Embed Size (px)
Citation preview
Windows Azure 如何保障云安全?
Windows Azure 安全性概览
您在读本章之前已经对 Windows Azure 的很多服务做了了解,相信其中很多的技术特性让
您充满期待并跃跃欲试,但是作为一个理性的 IT 从业人士,您心中一定有这样的疑问:
Windows Azure 这朵飘在天上的云真的安全吗?接下来我们将通过本章带您了解
Windows Azure 是如何保障信息安全和客户业务的连续性。
在互联网时代,无论是个人用户、创业团队、还是大型的企业,私有的数据都是最具价值的
资产之一。数据都是企业的生存之本。正是依赖这些数据,企业可以更好的维系客户关系、
发掘客户的需求、更好的管理员工与业务……因此,在大多数的企业看来,IT 硬件永远是最
廉价的企业资产,运行在这些硬件之上的业务系统和数据才是企业的生命。而维护这些关键
企业数据的安全,就成了摆在 IT 主管面前的一大难题。话说选择将数据保存在自己构建的
数据中心内整天都会提心掉胆的担心黑客攻击,被人窃取,把业务放在基于互联网的公有云
上,企业管理层和 IT 主管们不是更要整天寝食难安了?大企业都整日担忧数据的安全,小
企业和创业团队该怎么办呢?近年来,国家大力扶持小微企业发展的政策促进了市场的繁
荣,也让更多的人可以将想法转化为商业价值,数据、代码等等元素正是凝结这些创新想法
的载体,而创业团队或是中小企业在面临资金紧张的同时,又该如何解决信息安全的问题呢?
对于这些团队来说,国内大型互联网公司抄袭中小企业或创业团队的创意的报道时常见诸于
新闻网站和报章,过分依赖大企业是否就会面临自己的知识产权无法被有效的保护,而给自
己带来业务风险呢?其实,这还是得看您选择何种的云服务。
如何选择可靠的云服务提供商?
当然,我们要选择信得过,靠得住、经历过时间、用户、风险考验的云平台。而选择这样一
个云平台有几项重要的指标,包括品牌、规模、信誉度、法律承诺、以及认证,这些硬性的
指标让我们可以很直观的了解一个云服务商是否安全可靠,并且我们也可以在这样的平台上
利用一些先进的安全框架、最佳实践的指导构建可靠的业务运行环境。Windows Azure 就
是可靠平台的代表之一,它在技术与架构上承袭了微软全球数十年的独家经验,这已经经过
了全球大量企业的实际验证。从云服务的角度来说,微软的云基础结构目前正在支持超过十
亿用户和 2000 万个企业,并在全球 76 个市场中运行。微软已利用此专业知识创建并实现
了行业领先的安全软件开发、操作管理和威胁缓解实践,从而帮助它提供大多数客户自己不
能实现的服务,实现更高级别的安全性、隐私性和合规性。
因此,Windows Azure 在进入中国之前已经在海外累积了丰富的运营与安全经验。在进入
中国之后,微软通过与中国最大的电信中立互联网基础设施服务提供商世纪互联携手合作,
可以将微软在云运营、企业软件、安全等经验与世纪互联在数据中心运营方面的经验进行有
机的融合,为用户提供全球领先水平的服务质量保障。微软与世纪互联可以在品牌、信誉、
财务等诸多方面提供可靠的支持。并且由世纪互联运营的 Windows Azure 是一个完全中立
的平台,与客户没有利益冲突,在设计、合同条款与技术上实现对客户数据和知识产权的安
全的保护。
作为由世纪互联运营的 Windows Azure 的客户,可获得以下服务:
• 由中国领先的互联网数据中心提供商世纪互联在中国大陆数据中心独立运营的云
服务。
• 源于微软数十年来服务全球企业客户的丰富在线服务经验而开发的世界一流的
Azure 技术。
谁来保障我的数据安全?
