو يغادرون Azure، تتبع Microsoft معايير صارمة لحذف البيانات والتدمير المادي للأجهزة التي تم إيقاف تشغيلها. تنفذ Microsoft حذفاً كاملاً للبيانات بناءً على طلب العميل وعند إنهاء العقد. لمزيد من المعلومات، راجع إدارة البيانات في Microsoft.

ملكية بيانات العميل

لا تقوم Microsoft بفحص التطبيقات التي ينشرها العملاء في Azure أو الموافقة عليها أو مراقبتها. علاوةً على ذلك، لا تعرف Microsoft نوع البيانات التي يختار العملاء تخزينها في Azure. لا تطالب Microsoft بملكية البيانات على معلومات العميل التي تم إدخالها في Azure.

إدارة السجلات

أنشأت Azure متطلبات الاحتفاظ بالسجلات الداخلية للبيانات الخلفية. يتحمل العملاء مسؤولية تحديد متطلبات الاحتفاظ بالسجلات الخاصة بهم. بالنسبة للسجلات المخزنة في Azure، يكون العملاء مسؤولين عن استخراج بياناتهم والاحتفاظ بمحتواهم خارج Azure لفترة استبقاء يحددها العميل.

يسمح Azure للعملاء بتصدير البيانات وتقارير التدقيق من المنتج. يتم حفظ عمليات التصدير محلياً للاحتفاظ بالمعلومات لفترة استبقاء يحددها العميل.

الاكتشاف الإلكتروني (الاكتشاف الإلكتروني)

يتحمل عملاء Azure مسؤولية الامتثال لمتطلبات الاكتشاف الإلكتروني في استخدامهم لخدمات Azure. إذا كان يجب على عملاء Azure الاحتفاظ ببيانات العملاء الخاصة بهم، فيمكنهم تصدير البيانات وحفظها محلياً. بالإضافة إلى ذلك، يمكن للعملاء طلب تصدير بياناتهم من قسم دعم العملاء في Azure. بالإضافة إلى السماح للعملاء بتصدير بياناتهم، يقوم Azure بإجراء عمليات تسجيل ومراقبة واسعة النطاق داخلياً.

الخطوات التالية

لمعرفة المزيد بشأن ما تفعله Microsoft لتأمين البنية الأساسية لـ Azure، راجع:

• منشآت Azure والمباني والأمان المادي
• توافر البنية الأساسية لـ Azure
• حدود ومكونات نظام معلومات Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان Azure SQL Database
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية لـ Azure
• تكامل البنية الأساسية لـ Azure