Sdílet prostřednictvím

Azure zařízení, prostory a fyzické zabezpečení

Tento článek popisuje, co Microsoft dělá pro zabezpečení infrastruktury Azure.

Infrastruktura datacentra

Azure se skládá z globálně distribuované infrastruktury datacentra, která podporuje tisíce online služby a využívá více než 400 vysoce zabezpečených zařízení po celém světě.

Infrastruktura je navržená tak, aby se aplikace blížily uživatelům po celém světě, zachovala rezidenci dat a nabízela zákazníkům komplexní možnosti dodržování předpisů a odolnosti. Azure má více než 70 oblastí po celém světě a je k dispozici ve 140 zemích/oblastech.

Oblast je sada datacenter, která jsou propojená prostřednictvím masivní a odolné sítě. Síť zahrnuje distribuci obsahu, vyrovnávání zatížení, redundanci a šifrování vrstvy data-link ve výchozím nastavení pro veškerý provoz Azure v rámci oblasti nebo mezi oblastmi. Díky více globálním oblastem než jakýkoli jiný poskytovatel cloudu vám Azure dává flexibilitu při nasazování aplikací tam, kde je potřebujete.

Azure oblasti jsou uspořádány do geografických regionů. Geografická Azure zajišťuje, aby se v rámci geografických hranic dodržovaly požadavky na rezidenci dat, suverenitu, dodržování předpisů a odolnost.

Zeměpisné oblasti umožňují zákazníkům se specifickými požadavky na rezidenci dat a dodržování předpisů, aby měli svoje data a aplikace blízko. Geografické oblasti jsou odolné vůči chybám a vydrží úplné selhání regionů díky připojení k vyhrazené síťové infrastruktuře s vysokou kapacitou.

Zóny dostupnosti jsou fyzicky oddělené lokality v rámci oblasti Azure. Každou zónu dostupnosti tvoří jedno nebo několik datových center vybavených nezávislým napájením, chlazením a sítí. Zóny dostupnosti umožňují spouštět klíčové aplikace s vysokou dostupností a replikací s nízkou latencí.

Následující obrázek ukazuje, jak globální infrastruktura Azure spáruje regiony a zóny dostupnosti ve stejné hranici umístění dat pro zajištění vysoké dostupnosti, obnovení po havárii a zálohování.

Diagram znázorňující hranice umístění dat

Geograficky distribuovaná datacentra umožňují Microsoftu být blízko zákazníkům, snížit latenci sítě a umožnit geograficky redundantní zálohování a převzetí služeb při selhání.

Fyzické zabezpečení

Microsoft navrhuje, vytváří a provozuje datová centra způsobem, který přísně řídí fyzický přístup k oblastem, kde jsou uložená data. Microsoft rozumí důležitosti ochrany vašich dat a snaží se zabezpečit datacentra, která obsahují vaše data. V Microsoftu máme celou divize věnovanou navrhování, sestavování a provozování fyzických zařízení podporujících Azure. Tento tým je investován do udržování špičkového fyzického zabezpečení.

Microsoft používá vícevrstvý přístup k fyzickému zabezpečení, aby snížil riziko neoprávněných uživatelů získat fyzický přístup k datům a prostředkům datacentra. Datacentra spravovaná Microsoftem mají rozsáhlé vrstvy ochrany: schvalování přístupu v hraniční síti zařízení, v obvodu budovy, uvnitř budovy a v datovém centru. Vrstvy fyzického zabezpečení jsou:

  • Žádost o přístup a schválení Před příchodem do datacentra musíte požádat o přístup. Musíte zadat platné obchodní odůvodnění vaší návštěvy, například pro účely dodržování předpisů nebo auditování. Všechny žádosti jsou schváleny zaměstnanci Microsoftu na základě potřeby přístupu. Základ potřebný k přístupu pomáhá udržovat počet jednotlivců potřebných k dokončení úkolu v datacentrech na úplné minimum. Po udělení oprávnění má jednotlivec přístup pouze k diskrétní oblasti požadovaného datacentra na základě schváleného obchodního odůvodnění. Oprávnění jsou omezená na určité časové období a jejich platnost vyprší.

  • Přístup návštěvníka. Odznáčky dočasného přístupu jsou uloženy v soC řízeném přístupem a inventarizované na začátku a na konci každé směny. Všichni návštěvníci, kteří mají schválený přístup k datacentru, jsou na svých odznacích označeni jako Pouze s doprovodem a musí vždy zůstat s doprovodem. Návštěvníci s doprovodem nemají udělené žádné úrovně přístupu a mohou se pohybovat pouze v rámci přístupu svého doprovodu. Doprovod je zodpovědný za kontrolu akcí a přístupu návštěvníka během návštěvy datacentra. Microsoft vyžaduje, aby návštěvníci odevzdali odznáček při odjezdu z libovolného zařízení Microsoftu. Všem návštěvnickým průkazům jsou před jejich opětovným použitím pro budoucí návštěvy odebrány úrovně přístupu.

