Post on 14-Jun-2015
description
Безопасность облака Microsoft снаружи и
изнутриответы на главные вопросы
Владимир Юневэксперт по стратегическим технологиям
Microsoft
Agenda
• Облако Microsoft Azure снаружи и изнутри• Ответы на вопросы:• Безопасность данных в облаке Azure• Получает ли кто-нибудь доступ к мои данным• Сертификация• Персональные данные• Гарантии безопасности от Microsoft
• Сервисы, которые сделают ваши решения безопаснее
Microsoft Azureкак мы храним свои и ваши данные
Регион North America Регион Europe Asia Pacific Area
Глобальное присутствие ЦОД
N. Central – U.S. Sub-Region
S.E. AsiaSub-Region
E. AsiaSub-Region
N. Europe Sub-Region
W. Europe Sub-Region
S. Central – U.S. Sub-Region
East – U.S. Sub-Region
West – U.S. Sub-Region
East JapanSub-Region
Southeast AustraliaSub-Region
West JapanSub-Region
East AustraliaSub-Region
E. China (via 21Vianet)Sub-Region
NE. China (via 21Vianet)Sub-Region
Основные ЦОДыУзлы CDN
Доступные субрегионыАнонсированные субрегионыСубрегион управляемый партнером
поддержка 24 x 7 x 365 89 рынков по всему миру двукратный рост мощности каждые полгода .
LATAMSub-Region
Самая большая опасность для Microsoft Azure?..
…наш клиент.
Разделение ответственностиуменьшение затрат на безопасность + гибкость, доступ и управление
Клиент Microsoft
Локально IaaS PaaS SaaS
Хранилище
Сервера
Сеть
O/S
Middleware
Виртуализация
Данные
Приложения
Среда исполнения
Идентифи- кация
и доступ
Целостность хоста
Безопасность
приложений
Защита данных
Сетевая безопасност
ь
Многоуровневая защита
Физическая безопасност
ь
Безопасность дата-центраБезопасность сервиса начинается с дата-центра
World-ClassSecurity
Тщательный мониторинг
Защита от огняБезопасность периметра
Мультифакторная аутентификация
Безопасность доступа 24 x 7Сенсоры движенияБиометрические системы доступаНаблюдение видео-камерамиСигнализация нарушений безопасности
Круглосуточный мониторинг объектов
Мониторинг и ведение логов системы
Управление патчами
Защита от вредоносного ПО
Определение вторжений и DDoS
Тестирование на проникновени
Выделенное облако для правительств
Защита инфраструктуры
Сетевая защита
Шифрование соединений
Виртуальные сети
ExpressRoute
Сетевая изоляция
Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа
Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:
Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску
Целостность кодаУправление обновлениями
Gue
st V
M
Gue
st V
M
Gue
st V
M
Gue
st V
M
Hos
t VM
Hypervisor
Network / Disk
Облачная идентификация – Azure Active Directory
Мониторинг и аудит доступа
Функция единого входа (Single sign-on)
Мультифакторная аутентификация
Контроль доступа на базе ролей
Идентификация и доступ
Шифрование передачи данных
Опции шифрования при хранении данных
Разнесение данных
Выбор места хранения данных
Избыточность при хранении данных
Строгий процесс уничтожения носителей
Защита данных
Запрет на слежение за вашими данными
Azure не предоставляет ваши данные рекламным сервисамAzure не исследует ваши данные для рекламы
ISO 27001 SOC 1 Type 2SOC 2 Type 2
FedRAMP/FISMAPCI DSS Level 1UK G-CloudHIPAA/HITECH
Стандарт информационной безопасности
Эффективность
управления
Индустриальная
и
правительствен
ная
сертификация
Соответствие нормам и стандартам
Фундамент для довериястроится на опыте и инновациях microsoft
Trustworthy ComputingInitiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st Microsoft
Data Center Active
Directory SOC 1
CSA Cloud Controls Matrix PCI DSS
Level 1
FedRAMP/FISMA
UK G-Cloud Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes Unit
SOC 2
E.U. Data Protection Directive
1989 1995 2000 2005 2010
Microsoft Operations Centers
Управление Сервисами и Контроль• Все необходимые функции, включая
инструментарий, инженерные процессы, отчетность и управление учетными записями
• 1 триллион строк данных сохраняется ежедневно
Операционные Центры • 1,000+ ответов на инциденты в неделю
• 3,000+ запросов по e-mail в неделю
• 10,000+ сигналов обрабатывается в неделю
Инженерные Процессы и Управление Знаниями• 1,400+ пользователей среди всех наших
приложений
Что логируется?