首先,从物理环境上来说,由世纪互联运营的 Windows Azure 在北京和上海拥有两座 T4
级别的数据中心,两地距离超过 1000 公里,具有地理冗余的数据在每个数据中心中都存有
3 个副本,两地共 6 个副本,能够完全实现容灾。在人员配备方面,世纪互联拥有专业的技
术团队,对 Windows Azure 服务进行管理和监控,这些人员拥有提供全天候安全联机服务
的多年丰富经验。他们不只由专业的 IT 工程师所组成,还包括经过专业训练的安保团队,
确保进出数据中心的每一名工作人员都可以通过面部、指纹以及智能卡的认证。此外还包括
专业化的消防、监控与管理团队,7X24 小时全天候让 Windows Azure 云数据中心不会有
任何的安全死角,从物理层面为您的业务与数据筑起铜墙铁壁般的保护。
除了物理层面以外,其他层面依然坚若磐石。例如在云所依赖的网络通信上,Windows
Azure 提供了内置的 SSL 和 TLS 加密方法,使用户可以加密部署内、部署之间、从
Windows Azure 到本地数据中心以及从 Windows Azure 到管理员和用户的通信。可以
将加密配置为保护管理员通过远程桌面会话和远程 Windows PowerShell 对虚拟机进行
的访问。对于保存在 Windows Azure 存储中的数据和虚拟机等内容,Windows Azure 也
提供了包括 AES-256 和 BitLocker 等在内的高强度加密措施,让用户可以自行选择满足自
身需要的最佳加密方法,向 Windows Azure 传输的数据,都经过了加密,并且密钥永远掌
握在用户自己的手上,即使运维人员从数据中心服务器上拆下硬盘进行维护或替换,您的数
据也不会泄露。当然,根据 Windows Azure 的管理机制,不会有任何工作人员尝试将云数
据中心服务器上的硬盘卸下来读取客户数据,任何替换硬件的操作都会根据标准作业流程在
严密的监控下进行,确保损坏或老化的存储硬件可以被安全的销毁,而您的数据则会通过冗
余机制被安全的存储在 Windows Azure 的存储服务中。
我的数据离开企业数据中心后是不是就没有隐私可言了?
如果您使用的是 Windows Azure,这个问题的答案当然是否定的。隐私是产品和服务生命
周期的重要组成部分。运营团队努力使 Windows Azure 的隐私惯例透明化,为客户提供清
晰易懂的隐私选择,并以高度责任心管理 Windows Azure 所存储的数据。对于由世纪互联
运营的 Windows Azure 服务,数据仅会被保存在位于中国东部(上海)和中国北部(北京)
的数据中心中,并且 Windows Azure 明确承诺不与其广告商支持的服务共享客户数据,也
不会为广告挖掘客户数据。这与其他许多云服务提供商不同,因为有很多的服务提供商会在
提供服务的同时利用客户的数据进行挖掘以实现商业或广告的目的,而 Windows Azure 作
为一个安全中立的云服务,只会专注于将业界领先的云技术带入中国并提供给广大用户,而
不会去利用客户的数据用于额外的目的。
我们是一个创业团队,最担心的就是大企业抄袭我们的创意,国内的一些大型互
联网公司因此飞速膨胀,而我们这些小参与者最终只能死在沙滩上。我们是否天
生与云无缘呢?
