cloudsnn 2014. Владимир Юнев. Безопасность облака microsoft...
DESCRIPTION
Информационная безопасность.TRANSCRIPT
![Page 1: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/1.jpg)
Безопасность облака Microsoft снаружи и
изнутриответы на главные вопросы
Владимир Юневэксперт по стратегическим технологиям
Microsoft
![Page 2: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/2.jpg)
Agenda
• Облако Microsoft Azure снаружи и изнутри• Ответы на вопросы:• Безопасность данных в облаке Azure• Получает ли кто-нибудь доступ к мои данным• Сертификация• Персональные данные• Гарантии безопасности от Microsoft
• Сервисы, которые сделают ваши решения безопаснее
![Page 3: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/3.jpg)
Microsoft Azureкак мы храним свои и ваши данные
![Page 4: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/4.jpg)
Регион North America Регион Europe Asia Pacific Area
Глобальное присутствие ЦОД
N. Central – U.S. Sub-Region
S.E. AsiaSub-Region
E. AsiaSub-Region
N. Europe Sub-Region
W. Europe Sub-Region
S. Central – U.S. Sub-Region
East – U.S. Sub-Region
West – U.S. Sub-Region
East JapanSub-Region
Southeast AustraliaSub-Region
West JapanSub-Region
East AustraliaSub-Region
E. China (via 21Vianet)Sub-Region
NE. China (via 21Vianet)Sub-Region
Основные ЦОДыУзлы CDN
Доступные субрегионыАнонсированные субрегионыСубрегион управляемый партнером
поддержка 24 x 7 x 365 89 рынков по всему миру двукратный рост мощности каждые полгода .
LATAMSub-Region
![Page 5: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/5.jpg)
Самая большая опасность для Microsoft Azure?..
…наш клиент.
![Page 6: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/6.jpg)
Разделение ответственностиуменьшение затрат на безопасность + гибкость, доступ и управление
Клиент Microsoft
Локально IaaS PaaS SaaS
Хранилище
Сервера
Сеть
O/S
Middleware
Виртуализация
Данные
Приложения
Среда исполнения
![Page 7: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/7.jpg)
Идентифи- кация
и доступ
Целостность хоста
Безопасность
приложений
Защита данных
Сетевая безопасност
ь
Многоуровневая защита
Физическая безопасност
ь
![Page 8: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/8.jpg)
Безопасность дата-центраБезопасность сервиса начинается с дата-центра
World-ClassSecurity
Тщательный мониторинг
Защита от огняБезопасность периметра
Мультифакторная аутентификация
Безопасность доступа 24 x 7Сенсоры движенияБиометрические системы доступаНаблюдение видео-камерамиСигнализация нарушений безопасности
![Page 9: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/9.jpg)
Круглосуточный мониторинг объектов
Мониторинг и ведение логов системы
Управление патчами
Защита от вредоносного ПО
Определение вторжений и DDoS
Тестирование на проникновени
Выделенное облако для правительств
Защита инфраструктуры
![Page 10: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/10.jpg)
Сетевая защита
Шифрование соединений
Виртуальные сети
ExpressRoute
Сетевая изоляция
![Page 11: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/11.jpg)
Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа
Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:
Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску
Целостность кодаУправление обновлениями
Gue
st V
M
Gue
st V
M
Gue
st V
M
Gue
st V
M
Hos
t VM
Hypervisor
Network / Disk
![Page 12: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/12.jpg)
Облачная идентификация – Azure Active Directory
Мониторинг и аудит доступа
Функция единого входа (Single sign-on)
Мультифакторная аутентификация
Контроль доступа на базе ролей
Идентификация и доступ
![Page 13: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/13.jpg)
Шифрование передачи данных
Опции шифрования при хранении данных
Разнесение данных
Выбор места хранения данных
Избыточность при хранении данных
Строгий процесс уничтожения носителей
Защита данных
![Page 14: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/14.jpg)
Запрет на слежение за вашими данными
Azure не предоставляет ваши данные рекламным сервисамAzure не исследует ваши данные для рекламы
![Page 15: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/15.jpg)
ISO 27001 SOC 1 Type 2SOC 2 Type 2
