Azure-ügyféladatok védelme

A Microsoft üzemeltetési és támogatási személyzete alapértelmezés szerint megtagadja az ügyféladatokhoz való hozzáférést. A támogatási esethez kapcsolódó adatokhoz való hozzáférés csak igény szerinti (JIT) modellel adható meg, a megfelelőségi és adatvédelmi szabályzataink alapján naplózott és ellenőrzött szabályzatokkal. A hozzáférés-vezérlési követelményeket az alábbi Azure Biztonsági Szabályzat határozza meg:

  • Alapértelmezés szerint nincs hozzáférés az ügyféladatokhoz.
  • Nincsenek felhasználói vagy rendszergazdai fiókok az ügyfél virtuális gépein .
  • Adja meg a feladat elvégzéséhez szükséges legalacsonyabb jogosultságot; naplózási és naplóhozzáférés-kérelmek.

Azure-támogatás személyzethez a Microsoft egyedi vállalati Active Directory-fiókokat rendel. Az Azure a Microsoft informatikai technológia (MSIT) által felügyelt vállalati Active Directoryra támaszkodik a kulcsfontosságú információs rendszerekhez való hozzáférés szabályozására. Többtényezős hitelesítésre van szükség, és a hozzáférés csak biztonságos konzolokról érhető el.

Adatvédelem

Az Azure erős adatbiztonságot biztosít az ügyfelek számára, alapértelmezés szerint és ügyféllehetőségekként is.

Adatok elkülönítése: Az Azure egy több-bérlős szolgáltatás, ami azt jelenti, hogy több ügyfél üzemelő példánya és virtuális gépe ugyanazon a fizikai hardveren van tárolva. Az Azure logikai elkülönítés használatával elkülöníti az egyes ügyfelek adatait mások adataitól. A szegregáció biztosítja a több-bérlős szolgáltatások skálázási és gazdasági előnyeit, miközben szigorúan megakadályozza, hogy az ügyfelek hozzáférjenek egymás adataihoz.

Inaktív adatok védelme: Az ügyfelek felelősek azért, hogy az Azure-ban tárolt adatok a szabványaiknak megfelelően legyenek titkosítva. Az Azure számos titkosítási képességet kínál, így az ügyfelek rugalmasan választhatják ki az igényeiknek leginkább megfelelő megoldást. Az Azure Key Vault segítségével az ügyfelek könnyedén felügyelhetik a felhőalkalmazások és -szolgáltatások által az adatok titkosításához használt kulcsokat. Azure Disk Encryption lehetővé teszi az ügyfelek számára a virtuális gépek titkosítását. Az Azure Storage Service Encryption lehetővé teszi az ügyfél tárfiókjába helyezett összes adat titkosítását.

Átvitel közbeni adatvédelem: A Microsoft számos olyan lehetőséget kínál, amelyet az ügyfelek felhasználhatnak az adatoknak az Azure-hálózaton belüli, illetve az interneten kívüli, a végfelhasználó számára történő biztonságossá tételéhez. Ezek közé tartozik a virtuális magánhálózatokon (IPsec/IKE-titkosítást használó), a Transport Layer Security (TLS) 1.2-es vagy újabb verzióján (azure-összetevőkön, például a Application Gateway vagy az Azure Front Dooron) keresztüli kommunikáció, a közvetlenül az Azure-beli virtuális gépeken (például Windows IPsec vagy SMB) keresztüli kommunikáció és egyebek.

Emellett a MACsec (az adatkapcsolati réteg IEEE szabványa) használatával történő "alapértelmezés szerinti titkosítás" engedélyezve van az Azure-adatközpontok között áthaladó összes Azure-forgalom számára az ügyféladatok titkosságának és integritásának biztosítása érdekében.

Adatredundancia: A Microsoft segít biztosítani az adatok védelmét, ha kibertámadás vagy fizikai sérülés történik az adatközpontban. Az ügyfelek a következőt választhatják:

  • Az országon belüli/régión belüli tárolás megfelelőségi vagy késési szempontok miatt.
  • Országon kívüli/régión kívüli tárolás biztonsági vagy vészhelyreállítási célokra.

