Безопасность облака Microsoft снаружи и

изнутриответы на главные вопросы

Владимир Юневэксперт по стратегическим технологиям

Microsoft

Agenda

• Облако Microsoft Azure снаружи и изнутри• Ответы на вопросы:• Безопасность данных в облаке Azure• Получает ли кто-нибудь доступ к мои данным• Сертификация• Персональные данные• Гарантии безопасности от Microsoft

• Сервисы, которые сделают ваши решения безопаснее

Microsoft Azureкак мы храним свои и ваши данные

Регион North America Регион Europe Asia Pacific Area

Глобальное присутствие ЦОД

N. Central – U.S. Sub-Region

S.E. AsiaSub-Region

E. AsiaSub-Region

N. Europe Sub-Region

W. Europe Sub-Region

S. Central – U.S. Sub-Region

East – U.S. Sub-Region

West – U.S. Sub-Region

East JapanSub-Region

Southeast AustraliaSub-Region

West JapanSub-Region

East AustraliaSub-Region

E. China (via 21Vianet)Sub-Region

NE. China (via 21Vianet)Sub-Region

Основные ЦОДыУзлы CDN

Доступные субрегионыАнонсированные субрегионыСубрегион управляемый партнером

поддержка 24 x 7 x 365 89 рынков по всему миру двукратный рост мощности каждые полгода .

LATAMSub-Region

Самая большая опасность для Microsoft Azure?..

…наш клиент.

Разделение ответственностиуменьшение затрат на безопасность + гибкость, доступ и управление

Клиент Microsoft

Локально IaaS PaaS SaaS

Хранилище

Сервера

Сеть

O/S

Middleware

Виртуализация

Данные

Приложения

Среда исполнения

Идентифи- кация

и доступ

Целостность хоста

Безопасность

приложений

Защита данных

Сетевая безопасност

ь

Многоуровневая защита

Физическая безопасност

ь

Безопасность дата-центраБезопасность сервиса начинается с дата-центра

World-ClassSecurity

Тщательный мониторинг

Защита от огняБезопасность периметра

Мультифакторная аутентификация

Безопасность доступа 24 x 7Сенсоры движенияБиометрические системы доступаНаблюдение видео-камерамиСигнализация нарушений безопасности

Круглосуточный мониторинг объектов

Мониторинг и ведение логов системы

Управление патчами

Защита от вредоносного ПО

Определение вторжений и DDoS

Тестирование на проникновени

Выделенное облако для правительств

Защита инфраструктуры

Сетевая защита

Шифрование соединений

Виртуальные сети

ExpressRoute

Сетевая изоляция

Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа

Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:

Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску

Целостность кодаУправление обновлениями

Gue

st V

M

Gue

st V

M

Gue

st V

M

Gue

st V

M

Hos

t VM

Hypervisor

Network / Disk

Облачная идентификация – Azure Active Directory

Мониторинг и аудит доступа

Функция единого входа (Single sign-on)

Мультифакторная аутентификация

Контроль доступа на базе ролей

Идентификация и доступ

Шифрование передачи данных

Опции шифрования при хранении данных

Разнесение данных

Выбор места хранения данных

Избыточность при хранении данных

Строгий процесс уничтожения носителей

Защита данных

Запрет на слежение за вашими данными

Azure не предоставляет ваши данные рекламным сервисамAzure не исследует ваши данные для рекламы

ISO 27001 SOC 1 Type 2SOC 2 Type 2

FedRAMP/FISMAPCI DSS Level 1UK G-CloudHIPAA/HITECH

Стандарт информационной безопасности

Эффективность

управления

Индустриальная

и

правительствен

ная

сертификация

Соответствие нормам и стандартам

Фундамент для довериястроится на опыте и инновациях microsoft

Trustworthy ComputingInitiative

Security Development

LifecycleGlobal Data Center

Services

Malware Protection

Center

Microsoft SecurityResponse Center

Windows Update

1st Microsoft

Data Center Active

Directory SOC 1

CSA Cloud Controls Matrix PCI DSS

Level 1

FedRAMP/FISMA

UK G-Cloud Level 2

ISO/IEC 27001:2005

HIPAA/HITECH

Digital Crimes Unit

SOC 2

E.U. Data Protection Directive

1989 1995 2000 2005 2010

Microsoft Operations Centers

Управление Сервисами и Контроль• Все необходимые функции, включая

инструментарий, инженерные процессы, отчетность и управление учетными записями

• 1 триллион строк данных сохраняется ежедневно

Операционные Центры • 1,000+ ответов на инциденты в неделю

• 3,000+ запросов по e-mail в неделю

• 10,000+ сигналов обрабатывается в неделю

Инженерные Процессы и Управление Знаниями• 1,400+ пользователей среди всех наших

приложений

Что логируется?