Infrastructure Asset Logs Firewall Logs
Intrusion Prevention
System Logs
Network Device Logs
Domain Controller
Logs
Security Server Logs
Sensitive Information Server Logs
User Logons
Security policy
configuration changes
Ответы на основные вопросы
В. Безопасны ли мои данные в Azure?О. Данные в Azure защищены шифрованием данных при передаче и хранении, а так же операционными процессами, такими как политиками уничтожения носителей
Ресурсы:Trust Center – Privacy (data location)
В. Как мне безопасно подключить
свою инфраструктуру к облаку Azure?О. Виртуальные сети Azure позволяют легко расширить в Azure ваши корпоративные сети через VPN.
Для корпоративных заказчиков развивается прямой доступ из ЦОД в Azure через ExpressRouteРесурсы:Azure Network Security Whitepaper
VPN
Site-to-Site VPN
Point-to-Site
VPN
Remote Workers
Customer Site
Computers Behind Firewall
Azure
В. Какие методы защиты предлагает облако Azure по умолчанию?О. Автоматическое определениеи предотвращение вторжений, предотвращение DDoS-атак, регулярное тестирование инфраструктуры на проникновение и другие инструменты предотвращения криминальных активностей снаружи и изнутри AzureРесурсы:Azure Network Security WhitepaperAzure Security: Technical Insights Whitepaper
В. Как Azure отвечает на инциденты и работает со мной в случае нарушения безопасности?
О. Azure поддерживается глобальной командой поддержки, которая работает круглосуточно и ежедневно для предотвращения атак на безопасность и действий злоумышленников
Ресурсы:Microsoft Security Response Center
В. Имеет ли Microsoft доступ к моим данным в Azure?О. Персонал Microsoft не имеет доступа к данным клиентов. В случае запроса поддержки пользователем, предоставляется доступ с низкими привилегиями, с требованием мультифакторной аутентификации.
Доступ логируется и ведется аудит.Ресурсы:Trust Center – Privacy (data location)
Pre-screened Admin requests access
Leadership grantstemporary privilege
Microsoft Corporate Network
Azure
Just in Time &
Role-Based Access
В. Что насчет аудита ЦОД и операций Azure?О. Предлагается независимый аудит и сертификация организациями и стандартами вместо личного аудита пользователями
Ресурсы:Azure Trust Center – ComplianceRequest Audit Report
HIPAA
В. Какие гарантии дает Microsoft?
О. Microsoft гарантирует защиту приватности данных и уведомление об инцидентах безопасности всем клиентам.
Предлагает специальные соглашения для регуляторов в индустриях вроде финансов и здравоохранения
Ресурсы:Trust Center – Privacy
Microsoft Online Service Terms (OST) • Commitments regarding use & disclosure of Customer
Data, security Incident notification, and use of subcontractors
Data Processing Terms• Applies to narrower scope of core services• Commitments regarding data location, audit, data
protection, EU law
HIPAA Business Associate Agreement • Applies to narrower scope of core services• Commitments regarding security and privacy and special
provisions related to breach notification
Financial Services • Includes Regulator (not customer) Right to Examine• Offers optional paid Financial Services Compliance
Program
В. Как Microsoft реагирует на запросы данных клиентов от правоохранителей?О. Microsoft гарантирует защиту приватности данных и расширяет эти гарантии на ответы на все запросы информации о клиентах от правительственных структур.
Вне зависимости от того, относятся ли они к криминальным вопросам или национальной безопасности
Ресурсы:Law Enforcement Request Report
Прозрачность
Ясные принципы и Защита Клиентов
В. Что, если государство следит…?О. Если даже государство каким-то образом участвует в сборе информации, то это производится без вовлечения или уведомления Microsoft.
