Azure-ügyféladatok védelme

A Microsoft üzemeltetési és támogatási személyzete alapértelmezés szerint megtagadja az ügyféladatokhoz való hozzáférést. Ha támogatási esettel kapcsolatos adatokhoz ad hozzáférést, azokat csak igény szerinti (JIT) modellel biztosítjuk a megfelelőségi és adatvédelmi szabályzataink alapján naplózott és ellenőrzött szabályzatok használatával. A hozzáférés-vezérlési követelményeket az alábbi Azure Security Policy határozza meg:

• Alapértelmezés szerint nincs hozzáférés az ügyféladatokhoz.
• Nincsenek felhasználói vagy rendszergazdai fiókok az ügyfél virtuális gépein (VM-en).
• Adja meg a feladat elvégzéséhez szükséges legkisebb jogosultságot; naplózási és naplóhozzáférés-kérelmek.

Azure-támogatás személyzethez a Microsoft egyedi vállalati Active Directory-fiókokat rendel. Az Azure a Microsoft Information Technology (MSIT) által felügyelt Vállalati Active Directoryra támaszkodik a kulcsfontosságú információs rendszerekhez való hozzáférés szabályozásához. Többtényezős hitelesítésre van szükség, és a hozzáférés csak biztonságos konzolokról érhető el.

Adatvédelem

Az Azure erős adatbiztonságot biztosít az ügyfelek számára, alapértelmezés szerint és ügyfélbeállításként is.

Adatok elkülönítése: Az Azure egy több-bérlős szolgáltatás, ami azt jelenti, hogy több ügyféltelepítés és virtuális gép ugyanazon a fizikai hardveren van tárolva. Az Azure logikai elkülönítést használ az egyes ügyfelek adatainak elkülönítésére mások adataitól. A szegregáció a több-bérlős szolgáltatások skálázási és gazdasági előnyeit biztosítja, miközben szigorúan megakadályozza, hogy az ügyfelek hozzáférjenek egymás adataihoz.

Inaktív adatok védelme: Az ügyfelek feladata annak biztosítása, hogy az Azure-ban tárolt adatok a szabványoknak megfelelően legyenek titkosítva. Az Azure számos titkosítási képességet kínál, így az ügyfelek rugalmasan választhatják ki az igényeiknek leginkább megfelelő megoldást. Az Azure Key Vault segítségével az ügyfelek könnyedén kézben tarthatják a felhőalkalmazások és -szolgáltatások által az adatok titkosításához használt kulcsokat. Az Azure Disk Encryption lehetővé teszi az ügyfelek számára a virtuális gépek titkosítását. Az Azure Storage Service Encryption lehetővé teszi az ügyfél tárfiókjába helyezett összes adat titkosítását.

Átvitel közbeni adatvédelem: A Microsoft számos olyan lehetőséget kínál, amelyet az ügyfelek az Azure-hálózaton belül, illetve az interneten kívül, a végfelhasználóknak történő átvitel során használhatnak. Ezek közé tartozik a virtuális magánhálózatokon (IPsec/IKE-titkosítást használó) kommunikáció, a Transport Layer Security (TLS) 1.2-es vagy újabb verziója (olyan Azure-összetevőkön keresztül, mint a Application Gateway vagy az Azure Front Door), a protokollok közvetlenül az Azure-beli virtuális gépeken (például Windows IPsec vagy SMB) stb.

Emellett a MACsec (az adatkapcsolati réteg IEEE szabványa) használatával történő "alapértelmezés szerinti titkosítás" engedélyezve van az Azure-adatközpontok közötti összes Azure-forgalom esetében az ügyféladatok titkosságának és integritásának biztosítása érdekében.

Adatredundancia: A Microsoft segít biztosítani az adatok védelmét, ha kibertámadás vagy fizikai sérülés történik egy adatközpontban. Az ügyfelek a következőket választhatják:

• Az országon/régión belüli tárolással megfelelőségi vagy késési szempontokat kell figyelembe venni.
• Országon kívüli/régión kívüli tárolás biztonsági vagy vészhelyreállítási célokra.

Az adatok replikálhatók egy kijelölt földrajzi területen redundancia céljából, de nem továbbíthatók azon kívül. Az ügyfelek több lehetőséget is használhatnak az adatok replikálására, beleértve a másolatok számát, valamint a replikációs adatközpontok számát és helyét.

