Microsoft Azure云安全應(yīng)用場景(演示)

1、Microsoft Azure云的安全及應(yīng)用場景12 億全球用戶數(shù)超過 3 億每月用戶數(shù)4800 萬57 個國家/地區(qū)的成員總數(shù)57%的財富 500 強企業(yè)每周新增訂戶 10,000 個350 萬活躍用戶Online超過 55 億每月全球查詢數(shù)量3超過 4.5 億每月有效用戶數(shù)全球微軟可信云超過 200 個云服務(wù)，超過 1 百萬臺服務(wù)器，基礎(chǔ)結(jié)構(gòu)投入超過 150億美元10 億客戶，2000 萬家企業(yè)，覆蓋全球 90 個國家/地區(qū)12微軟可信云的基本原則隱私保護透明度合規(guī)性安全性33Azure 的安全性微軟為客戶提供了可信賴的企業(yè)級云服務(wù)技術(shù)在線服務(wù)的設(shè)計和管理方面實施了業(yè)界領(lǐng)先的最佳實踐增強的

2、安全性、運營管理，以及威脅緩解實踐可信賴的企業(yè)級云服務(wù)技術(shù)卓越中心4從代碼開發(fā)到事件響應(yīng)，我們的所有工作皆以安全為頭等要務(wù)安全開發(fā)生命周期（SDL）和運營安全保障（OSA）Azure 的安全設(shè)計和運營全天候事件響應(yīng)服務(wù)，以減輕攻擊和惡意活動的影響。專屬的安全專家“紅色小組”會在網(wǎng)絡(luò)、平臺，以及應(yīng)用程序?qū)用婺M現(xiàn)實世界中的攻擊，對Azure 檢測入侵，面對入侵提供保護，以及入侵后的恢復(fù)能力進行測試事件響應(yīng)全公司范圍內(nèi)強制實施的開發(fā)和運營流程已經(jīng)將安全意識融入到開發(fā)和運維工作的每個階段假定違反模擬5運營安全Strategy: Employ risk-based, multi-dimensional

3、 approach to safeguarding services and 數(shù)據(jù)安全監(jiān)控和響應(yīng)數(shù)據(jù)和密鑰數(shù)據(jù)保護訪問控制，加密，密鑰管理用戶管理訪問身份管理，雙重身份驗證，培訓(xùn)和宣傳，篩選，最少特權(quán)和臨時特權(quán)應(yīng)用程序應(yīng)用程序安全訪問控制，監(jiān)控，反惡意軟件，漏洞掃描，補丁和配置管理宿主機系統(tǒng)宿主機保護訪問控制，監(jiān)控，反惡意軟件，漏洞掃描，補丁和配置管理內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)安全網(wǎng)絡(luò)分割，入侵檢測，漏洞掃描網(wǎng)絡(luò)周邊網(wǎng)絡(luò)安全邊緣 ACL，DOS，入侵檢測，漏洞掃描設(shè)施物理安全物理控制，視頻監(jiān)控，訪問控制威脅情報來源6數(shù)據(jù)中心的物理安全周邊建筑物防震加固安全運營中心24X7安保人員持續(xù)數(shù)天的備用電源攝像機警報

4、雙重驗證訪問控制：生物特征驗證裝置和讀卡器柵欄圍墻機房7事件評估通知客戶引入 Ops事件被檢測到引入安全團隊事件開始確定對客戶產(chǎn)生的影響客戶流程第一步確定受影響的客戶安全事件已確認Azure 客戶通知 專注于遏制和恢復(fù) 針對平臺級的事件，分析日志和VHD 映像，有必要時為客戶提供取證信息 在客戶通知中做出合同承諾Azure 事件響應(yīng) 完善的九步驟事件響應(yīng)流程8AzurePrivacy 的隱私和控制由世紀互聯(lián)運營的 Microsoft Azure 承諾將客戶隱私看作第一要務(wù)，并承諾應(yīng)用獨立審計策略和實踐，包括不會通過挖掘客戶數(shù)據(jù)以展示廣告，或?qū)⒖蛻魯?shù)據(jù)用于其他商業(yè)用途。9Privacy信任的基礎(chǔ)