FedRAMP/FISMAPCI DSS Level 1UK G-CloudHIPAA/HITECH
Стандарт информационной безопасности
Эффективность
управления
Индустриальная
и
правительствен
ная
сертификация
Соответствие нормам и стандартам
![Page 16: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/16.jpg)
Фундамент для довериястроится на опыте и инновациях microsoft
Trustworthy ComputingInitiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st Microsoft
Data Center Active
Directory SOC 1
CSA Cloud Controls Matrix PCI DSS
Level 1
FedRAMP/FISMA
UK G-Cloud Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes Unit
SOC 2
E.U. Data Protection Directive
1989 1995 2000 2005 2010
![Page 17: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/17.jpg)
Microsoft Operations Centers
Управление Сервисами и Контроль• Все необходимые функции, включая
инструментарий, инженерные процессы, отчетность и управление учетными записями
• 1 триллион строк данных сохраняется ежедневно
Операционные Центры • 1,000+ ответов на инциденты в неделю
• 3,000+ запросов по e-mail в неделю
• 10,000+ сигналов обрабатывается в неделю
Инженерные Процессы и Управление Знаниями• 1,400+ пользователей среди всех наших
приложений
![Page 18: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/18.jpg)
Что логируется?
Infrastructure Asset Logs Firewall Logs
Intrusion Prevention
System Logs
Network Device Logs
Domain Controller
Logs
Security Server Logs
Sensitive Information Server Logs
User Logons
Security policy
configuration changes
![Page 19: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/19.jpg)
Ответы на основные вопросы
![Page 20: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/20.jpg)
В. Безопасны ли мои данные в Azure?О. Данные в Azure защищены шифрованием данных при передаче и хранении, а так же операционными процессами, такими как политиками уничтожения носителей
Ресурсы:Trust Center – Privacy (data location)
![Page 21: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/21.jpg)
В. Как мне безопасно подключить
свою инфраструктуру к облаку Azure?О. Виртуальные сети Azure позволяют легко расширить в Azure ваши корпоративные сети через VPN.
Для корпоративных заказчиков развивается прямой доступ из ЦОД в Azure через ExpressRouteРесурсы:Azure Network Security Whitepaper
VPN
Site-to-Site VPN
Point-to-Site
VPN
Remote Workers
Customer Site
Computers Behind Firewall
Azure
![Page 22: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/22.jpg)
В. Какие методы защиты предлагает облако Azure по умолчанию?О. Автоматическое определениеи предотвращение вторжений, предотвращение DDoS-атак, регулярное тестирование инфраструктуры на проникновение и другие инструменты предотвращения криминальных активностей снаружи и изнутри AzureРесурсы:Azure Network Security WhitepaperAzure Security: Technical Insights Whitepaper
![Page 23: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/23.jpg)
В. Как Azure отвечает на инциденты и работает со мной в случае нарушения безопасности?
О. Azure поддерживается глобальной командой поддержки, которая работает круглосуточно и ежедневно для предотвращения атак на безопасность и действий злоумышленников
Ресурсы:Microsoft Security Response Center
![Page 24: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/24.jpg)
В. Имеет ли Microsoft доступ к моим данным в Azure?О. Персонал Microsoft не имеет доступа к данным клиентов. В случае запроса поддержки пользователем, предоставляется доступ с низкими привилегиями, с требованием мультифакторной аутентификации.
Доступ логируется и ведется аудит.Ресурсы:Trust Center – Privacy (data location)
Pre-screened Admin requests access
Leadership grantstemporary privilege
Microsoft Corporate Network
Azure
Just in Time &
Role-Based Access
![Page 25: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/25.jpg)
В. Что насчет аудита ЦОД и операций Azure?О. Предлагается независимый аудит и сертификация организациями и стандартами вместо личного аудита пользователями
Ресурсы:Azure Trust Center – ComplianceRequest Audit Report
HIPAA
![Page 26: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/26.jpg)
В. Какие гарантии дает Microsoft?
О. Microsoft гарантирует защиту приватности данных и уведомление об инцидентах безопасности всем клиентам.
Предлагает специальные соглашения для регуляторов в индустриях вроде финансов и здравоохранения
Ресурсы:Trust Center – Privacy
Microsoft Online Service Terms (OST) • Commitments regarding use & disclosure of Customer
Data, security Incident notification, and use of subcontractors
Data Processing Terms• Applies to narrower scope of core services• Commitments regarding data location, audit, data
protection, EU law
HIPAA Business Associate Agreement • Applies to narrower scope of core services• Commitments regarding security and privacy and special
provisions related to breach notification
Financial Services • Includes Regulator (not customer) Right to Examine• Offers optional paid Financial Services Compliance
Program
![Page 27: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/27.jpg)
В. Как Microsoft реагирует на запросы данных клиентов от правоохранителей?О. Microsoft гарантирует защиту приватности данных и расширяет эти гарантии на ответы на все запросы информации о клиентах от правительственных структур.
Вне зависимости от того, относятся ли они к криминальным вопросам или национальной безопасности
Ресурсы:Law Enforcement Request Report
Прозрачность
Ясные принципы и Защита Клиентов
![Page 28: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/28.jpg)
В. Что, если государство следит…?О. Если даже государство каким-то образом участвует в сборе информации, то это производится без вовлечения или уведомления Microsoft.
Microsoft постоянно улучшает защиту своих коммуникаций и безопасность хранения данных пользователей.Ресурсы:Law Enforcement Request Report
Нет бэкдоров
Улучшение
безопасности
![Page 29: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/29.jpg)
Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)
Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке
В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»
В ряде случаев вы можете использовать шифрование или другие защитные механизмы
![Page 30: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/30.jpg)
Сервисы, которые сделают ваши решения безопаснее
![Page 31: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/31.jpg)
31
• Управление группами и обеспечение их безопасности, аудиторские отчеты
• Самостоятельный сброс пароля и многофакторная аутентификация
• Взаимодействие между AD и Azure AD
• Защита информации• Условный доступ
• Управление параметрами и настройками мобильных устройств
• Управление жизненным циклом мобильных приложений• Очистка и удаление данных с устройства
Enterprise Mobility Suite
Цена в рамках Enterprise Agreement от $4 за пользователя в месяц* * Промоцена по соглашению EA уровня A действует ограниченное время.
Доступно при приобретении не менее 250 мест и наличии лицензии CAL Suite (CoreCAL/ECAL)
Из чего он состоит....
Благодаря Azure Active Directory Premium:
Благодаря Windows Intune:
Благодаря Azure Rights Management Service:
Включен Forefront Identity
Management
Права на использование
WS RMS CAL
![Page 32: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/32.jpg)
Мы тратим миллионы на безопасность…
…вместо вас.
![Page 33: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/33.jpg)
Доверие лидеров индустрии
![Page 34: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/34.jpg)
ЗаключениеОснова
Microsoft Azure – многоуровневая
безопасность
Безопасность в облаке – общее дело
Microsoft Azure применяет
лучшие практики и соответствует
всем современным требованиям безопасности
Хранить данные в Azure безопасно
и надежно
Сервисы Azure позволяют
строить безопасные
решения
Microsoft вкладывает миллионы долларов
в свою и вашу безопасность
![Page 35: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/35.jpg)
Ресурсы
SECURITY RESPONSE CENTER
SECURITY DEVELOPMENT LIFECYCLE
SECURITY TECH CENTER
SECURITY INTELLIGENCE REPORT
MICROSOFT SECURITY UPDATE GUIDE
SECURITY DEVELOPMENT CENTER
END TO END TRUST
MALWARE PROTECTION CENTER
TRUSTWORTHY COMPUTING
SECURITY BLOG
www.microsoft.com/security/msrcwww.microsoft.com/security/sir
www.microsoft.com/sdl technet.microsoft.com/security
www.microsoft.com/securityupdateguide
msdn.microsoft.com/securitywww.microsoft.com/twc
www.microsoft.com/endtoendtrust
www.microsoft.com/security/portal
www.microsoft.com/about/twc/en/us/blogs.aspx
![Page 36: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/36.jpg)
Владимир Юневэксперт по стратегическим технологиям, [email protected]
@XaocCPSfacebook.com/yunevblogs.msdn.com/b/vyunev
Группа Azure для всех - facebook.com/groups/azurerus/
Всем спасибо! Ваши вопросы
azure.com AzureHub.ru
msftva.ru
![Page 37: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/37.jpg)
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to
be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS
PRESENTATION.
