Azure-ügyféladatok védelme

A Microsoft üzemeltetési és támogató személyzete alapértelmezés szerint nem férhet hozzá a vevőadatokhoz. A támogatási esettel kapcsolatos adatokhoz való hozzáférés csak igény szerinti (JIT-) modellel történik, a megfelelőségi és adatvédelmi szabályzatok naplózásával és ellenőrzésével. A hozzáférés-vezérlési követelményeket az alábbi Azure Security Policy határozza meg:

• Alapértelmezés szerint nincs hozzáférés az ügyféladatokhoz.
• Az ügyfél virtuális gépein (virtuális gépeken) nincs felhasználói vagy rendszergazdai fiók.
• Adja meg a tevékenység elvégzéséhez szükséges legkisebb jogosultságot; naplózási és naplózási hozzáférési kérelmek.

Azure-támogatás személyzethez a Microsoft egyedi vállalati Active Directory-fiókokat rendel. Az Azure a Microsoft Informatikai Technológia (MSIT) által felügyelt Vállalati Active Directoryra támaszkodik a kulcsfontosságú információs rendszerekhez való hozzáférés szabályozásához. Többtényezős hitelesítésre van szükség, és a hozzáférést csak biztonságos konzolokon lehet biztosítani.

Adatvédelem

Az Azure erős adatbiztonságot biztosít az ügyfelek számára, mind alapértelmezés szerint, mind ügyfélbeállításként.

Adatelkülönítés: Az Azure egy több-bérlős szolgáltatás, ami azt jelenti, hogy több ügyféltelepítés és virtuális gép tárolása ugyanazon a fizikai hardveren történik. Az Azure logikai elkülönítést használ az egyes ügyfelek adatainak elkülönítésére mások adataitól. A szegregáció a több-bérlős szolgáltatások skálázási és gazdasági előnyeit biztosítja, miközben szigorúan megakadályozza, hogy az ügyfelek hozzáférjenek egymás adataihoz.

Inaktív adatok védelme: Az ügyfelek feladata annak biztosítása, hogy az Azure-ban tárolt adatok a szabványaiknak megfelelően legyenek titkosítva. Az Azure számos titkosítási képességet kínál, így az ügyfelek rugalmasan választhatják ki az igényeiknek leginkább megfelelő megoldást. Az Azure Key Vault segítségével az ügyfelek könnyedén felügyelhetik a felhőalkalmazások és -szolgáltatások által az adatok titkosításához használt kulcsokat. Az Azure Disk Encryption lehetővé teszi az ügyfelek számára a virtuális gépek titkosítását. Az Azure Storage Service Encryption lehetővé teszi az ügyfél tárfiókjába helyezett összes adat titkosítását.

Átvitel közbeni adatvédelem: A Microsoft számos lehetőséget kínál, amelyeket az ügyfelek az Azure-hálózaton belül, illetve az interneten kívül, a végfelhasználók számára történő átvitel során használhatnak fel. Ilyenek például a virtuális magánhálózatokon (IPsec/IKE-titkosítást használó), a Transport Layer Security (TLS) 1.2-es vagy újabb verzióján (az Azure-összetevőkön, például az Application Gatewayen vagy az Azure Front Dooron keresztül), a közvetlenül az Azure-beli virtuális gépeken (például Windows IPsec vagy SMB) futó protokollok stb.

Emellett a MACsec (az adatkapcsolati réteg IEEE szabványa) használatával történő "alapértelmezés szerinti titkosítás" engedélyezve van az Azure-adatközpontok közötti összes Azure-forgalom esetében az ügyféladatok bizalmasságának és integritásának biztosítása érdekében.

Adatredundancia: A Microsoft segít biztosítani az adatok védelmét, ha kibertámadás vagy fizikai kár keletkezik az adatközpontban. Az ügyfelek a következőt választhatják:

• Az országon/régión belüli tárolással kapcsolatos megfelelőségi vagy késési szempontok.
• Országon kívüli/régión kívüli tárolás biztonsági vagy vészhelyreállítási célokra.

Az adatok replikálhatók egy kijelölt földrajzi területen a redundancia érdekében, de nem továbbíthatók azon kívül. Az ügyfelek több lehetőséget is használhatnak az adatok replikálására, beleértve a másolatok számát, valamint a replikációs adatközpontok számát és helyét.

A tárfiók létrehozásakor válasszon az alábbi replikációs lehetőségek közül:

• Helyileg redundáns tárolás (LRS): A helyileg redundáns tárolás három példányban tárolja az adatokat. A rendszer egy régió egyetlen létesítményén belül háromszor replikálja az LRS-t. Az LRS védi az adatokat a normál hardverhibáktól, de egyetlen létesítmény meghibásodásától nem.
• Zónaredundáns tárolás (ZRS): A zónaredundáns tárolás három példányban tárolja az adatokat. A ZRS háromszor replikálódik két-három létesítmény között, hogy nagyobb tartósságot biztosítson, mint az LRS. A replikáció egyetlen régióban vagy két régióban történik. A ZRS segít biztosítani, hogy az adatok egyetlen régión belül tartósak legyenek.
• Georedundáns tárolás (GRS): A georedundáns tárolás alapértelmezés szerint engedélyezve van a tárfiókhoz a létrehozáskor. A GRS hat másolatot tart fenn adatairól. A GRS használatával az adatok háromszor replikálódnak az elsődleges régión belül. Az adatok háromszor is replikálódnak egy másodlagos régióban, több száz kilométerre az elsődleges régiótól, biztosítva a legmagasabb szintű tartósságot. Ha az elsődleges régióban hiba történik, az Azure Storage a másodlagos régióba irányítja át a feladatokat. A GRS segít biztosítani, hogy az adatok két külön régióban legyenek tartósak.

Adatmegsemmisítés: Amikor az ügyfelek adatokat törölnek vagy elhagyják az Azure-t, a Microsoft szigorú előírásokat követ az adatok törlésére és a leszerelt hardverek fizikai megsemmisítésére vonatkozóan. A Microsoft végrehajtja az adatok teljes törlését az ügyfél kérésére és a szerződés megszüntetésére. További információ: Adatkezelés a Microsoftnál.

Ügyféladatok tulajdonjoga

A Microsoft nem vizsgálja meg, nem hagyja jóvá vagy figyeli az ügyfelek által az Azure-ban üzembe helyezendő alkalmazásokat. Ezenkívül a Microsoft nem tudja, hogy az ügyfelek milyen típusú adatokat tárolnak az Azure-ban. A Microsoft nem igényel adat tulajdonjogot az Azure-ba beírt ügyféladatok felett.

Rekordok kezelése

Az Azure belső rekordmegőrzési követelményeket állapított meg a háttéradatokra vonatkozóan. Az ügyfelek a saját rekordmegőrzési követelményeik azonosításáért felelősek. Az Azure-ban tárolt rekordok esetében az ügyfelek az adataik kinyeréséért és a tartalmuk Azure-on kívüli megőrzéséért felelősek az ügyfél által megadott megőrzési időre.

Az Azure lehetővé teszi az ügyfelek számára az adatok exportálását és a jelentések naplózását a termékből. Az exportálásokat a rendszer helyileg menti, hogy megőrizze az ügyfél által meghatározott megőrzési időszak adatait.

Elektronikus felderítés (e-discovery)

Az Azure-ügyfelek felelősek az e-felderítési követelményeknek való megfelelésért az Azure-szolgáltatások használata során. Ha az Azure-ügyfeleknek meg kell őrizniük az ügyféladatokat, exportálhatják és menthetik az adatokat helyileg. Emellett az ügyfelek kérhetik adataik exportálását az Azure Ügyfélszolgálati részlegétől. Amellett, hogy lehetővé teszi az ügyfelek számára adataik exportálását, az Azure belsőleg is kiterjedt naplózást és monitorozást végez.

Következő lépések

Ha többet szeretne megtudni arról, hogy mit tesz a Microsoft az Azure-infrastruktúra védelme érdekében, tekintse meg a következőt:

• Azure-létesítmények, létesítmények és fizikai biztonság
• Az Azure-infrastruktúra rendelkezésre állása
• Az Azure információs rendszer összetevői és határai
• Azure hálózati architektúra
• Azure éles hálózat
• Az Azure SQL Database biztonsági funkciói
• Azure éles üzemeltetés és felügyelet
• Azure-infrastruktúra monitorozása
• Azure-infrastruktúra integritása