由世纪互联运营的 Windows Azure 公有云服务的技术提供者——微软多年来始终重视知
识产权保护与促进中小型企业、创业型团队的发展。这一原则也被 Windows Azure 公有云
服务所延续。为了全面满足创业型团队和中小企业的发展,Windows Azure 不仅提供了全
面的操作系统和语言支持,从微软的 Windows Server 到开源 Linux,从.Net 到 Java,让
您可以随时将创意变成现实。在信息安全承诺上,通过将“不与客户竞争、不窥探客户隐私、
不分析客户数据,只专注于提供中立的云服务”的原则落实到具有法律约束力的条款上,确
保中小企业及创业团队的知识产权与商业信息不受侵犯。
图:世纪互联有关 Azure 的在线服务标准协议中的安全、隐私和数据保护条款
在中国,已有很多创业团队开始利用 Windows Azure 公有云平台将创想转化为商业价值,
并不断发展自己的业务。板报(www.51banbao.com)就是其中之一,2012 年,板报加入微
软云加速器,将整个服务迁至 Windows Azure 公有云计算平台。板报自己开发了一套引
擎每天抓取上千个来源的文章和照片,并对这些内容的格式进行调整,将清爽、统一的阅读
体验带给用户。和很多创业公司一样,板报采用了 Linux、PHP、MongoDB 等开源技术。
Windows Azure 对这些技术的灵活支持帮助板报缩短了迁移时间、免去重新开发的成本。
并且借助 Windows Azure 提供了企业级服务等级协议(SLA),板报不仅可以不用投入大
量的资金和成本用于 IT 基础设施的建设,更免去了后续的运维之苦,让整个团队都可以专
注在业务的创新上。
我们是上市企业,在合规性方面有严格的要求,Windows Azure 能满足吗?
当然可以!Windows Azure 与客户合作以帮助其满足法规要求。通过为客户提供合规的、
独立验证的云服务,使用户能够更轻松地实现其在 Windows Azure 中运行的基础结构和
应用程序的合规性。世纪互联为 Windows Azure 客户提供了有关安全性和合规性计划的
信息,旨在帮助客户针对其自己的法律和法规要求评估 Windows Azure 的服务。此外,
Windows Azure 还开发了一个可扩展的合规性框架,可通过该框架使用一组控件来设计和
构建服务,从而加速并简化跨一组不同的法规的合规性的实现,并快速适应规章制度的变更。
这些认证包括但不限于:
• ISO/IEC 27001:2005 审核和认证
ISO 27001 是全球最佳安全基准之一。由世纪互联运营的 Windows Azure 已实施 ISO
27001 定义的严格物理、逻辑、流程和管理控制。世纪互联承诺每年基于 ISO/IEC
27001:2005(这是一种适用范围广泛的国际信息安全标准)进行认证。ISO/IEC 27001:2005
证书确认世纪互联已实施此标准中定义的国际上认可的信息安全控制措施,包括有关启动、
实施、维护和改进组织中的信息安全管理的指南和一般原则。
ISO 范围:信息安全管理系统 (ISMS) ,其中包含了操作、安全和对商务流程管理。
该证书由北京赛西认证有限责任公司(CESI)公开颁发。
• 可信云服务认证
世纪互联采用 Windows Azure 领先的技术,以其强大的本地化运营能力,开放性的平台、
高质量的 SLA 服务等级协议(Service Level Agreement)、强大的数据恢复能力和最佳的
客户收益,成功地获得云引擎、流量管理器服务可信云服务认证。
可信云服务认证是在工业和信息化部的指导下由云计算发展与政策论坛“可信云服务工作
组”组织开展的云服务质量评估体系。该认证旨在培育国内公共云服务市场,增强用户对云
服务的信心,保护正规云服务商,促进市场良性发展。
图:由世纪互联运营的 Windows Azure 可信云服务认证证书
2015 年 1 月 29 日,数据中心联盟发起的第三批可信云服务认证评选结果公布,世纪互联
运营的 Windows Azure 斩获了云引擎、流量管理器服务 2 项认证。值得一提的是,世纪
互联运营的 Windows Azure 凭借其超越 IaaS 平台之上的领先的 PaaS 平台云服务,获
得了业内第一家全网负载均衡可信云服务认证,体现了世纪互联运营的 Windows Azure
领先的技术和安全可靠的运维和服务。
• 信息系统安全等级保护定级
根据《GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南》,公安部授权的
测评机构依据《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》对由
世纪互联运营的 Windows Azure 进行测评,将其信息安全保护等级评定为第二级。
因此,无论您是上市企业,还是公共机构,都可以放心的借助 Windows Azure 公有云平台
开展业务。
Windows Azure 如何对抗黑客的攻击?