5、Azure 的隱私原則在設(shè)計上更清晰地界定了客戶數(shù)據(jù)的使用責(zé)任，所有實踐維持極高透明度，提供了有意義的隱私選擇相關(guān)指導(dǎo)措施有助于確保在產(chǎn)品和服務(wù)的開發(fā)與部署階段就充分考慮到隱私保護的要求Azure 使用邏輯隔離將每個客戶的數(shù)據(jù)相互隔離與生俱來的隱私Azure 隱私標準數(shù)據(jù)隔離10客戶數(shù)據(jù)使用 Azure 服務(wù)的過程中，客戶數(shù)據(jù)依然歸客戶自己所有決定數(shù)據(jù)存儲位置控制對數(shù)據(jù)的訪問加密密鑰的管理控制數(shù)據(jù)的刪除客戶自行選擇數(shù)據(jù)存儲位置和復(fù)制選項強有力的身份驗證，被慎重記錄的“即時” 訪問只用于服務(wù)支持，并會定期進行審計客戶可以靈活地生成并管理自己的加密密鑰當客戶刪除自己的數(shù)據(jù)或不再使用 Azure 服

6、務(wù)時，世紀互聯(lián)會按照標準流程確保上一位客戶的數(shù)據(jù)無法被訪問11數(shù)據(jù)控制數(shù)據(jù)位置數(shù)據(jù)訪問數(shù)據(jù)保護對于很多服務(wù)，客戶可以指定自己客戶數(shù)據(jù)存儲到的地理位置為了保護客戶數(shù)據(jù)，世紀互聯(lián)員工對客戶數(shù)據(jù)的訪問受到嚴格限制，世紀互聯(lián)針對 Azure 服務(wù)提供了隱私聲明，以及強有力的合同承諾通過技術(shù)手段確?？蛻魯?shù)據(jù)安全無虞，客戶可以靈活地實施額外的加密技術(shù)，并自行管理自己的密鑰12數(shù)據(jù)位置和數(shù)據(jù)的復(fù)制 世紀互聯(lián)不會將客戶數(shù)據(jù)存儲在客戶指定的地理位置之外 Azure 會在本地和不同的地理位置對客戶數(shù)據(jù)創(chuàng)建副本 每個存儲 Blob 會在同一個 Azure 數(shù)據(jù)中心內(nèi)復(fù)制到三臺計算機上 地域復(fù)制功能會將數(shù)據(jù)復(fù)制到10

7、00公里之外的數(shù)據(jù)中心內(nèi)Azure 選擇數(shù)據(jù)的存儲位置 配置數(shù)據(jù)復(fù)制選項客戶13訪問控制機制已獲獨立審計驗證并獲得認證受限的數(shù)據(jù)訪問只有在為使用 Azure 的客戶提供支持（例如排錯或改善功能），或法律要求時，才允許訪問客戶數(shù)據(jù)所有獲批的訪問都受到嚴密的控制和記錄通過強有力的身份驗證，包括 MFA，確保僅獲得授權(quán)的人員可以訪問客戶數(shù)據(jù)不再需要時，批準的訪問權(quán)會被立刻撤銷15只批準完成任務(wù)所需的最小特權(quán)所有管理工作需要通過多重身份驗證世紀互聯(lián)員工的訪問管理無法直接訪問客戶數(shù)據(jù)篩選過的管理員申請訪問管理者授予臨時訪問權(quán)即時，基于角色的訪問AzureBLOB表隊列驅(qū)動器運維網(wǎng)絡(luò)訪問申請會被審計、記錄