![Page 38: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/38.jpg)
Дилемма предотвращения злоупотребленийКлиенты могут использовать Azure для гнусных целей:
Хакеры могут создавать учетные записи на базе украденных кредитных картЭти учетные записи могут быть использованы для размещения мощных ботовИсходящие DoS-атакиРаспространение спамаАтаки SQL-инъекцийХостинг фишинговых веб-сайтовПубликация вредоносных приложенийПубликация материалов защищенных авторским правом
Наше пользовательское соглашение говорит, что мы не можем наблюдать за тем что делают клиентыБез проверки клиентов с нашей стороны, сторонние сервисы включат наши IP в черные спискиНе существует стандартов по которым можно оценивать поведение
![Page 39: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/39.jpg)
Модель безопасности Azure – ключевые требования
Изоляция Тенанта (Tenant Isolation)Тенант не имеет возможности определить другие тенанты размещенные в Azure
Предотвращение DoS-атакТенанты не имеют возможности повлиять и злоупотребить ресурсами других тенантовDoS-атака на один тенант не влияет на другие тенанты
Герметичность (Containment)Компрометирование границ изоляции ВМ не компрометирует всю инфраструктуруКомпрометирование одного дата-центра не компрометирует другие дата-центры
![Page 40: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/40.jpg)
Соответствие Microsoft Azure сертификатам
Сегодня
Скоро
ISO/IEC 27001:2005SSAE 16 (SOC 1 Type 2)
EU-US Safe HarbourEU Model ClausesHIPAA BAAPCI DSS (Level 1)
FISMA / FedRAMPUK G-Cloud OFFICIAL AccreditationLife Sciences GxP CSA CCM (Cloud Security Alliance Cloud Controls Matrix)
FERPA (Family Educational Rights and Privacy Act)
FIPS (Federal Information Processing Standard)
![Page 41: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/41.jpg)
Подробно о защите
физическая безопасност
ь
![Page 42: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/42.jpg)
Физическая безопасность – пример центра
Центр защищенный 24x7
Площадь в 700,000 квадратных футов
Десятки тысяч серверов
Резервного питания хватит на дни работы
![Page 43: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/43.jpg)
сетевая безопасност
ь
Подробно о защите
![Page 44: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/44.jpg)
Firewall & Packet FiltersСетевая изоляция (Network Isolation)SSL-защита трафика внутренних сетейАвтоматическая конфигурацияНепрерывные испытания на соответствиеНадзор, Мониторинг, ЭкспертизаОпределение инцидентов и ответная реакцияГерметичностьВосстановление
Сетевая безопасность
![Page 45: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/45.jpg)
Встроенные файрволы
Трафик Azure проходит через несколько файрволов
Файрвол гостевой ВМФайрвол ВМ хостаФайрвол SQL AzureЛокальные файрволы
![Page 46: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/46.jpg)
Разнообразные SSL-каналы
Client
Developer
SSL
SSL
SSL
SSL
SSL
Worker role
Web role
![Page 47: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/47.jpg)
Подробно о защите
целостность хоста
![Page 48: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/48.jpg)
Целостность хостаУменьшение объема ОС (OS footprint)Изоляция вычислений и доступа
Применение десятилетнего опыта Microsoft в защите ОС для обеспечения:
Изоляции хоста от гостевых ВМИзоляция гостевых ВМ друг от другаОпосредованный через хост доступ гостевой ВМ к сети и диску
Целостность кодаУправление обновлениями
Gue
st V
M
Gue
st V
M
Gue
st V
M
Gue
st V
M
Hos
t VM
Hypervisor
Network / Disk
![Page 49: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/49.jpg)
Подробно о защите
защита данных
![Page 50: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/50.jpg)
Защита данныхИзбыточное хранилище
По крайне мере трехкратная репликация в одном дата-центреГео-репликация в другие дата-центры
Ключи и учетные записи хранилищаРезервное копирование данныхУдаление и уничтожение данныхSQL Azure наследует систему аутентификации и авторизации от SQL ServerШифрование данных (при передаче, при хранении)
![Page 51: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/51.jpg)
Подробно о защите
идентификация
и доступ
![Page 52: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/52.jpg)
Azure поддерживает персонализацию – идентификацию и доступ
Высокие гарантии идентификации (Strong Identity Assurance)
Двухфакторная аутентификация – смарт-картыОбучение, обследование, фоновые проверки
Детальное управление доступомДоступ к данным клиентов усиленно защищенУровни доступа пересматриваются на периодической основеЛогирование и мониторинг – temper-resistant/evident logsЛоги – объекты эвристического анализа для поиска подозрительных активностейКлиенты имеют доступ к логам действий администраторов, который влияют на их сервисы
![Page 53: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/53.jpg)
Что такое Azure Active Directory?
