Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Artykuł ten opisuje, co robi Microsoft, aby zabezpieczyć infrastrukturę Azure.
Infrastruktura centrum danych
Platforma Azure składa się z globalnie rozproszonej infrastruktury centrum danych, która obsługuje tysiące usług online i obejmuje ponad 400 wysoce zabezpieczonych obiektów na całym świecie.
Infrastruktura została zaprojektowana w celu przybliżenia aplikacji użytkownikom na całym świecie, zachowując miejscowe przechowywanie danych oraz oferując kompleksowe opcje zgodności i odporności dla klientów. Platforma Azure ma ponad 70 regionów na całym świecie i jest dostępna w 140 krajach/regionach.
Region to zbiór centrów danych połączonych za pomocą ogromnej i odpornej sieci. The network includes dystrybucję treści, równoważenie obciążenia, nadmiarowość, and domyślne szyfrowanie warstwy łącza danych dla całego ruchu Azure w obrębie regionu lub podróżującego między regionami. Azure oferuje więcej regionów globalnych niż jakikolwiek inny dostawca chmury, co daje Ci elastyczność wdrażania aplikacji tam, gdzie ich potrzebujesz.
Regiony Azure są zorganizowane w geografię. Geografia Azure zapewnia, że wymagania dotyczące lokalizacji danych, suwerenności, zgodności i odporności są przestrzegane w granicach geograficznych.
Geografie pozwalają klientom ze specyficznymi wymaganiami dotyczącymi rezydencji danych i zgodności trzymać swoje dane i aplikacje blisko. Lokalizacje geograficzne są odporne na awarie, dzięki czemu wytrzymują całkowitą awarię regionu dzięki połączeniu z dedykowaną infrastrukturą sieciową o dużej przepustowości.
Strefy dostępności to fizycznie oddzielne lokalizacje w obrębie regionu Azure. Każda strefa dostępności składa się z jednego lub więcej centrów danych wyposażonych w niezależne zasilanie, chłodzenie i sieć. Strefy dostępności umożliwiają uruchamianie aplikacji o kluczowym znaczeniu z wysoką dostępnością i replikacją o niskim opóźnieniu.
Poniższy rysunek pokazuje, jak globalna infrastruktura Azure łączy regiony i strefy dostępności w ramach tej samej granicy rezydencji danych w celu zapewnienia wysokiej dostępności, odzyskiwania po awarii i tworzenia kopii zapasowych.
Geograficznie rozproszone centra danych umożliwiają firmie Microsoft bycie bliżej klientów, redukcję opóźnień sieci oraz zapewnienie kopii zapasowych i przełączania awaryjnego opartego na redundancji geograficznej.
Bezpieczeństwo fizyczne
Microsoft projektuje, buduje i obsługuje centra danych w sposób, który ściśle kontroluje fizyczny dostęp do obszarów, gdzie przechowywane są Twoje dane. Microsoft rozumie, jak ważna jest ochrona Twoich danych, i zobowiązuje się do zabezpieczania centrów danych, które zawierają Twoje dane. Mamy całą dywizję w Microsoft poświęconą projektowaniu, budowie i obsłudze obiektów fizycznych wspierających Azure. Ten zespół jest zaangażowany w utrzymanie najnowocześniejszego systemu zabezpieczeń fizycznych.
Microsoft stosuje warstwowe podejście do zabezpieczeń fizycznych, aby zmniejszyć ryzyko nieautoryzowanego dostępu użytkowników do danych i zasobów centrum danych. Centra danych zarządzane przez Microsoft mają rozbudowane warstwy ochrony: zatwierdzanie dostępu na obwodzie obiektu, na obwodzie budynku, wewnątrz budynku oraz na podłodze centrum danych. Warstwy ochrony fizycznej to:
Prośba o dostęp i zatwierdzenie. Musisz uzyskać dostęp przed przybyciem do centrum danych. Musisz przedstawić ważne uzasadnienie biznesowe swojej wizyty, takie jak zgodność z przepisami lub cele audytu. Wszystkie żądania są zatwierdzane przez pracowników firmy Microsoft na zasadzie konieczności dostępu. Zasada dostępu w miarę potrzeb pomaga ograniczyć liczbę osób niezbędnych do wykonania zadania w centrach danych do absolutnego minimum. Po udzieleniu zgody przez Microsoft, dana osoba ma dostęp tylko do określonego obszaru centrum danych, który jest wymagany na podstawie zatwierdzonego uzasadnienia biznesowego. Uprawnienia są ograniczone do określonego czasu, a następnie wygasają.
Dostęp dla gości. Tymczasowe identyfikatory dostępu są przechowywane w SOC z kontrolą dostępu i inwentaryzowane na początku i końcu każdej zmiany. Wszyscy odwiedzający, którzy zatwierdzili dostęp do centrum danych, są oznaczeni jako Tylko Eskorta na swoich identyfikatorach i są zobowiązani do pozostania zawsze ze swoimi eskortami. Goście z eskortą nie mają przyznanych żadnych poziomów dostępu i mogą podróżować tylko z dostępem swojej eskorty. Eskortujący jest odpowiedzialny za kontrolowanie działań i dostępu swojego gościa podczas jego wizyty w centrum danych. Microsoft wymaga od odwiedzających zdania identyfikatorów przy opuszczaniu dowolnego obiektu firmy Microsoft. Wszystkie plakietki dla odwiedzających mają usunięte poziomy dostępu, zanim zostaną ponownie użyte przy kolejnych wizytach.