8、，以及審查16數(shù)據(jù)保護數(shù)據(jù)分隔通過邏輯隔離機制分隔不同客戶的客戶數(shù)據(jù)傳輸中數(shù)據(jù)的保護默認使用符合業(yè)界標準的協(xié)議加密組件內(nèi)外傳入和 傳出的數(shù)據(jù)，以及內(nèi)部環(huán)境中傳輸?shù)臄?shù)據(jù)數(shù)據(jù)冗余客戶可通過多種選項對數(shù)據(jù)進行復(fù)制，包括副本的數(shù)量、以及復(fù)制數(shù)據(jù)中心的位置存儲后數(shù)據(jù)的保護客戶可以為虛擬機和存儲實施一系列加密選項加密存儲后或傳輸中數(shù)據(jù)的加密可由客戶自行部署，以確保滿足客戶最佳實踐的要求，借此保障數(shù)據(jù)的機密性和完整性數(shù)據(jù)銷毀當客戶刪除數(shù)據(jù)或停止使用 Azure 服務(wù)時，世紀互聯(lián)會按照標準流程確保上一位客戶的數(shù)據(jù)無法再被訪問17傳輸中的數(shù)據(jù)加密Azure 加密 Azure 數(shù)據(jù)中心之間的大部分通訊 使用 HT

9、TPS 加密 Azure 門戶事務(wù) 支持 FIPS 140-2客戶Azure數(shù)據(jù)中心Azure數(shù)據(jù)中心Azure門戶 可為 REST API 選擇使用 HTTPS（推薦做法） 為 Azure 中運行的應(yīng)用程序終結(jié)點配置HTTPS 在 IIS 上實施 TLS，借此加密 Web 客戶端和服務(wù)器之間的通訊19數(shù)據(jù)驅(qū)動器引導(dǎo)驅(qū)動器SQL Server 透明數(shù)據(jù)加密和列級加密 文件和文件夾 Windows Server 中的 EFS存儲后數(shù)據(jù)的加密虛擬機存儲 對使用 Azure 導(dǎo)入/導(dǎo)出服務(wù)的驅(qū)動器應(yīng)用 BitLocker 加密 StorSimple 可支持 AES-256 加密應(yīng)用程序 通過 .NE

10、T Crypto API 實現(xiàn)客戶端加密 通過 RMS Service 和 SDK 為您的應(yīng)用程序?qū)崿F(xiàn)文件加密20SQL TDE合作伙伴技術(shù)EFSBitLocker.NET CryptoStorSimpleRMS SDK虛擬機存儲應(yīng)用程序數(shù)據(jù)銷毀數(shù)據(jù)刪除 索引會在第一時間從主要位置中移除 數(shù)據(jù)（索引）的地域復(fù)制副本會被異步移除磁盤的處理 使用符合業(yè)界標準的流程銷毀退役的磁盤 客戶只能讀取自己曾經(jīng)寫入過的磁盤空間21Azure 的透明度通過可訪問的工具和簡潔直觀的語言，以透明的方式披露數(shù)據(jù)存儲位置、可以訪問的人員，以及世紀互聯(lián)用何種方法保護客戶數(shù)據(jù)，Azure 可以幫助客戶更好地控制自己的客戶數(shù)

11、據(jù)。22安全實踐將安全性融入產(chǎn)品代碼（SDL）確保 Azure 基礎(chǔ)結(jié)構(gòu)可以承受攻擊保護用戶訪問 Azure 環(huán)境的過程通過加密通訊確?？蛻魯?shù)據(jù)安全無虞客戶知道我們?nèi)绾螢樗麄兊臄?shù)據(jù)提供保護23Azure 與合規(guī)性在開發(fā)創(chuàng)新式合規(guī)性技術(shù)和流程，將其納入 Azure的過程中，微軟和世紀互聯(lián)分別從技術(shù)層面和運營層面做出了大量投入。適用于在線服務(wù)的合規(guī)性框架列出了各種制度標準和控制機制之間的對應(yīng)關(guān)系，有助于促進服務(wù)的設(shè)計和開發(fā)，能滿足當今用戶對安全和隱私的高標準嚴要求。24合規(guī)性框架合規(guī)性認證世紀互聯(lián)和微軟組建了專家團隊，專注于確保Azure 滿足合規(guī)義務(wù)，進而幫助客戶滿足自己的合規(guī)性要求持續(xù)評估，標