Infrastructure Asset Logs Firewall Logs

Intrusion Prevention

System Logs

Network Device Logs

Domain Controller

Logs

Security Server Logs

Sensitive Information Server Logs

User Logons

Security policy

configuration changes

Ответы на основные вопросы

В. Безопасны ли мои данные в Azure?О. Данные в Azure защищены шифрованием данных при передаче и хранении, а так же операционными процессами, такими как политиками уничтожения носителей

Ресурсы:Trust Center – Privacy (data location)

В. Как мне безопасно подключить

свою инфраструктуру к облаку Azure?О. Виртуальные сети Azure позволяют легко расширить в Azure ваши корпоративные сети через VPN.

Для корпоративных заказчиков развивается прямой доступ из ЦОД в Azure через ExpressRouteРесурсы:Azure Network Security Whitepaper

VPN

Site-to-Site VPN

Point-to-Site

VPN

Remote Workers

Customer Site

Computers Behind Firewall

Azure

В. Какие методы защиты предлагает облако Azure по умолчанию?О. Автоматическое определениеи предотвращение вторжений, предотвращение DDoS-атак, регулярное тестирование инфраструктуры на проникновение и другие инструменты предотвращения криминальных активностей снаружи и изнутри AzureРесурсы:Azure Network Security WhitepaperAzure Security: Technical Insights Whitepaper

В. Как Azure отвечает на инциденты и работает со мной в случае нарушения безопасности?

О. Azure поддерживается глобальной командой поддержки, которая работает круглосуточно и ежедневно для предотвращения атак на безопасность и действий злоумышленников

Ресурсы:Microsoft Security Response Center

В. Имеет ли Microsoft доступ к моим данным в Azure?О. Персонал Microsoft не имеет доступа к данным клиентов. В случае запроса поддержки пользователем, предоставляется доступ с низкими привилегиями, с требованием мультифакторной аутентификации.

Доступ логируется и ведется аудит.Ресурсы:Trust Center – Privacy (data location)

Pre-screened Admin requests access

Leadership grantstemporary privilege

Microsoft Corporate Network

Azure

Just in Time &

Role-Based Access

В. Что насчет аудита ЦОД и операций Azure?О. Предлагается независимый аудит и сертификация организациями и стандартами вместо личного аудита пользователями

Ресурсы:Azure Trust Center – ComplianceRequest Audit Report

HIPAA

В. Какие гарантии дает Microsoft?

О. Microsoft гарантирует защиту приватности данных и уведомление об инцидентах безопасности всем клиентам.

Предлагает специальные соглашения для регуляторов в индустриях вроде финансов и здравоохранения

Ресурсы:Trust Center – Privacy

Microsoft Online Service Terms (OST) • Commitments regarding use & disclosure of Customer

Data, security Incident notification, and use of subcontractors

Data Processing Terms• Applies to narrower scope of core services• Commitments regarding data location, audit, data

protection, EU law

HIPAA Business Associate Agreement • Applies to narrower scope of core services• Commitments regarding security and privacy and special

provisions related to breach notification

Financial Services • Includes Regulator (not customer) Right to Examine• Offers optional paid Financial Services Compliance

Program

В. Как Microsoft реагирует на запросы данных клиентов от правоохранителей?О. Microsoft гарантирует защиту приватности данных и расширяет эти гарантии на ответы на все запросы информации о клиентах от правительственных структур.

Вне зависимости от того, относятся ли они к криминальным вопросам или национальной безопасности

Ресурсы:Law Enforcement Request Report

Прозрачность

Ясные принципы и Защита Клиентов

В. Что, если государство следит…?О. Если даже государство каким-то образом участвует в сборе информации, то это производится без вовлечения или уведомления Microsoft.

