Zařízení Azure, místní a fyzické zabezpečení
Tento článek popisuje, co Microsoft dělá pro zabezpečení infrastruktury Azure.
Infrastruktura datacentra
Azure se skládá z globálně distribuované infrastruktury datacentra, která podporuje tisíce online služby a využívá více než 100 vysoce zabezpečených zařízení po celém světě.
Infrastruktura je navržená tak, aby se aplikace blížily uživatelům po celém světě, zachovala rezidenci dat a nabízela zákazníkům komplexní možnosti dodržování předpisů a odolnosti. Azure má více než 60 oblastí po celém světě a je k dispozici ve 140 zemích/oblastech.
Oblast je sada datacenter, která jsou propojená prostřednictvím masivní a odolné sítě. Síť zahrnuje distribuci obsahu, vyrovnávání zatížení, redundanci a šifrování vrstvy datového propojení ve výchozím nastavení pro veškerý provoz Azure v rámci oblasti nebo cestování mezi oblastmi. Díky více globálním oblastem než jakýkoli jiný poskytovatel cloudu nabízí Azure flexibilitu při nasazování aplikací tam, kde je potřebujete.
Oblasti Azure jsou uspořádané do zeměpisných oblastí. Zeměpisná oblast Azure zaručuje, že se v rámci příslušných zeměpisných hranic dodržují požadavky na rezidenci dat, suverenitu, dodržování předpisů a zajištění odolnosti.
Zeměpisné oblasti umožňují zákazníkům se specifickými požadavky na rezidenci dat a dodržování předpisů, aby měli svoje data a aplikace blízko. Zeměpisné oblasti jsou odolné proti chybám, aby vydržely úplné selhání oblastí prostřednictvím připojení k vyhrazené síťové infrastruktuře s vysokou kapacitou.
Zóny dostupnosti jsou fyzicky oddělená umístění v rámci oblasti Azure. Každou zónu dostupnosti tvoří jedno nebo několik datových center vybavených nezávislým napájením, chlazením a sítí. Zóny dostupnosti umožňují spouštět klíčové aplikace s vysokou dostupností a replikací s nízkou latencí.
Následující obrázek ukazuje, jak globální infrastruktura Azure spáruje oblast a zóny dostupnosti ve stejné hranici rezidence dat pro zajištění vysoké dostupnosti, zotavení po havárii a zálohování.
Geograficky distribuovaná datacentra umožňují Microsoftu být blízko zákazníkům, snížit latenci sítě a umožnit geograficky redundantní zálohování a převzetí služeb při selhání.
Fyzické zabezpečení
Microsoft navrhuje, vytváří a provozuje datová centra způsobem, který přísně řídí fyzický přístup k oblastem, kde jsou uložená data. Microsoft rozumí důležitosti ochrany vašich dat a snaží se zabezpečit datacentra, která obsahují vaše data. V Microsoftu máme celou divize věnovanou navrhování, sestavování a provozování fyzických zařízení podporujících Azure. Tento tým je investován do udržování špičkového fyzického zabezpečení.
Microsoft používá vícevrstvý přístup k fyzickému zabezpečení, aby snížil riziko neoprávněných uživatelů získat fyzický přístup k datům a prostředkům datacentra. Datacentra spravovaná Microsoftem mají rozsáhlé vrstvy ochrany: schvalování přístupu v hraniční síti zařízení, v obvodu budovy, uvnitř budovy a v datovém centru. Vrstvy fyzického zabezpečení jsou:
Žádost o přístup a schválení Před příchodem do datacentra musíte požádat o přístup. Musíte zadat platné obchodní odůvodnění vaší návštěvy, například pro účely dodržování předpisů nebo auditování. Všechny žádosti jsou schváleny zaměstnanci Microsoftu na základě potřeby. Základ potřebný k přístupu pomáhá udržovat počet jednotlivců potřebných k dokončení úkolu v datacentrech na úplné minimum. Po udělení oprávnění má jednotlivec přístup pouze k diskrétní oblasti požadovaného datacentra na základě schváleného obchodního odůvodnění. Oprávnění jsou omezená na určité časové období a jejich platnost vyprší.
Přístup návštěvníka. Odznáčky dočasného přístupu jsou uloženy v soC řízeném přístupem a inventarizované na začátku a na konci každé směny. Všichni návštěvníci, kteří schválili přístup k datacentru, jsou označeni jako Escort Pouze na jejich odznáčky a musí vždy zůstat s doprovodem. Doprovodní návštěvníci nemají udělené žádné úrovně přístupu a mohou cestovat pouze na přístup jejich doprovodu. Doprovod je zodpovědný za kontrolu akcí a přístupu návštěvníka během návštěvy datacentra. Microsoft vyžaduje, aby návštěvníci odevzdali odznáček při odjezdu z libovolného zařízení Microsoftu. Všechny odznáčky návštěvníků mají před opětovným použitím pro budoucí návštěvy odebrané úrovně přístupu.