Microsoft постоянно улучшает защиту своих коммуникаций и безопасность хранения данных пользователей.Ресурсы:Law Enforcement Request Report
Нет бэкдоров
Улучшение
безопасности
Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)
Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке
В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»
В ряде случаев вы можете использовать шифрование или другие защитные механизмы
Сервисы, которые сделают ваши решения безопаснее
31
• Управление группами и обеспечение их безопасности, аудиторские отчеты
• Самостоятельный сброс пароля и многофакторная аутентификация
• Взаимодействие между AD и Azure AD
• Защита информации• Условный доступ
• Управление параметрами и настройками мобильных устройств
• Управление жизненным циклом мобильных приложений• Очистка и удаление данных с устройства
Enterprise Mobility Suite
Цена в рамках Enterprise Agreement от $4 за пользователя в месяц* * Промоцена по соглашению EA уровня A действует ограниченное время.
Доступно при приобретении не менее 250 мест и наличии лицензии CAL Suite (CoreCAL/ECAL)
Из чего он состоит....
Благодаря Azure Active Directory Premium:
Благодаря Windows Intune:
Благодаря Azure Rights Management Service:
Включен Forefront Identity
Management
Права на использование
WS RMS CAL
Мы тратим миллионы на безопасность…
…вместо вас.
Доверие лидеров индустрии
ЗаключениеОснова
Microsoft Azure – многоуровневая
безопасность
Безопасность в облаке – общее дело
Microsoft Azure применяет
лучшие практики и соответствует
всем современным требованиям безопасности
Хранить данные в Azure безопасно
и надежно
Сервисы Azure позволяют
строить безопасные
решения
Microsoft вкладывает миллионы долларов
в свою и вашу безопасность
Ресурсы
SECURITY RESPONSE CENTER
SECURITY DEVELOPMENT LIFECYCLE
SECURITY TECH CENTER
SECURITY INTELLIGENCE REPORT
MICROSOFT SECURITY UPDATE GUIDE
SECURITY DEVELOPMENT CENTER
END TO END TRUST
MALWARE PROTECTION CENTER
TRUSTWORTHY COMPUTING
SECURITY BLOG
www.microsoft.com/security/msrcwww.microsoft.com/security/sir
www.microsoft.com/sdl technet.microsoft.com/security
www.microsoft.com/securityupdateguide
msdn.microsoft.com/securitywww.microsoft.com/twc
www.microsoft.com/endtoendtrust
www.microsoft.com/security/portal
www.microsoft.com/about/twc/en/us/blogs.aspx
Владимир Юневэксперт по стратегическим технологиям, Microsoftazurerus@microsoft.com
@XaocCPSfacebook.com/yunevblogs.msdn.com/b/vyunev
Группа Azure для всех - facebook.com/groups/azurerus/
Всем спасибо! Ваши вопросы
azure.com AzureHub.ru
msftva.ru
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to
be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS
PRESENTATION.
Дилемма предотвращения злоупотребленийКлиенты могут использовать Azure для гнусных целей:
Хакеры могут создавать учетные записи на базе украденных кредитных картЭти учетные записи могут быть использованы для размещения мощных ботовИсходящие DoS-атакиРаспространение спамаАтаки SQL-инъекцийХостинг фишинговых веб-сайтовПубликация вредоносных приложенийПубликация материалов защищенных авторским правом
Наше пользовательское соглашение говорит, что мы не можем наблюдать за тем что делают клиентыБез проверки клиентов с нашей стороны, сторонние сервисы включат наши IP в черные спискиНе существует стандартов по которым можно оценивать поведение
Модель безопасности Azure – ключевые требования
Изоляция Тенанта (Tenant Isolation)Тенант не имеет возможности определить другие тенанты размещенные в Azure
Предотвращение DoS-атакТенанты не имеют возможности повлиять и злоупотребить ресурсами других тенантовDoS-атака на один тенант не влияет на другие тенанты
Герметичность (Containment)Компрометирование границ изоляции ВМ не компрометирует всю инфраструктуруКомпрометирование одного дата-центра не компрометирует другие дата-центры
Соответствие Microsoft Azure сертификатам
Сегодня
Скоро
ISO/IEC 27001:2005SSAE 16 (SOC 1 Type 2)
EU-US Safe HarbourEU Model ClausesHIPAA BAAPCI DSS (Level 1)
FISMA / FedRAMPUK G-Cloud OFFICIAL AccreditationLife Sciences GxP CSA CCM (Cloud Security Alliance Cloud Controls Matrix)
FERPA (Family Educational Rights and Privacy Act)
FIPS (Federal Information Processing Standard)
Подробно о защите
физическая безопасност
ь
Физическая безопасность – пример центра
Центр защищенный 24x7
Площадь в 700,000 квадратных футов
Десятки тысяч серверов
Резервного питания хватит на дни работы
сетевая безопасност
ь
Подробно о защите
Firewall & Packet FiltersСетевая изоляция (Network Isolation)SSL-защита трафика внутренних сетейАвтоматическая конфигурацияНепрерывные испытания на соответствиеНадзор, Мониторинг, ЭкспертизаОпределение инцидентов и ответная реакцияГерметичностьВосстановление
Сетевая безопасность
Встроенные файрволы
Трафик Azure проходит через несколько файрволов
Файрвол гостевой ВМФайрвол ВМ хостаФайрвол SQL AzureЛокальные файрволы
Разнообразные SSL-каналы
Client
Developer
SSL
SSL
SSL
SSL
SSL
Worker role
Web role
Подробно о защите
целостность хоста
Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа
Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:
Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску
Целостность кодаУправление обновлениями
Gue
st V
M
Gue
st V
M
Gue
st V
M
Gue
st V
M
Hos
t VM
Hypervisor
Network / Disk
Подробно о защите
защита данных
Защита данныхИзбыточное хранилище
По крайне мере трехкратная репликация в одном дата-центреГео-репликация в другие дата-центры
Ключи и учетные записи хранилищаРезервное копирование данныхУдаление и уничтожение данныхSQL Azure наследует систему аутентификации и авторизации от SQL ServerШифрование данных (при передаче, при хранении)
Подробно о защите
идентификация
и доступ
Azure поддерживает персонализацию – идентификацию и доступ
Высокие гарантии идентификации (Strong Identity Assurance)
Двухфакторная аутентификация – смарт-картыОбучение, обследование, фоновые проверки
Детальное управление доступомДоступ к данным клиентов усиленно защищенУровни доступа пересматриваются на периодической основеЛогирование и мониторинг – temper-resistant/evident logsЛоги – объекты эвристического анализа для поиска подозрительных активностейКлиенты имеют доступ к логам действий администраторов, который влияют на их сервисы
Что такое Azure Active Directory?
Расширение Active Directory в облако
Спроектировано в первую очередь для соответствия требованиям облачных приложений
Идентификация как сервис: незаменимая часть Платформы как сервиса (PaaS)
AzureAD
AD
Cloudapp
Cloudapp
Cloudapp
Управление идентификацией как сервис
Консолидация управления идентификацией между облачными приложениями
Подключение к директории с любой платформы и любого устройства
Связь с посетителями использующими провайдеры аутентификации веб-сервисов и других организаций
AzureAD
AD
Прил-е ISV
Другие прил-яMSFT
Ваше прил-е
Office365
Прил-еISV
Подробно о защите
безопасность
приложений
Безопасность приложенийЛучшие практики безопасности для разработки приложений AzureБезопасность зависит от возможности гипервизора содержать враждебную ВМОпции для запуска кода с более низким уровнем доверияОтсутствие сохранности вредоносных программ при повторном развертыванииНаблюдает ли Azure за приложениями клиентов?
Нет, гостевые ВМ считаются недовереннымиКонтроль за приложениями клиентов внутри гостевых ВМ отсутствует
Антивирусное сканирование клиентских приложенийОбращение с мошенническими приложениями клиентов
Лучшие практики безопасных приложенийПриложения запущенные в облаке должны быть реализованы следуя лучшим практикам безопасности
Валидация ввода
Аутентификация
Авторизация
Управление конфигурациями
Обращение с важными данными
Управление сессиями
Криптография
Манипуляция параметрами
Обработка исключений
Аудит и логирование
Microsoft Security Development Lifecycle (SDL)
Ведущий промышленный процесс обеспечения выпуска безопасного программного обеспечения
Онлайн-сервисы обязаны соответствовать требованиямРасширено на инфраструктуру размещенияМоделирование угрозВалидация использования допустимых инструментов, документации, паттернов и практик
Conception
Release
Работает для защиты наших пользователей…Уменьшает число уязвимостей, ограничивает последствия от эксплойтов
Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)
Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке
В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»
В ряде случаев вы можете использовать шифрование или другие защитные механизмы
Что логируется?
Infrastructure Asset Logs
Firewall Logs
Intrusion Prevention
System Logs
Network Device Logs
Domain Controller
Logs
Security Server Logs
Sensitive Information Server Logs
User Logons
Security policy configuration
changes