Безопасность и соответствие требованиям Центра приложений Visual Studio

Важно!

Прекращение поддержки Центра приложений Visual Studio запланировано на 31 марта 2025 г. Хотя вы можете продолжать использовать Центр приложений Visual Studio, пока он не будет полностью выведен из эксплуатации, существует несколько рекомендуемых вариантов, на которые вы можете рассмотреть возможность миграции.

Узнайте больше о сроках поддержки и альтернативных вариантах.

Центр приложений серьезно относится к безопасности. Как сторонние службы Microsoft Azure, мы отвечаем за соблюдение всех внутренних требований Корпорации Майкрософт для безопасной и надежной работы.

Мы хотим дать вам представление о некоторых принципах, которым мы руководствуемся для обеспечения безопасности Центра приложений. Хотя он не является исчерпывающим списком концепций безопасности, он формируется рядом запросов от клиентов на получение аналогичной информации.

Важно!

Эта документация предназначена для обмена информацией о нашей позиции в области безопасности. Ничто в этой документации не подразумевает или должно означать, что в Центре приложений никогда не будет проблем с безопасностью. Ничто в этой документации не заменяет любую информацию в Условиях использования веб-служб Майкрософт. Если вам стало известно о потенциальной проблеме с безопасностью в Центре приложений, немедленно обратитесь в Центр реагирования на вопросы безопасности Майкрософт .

Местонахождение и независимость данных

Центр приложений работает почти полностью в США. Все данные и обработка приложений, пользователей, организаций, сборки, распространения, аналитики и диагностики выполняется в США. Нет возможности разместить эти данные клиента в любой другой стране или регионе.

Единственная часть Центра приложений, которая выполняется за пределами США, — это тест Центра приложений. Тестовые устройства Центра приложений находятся в Дании. Данные, созданные с помощью теста Центра приложений, хранятся в Дании и в США.

Сети доставки содержимого (CDN) используются для обслуживания некоторых выпусков содержимого и приложений из Центра приложений. Точки присутствия CDN расположены по всему миру, но все исходные данные находятся в США.

Примечание

Из-за политик и законов конкретной страны мы не можем гарантировать, что Центр приложений работает во всех странах или регионах. Для некоторых пользователей в китае данные пакета SDK для аналитики и диагностики могут испытывать значительные задержки или не отправляться на наши серверы, основанные на США.

Безопасность данных

Шифрование во время передачи

Весь сетевой трафик в Центре приложений, как через Интернет, так и в центре обработки данных Azure, защищен с помощью ПРОТОКОЛА HTTPS по протоколу TLS 1.2+.

Шифрование при хранении

Все данные, хранящиеся в Центре приложений, шифруются при хранении. Мы используем функции шифрования, предоставляемые продуктами для хранения данных Microsoft Azure, которые мы используем для создания Центра приложений. К ним относятся служба хранилища Azure, Azure SQL и Azure Cosmos DB.

Ключи шифрования

Мы используем предоставленные системой ключи для шифрования неактивных данных. Центр приложений не поддерживает ключи, управляемые клиентом, для шифрования.

Мультитенантность

Центр приложений — это мультитенантная система. Все данные клиента хранятся в одном наборе хранилищ данных. Нет возможности хранить данные клиента в отдельном или изолированном наборе хранилищ данных.

Безопасность кода

База кода Центра приложений проверяется внутренними инструментами Майкрософт на наличие таких проблем, как устаревшие зависимости и известные уязвимости системы безопасности. Все обнаруженные проблемы отображаются на панели мониторинга безопасности и устраняются командой разработчиков.

Чтобы убедиться, что действия в службе являются допустимыми, а также для обнаружения нарушений или попыток взлома, мы используем инфраструктуру Azure для регистрации и мониторинга ключевых аспектов службы. Кроме того, все действия развертывания и администратора регистрируются в безопасном журнале, как и доступ оператора к рабочему хранилищу.

В случае обнаружения возможного вторжения или уязвимости системы безопасности с высоким приоритетом у нас есть четкий план реагирования на инциденты безопасности. В этом плане описаны ответственные стороны, шаги, необходимые для защиты данных клиентов, а также способы взаимодействия со специалистами по безопасности в Центре реагирования на безопасность Майкрософт (MSRC), Microsoft Azure и руководителями центра приложений. Мы также уведомляем владельцев организации, если считаем, что их данные раскрыты или повреждены.

Как правило, Центр приложений следует жизненному циклу разработки безопасности Майкрософт.

Доступ к рабочим системам

Время от времени сотрудникам Корпорации Майкрософт требуется доступ к данным клиентов, хранящимся в Центре приложений. Все сотрудники, имеющие доступ к данным клиентов, должны пройти фоновый проверка, который подтверждает предыдущие трудоустойчие и судимость. Кроме того, мы разрешаем доступ к рабочим системам только при наличии инцидента на сайте в реальном времени или других утвержденных действий по обслуживанию. Все сотрудники, которым требуется доступ к рабочим системам Центра приложений, должны использовать рабочую станцию безопасного доступа с помощью JIT-прав. Все JIT-запросы на повышение прав должны быть утверждены другим участником команды, а также регистрироваться и проверяться.

Данные в Центре приложений классифицируются таким образом, чтобы различать данные клиента (то, что вы отправляете в Центр приложений), данные организации (сведения, используемые при регистрации или администрировании организации) и данные Майкрософт (сведения, необходимые для работы службы или собираемые в ней). На основе классификации мы контролируем сценарии использования, ограничения доступа и требования к хранению.

Все имена входа используют многофакторную проверку подлинности Azure Active Directory (MFA/2FA).

Непрерывность бизнес-процессов и аварийное восстановление (BCDR)

Центр приложений соответствует внутренним требованиям Майкрософт и Azure для работы с устойчивой системой. Мы участвуем в советах по планированию, регулярно проверяем наши планы обеспечения непрерывности бизнес-процессов и аварийного восстановления с помощью соответствующих внутренних команд Майкрософт и при необходимости обновляем эти планы.

Мы регулярно тестируем наши планы аварийного восстановления.

Внешний аудит и тестирование

Центр приложений не проводил внешних аудитов (например, SOC 2 или ISO 27001) или внешних тестов на проникновение, так как это требуется немногим из наших клиентов.

С учетом этого мы подчиняемся нескольким внутренним системам и требованиям Microsoft, Azure и Cloud & ИИ. Эти требования значительно перекрываются с тем, что вы найдете во внешних программах аудита. Соблюдение внутренних требований Майкрософт к Azure означает, что наша позиция по обеспечению безопасности и непрерывности бизнес-процессов практически идентична системам, которые завершили внешние аудиты.

Общий регламент по защите данных

Центр приложений полностью поддерживает GDPR. У нас есть обширная документация , объясняя, как обрабатываются данные и как можно отправлять запросы субъектов данных.

Отчеты о безопасности

Центр приложений работает с Центром реагирования на вопросы безопасности Майкрософт (MSRC) для решения всех внешних проблем безопасности. Если вам стало известно о потенциальной проблеме с безопасностью в Центре приложений, немедленно обратитесь в MSRC.

См. также раздел

• Центр управления безопасностью Майкрософт
• Портал Service Trust
• Панель мониторинга конфиденциальности (Майкрософт)
• Заявление о конфиденциальности Майкрософт
• Центр реагирования на вопросы конфиденциальности Майкрософт
• Обязательства корпорации Майкрософт по GDPR перед клиентами наших общедоступных корпоративных программных продуктов
• Запросы субъектов данных Azure в соответствии с GDPR