Microsoft постоянно улучшает защиту своих коммуникаций и безопасность хранения данных пользователей.Ресурсы:Law Enforcement Request Report

Нет бэкдоров

Улучшение

безопасности

Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)

Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке

В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»

В ряде случаев вы можете использовать шифрование или другие защитные механизмы

Сервисы, которые сделают ваши решения безопаснее

31

• Управление группами и обеспечение их безопасности, аудиторские отчеты

• Самостоятельный сброс пароля и многофакторная аутентификация

• Взаимодействие между AD и Azure AD

• Защита информации• Условный доступ

• Управление параметрами и настройками мобильных устройств

• Управление жизненным циклом мобильных приложений• Очистка и удаление данных с устройства

Enterprise Mobility Suite

Цена в рамках Enterprise Agreement от $4 за пользователя в месяц* * Промоцена по соглашению EA уровня A действует ограниченное время.

Доступно при приобретении не менее 250 мест и наличии лицензии CAL Suite (CoreCAL/ECAL)

Из чего он состоит....

Благодаря Azure Active Directory Premium:

Благодаря Windows Intune:

Благодаря Azure Rights Management Service:

Включен Forefront Identity

Management

Права на использование

WS RMS CAL

Мы тратим миллионы на безопасность…

…вместо вас.

Доверие лидеров индустрии

ЗаключениеОснова

Microsoft Azure – многоуровневая

безопасность

Безопасность в облаке – общее дело

Microsoft Azure применяет

лучшие практики и соответствует

всем современным требованиям безопасности

Хранить данные в Azure безопасно

и надежно

Сервисы Azure позволяют

строить безопасные

решения

Microsoft вкладывает миллионы долларов

в свою и вашу безопасность

Ресурсы

SECURITY RESPONSE CENTER

SECURITY DEVELOPMENT LIFECYCLE

SECURITY TECH CENTER

SECURITY INTELLIGENCE REPORT

MICROSOFT SECURITY UPDATE GUIDE

SECURITY DEVELOPMENT CENTER

END TO END TRUST

MALWARE PROTECTION CENTER

TRUSTWORTHY COMPUTING

SECURITY BLOG

www.microsoft.com/security/msrcwww.microsoft.com/security/sir

www.microsoft.com/sdl technet.microsoft.com/security

www.microsoft.com/securityupdateguide

msdn.microsoft.com/securitywww.microsoft.com/twc

www.microsoft.com/endtoendtrust

www.microsoft.com/security/portal

www.microsoft.com/about/twc/en/us/blogs.aspx

Владимир Юневэксперт по стратегическим технологиям, Microsoftazurerus@microsoft.com

@XaocCPSfacebook.com/yunevblogs.msdn.com/b/vyunev

Группа Azure для всех - facebook.com/groups/azurerus/

Всем спасибо! Ваши вопросы

azure.com AzureHub.ru

msftva.ru

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to

be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS

PRESENTATION.

Дилемма предотвращения злоупотребленийКлиенты могут использовать Azure для гнусных целей:

Хакеры могут создавать учетные записи на базе украденных кредитных картЭти учетные записи могут быть использованы для размещения мощных ботовИсходящие DoS-атакиРаспространение спамаАтаки SQL-инъекцийХостинг фишинговых веб-сайтовПубликация вредоносных приложенийПубликация материалов защищенных авторским правом

Наше пользовательское соглашение говорит, что мы не можем наблюдать за тем что делают клиентыБез проверки клиентов с нашей стороны, сторонние сервисы включат наши IP в черные спискиНе существует стандартов по которым можно оценивать поведение

Модель безопасности Azure – ключевые требования

Изоляция Тенанта (Tenant Isolation)Тенант не имеет возможности определить другие тенанты размещенные в Azure

Предотвращение DoS-атакТенанты не имеют возможности повлиять и злоупотребить ресурсами других тенантовDoS-атака на один тенант не влияет на другие тенанты

Герметичность (Containment)Компрометирование границ изоляции ВМ не компрометирует всю инфраструктуруКомпрометирование одного дата-центра не компрометирует другие дата-центры

Соответствие Microsoft Azure сертификатам

Сегодня

Скоро

ISO/IEC 27001:2005SSAE 16 (SOC 1 Type 2)

EU-US Safe HarbourEU Model ClausesHIPAA BAAPCI DSS (Level 1)

FISMA / FedRAMPUK G-Cloud OFFICIAL AccreditationLife Sciences GxP CSA CCM (Cloud Security Alliance Cloud Controls Matrix)

FERPA (Family Educational Rights and Privacy Act)

FIPS (Federal Information Processing Standard)

Подробно о защите

физическая безопасност

ь

Физическая безопасность – пример центра

Центр защищенный 24x7

Площадь в 700,000 квадратных футов

Десятки тысяч серверов

Резервного питания хватит на дни работы

сетевая безопасност

ь

Подробно о защите

Firewall & Packet FiltersСетевая изоляция (Network Isolation)SSL-защита трафика внутренних сетейАвтоматическая конфигурацияНепрерывные испытания на соответствиеНадзор, Мониторинг, ЭкспертизаОпределение инцидентов и ответная реакцияГерметичностьВосстановление

Сетевая безопасность

Встроенные файрволы

Трафик Azure проходит через несколько файрволов

Файрвол гостевой ВМФайрвол ВМ хостаФайрвол SQL AzureЛокальные файрволы

Разнообразные SSL-каналы

Client

Developer

SSL

SSL

SSL

SSL

SSL

Worker role

Web role

Подробно о защите

целостность хоста

Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа

Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:

Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску

Целостность кодаУправление обновлениями

Gue

st V

M

Gue

st V

M

Gue

st V

M

Gue

st V

M

Hos

t VM

Hypervisor

Network / Disk

Подробно о защите

защита данных

Защита данныхИзбыточное хранилище

По крайне мере трехкратная репликация в одном дата-центреГео-репликация в другие дата-центры

Ключи и учетные записи хранилищаРезервное копирование данныхУдаление и уничтожение данныхSQL Azure наследует систему аутентификации и авторизации от SQL ServerШифрование данных (при передаче, при хранении)

Подробно о защите

идентификация

и доступ

Azure поддерживает персонализацию – идентификацию и доступ

Высокие гарантии идентификации (Strong Identity Assurance)

Двухфакторная аутентификация – смарт-картыОбучение, обследование, фоновые проверки

Детальное управление доступомДоступ к данным клиентов усиленно защищенУровни доступа пересматриваются на периодической основеЛогирование и мониторинг – temper-resistant/evident logsЛоги – объекты эвристического анализа для поиска подозрительных активностейКлиенты имеют доступ к логам действий администраторов, который влияют на их сервисы

Что такое Azure Active Directory?

Расширение Active Directory в облако

Спроектировано в первую очередь для соответствия требованиям облачных приложений

Идентификация как сервис: незаменимая часть Платформы как сервиса (PaaS)

AzureAD

AD

Cloudapp

Cloudapp

Cloudapp

Управление идентификацией как сервис

Консолидация управления идентификацией между облачными приложениями

Подключение к директории с любой платформы и любого устройства

Связь с посетителями использующими провайдеры аутентификации веб-сервисов и других организаций

AzureAD

AD

Прил-е ISV

Другие прил-яMSFT

Ваше прил-е

Office365

Прил-еISV

Подробно о защите

безопасность

приложений

Безопасность приложенийЛучшие практики безопасности для разработки приложений AzureБезопасность зависит от возможности гипервизора содержать враждебную ВМОпции для запуска кода с более низким уровнем доверияОтсутствие сохранности вредоносных программ при повторном развертыванииНаблюдает ли Azure за приложениями клиентов?

Нет, гостевые ВМ считаются недовереннымиКонтроль за приложениями клиентов внутри гостевых ВМ отсутствует

Антивирусное сканирование клиентских приложенийОбращение с мошенническими приложениями клиентов

Лучшие практики безопасных приложенийПриложения запущенные в облаке должны быть реализованы следуя лучшим практикам безопасности

Валидация ввода

Аутентификация

Авторизация

Управление конфигурациями

Обращение с важными данными

Управление сессиями

Криптография

Манипуляция параметрами

Обработка исключений

Аудит и логирование

Microsoft Security Development Lifecycle (SDL)

Ведущий промышленный процесс обеспечения выпуска безопасного программного обеспечения

Онлайн-сервисы обязаны соответствовать требованиямРасширено на инфраструктуру размещенияМоделирование угрозВалидация использования допустимых инструментов, документации, паттернов и практик

Conception

Release

Работает для защиты наших пользователей…Уменьшает число уязвимостей, ограничивает последствия от эксплойтов

Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)

Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке

В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»

В ряде случаев вы можете использовать шифрование или другие защитные механизмы

Что логируется?

Infrastructure Asset Logs

Firewall Logs

Intrusion Prevention

System Logs

Network Device Logs

Domain Controller

Logs

Security Server Logs

Sensitive Information Server Logs

User Logons

Security policy configuration

changes