Az adatok replikálhatók egy kijelölt földrajzi területen redundancia céljából, de nem továbbíthatók azon kívül. Az ügyfelek több lehetőséget is használhatnak az adatok replikálására, beleértve a másolatok számát, valamint a replikációs adatközpontok számát és helyét.

A tárfiók létrehozásakor válasszon az alábbi replikációs lehetőségek közül:

  • Helyileg redundáns tárolás (LRS):A helyileg redundáns tárolás három példányban tárolja az adatokat. A rendszer egy régió egyetlen létesítményén belül háromszor replikálja az LRS-t. Az LRS megvédi az adatokat a normál hardverhibáktól, de egyetlen létesítmény meghibásodásától nem.
  • Zónaredundáns tárolás (ZRS): A zónaredundáns tárolás három példányban tárolja az adatokat. A ZRS háromszor replikálódik két-három létesítményben, hogy nagyobb tartósságot biztosítson, mint az LRS. A replikáció egyetlen régión belül vagy két régióban történik. A ZRS segít biztosítani, hogy az adatok egyetlen régión belül tartósak legyenek.
  • Georedundáns tárolás (GRS):A georedundáns tárolás alapértelmezés szerint engedélyezve van a tárfiókhoz a létrehozáskor. A GRS hat másolatot tart fenn adatairól. A GRS használatával az adatok háromszor replikálódnak az elsődleges régióban. Az adatok háromszor is replikálva lesznek egy másodlagos régióban, több száz kilométerre az elsődleges régiótól, ami a legmagasabb szintű tartósságot biztosítja. Ha az elsődleges régióban hiba lép fel, az Azure Storage feladatátvételt a másodlagos régióba. A GRS segít biztosítani, hogy az adatok két külön régióban legyenek tartósak.

Adatmegsemmisítés: Amikor az ügyfelek adatokat törölnek vagy elhagyják az Azure-t, a Microsoft szigorú szabványokat követ az adatok törléséhez, valamint a leszerelt hardverek fizikai megsemmisítéséhez. A Microsoft végrehajtja az adatok teljes törlését az ügyfél kérésére és a szerződés felmondása esetén. További információ: Adatkezelés a Microsoftnál.

Ügyféladatok tulajdonjoga

A Microsoft nem vizsgálja, hagyja jóvá és nem figyeli az ügyfelek által az Azure-ban üzembe helyezendő alkalmazásokat. Emellett a Microsoft nem tudja, hogy az ügyfelek milyen típusú adatokat szeretnének az Azure-ban tárolni. A Microsoft nem követeli meg az adatok tulajdonjogát az Azure-ba beírt ügyféladatok felett.

Rekordkezelés

Az Azure belső rekordmegőrzési követelményeket állapított meg a háttéradatokhoz. Az ügyfelek felelősek a saját rekordmegőrzési követelményeik azonosításáért. Az Azure-ban tárolt rekordok esetében az ügyfelek feladata az adataik kinyerése és a tartalmuk megőrzése az Azure-on kívül az ügyfél által megadott megőrzési időtartamig.

Az Azure lehetővé teszi az ügyfelek számára az adatok exportálását és a jelentések naplózását a termékből. Az exportálásokat a rendszer helyileg menti, hogy megőrizze az ügyfél által meghatározott megőrzési időtartam adatait.

Elektronikus felderítés (e-felderítés)

Az Azure-ügyfelek felelősek azért, hogy megfeleljenek az e-felderítési követelményeknek az Azure-szolgáltatások használata során. Ha az Azure-ügyfeleknek meg kell őrizniük az ügyféladatokat, exportálhatják és menthetik az adatokat helyileg. Emellett az ügyfelek kérhetik az adataik exportálását az Azure ügyfélszolgálati részlegétől. Amellett, hogy lehetővé teszi az ügyfelek számára az adataik exportálását, az Azure kiterjedt naplózást és monitorozást végez belsőleg.

Következő lépések

Ha többet szeretne megtudni arról, hogy a Microsoft mit tesz az Azure-infrastruktúra védelméért, tekintse meg a következőt: