Udostępnij za pośrednictwem

Zabezpieczenia i zgodność usługi Visual Studio App Center

  • Artykuł

Ważne

Program Visual Studio App Center ma zostać wycofany 31 marca 2025 r. Mimo że możesz nadal używać programu Visual Studio App Center do momentu jej pełnego wycofania, istnieje kilka zalecanych alternatyw, do których można rozważyć migrację.

Dowiedz się więcej o osiach czasu pomocy technicznej i alternatywach.

Usługa App Center poważnie traktuje zabezpieczenia. Jako pierwsza usługa platformy Microsoft Azure odpowiadamy za przestrzeganie wszystkich wymagań wewnętrznych firmy Microsoft dotyczących działania w bezpieczny i niezawodny sposób.

Chcemy dać Ci pomysł na niektóre zasady, które przestrzegamy, aby zapewnić bezpieczeństwo centrum aplikacji. Chociaż nie jest to wyczerpująca lista pojęć związanych z zabezpieczeniami, jest ona ukształtowana przez wiele żądań od klientów w celu uzyskania podobnych informacji.

Ważne

Ta dokumentacja jest przeznaczona do udostępniania informacji o naszym stanowisku w dziedzinie zabezpieczeń. Nic w tej dokumentacji nie oznacza ani nie powinno oznaczać, że centrum App Center nigdy nie będzie miało problemu z zabezpieczeniami. Nic w tej dokumentacji zastępuje wszelkie informacje w postanowieniach dotyczących usług online firmy Microsoft. Jeśli masz świadomość potencjalnego problemu z zabezpieczeniami w usłudze App Center, skontaktuj się natychmiast z Centrum zabezpieczeń firmy Microsoft .

Miejsce przechowywania i niezależność danych

Usługa App Center działa prawie całkowicie w Stany Zjednoczone. Wszystkie dane i przetwarzanie aplikacji, użytkowników, organizacji, kompilacji, dystrybucji, analizy i diagnostyki odbywa się w Stany Zjednoczone. Nie ma dostępnej opcji hostowania tych danych klienta w innym kraju/regionie.

Jedyną częścią usługi App Center, która działa poza Stany Zjednoczone, jest test usługi App Center. Urządzenia testowe usługi App Center znajdują się w Danii. Dane generowane przy użyciu usługi App Center Test są przechowywane w Danii i w Stany Zjednoczone.

Sieci dostarczania zawartości (CDN) służą do udostępniania niektórych wersji zawartości i aplikacji z Centrum aplikacji. Punkty cdN znajdują się na całym świecie, ale wszystkie dane źródłowe znajdują się w Stany Zjednoczone.

Uwaga

Ze względu na obowiązujące w kraju zasady i przepisy nie możemy zagwarantować, że centrum aplikacji działa we wszystkich krajach/regionach. W przypadku niektórych użytkowników w regionie Chiny dane zestawu SDK analizy i diagnostyki mogą mieć znaczne opóźnienie lub nie mogą być dostępne dla naszych serwerów opartych na Stany Zjednoczone.

Bezpieczeństwo danych

Szyfrowanie podczas przesyłania

Cały ruch sieciowy w usłudze App Center, zarówno przez Internet, jak i w centrum danych platformy Azure, jest zabezpieczony przy użyciu protokołu HTTPS przy użyciu protokołu TLS 1.2 lub nowszego.

Szyfrowanie danych magazynowanych

Wszystkie dane przechowywane przez centrum aplikacji są szyfrowane w spoczynku. Używamy funkcji szyfrowania udostępnianych przez produkty magazynu danych platformy Microsoft Azure, których używamy do tworzenia centrum aplikacji. Obejmują one usługę Azure Storage, Azure SQL i usługę Azure Cosmos DB.

Klucze szyfrowania

Używamy kluczy dostarczanych przez system do szyfrowania magazynowanych. Usługa App Center nie obsługuje kluczy zarządzanych przez klienta na potrzeby szyfrowania.

Obsługa wielu dzierżawców

App Center to system z wieloma dzierżawami. Wszystkie dane klientów są przechowywane w jednym zestawie magazynów danych. Nie ma możliwości przechowywania danych klienta w osobnym lub izolowanym zestawie magazynów danych.

Zabezpieczenia kodu

Baza kodu centrum App Center jest skanowana przez wewnętrzne narzędzia firmy Microsoft pod kątem problemów, takich jak nieaktualne zależności i znane luki w zabezpieczeniach. Wszelkie znalezione problemy są wyświetlane na pulpicie nawigacyjnym zabezpieczeń i rozwiązane przez zespół inżynierów.

Aby upewnić się, że działania w usłudze są uzasadnione, a także wykrywać naruszenia lub próby naruszenia, używamy infrastruktury platformy Azure do rejestrowania i monitorowania kluczowych aspektów usługi. Ponadto wszystkie działania wdrożenia i administratora są bezpiecznie rejestrowane, podobnie jak dostęp operatora do magazynu produkcyjnego.

W przypadku zidentyfikowania możliwej luki w zabezpieczeniach lub luki w zabezpieczeniach o wysokim priorytecie mamy jasny plan reagowania na zdarzenia zabezpieczeń. Ten plan przedstawia odpowiedzialne strony, kroki wymagane do zabezpieczenia danych klientów oraz sposób kontaktowania się z ekspertami ds. zabezpieczeń w Centrum zabezpieczeń firmy Microsoft (MSRC), Microsoft Azure i członkami zespołu kierowniczego centrum aplikacji. Powiadomimy również wszystkich właścicieli organizacji, jeśli wierzymy, że ich dane są ujawniane lub uszkodzone.

Ogólnie rzecz biorąc, usługa App Center jest zgodna z cyklem życia tworzenia zabezpieczeń firmy Microsoft.

Dostęp do systemów produkcyjnych

Od czasu do czasu pracownicy firmy Microsoft potrzebują dostępu do danych klientów przechowywanych w Centrum aplikacji. Wszyscy pracownicy, którzy mają dostęp do danych klientów, muszą przejść kontrolę w tle, która weryfikuje poprzednie zatrudnienie i wyroki skazujące karne. Ponadto zezwalamy na dostęp do systemów produkcyjnych tylko wtedy, gdy wystąpi incydent na żywo lub inne zatwierdzone działania konserwacyjne. Wszyscy pracownicy wymagający dostępu do produkcyjnych systemów App Center są zobowiązani do korzystania z stacji roboczej bezpiecznego dostępu przy użyciu podniesienia poziomu just in time (JIT). Wszystkie żądania podniesienia uprawnień JIT muszą zostać zatwierdzone przez innego członka zespołu i są rejestrowane i poddawane inspekcji.

Dane w centrum aplikacji są klasyfikowane w celu odróżnienia danych klientów (przekazywanych do centrum aplikacji), danych organizacyjnych (informacji używanych podczas rejestrowania się w organizacji lub administrowania nią) oraz danych firmy Microsoft (wymaganych do lub zebranych za pośrednictwem usługi). Na podstawie klasyfikacji kontrolujemy scenariusze użycia, ograniczenia dostępu i wymagania dotyczące przechowywania.

Wszystkie identyfikatory logowania używają uwierzytelniania wieloskładnikowego usługi Azure Active Directory (MFA/ 2FA).

Ciągłość działania i odzyskiwanie po awarii (BCDR)

Usługa App Center jest zgodna z wewnętrznymi wymaganiami firmy Microsoft i platformy Azure dotyczącymi obsługi odpornego systemu. Uczestniczymy w planach, regularnie przeglądamy nasze plany dotyczące ciągłości działania i odzyskiwania po awarii przy użyciu odpowiednich wewnętrznych zespołów firmy Microsoft i aktualizują te plany zgodnie z potrzebami.

Regularnie testujemy nasze plany odzyskiwania po awarii.

Inspekcja zewnętrzna i testowanie

Centrum aplikacji nie prowadziło inspekcji zewnętrznych (takich jak SOC 2 lub ISO 27001) ani zewnętrznych testów penetracyjnych, ponieważ niewielu naszych klientów tego wymaga.

W tym przypadku podlegamy wielu wewnętrznym systemom zgodności firmy Microsoft, Azure i Cloud & AI Division. Te wymagania nakładają się znacząco na to, co znajdziesz w zewnętrznych programach inspekcji. Zachowanie zgodności z wewnętrznymi wymaganiami firmy Microsoft dotyczącymi platformy Azure oznacza, że nasze stanowisko w zakresie zabezpieczeń i ciągłości działania jest niemal identyczne z systemami, które zakończyły inspekcje zewnętrzne.

RODO

Centrum aplikacji w pełni obsługuje RODO. Mamy obszerną dokumentację , aby wyjaśnić, w jaki sposób dane są obsługiwane i jak można przesyłać żądania podmiotów danych.

Raportowanie zabezpieczeń

Usługa App Center współpracuje z usługą Microsoft Security Response Center (MSRC), aby rozwiązać wszystkie problemy z zabezpieczeniami zgłaszane zewnętrznie. Jeśli masz świadomość potencjalnego problemu z zabezpieczeniami w usłudze App Center, skontaktuj się natychmiast z usługą MSRC.

Zobacz też