A tárfiók létrehozásakor válasszon az alábbi replikációs lehetőségek közül:

• Helyileg redundáns tárolás (LRS): A helyileg redundáns tárolás három példányban tárolja az adatokat. A rendszer egy régió egyetlen létesítményén belül háromszor replikálja az LRS-t. Az LRS megvédi az adatokat a normál hardverhibáktól, de egyetlen létesítmény meghibásodásától nem.
• Zónaredundáns tárolás (ZRS): A zónaredundáns tárolás három példányban tárolja az adatokat. A ZRS háromszor replikálódik két-három létesítményben, hogy nagyobb tartósságot biztosítson, mint az LRS. A replikáció egyetlen régióban vagy két régióban történik. A ZRS segít biztosítani, hogy az adatok egyetlen régión belül tartósak legyenek.
• Georedundáns tárolás (GRS): A georedundáns tárolás alapértelmezés szerint engedélyezve van a tárfiókhoz a létrehozáskor. A GRS hat másolatot tart fenn adatairól. A GRS használatával az adatok háromszor replikálódnak az elsődleges régión belül. Az adatok háromszor is replikálva lesznek egy másodlagos régióban több száz kilométerre az elsődleges régiótól, ami a legmagasabb szintű tartósságot biztosítja. Ha az elsődleges régióban hiba lép fel, az Azure Storage átadja a feladatokat a másodlagos régiónak. A GRS segít biztosítani, hogy az adatok két külön régióban legyenek tartósak.

Adatmegsemmisítés: Amikor az ügyfelek adatokat törölnek vagy elhagyják az Azure-t, a Microsoft szigorú előírásokat követ az adatok törlésére, valamint a leszerelt hardverek fizikai megsemmisítésére. A Microsoft végrehajtja az adatok teljes törlését az ügyfél kérésére és a szerződés megszüntetésére. További információ: Adatkezelés a Microsoftnál.

Ügyféladatok tulajdonjoga

A Microsoft nem vizsgálja meg, hagyja jóvá és nem figyeli az ügyfelek által az Azure-ban üzembe helyezendő alkalmazásokat. Emellett a Microsoft nem tudja, hogy az ügyfelek milyen típusú adatokat tárolnak az Azure-ban. A Microsoft nem követeli meg az adatok tulajdonjogát az Azure-ba beírt ügyféladatok felett.

Rekordkezelés

Az Azure belső rekordmegőrzési követelményeket állapított meg a háttéradatokhoz. Az ügyfelek felelősek a saját rekordmegőrzési követelményeik azonosításáért. Az Azure-ban tárolt rekordok esetében az ügyfelek feladata az adataik kinyerése és a tartalmuk megőrzése az Azure-on kívül az ügyfél által megadott megőrzési időtartamig.

Az Azure lehetővé teszi az ügyfelek számára az adatok exportálását és a jelentések naplózását a termékből. Az exportálásokat a rendszer helyileg menti, hogy megőrizze az ügyfél által meghatározott megőrzési időszak adatait.

Elektronikus felderítés (e-felderítés)

Az Azure-ügyfelek felelőssége, hogy megfeleljenek az e-felderítési követelményeknek az Azure-szolgáltatások használata során. Ha az Azure-ügyfeleknek meg kell őrizniük az ügyféladataikat, exportálhatják és menthetik az adatokat helyileg. Emellett az ügyfelek kérhetik adataik exportálását az Azure ügyfélszolgálatától. Amellett, hogy lehetővé teszi az ügyfelek számára az adataik exportálását, az Azure kiterjedt naplózást és monitorozást végez belsőleg.

Következő lépések

Ha többet szeretne megtudni arról, hogy mit tesz a Microsoft az Azure-infrastruktúra védelme érdekében, tekintse meg a következő témakört:

• Azure-létesítmények, létesítmények és fizikai biztonság
• Az Azure-infrastruktúra rendelkezésre állása
• Az Azure információs rendszer összetevői és határai
• Azure hálózati architektúra
• Azure éles hálózat
• az adatbázis biztonsági funkcióinak Azure SQL
• Azure-beli éles műveletek és felügyelet
• Azure-infrastruktúra monitorozása
• Azure-infrastruktúra integritása