Obwód obiektu Kiedy przyjeżdżasz do centrum danych, musisz przejść przez ściśle określony punkt dostępu. Zazwyczaj wysokie ogrodzenia ze stali i betonu otaczają każdy centymetr obwodu. Wokół centrów danych znajdują się kamery, a zespół ochrony monitoruje ich nagrania przez cały czas. Patrole ochroniarzy zapewniają, że wejście i wyjście są ograniczone do wyznaczonych obszarów. Słupki oraz inne środki zabezpieczenia chronią zewnętrzną część centrum danych przed potencjalnymi zagrożeniami, w tym nieautoryzowanym dostępem.
Wejście do budynku. Wejście do centrum danych jest obsługiwane przez profesjonalnych ochroniarzy, którzy przeszli rygorystyczne szkolenia i weryfikacje przeszłości. Ci pracownicy ochrony również rutynowo patrolują centrum danych i przez cały czas monitorują nagrania z kamer w jego wnętrzu.
Wewnątrz budynku. Po wejściu do budynku, musisz przejść dwuskładnikową autoryzację biometryczną, aby kontynuować poruszanie się po centrum danych. Jeśli twoja tożsamość zostanie zweryfikowana, możesz wejść tylko do tej części centrum danych, do której masz zatwierdzony dostęp. Możesz tam pozostać tylko przez okres zatwierdzony.
Podłoga centrum danych. Dozwolone jest wejście tylko na piętro, na które masz zezwolenie. Jesteś zobowiązany przejść pełne skanowanie wykrywaczem metali całego ciała. Aby zmniejszyć ryzyko nieautoryzowanego wprowadzania lub wyprowadzania danych z centrum danych bez naszej wiedzy, tylko zatwierdzone urządzenia mogą wchodzić na teren centrum danych. Dodatkowo kamery wideo monitorują przód i tył każdej szafy serwerowej. Kiedy wychodzisz z piętra centrum danych, ponownie musisz przejść przez kontrolę wykrywacza metali na całe ciało. Aby opuścić centrum danych, musisz przejść przez dodatkową kontrolę bezpieczeństwa.
Przeglądy bezpieczeństwa fizycznego
Okresowo przeprowadzamy przeglądy fizycznego zabezpieczenia obiektów, aby upewnić się, że centra danych spełniają wymagania bezpieczeństwa Azure. Personel dostawcy usług hostingowych centrum danych nie zapewnia zarządzania usługami Azure. Pracownicy nie mogą logować się do systemów Azure i nie mają fizycznego dostępu do pomieszczenia kolokacyjnego Azure i klatek.
Urządzenia nośne danych
Microsoft stosuje najlepsze praktyki oraz rozwiązanie do czyszczenia danych, które jest NIST 800-88 compliant. Dla dysków twardych, których nie można wyczyścić, stosujemy proces destrukcji, który je niszczy i uniemożliwia odzyskanie informacji. Ten proces niszczenia może polegać na dezintegracji, rozdrabnianiu, proszkowaniu lub spalaniu. Określamy sposoby utylizacji zgodnie z rodzajem zasobu. Zachowujemy zapisy dotyczące zniszczenia.
utylizacja sprzętu
Po zakończeniu życia systemu, personel operacyjny Microsoft stosuje rygorystyczne procedury dotyczące zarządzania danymi i utylizacji sprzętu, aby zapewnić, że sprzęt zawierający dane użytkownika nie trafi w ręce niepowołanych osób. Używamy metody bezpiecznego usuwania danych na dyskach twardych, które ją obsługują. Dla dysków twardych, które nie mogą być wymazane, stosujemy proces niszczenia, który niszczy dysk i uniemożliwia odzyskanie informacji. Ten proces niszczenia może polegać na dezintegracji, rozdrabnianiu, proszkowaniu lub spalaniu. Określamy sposoby utylizacji zgodnie z rodzajem zasobu. Zachowujemy zapisy dotyczące zniszczenia. Wszystkie usługi Azure korzystają z zatwierdzonych usług przechowywania i zarządzania utylizacją nośników.
Zgodność
Projektujemy i zarządzamy infrastrukturą Azure, aby spełniała szeroki zakres międzynarodowych i branżowych standardów zgodności, takich jak ISO 27001, HIPAA, FedRAMP, SOC 1 i SOC 2. Spełniamy również standardy specyficzne dla danego kraju/regionu, w tym australijski IRAP, brytyjski G-Cloud i singapurski MTCS. Rygorystyczne audyty stron trzecich, takie jak te przeprowadzane przez British Standards Institute, weryfikują przestrzeganie ścisłych kontroli bezpieczeństwa wymaganych przez te standardy.
Aby uzyskać pełną listę standardów zgodności, których przestrzega Azure, zobacz Oferty zgodności.
Następne kroki
Aby dowiedzieć się więcej o tym, co firma Microsoft robi, aby zabezpieczyć infrastrukturę platformy Azure, zobacz:
- Dostępność infrastruktury platformy Azure
- Składniki i granice systemu informacyjnego platformy Azure
- Architektura sieci platformy Azure
- Sieć produkcyjna platformy Azure
- Funkcje zabezpieczeń usługi Azure SQL Database
- Operacje produkcyjne i zarządzanie Azure
- Monitorowanie infrastruktury platformy Azure
- Integralność infrastruktury platformy Azure
- Ochrona danych klientów platformy Azure