Расширение Active Directory в облако
Спроектировано в первую очередь для соответствия требованиям облачных приложений
Идентификация как сервис: незаменимая часть Платформы как сервиса (PaaS)
AzureAD
AD
Cloudapp
Cloudapp
Cloudapp
![Page 54: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/54.jpg)
Управление идентификацией как сервис
Консолидация управления идентификацией между облачными приложениями
Подключение к директории с любой платформы и любого устройства
Связь с посетителями использующими провайдеры аутентификации веб-сервисов и других организаций
AzureAD
AD
Прил-е ISV
Другие прил-яMSFT
Ваше прил-е
Office365
Прил-еISV
![Page 55: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/55.jpg)
Подробно о защите
безопасность
приложений
![Page 56: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/56.jpg)
Безопасность приложенийЛучшие практики безопасности для разработки приложений AzureБезопасность зависит от возможности гипервизора содержать враждебную ВМОпции для запуска кода с более низким уровнем доверияОтсутствие сохранности вредоносных программ при повторном развертыванииНаблюдает ли Azure за приложениями клиентов?
Нет, гостевые ВМ считаются недовереннымиКонтроль за приложениями клиентов внутри гостевых ВМ отсутствует
Антивирусное сканирование клиентских приложенийОбращение с мошенническими приложениями клиентов
![Page 57: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/57.jpg)
Лучшие практики безопасных приложенийПриложения запущенные в облаке должны быть реализованы следуя лучшим практикам безопасности
Валидация ввода
Аутентификация
Авторизация
Управление конфигурациями
Обращение с важными данными
Управление сессиями
Криптография
Манипуляция параметрами
Обработка исключений
Аудит и логирование
![Page 58: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/58.jpg)
Microsoft Security Development Lifecycle (SDL)
Ведущий промышленный процесс обеспечения выпуска безопасного программного обеспечения
Онлайн-сервисы обязаны соответствовать требованиямРасширено на инфраструктуру размещенияМоделирование угрозВалидация использования допустимых инструментов, документации, паттернов и практик
Conception
Release
Работает для защиты наших пользователей…Уменьшает число уязвимостей, ограничивает последствия от эксплойтов
![Page 59: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/59.jpg)
Немного про персональные данныеЯвляется трудностью для построения решений по всему миру (не только в России)
Клиенты должны самостоятельно построить решение с учетом того, что будет, а что не будет храниться в облаке
В первую очередь, необходимо перенести данные не попадающие под понятие «персональных данных»
В ряде случаев вы можете использовать шифрование или другие защитные механизмы
![Page 60: CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри: ответы на главные вопросы](https://reader036.vdocuments.site/reader036/viewer/2022062319/557d2bf8d8b42a7a608b4d4f/html5/thumbnails/60.jpg)
Что логируется?
Infrastructure Asset Logs
Firewall Logs
Intrusion Prevention
System Logs
Network Device Logs
Domain Controller
Logs
Security Server Logs
Sensitive Information Server Logs
User Logons
Security policy configuration
changes