12、桿管理，采納、測試和審計合規(guī)性戰(zhàn)略可幫助客戶實現(xiàn)業(yè)務(wù)目標，符合行業(yè)標準和制度的要求，包括持續(xù)評估并采納新的標準和實踐獨立驗證第三方審計機構(gòu)進行持續(xù)不斷的驗證審計報告的訪問世紀互聯(lián)會將審計報告的結(jié)論和合規(guī)程序包分享給客戶最佳實踐有關(guān) Azure 數(shù)據(jù)、應(yīng)用，以及基礎(chǔ)結(jié)構(gòu)安全的規(guī)范指南，使得客戶更容易實現(xiàn)合規(guī)性25全球微軟云豐富的經(jīng)驗和認證HIPAA/HITECHCJISSOC 1201220112010SOC 2FedRAMPP-ATOFISMAATO英國 G-Cloud OFFICIAL201320142015ISO/IEC27001:2005CSA 云控制矩陣PCI DSSLevel 1澳大

13、利亞IRAP 評審新加坡MCTSISO/IEC27018歐盟數(shù)據(jù)保護指令CDSA運營安全保障26信息安全標準ISO 27001ISO 27018SOC 1 Type 2SOC 2 Type 2政府認證美國 FedRAMP/FISMA美國 CJIS英國 G-Cloud澳大利業(yè) IRAP新加坡 MCTS行業(yè)認證PCI DSS Level 1HIPAA/HITECH生命科學(xué) GxP全球微軟云合規(guī)性認證*只適用于全球微軟云，不適用于只適用于全球微軟云，不適用于 Gallacake，只在客戶需要了解全球微軟云時提供，只在客戶需要了解全球微軟云時提供國際信息安全標準ISO 27001政府和機構(gòu)認證MLPS

14、TCSAzure 和 Office 365 在中國獲得的合規(guī)認證ISO/IEC 27001:2005 審核和認證審核和認證 由世紀互聯(lián)運營的 Microsoft Azure 和 Office 365 已實施 ISO 27001 定義的嚴格物理、邏輯、流程和管理控制 世紀互聯(lián)承諾每年基于 ISO/IEC 27001:2005 進行認證 ISO/IEC 27001:2005 證書確認世紀互聯(lián)已實施此標準中定義的國際上認可的信息安全控制措施，包括有關(guān)啟動、實施、維護和改進組織中的信息安全管理的指南和一般原則可信云服務(wù)認證可信云服務(wù)認證 （ TCS ） 由世紀互聯(lián)運營的 Microsoft Azure

15、 成功地獲得針對云引擎、全網(wǎng)負載均衡、云備份的可信云服務(wù)認證 這些服務(wù)接受了 SLA 服務(wù)協(xié)議框架內(nèi)，包括數(shù)據(jù)管理、業(yè)務(wù)質(zhì)量及權(quán)益保障三大類共16項指標的測評。在運行的穩(wěn)定性方面，這些服務(wù)達到了 99.9% 的 SLA 保證。 世紀互聯(lián)運營的 Office365 在線應(yīng)用服務(wù)獲得了企業(yè)級電子郵件（ Exchange Online ）、文件共享（ SharePoint Online ）、聯(lián)機會議（Exchange Online）3項可信云服務(wù)認證信息系統(tǒng)安全等級保護定級信息系統(tǒng)安全等級保護定級 由世紀互聯(lián)運營的 Microsoft Azure 信息安全保護等級評定為第二級 由世紀互聯(lián)運營的 Of

16、fice 365 信息安全保護等級評定為第三級Microsoft Confidential - Signed NDA RequiredMicrosoft Confidential - Signed NDA Required降低成本按需擴展降低初期投入改善客戶體驗拓展全球市場加速進入市場時間應(yīng)用場景客戶難題Azure價值成功案例1LOB應(yīng)用存儲、備份、恢復(fù)昂貴的存儲成本,異地備份難以實現(xiàn)降低成本80%,即用即付；提供異地備份解決方案成都索貝-樓宇監(jiān)控PPTV亞洲電視網(wǎng)絡(luò)1.5M（MediaService&CDN;400-600coreKevinYu）Cannon照片共享系統(tǒng)300K2互聯(lián)網(wǎng)相關(guān)應(yīng)

17、用及服務(wù)業(yè)務(wù)上線速度慢；本地機房或IDC機房的可用性不夠高；不同地區(qū)用戶訪問體驗不一致業(yè)務(wù)快速上線；99.95%SLA保障；一直快速的訪問體驗可樂MarketingCampaign三星KNOXPPTV-亞洲電視網(wǎng)絡(luò)3突發(fā)的業(yè)務(wù)需求傳統(tǒng)的機房沒有彈性，空間或者需要大量投入，難以應(yīng)付突發(fā)的業(yè)務(wù)量無限的擴展，按需付費，快速部署北京渲染平臺PPTV-亞洲電視網(wǎng)絡(luò)可樂MarketingCampaign三星-Galaxy手機終端管理服務(wù)Knox（AWSWinback）4開發(fā)測試環(huán)境資源消耗巨大，需要大量不同的環(huán)境，測試結(jié)束資源全部浪費按需付費和使用，提供大量的PaaS和SaaS服務(wù)加快應(yīng)用進程和業(yè)務(wù)部門/

18、noITTopicSQL Server 管理工具直接 URL 備份到 Azure 存儲Microsoft AzureWindows Server & System Center備份工具地理復(fù)制用于存儲對象/表/驅(qū)動器/虛擬機提供多個數(shù)據(jù)副本（本地3份）更低的存儲總擁有成本更低的存儲總擁有成本更靈活的管理方式更靈活的管理方式更小的數(shù)據(jù)風(fēng)險更小的數(shù)據(jù)風(fēng)險可從任意互聯(lián)網(wǎng)連接在異地恢復(fù)數(shù)據(jù) 無縫整合 Windows Server 與 System 本地默認存儲 3 份數(shù)據(jù)副本，可跨數(shù)最高可達 60%-80% 的存儲總擁有成本節(jié)?。ㄔO(shè)備，軟件，專業(yè)技術(shù)支持，能源/ 支持 REST API 進行靈活的定制

19、開發(fā) Azure 存儲具備財政支持的 SLA，自冷卻，電力和人員成本，硬件折舊） 運營以來從未丟失數(shù)據(jù)幫助IT部門專注新業(yè)務(wù)支持而不是存儲的 方便的擴大與縮小容量的方式 數(shù)據(jù)加密遵循 AES-256 軍用級別加密擴大與維護工作。存儲資源先使用后付費，量化計算擁有以下需求的客戶群體更可能在 Microsoft Azure 上使用存儲功能IT 存儲成本居高不下存儲成本居高不下 存儲容量提升速度快，大筆投入占用了IT部門的其他項目投入 存儲設(shè)備類型多，管理復(fù)雜，無法支持業(yè)務(wù)的快速增長 多數(shù)被存儲和管理的數(shù)據(jù)并不是常常被使用，擠占了現(xiàn)有的存儲空間在 Microsoft Azure 上使用存儲功能的優(yōu)勢具有異地災(zāi)備數(shù)據(jù)中心建立意向，但苦于技術(shù)與設(shè)備缺乏具有異地災(zāi)備數(shù)據(jù)中心建立意向，但苦于技術(shù)與設(shè)備缺乏需要保證重要數(shù)據(jù)的高可用性，又希望盡可能降低存儲成需要保證重要數(shù)據(jù)的高可用性，又希望盡可能降低存儲成本本IoT 是一個轉(zhuǎn)折點硬件很便宜連接無處不在快速開發(fā)新的創(chuàng)新場景用戶強烈需求1.唯一標識的通信節(jié)點：物，互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)絡(luò)、化學(xué)變化2.自動化的數(shù)據(jù)交換：非人工3.與現(xiàn)實環(huán)境的關(guān)聯(lián)：采集的數(shù)據(jù)具有特定時間、地點、特性三個重心1 設(shè)備連接和管理2 分析和業(yè)務(wù)運營