  • Obvod zařízení. Když dorazíte do datacentra, musíte projít dobře definovaným přístupovým bodem. Obvykle vysoké ploty vyrobené z oceli a betonu zahrnují každý inch obvodu. V datacentrech jsou kamery s bezpečnostním týmem, který nepřetržitě monitoruje svá videa. Bezpečnostní hlídky zajišťují, aby vstup a východ byly omezeny na určené prostory. Bollardy a další opatření chrání exteriér datacentra před potenciálními hrozbami, včetně neoprávněného přístupu.

  • Vchod do budovy. Vstup do datacentra je obsazený profesionálními bezpečnostními pracovníky, kteří prošli přísnými školeními a kontrolami na pozadí. Tito bezpečnostní pracovníci také pravidelně hlídá datacentrum a monitorují videa kamer uvnitř datacentra vždy.

  • Uvnitř budovy. Po vstupu do budovy musíte předat dvojúrovňové ověřování pomocí biometrických údajů, abyste mohli pokračovat v pohybu přes datové centrum. Pokud je vaše identita ověřená, můžete zadat pouze část datacentra, ke které jste schválili přístup. Můžete tam zůstat pouze po dobu trvání schválené doby.

  • Podlaha datacentra. Je vám povolen vstup pouze na patro, ke kterému máte schválení. Jste povinni projít kompletní detekční kontrolou celého těla na kov. Pokud chcete snížit riziko neoprávněného vstupu nebo opuštění datacentra bez našeho vědomí, můžou se do datového centra dostat pouze schválená zařízení. Kromě toho videokamery monitorují přední a zadní část každého serverového racku. Když opustíte prostor datacentra, musíte znovu projít screeningem detekce kovů celým tělem. Pokud chcete datacentrum opustit, musíte projít další kontrolou zabezpečení.

Fyzické kontroly zabezpečení

Pravidelně provádíme fyzické kontroly zabezpečení zařízení, abychom zajistili, že datacentra správně řeší Azure požadavky na zabezpečení. Pracovníci poskytovatele hostingu datacentra neposkytují Azure správu služeb. Pracovníci se nemohou přihlásit do Azure systémů a nemají fyzický přístup do místnosti a klecí v kolokačním prostorách Azure.

Zařízení nesoucí data

Microsoft používá osvědčené postupy a řešení vymazání, které je kompatibilní se standardem NIST 800-88. U pevných disků, které nelze vymazat, používáme proces zničení, který ho zničí a znemožní obnovení informací. Tento proces zničení může být rozbourat, rozhrnout, pulverizovat nebo incinovat. Určíme způsob likvidace podle typu majetku. Uchováváme záznamy o zničení.

Vyřazení zařízení

Na konci životnosti systému provozní pracovníci Microsoftu dodržují přísné postupy zpracování dat a odstranění hardwaru, aby zajistili, že hardware obsahující vaše data není zpřístupněn nedůvěryhodným stranám. Pro pevné disky, které ho podporují, používáme zabezpečený přístup pro vymazání. Pro pevné disky, které nelze vymazat, používáme proces zničení, který zničí jednotku a znemožní obnovení informací. Tento proces zničení může být rozbourat, rozhrnout, pulverizovat nebo incinovat. Určíme způsob likvidace podle typu majetku. Uchováváme záznamy o zničení. Všechny služby Azure používají schválené služby pro ukládání médií a správu odstranění.

Kompatibilita

Navrhujeme a spravujeme infrastrukturu Azure tak, aby splňovala širokou škálu mezinárodních a oborových standardů dodržování předpisů, jako jsou ISO 27001, HIPAA, FedRAMP, SOC 1 a SOC 2. Splňujeme také standardy specifické pro jednotlivé země a oblasti, včetně Austrálie IRAP, UK G-Cloud a Singapur MTCS. Přísné audity třetích stran, jako jsou audity provedené britským standardizačním institutem, ověřují dodržování striktních kontrolních mechanismů zabezpečení, které tyto standardy vyžadují.

Úplný seznam standardů souladu, které Azure dodržuje, najdete v nabídce Compliance offerings.

Další kroky

Další informace o tom, co Microsoft dělá, aby pomohl zabezpečit infrastrukturu Azure, najdete tady:

  • Last updated on