Bedrohungen für Rechenzentren, Sicherheitsrisiken und Risikobewertung
Microsoft bietet Kunden rund um die Uhr und an 365 Tagen im Jahr mehr als 200 Clouddienste an. Einige Beispiele sind Unternehmensdienste wie Microsoft Azure, Microsoft 365, Microsoft Dynamics und Verbraucherdienste wie Bing, MSN, Outlook.com, Skype und Xbox Live. Diese Dienste werden in der Cloudinfrastruktur von Microsoft gehostet: global verteilte Rechenzentren, Edge Computing-Knoten und Dienstbetriebszentren sowie eines der größten globalen Netzwerke der Welt; mit einem umfangreichen Faserbedarf, der sie alle verbindet. Seit der Eröffnung unseres ersten Rechenzentrums im Jahr 1989 hat Microsoft mehrere Milliarden in unsere Infrastruktur investiert. Der Fokus liegt weiterhin darauf, zuverlässige, skalierbare und sicherheitstechnisch verbesserte Onlinedienste anzubieten, und gleichzeitig Betrieb und Kosten effizient zu verwalten, während die Dienste wachsen.
Microsoft Cloud Services basieren auf einer Grundlage von Vertrauen und Sicherheit, wobei der Fokus auf dem Schutz von Kundendaten und Anwendungen in der Cloud mit modernster Technik, Prozessen und Verschlüsselung liegt. Kundendaten werden in Microsoft-Rechenzentren gespeichert, die sich geografisch an unterschiedlichen Orten befinden und von mehreren Ebenen tiefgreifender logischer und physischer Sicherheitsmaßnahmen geschützt werden. Microsoft-Rechenzentren sind so konzipiert und gesteuert, dass Dienste und Daten vor Schäden durch Naturkatastrophen, Umweltbedrohungen oder vor nicht autorisiertem Zugriff geschützt sind.
Methodik zur Bedrohungs-, Sicherheits- und Risikobewertung
Das TvRA-Programm (Threat, Vulnerability, And Risk Assessment) hilft Ihnen zu verstehen, wie Microsoft die Auswirkungen physischer und ökologischer Bedrohungen auf Microsoft-Rechenzentren identifiziert und abmildert. Microsoft ist bestrebt, seine Risikobewertungen und -methoden kontinuierlich zu aktualisieren, um Verbesserungen zu erzielen und sich die Bedingungen zu ändern. Die TVRA-Analysen und -Schlussfolgerungen können sich daher ändern, und die Berichte werden als Zeitpunkt betrachtet.
Microsoft erleichtert den TVRA-Prozess durch die folgenden Schritte:
Risikoidentifikation
TVRAs berücksichtigen eine Vielzahl von Bedrohungsszenarien, die sich aus natürlichen und vom Menschen erzeugten (einschließlich zufälliger) Gefahren ergeben. Die Ergebnisse variieren je nach Standort des Rechenzentrums, Design, Leistungsumfang und anderen Faktoren. Der TVRA wählt die Bedrohungsszenarien aus, die im TVRA-Dokument hervorgehoben werden sollen, basierend auf den Kundenanforderungen, einer unabhängigen Bewertung des Landes, einer stadtunabhängigen und einer unabhängigen Standortbewertung der Risikoumgebung, die von Risikoinformationen von Drittanbietern und Drittanbietern bereitgestellt wird. Für Regionen mit mehreren Rechenzentren werden die TVRA-Bewertungen aggregiert, um eine ganzheitliche Sicht auf die physischen und umweltbedingten Bedrohungen, Schwachstellen und Risiken für die zu bewertenden Standorte zu gewährleisten.
Zu den Arten von Bedrohungsszenarien, die für TVRAs in Rechenzentren bewertet werden, gehören:
- Externe Bedrohungen: Vorfälle, die auf absichtliche oder versehentliche aktivitäten von externen Menschen resultieren. Zum Beispiel zivile Unruhen, Terrorismus, kriminelle Aktivitäten, Diebstahl von außen, improvisierte Sprengsätze, bewaffnete Angriffe, Brandstiftung, unbefugtes Eindringen und Flugzeugabstürze.
- Interne Bedrohungen: Vorfälle, die sich aus internen absichtlichen oder versehentlichen menschlichen Aktivitäten ergeben. Zum Beispiel interner Diebstahl und Sabotage.
- Naturgefahren: ein natürlicher Prozess oder ein Phänomen, das sich negativ auf Rechenzentren auswirken kann. Zum Beispiel tropische Stürme, Wirbelstürme, Überschwemmungen, Erdrutsche, Dürre, Waldbrände, Erdbeben, vulkanische Aktivität und schwere Stürme mit Blitzen, Hagel, starken Winden oder Starkregen.
- Umweltbedrohungen: Umgebungsbedingungen, die sich negativ auf Rechenzentren auswirken könnten. Zum Beispiel Wasserstress, Hitzestress und Pandemien.
Risikoanalyse
Bedrohungen werden auf der Grundlage einer Bewertung ihres inhärenten Risikos bewertet; Das inhärente Risiko wird als Funktion der inhärenten Auswirkungen einer Bedrohung und der inhärenten Wahrscheinlichkeit des Auftretens einer Bedrohung berechnet, wenn keine Managementmaßnahmen und Kontrollen vorhanden sind. Diese Bewertungen basieren sowohl auf dem Feedback interner Fachexperten (SME) als auch auf externen Risikoindizes.
Restrisiko
Das Restrisiko wird als Maß für die verbleibenden Risikostufen nach Berücksichtigung der Kontrollwirksamkeit bestimmt. Die Effektivität von Kontrollen wird als ein Maß der aktuellen Verwaltungsmaßnahmen und -kontrollen bewertet, die Bedrohungen verhindern oder aufdecken sollen, und schätzt die Wahrscheinlichkeit ein, dass die geplanten und implementierten Kontrollen die gewünschte Wirkung erzielen. Für diese Bewertungen wird eine Aggregation von Feedback von internen Fachexperten zur Effektivität von Kontrollen für jene Standorte von Rechenzentren herangezogen, auf die sich die TVRA bezieht.
Bericht
Nach Abschluss der Bewertung wird ein TVRA-Bericht zur Genehmigung des Managements und zur Unterstützung unserer gesamten Bemühungen im Zusammenhang mit dem Risikomanagement generiert.