Windows Azure 配备有全天候的事件响应团队,帮助消除攻击和恶意活动的威胁。我们不
只注重防御,也重视在根本上杜绝安全风险。Windows Azure 采用了安全开发生命周期
(SDL),这种由微软授权的 Azure 技术采用了安全开发生命周期(一种编写更安全、可靠和
注重隐私权的代码的综合性方法)。为 Windows Azure 提供集成的部署系统来管理安全修
补程序的分发与安装,实现安全漏洞的及时消除。此外,入侵检测和防护系统、拒绝服务攻
击防护、定期渗透测试和法医式工具帮助识别 Windows Azure 内部和外部的潜在威胁并
加以预防。
对于防不胜防的 DDoS 攻击,Windows Azure 也提供了专业的 Arbor 设备进行自动检测
与清洗,确保用户可以得到应有的服务水平。
不仅如此,Windows Azure 也提供了安全事件和滥用报告渠道,用户若要报告 Windows
Azure 的可疑安全问题或滥用情况,可以联系 Windows Azure 客户支持团队(400-089-
0365 或 010-84563652)。
在日常运维中,Windows Azure 团队也会通过执行常规渗透测试来改进 Azure 的安全控
制措施和过程。我们深知,安全评估也是客户应用程序开发和部署的重要组成部分。因此,
我们确立了一项策略,即让客户对托管在 Windows Azure 中的应用程序执行授权渗透测
试。因为此类测试可能无法与真实攻击进行区分,因此客户请务必在预先获得 Windows
Azure 客户支持批准后再执行渗透测试。必须根据 Windows Azure 的条款和条件执行渗
透测试。用户应至少提前 7 天提交渗透测试请求。
我的单位 IT 策略不允许我将数据放置在公有云上,是否我就与 Windows
Azure 无缘了?
Windows Azure 对混合云部署方式提供了原生的支持。让您不必再纠结于是使用自己管理
的私有云还是使用服务商所提供的公有云。现在您可以将这二者的优势结合在一起,选择将
数据以符合 IT 策略的方式保存在企业自行管理的私有云环境中,将 Windows Azure 公有
云作为计算资源的扩展选项,或是对外服务的门户,这样您就可以轻松地将工作负荷从您的
数据中心转移到 Windows Azure 公有云上,同时又能保持基础结构的完整性,也可以让
之前的 IT 投资得以充分的利用。
关于 Azure 安全性的 10 点提示
不仅需要 Windows Azure 提供一个安全的架构,作为用户也可以通过一些建议的方式来提
升安全性。这些做法包括:
1. 用于内部控制流量的 SSL 相互身份验证
Windows Azure 内部组件之间的所有通信都通过 SSL 进行保护。
2. 证书和私钥管理
为了降低向开发人员和管理员公开证书和私钥所带来的风险,证书和私钥都是通过代码使用
证书和私钥之外的单独机制进行安装的。证书和私钥通过 SMAPI 或 Windows Azure 门
户上传为 PKCS12 (PFX) 文件,上传过程中由 SSL 保护。这些 PKCS12 文件可能受密码
保护,如果采用该方式,那么相同消息中还必须包括密码。SMAPI 删除密码保护(如果需
要),使用 SMAPI 的公钥对整个 PKCS12 Blob 进行加密,并将其与一个简短的证书名称
(公钥作为元数据)存储到 FC 上的加密存储当中。
3. 最低权限客户软件
运行拥有最低权限的应用程序普遍被认为是一种信息安全最佳实践。为了遵循最低权限原
则,未为客户授予他们虚拟机的管理访问权限,并且默认情况下,Windows Azure 中的客
户软件只能使用低权限的帐户运行(在未来版本中,客户可以自行选择不同的权限模型)。
这减少了任何攻击的潜在影响并增加了成功进行攻击的必要难度,即攻击者要想成功,除了
利用漏洞外,还需要提升权限。它还可以有效地防止客户的服务受到其最终用户的攻击。
4. Windows Azure 存储中的访问控制
Windows Azure 存储具有简单的访问控制模型。每个 Windows Azure 订阅可以创建一个
或多个存储帐户。每个存储帐户都拥有单个密钥,该密钥用于控制对该存储帐户中所有数据
的访问。这支持以下典型情形:存储与应用程序关联,并且这些应用程序对其关联数据具有
完全控制权。
5. 虚拟机管理程序、根操作系统和来宾虚拟机的隔离
一个重要边界就是将根虚拟机与来宾虚拟机隔离并将虚拟机管理程序和根操作系统管理的
各来宾虚拟机分别隔离的边界。虚拟机管理程序/根操作系统配对机制利用了 Microsoft 数
十年的操作系统安全经验以及 Microsoft 近年来在 Hyper-V 方面的技术来提供来宾虚拟
机的强大隔离。
6. Fabric Controller 的隔离
有一些重要的控件发挥着中央控制台的作用,很大程度上是 Windows Azure Fabric 的中
央控制台,这可以减轻对 Fabric Controller 的威胁,尤其是来自客户应用程序中可能已经
受到危害的 FA 的攻击。从 FC 到 FA 的通信是单向的:FA 实施 SSL 保护的服务(从 FC
进行访问),并且仅回复请求。它无法启动至 FC 或其他特许内部节点的连接。FC 具有强
大的功能来分析所有响应,就好像这些响应是不受信任的通信一样。
此外,FC 和无法实施 SSL 的设备位于不同的 VLAN 上,这就限制了它们的身份验证接口
向托管虚拟机的受危害节点公开。
7. 数据包筛选
虚拟机管理程序和根操作系统提供网络数据包筛选器,这些筛选器可以确保不受信任的虚拟
机无法执行以下操作:生成欺骗通信、接收目标并不是它们的通信、将通信指向受保护的基
础结构端点、发送或接收不适当的广播通信。
8. VLAN 隔离
VLAN 用于隔离 FC 和其他设备。VLAN 对网络进行分区,以使在不经过路由器传递的情
况下,VLAN 之间无法进行通信,这样可以防止受危害节点伪造从其 VLAN 外部到其
VLAN 上的其他节点的通信,并且它还无法窃听并非指向或来自其 VLAN 的通信。
9. 客户访问隔离
管理对客户环境(Windows Azure 门户、SMAPI 等)的访问的系统在 Windows Azure
应用程序中被隔离。这从逻辑上将客户访问基础结构与客户应用程序和存储隔离开来。
10. 删除数据
在适用情况下,在数据的有用生命周期过后应当继续对数据保密。一旦调用删除操作,
Windows Azure 的存储子系统即会使客户数据变为不可用。所有存储操作(包括删除)都
能够即刻保持一致。成功执行删除操作会删除对关联数据项的所有引用,并且通过存储 API
也无法访问该关联数据项。已删除数据项的所有副本随后被作为垃圾回收。当重复使用关联
存储块存储其他数据时,就会覆盖物理位,这是标准计算机硬盘存在的典型情况。
本阶段常见问题
问题 1:微软在由世纪互联运营的 Windows Azure 中扮演何种角色?
解答:由世纪互联运营的 Windows Azure 服务是在中国大陆独立运营的公有云平台,由
北京世纪互联宽带数据中心有限公司的全资子公司上海蓝云网络科技有限公司(简称为“世
纪互联”)独立运营和销售。采用与微软服务于全球云服务的 Azure 技术,为客户提供全球
一致的服务质量保障。
作为由世纪互联运营的 Windows Azure 客户,可获得以下服务:
• 由中国领先的互联网数据中心提供商世纪互联在中国大陆数据中心独立运营的云
服务。
• 源于微软数十年来服务全球企业客户的丰富在线服务经验而开发的世界一流的
Azure 技术。
问题 2:世纪互联将如何使用我存储在 Windows Azure 中的信息?
解答:世纪互联仅将您存储在 Windows Azure 中的客户数据用于为您提供 Windows
Azure 服务。
问题 3:Windows Azure 是否会对我的数据进行数据挖掘以用于营销?
解答:否。由世纪互联运营的 Windows Azure 不会挖掘客户数据来进行营销,也不会与广
告商赞助的服务共享客户数据。
问题 4:我的客户数据存储在何处?世纪互联是否会将其与其他公司共享?
解答:客户数据将仅存储在位于中国大陆的数据中心。在极少数情况下,仅当必须对客户支
持事件进行故障排除或解决技术问题时,世纪互联才可能会向中国大陆以外地区的某一关联
公司、供应商或分包商授予访问客户数据的权限。运营方会密切监控此类访问,并在问题解
决后终止访问权限。
问题 5:微软能否访问我的客户数据?
解答:否。微软无权访问客户数据,除非世纪互联需要微软的技术协助来对客户支持事件进
行故障排除或解决技术问题,但仅限极少数情况下。世纪互联仅在解决问题所需的时间期限
内授予此类访问权限。世纪互联会密切监控此类授权访问,并在问题解决后终止访问权限。
问题 6:世纪互联是否可以访问微软在中国大陆以外的地区运营的 Azure 服务?
解答:否。在中国大陆由世纪互联运营的 Windows Azure 与全球其他地区由微软运营的
Azure 服务在物理上和逻辑上都是独立的。正如微软无权访问世纪互联服务中的客户数据
一样(除了上文详述的为协助世纪互联的情况外),世纪互联也无权访问中国大陆以外地区
的微软服务中的客户数据。为明确起见,香港的 Azure 数据中心属于由微软运营的全球服
务,不属于在中国大陆运营的世纪互联服务。
问题 7:如果执法机关或其他第三方向世纪互联索要客户数据,会发生什么情况?
解答:世纪互联认为,客户应控制自己存储在本地或云服务中的信息。相应地,我们也不会
向第三方(我们的供应商和分包商除外)披露客户数据,除非您指示我们这样做或适用法律
和法规要求我们这样做。如果我们必须向某一第三方披露客户数据,则除非法律禁止,我们
将采用商业上合理的努力立即通知您并提供相应要求的副本。如果某一第三方联系我们就您
对服务的使用进行投诉(例如,指控您或您的最终用户存在侵权行为),我们会让第三方直
接联系您,并且我们可能会将您的基本联系信息提供给第三方。
问题 8:由世纪互联运营的 Windows Azure 是否符合我的法规要求?
解答:遵守您的法规要求最终还是属于您的责任义务。我们为您提供可帮助您实现此目的的
相关信息。我们承诺遵守适用于 IT 服务提供商的常规数据保护政策和隐私法规。如果您受
行业或管辖权要求的约束,您将需要评估您自己的遵守能力。许多行业和地域的客户已证实,
只要他们以适合其特定环境的方式利用服务,就能以符合适用法规的方式使用 Windows
Azure。
问题 9:我可以在哪里进一步了解适用于由世纪互联运营的 Windows Azure 的隐私惯例?
解答:Windows Azure 隐私声明(http://www.windowsazure.cn/zh-
cn/support/legal/privacy-statement/ )介绍了管理客户对由世纪互联运营的
Windows Azure 的使用情况的特定隐私政策和惯例。
相关资源
Windows Azure 信任中心
http://www.windowsazure.cn/zh-cn/support/trust-center
Windows Azure 隐私声明
http://www.windowsazure.cn/zh-cn/support/legal/privacy-statement/
Windows Azure 中安全性、隐私和合规性 白皮书
http://wacnstorage.blob.core.chinacloudapi.cn/marketing-
resource/documents/WindowsAzure-SecurityPrivacyCompliance.pdf
Azure 安全性:技术见解
http://wacnstorage.blob.core.chinacloudapi.cn/marketing-
resource/documents/WindowsAzureSecurityTechnicalInsightsFeb2014.pdf
