Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogy a Microsoft mit tesz a Azure infrastruktúra védelméért.
Adatközpont-infrastruktúra
Azure egy globalikusan elosztott adatközpont-infrastruktúrából áll, amely több ezer online services támogat, és világszerte több mint 400 rendkívül biztonságos létesítményt fed le.
Az infrastruktúra célja, hogy közelebb hozza az alkalmazásokat a felhasználókhoz világszerte, megőrizve az adatok tartózkodási helyét, és átfogó megfelelőségi és rugalmassági lehetőségeket kínál az ügyfelek számára. Azure világszerte több mint 70 régióval rendelkezik, és 140 országban/régióban érhető el.
A régió olyan adatközpontok készlete, amelyek egy nagy méretű és rugalmas hálózaton keresztül kapcsolódnak egymáshoz. A hálózat magában foglalja a tartalomterjesztést, a terheléselosztást, a redundanciát és a data-link réteg titkosítását alapértelmezés szerint a régión belüli vagy régiók közötti összes Azure forgalomhoz. A többi felhőszolgáltatónál globálisabb régiókkal Azure rugalmasan helyezhet üzembe alkalmazásokat, ahol szüksége van rájuk.
Azure régiók földrajzi helyekre vannak rendezve. A Azure földrajzi hely biztosítja, hogy az adatok tárolási, szuverenitási, megfelelőségi és rugalmassági követelményei a földrajzi határokon belül teljesülnek.
A régiócsoportok lehetővé teszik, hogy a speciális adattárolási és megfelelőségi igényekkel rendelkező ügyfelek földrajzilag közel tárolhassák adataikat és alkalmazásaikat. A földrajzi helyek hibatűrőek, hogy ellenálljanak a teljes régióhibának a dedikált, nagy kapacitású hálózati infrastruktúrához való kapcsolódásuk révén.
A rendelkezésre állási zónák fizikailag különálló helyek egy Azure régión belül. Az egyes rendelkezésre állási zónák egy vagy több, önálló áramellátással, hűtéssel, és hálózattal rendelkező adatközpontból állnak. A rendelkezésre állási zónák lehetővé teszik a kritikus fontosságú alkalmazások futtatását magas rendelkezésre állással és alacsony késésű replikációval.
Az alábbi ábra bemutatja, hogy a Azure globális infrastruktúra hogyan párosítja a régiót és a rendelkezésre állási zónákat ugyanazon az adattárolási határon belül a magas rendelkezésre állás, a vészhelyreállítás és a biztonsági mentés érdekében.
A földrajzilag elosztott adatközpontok lehetővé teszik, hogy a Microsoft közel legyen az ügyfelekhez, csökkentse a hálózati késést, és lehetővé tegye a georedundáns biztonsági mentést és feladatátvételt.
Fizikai biztonság
A Microsoft úgy tervez, épít és üzemeltet adatközpontokat, hogy szigorúan szabályozza az adatok tárolási területeihez való fizikai hozzáférést. A Microsoft tisztában van az adatok védelmének fontosságával, és elkötelezett az adatokat tartalmazó adatközpontok biztonságossá tételében. A Microsoft teljes részlege a Azure támogató fizikai létesítmények tervezésével, kiépítéséval és üzemeltetésével foglalkozik. Ez a csapat a legkorszerűbb fizikai biztonság fenntartásába fektetett.
A Microsoft rétegzett megközelítést alkalmaz a fizikai biztonságra, hogy csökkentse annak kockázatát, hogy jogosulatlan felhasználók fizikai hozzáférést kapjanak az adatokhoz és az adatközpont erőforrásaihoz. A Microsoft által felügyelt adatközpontok széles körű védelemmel rendelkeznek: hozzáférés-jóváhagyás a létesítmény szegélyhálózatán, az épület szegélyén, az épületen belül és az adatközpont padlóján. A fizikai biztonság rétegei a következők:
Hozzáférési kérelem és jóváhagyás. Az adatközpontba való megérkezés előtt hozzáférést kell kérnie. Önnek érvényes üzleti indoklást kell adnia a látogatásához, például megfelelőségi vagy naplózási célokra. A Microsoft alkalmazottai minden kérést hozzáféréshez szükséges alapon hagynak jóvá. A hozzáféréshez szükséges alap segít a tevékenységek elvégzéséhez szükséges személyek számának minimális szinten tartásában az adatközpontokban. Miután a Microsoft engedélyt adott, az egyén csak a jóváhagyott üzleti indoklás alapján férhet hozzá a szükséges adatközpont különálló területéhez. Az engedélyek meghatározott időtartamra korlátozódnak, majd lejárnak.
Látogatói hozzáférés. Az ideiglenes hozzáférési jelvények a hozzáférés-vezérlésű SOC-n belül vannak tárolva, és minden műszak elején és végén leltárba kerülnek. Minden látogató, aki jóváhagyott hozzáféréssel rendelkezik az adatközponthoz, jelvényeiken „Csak kísérővel” van megjelölve, és mindig kísérővel kell tartózkodniuk. A kísért látogatók nem rendelkeznek hozzáférési szinttel, és csak kísérőik hozzáférésével utazhatnak. A kíséret feladata, hogy áttekintse a látogatók tevékenységeit és hozzáférését az adatközpontban tett látogatásuk során. A Microsoft megköveteli, hogy a látogatók bármely Microsoft-létesítményből való távozáskor adják át a jelvényeket. Minden látogatójelvény hozzáférési szintje el van távolítva, mielőtt a jövőbeli látogatásokhoz újra felhasználják őket.
A létesítmény peremhálózata. Amikor megérkezik egy adatközpontba, egy jól meghatározott hozzáférési ponton kell áthaladnia. Általában az acélból és betonból készült magas kerítések a szegély minden centiméterét magukban foglalják. Kamerák vannak az adatközpontok körül, és a biztonsági csapat folyamatosan figyeli a videóikat. A biztonsági őr járőrei biztosítják, hogy a be- és kilépés a kijelölt területekre korlátozódjon. A bollardok és egyéb intézkedések védik az adatközpont külső megjelenését a lehetséges fenyegetésektől, beleértve a jogosulatlan hozzáférést is.
Épület bejárata. Az adatközpont bejáratánál profi biztonsági tisztek dolgoznak, akik szigorú betanításon és háttérellenőrzésen estek át. Ezek a biztonsági tisztviselők rutinszerűen járőröznek az adatközpontban, és folyamatosan figyelik az adatközponton belüli kamerák videóit.
Az épületen belül. Az épületbe való belépés után kétfaktoros hitelesítést kell végrehajtania biometrikus adatokkal, hogy továbbhaladjon az adatközponton. Ha az identitása érvényesítve van, csak annak az adatközpontnak a részét adhatja meg, amelyhez jóváhagyott hozzáféréssel rendelkezik. Csak a jóváhagyott időtartamig maradhat ott.
Adatközpont padlója. Csak arra a padlóra léphet, amelyre beléphet. Át kell esnie egy teljes testet lefedő fémdetektoros szűrésen. Annak érdekében, hogy csökkentsük annak a kockázatát, hogy a tudomásunk nélkül jogosulatlan adatok lépjenek be vagy lépjenek ki az adatközpontból, csak a jóváhagyott eszközök léphetnek be az adatközpont emeletére. Emellett a videokamerák minden kiszolgálóállvány elő- és hátlapját figyelik. Amikor kilép az adatközpont területéről, ismét teljes testfém-ellenőrzésen kell átesnie. Az adatközpont elhagyásához további biztonsági vizsgálatot kell végeznie.
Fizikai biztonsági felülvizsgálatok
Rendszeres időközönként fizikai biztonsági felülvizsgálatokat végzünk a létesítményekről, hogy az adatközpontok megfelelően megfeleljenek Azure biztonsági követelményeknek. Az adatközpont szolgáltatói személyzete nem biztosít Azure szolgáltatáskezelést. A személyzet nem tud bejelentkezni Azure rendszerekbe, és nincs fizikai hozzáférése a Azure kollokációs helyiséghez és ketrecekhez.
Adathordó eszközök
A Microsoft ajánlott eljárásokat és egy NIST 800-88-nak megfelelő törlési megoldást használ. A nem törölhető merevlemezek esetében olyan megsemmisítési folyamatot használunk, amely elpusztítja azt, és lehetetlenné teszi az információk helyreállítását. Ez a megsemmisítési folyamat széteshet, feldarabolható, porlasztható vagy elégethető. Az elidegenítés módját az eszköztípusnak megfelelően határozzuk meg. Megőrizzük a pusztítás feljegyzéseit.
Berendezések ártalmatlanítása
A rendszer megszűnését követően a Microsoft operatív személyzete szigorú adatkezelési és hardverelhelyezési eljárásokat követ annak biztosítása érdekében, hogy az adatokat tartalmazó hardvereket ne tegye elérhetővé a nem megbízható felek számára. Biztonságos törlési módszert használunk az azt támogató merevlemezekhez. A nem törölhető merevlemezek esetében olyan megsemmisítési folyamatot használunk, amely megsemmisíti a meghajtót, és lehetetlenné teszi az információk helyreállítását. Ez a megsemmisítési folyamat széteshet, feldarabolható, porlasztható vagy elégethető. Az elidegenítés módját az eszköztípusnak megfelelően határozzuk meg. Megőrizzük a pusztítás feljegyzéseit. Minden Azure szolgáltatás jóváhagyott médiatárolási és ártalmatlanításkezelési szolgáltatásokat használ.
Megfelelőség
A Azure infrastruktúrát úgy tervezzük meg és felügyeljük, hogy megfeleljen számos nemzetközi és iparágspecifikus megfelelőségi szabványnak, például az ISO 27001, a HIPAA, a FedRAMP, a SOC 1 és a SOC 2 szabványnak. Emellett megfelelünk az ország-/régióspecifikus szabványoknak, például Ausztrália IRAP-nek, uk G-Cloud-nak és Szingapúr MTCS-nek. Szigorú, harmadik féltől származó ellenőrzések, például a British Standards Institute által végzett ellenőrzések, ellenőrzik, hogy betartják-e a szigorú biztonsági ellenőrzési előírásokat.
Azoknak a megfelelőségi szabványoknak a teljes listáját, amelyeket Azure betart, tekintse meg a Kiegészítési ajánlatok.
Következő lépések
Ha többet szeretne megtudni arról, hogy a Microsoft mit tesz a Azure infrastruktúra védelmének érdekében, tekintse meg a következőt:
- Azure infrastruktúra rendelkezésre állása
- Azure információs rendszer összetevői és határai
- Azure hálózati architektúra
- Azure éles hálózat
- Azure SQL Database biztonsági funkciók
- Azure éles üzem és menedzsment
- Azure infrastruktúra monitorozása
- Azure infrastruktúra integritása
- Azure ügyféladatok védelme