Hraniční zařízení. Když dorazíte do datacentra, musíte projít dobře definovaným přístupovým bodem. Obvykle vysoké ploty vyrobené z oceli a betonu zahrnují každý inch obvodu. V datacentrech jsou kamery s bezpečnostním týmem, který nepřetržitě monitoruje svá videa. Bezpečnostní hlídky zajišťují, aby vstup a východ byly omezeny na určené prostory. Bollardy a další opatření chrání exteriér datacentra před potenciálními hrozbami, včetně neoprávněného přístupu.
Vchod do budovy. Vstup do datacentra je obsazený profesionálními bezpečnostními pracovníky, kteří prošli přísnými školeními a kontrolami na pozadí. Tito bezpečnostní pracovníci také pravidelně hlídá datacentrum a monitorují videa kamer uvnitř datacentra vždy.
Uvnitř budovy. Po vstupu do budovy musíte předat dvojúrovňové ověřování pomocí biometrických údajů, abyste mohli pokračovat v pohybu přes datové centrum. Pokud je vaše identita ověřená, můžete zadat pouze část datacentra, ke které jste schválili přístup. Můžete tam zůstat pouze po dobu trvání schválené doby.
Podlaha datacentra. Do podlahy, kterou jste schválili, můžete vstoupit. Musíte předat kompletní screening detekce těla kovu. Pokud chcete snížit riziko neoprávněného vstupu nebo opuštění datacentra bez našeho vědomí, můžou se do datového centra dostat pouze schválená zařízení. Kromě toho videokamery monitorují přední a zadní část každého serverového racku. Když opustíte podlahu datacentra, musíte znovu projít kompletním screeningem detekce těla kovu. Pokud chcete datacentrum opustit, musíte projít další kontrolou zabezpečení.
Fyzické kontroly zabezpečení
Pravidelně provádíme fyzické kontroly zabezpečení zařízení, abychom zajistili, že datacentra správně řeší požadavky na zabezpečení Azure. Pracovníci poskytovatele hostingu datacentra neposkytují správu služeb Azure. Pracovníci se nemůžou přihlásit k systémům Azure a nemají fyzický přístup k kolkační místnosti a kleci Azure.
Zařízení s ložisky dat
Microsoft používá osvědčené postupy a řešení vymazání, které je kompatibilní se standardem NIST 800-88. U pevných disků, které nelze vymazat, používáme proces zničení, který ho zničí a znemožní obnovení informací. Tento proces zničení může být rozbourat, rozhrnout, pulverizovat nebo incinovat. Určíme způsob likvidace podle typu majetku. Uchováváme záznamy o zničení.
Vyřazení zařízení
Na konci životnosti systému provozní pracovníci Microsoftu dodržují přísné postupy zpracování dat a odstranění hardwaru, aby zajistili, že hardware obsahující vaše data není zpřístupněn nedůvěryhodným stranám. Pro pevné disky, které ho podporují, používáme zabezpečený přístup pro vymazání. Pro pevné disky, které nelze vymazat, používáme proces zničení, který zničí jednotku a znemožní obnovení informací. Tento proces zničení může být rozbourat, rozhrnout, pulverizovat nebo incinovat. Určíme způsob likvidace podle typu majetku. Uchováváme záznamy o zničení. Všechny služby Azure používají schválené služby pro ukládání médií a správu odstranění.
Kompatibilita
Infrastrukturu Azure navrhujeme a spravujeme tak, aby splňovala širokou škálu mezinárodních a oborových standardů dodržování předpisů, jako jsou ISO 27001, HIPAA, FedRAMP, SOC 1 a SOC 2. Splňujeme také standardy specifické pro jednotlivé země a oblasti, včetně Austrálie IRAP, UK G-Cloud a Singapur MTCS. Přísné audity třetích stran, jako jsou audity provedené britským standardizačním institutem, ověřují dodržování striktních kontrolních mechanismů zabezpečení, které tyto standardy vyžadují.
Úplný seznam standardů dodržování předpisů, které Azure dodržuje, najdete v nabídkách dodržování předpisů.
Další kroky
Další informace o tom, co Microsoft dělá, aby pomohl zabezpečit infrastrukturu Azure, najdete tady: