雲安全5大關注點

時間 2020-07-19

標籤雲安關注简体版

原文原文鏈接

雲安全須要關注的幾個領域：物理安全、網絡安全、數據安全、身份和訪問管理以及應用程序安全。下面對這幾個方面作簡要描述。算法

物理安全
對技術的應用可使系統自動的獲取訪問所需的受權和認證，安全技術的進步帶來的變化可使其成爲保障物理安全的一種方法。從使用傳統的企業應用程序、根據業務將用於計算的硬件和軟件部署到物理位置的模式轉換出來，使用軟件即服務和軟件加服務則是另一種狀況。這些變化使組織有必要作出進一步的調整以保障其資產的安全。緩存

OSSC負責管理Microsoft全部數據中心的物理安全，這對於保持設施的運轉和保護客戶的數據是相當重要的。使用安全設計與運營構建的過程能夠被精確的應用到每一個設施。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3安全

Microsoft確保對經過創建在內外周邊的每一個邊緣層增長控制。服務器

該安全系統使用告終合不一樣的技術解決方案，包括攝像機、生物識別、讀卡器以及包括可報警的傳統安全措施，例如鎖與鑰匙。運行控制用來進行自動化的監控以及在遇到違規或問題發生時提供早期通知，並容許對數據中心的物理安全方案文檔的進行審覈進而實施問責。如下列出了Microsoft在物理安全方面如何應用控制的更多示例：網絡

限制訪問數據中心的人員 —— Microsoft提出的安全要求將對數據中心僱員和承包商進行審查。除了將其規定在與現場工做人員簽定的合同中，一個安全的數據中心內部還應包括應用到人員層面的安全措施。經過應用最小權限的策略限制訪問，所以僅受權給必要的人員來管理客戶的應用和服務。
解決高業務影響數據要求 —— Microsoft已經開發出更加嚴格的最低需求，在提供在線服務的數據中心內對使用的資產分類進行分類，將其分爲高度敏感、中度及低度敏感。標準化的安全協議被用於識別、訪問令牌以及清楚地記錄和監測站點條目須要何種類型的身份驗證。在這種訪問高度敏感資產的狀況下，必須進行多因素認證。
集中物理資產訪問管理 —— 隨着Microsoft不斷擴大用於提供在線服務的數據中心數量，一個用於管理物理資產訪問控制而且經過集中話的工做流程來審覈和記錄對數據中心訪問的工具被開發出來。該工具的操做使用提供所需最小訪問的原則，而且包含了通過受權夥伴批准的工做流程。它能夠做爲現場條件配置，而且能夠更加高效的訪問用於進行報告和聽從性審計的歷史記錄。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

網絡安全
Microsoft爲適當的數據中心設備和網絡鏈接應用了多層面安全性。例如使用了安全性控制以及控制與管理方案。如負載均衡、防火牆和***防禦設備等專門的硬件設備被用於應對大規模的拒絕服務（DoS）***。該網絡管理團隊使用分層的訪問控制列表（ACL）來根據須要劃分虛擬局域網（VLAN）和應用程序。經過網絡硬件，Microsoft使用應用程序網關功能對包進行深度檢測並採起行動，如發送警報、阻止或封鎖可疑的網絡流量等。架構

Microsoft的雲環境中運行着一個全球冗餘的內部和外部DNS基礎架構。經過DNS服務器羣集來實現冗餘容錯。額外的控制用來下降分佈式拒絕服務（DDoS）和緩存欺騙或篡改的***風險。例如，在DNS服務器和DNS區域中經過ACL僅容許具備受權的人員寫入DNS記錄。全新的安全特性，例如隨機查詢標識符和在全部的DNS服務器上使用最新和安全的DNS軟件。DNS羣集不斷監控未經受權的軟件和DNS區域配置變動以及其餘破壞性服務事件。負載均衡

DNS是全球互聯的Internet的一部分，須要許多組織共同參與並提供這項服務。 Microsoft在這方面進行了許多努力，包括參加域名運營分析與研究協會（DNS-OARC，該協會由全球的DNS專家所組成。分佈式

數據安全
Microsoft對資產進行分類以肯定須要採用的安全控制強度。該分類把與資產相關的安全事件帶來的潛在財務和名譽損失考慮進來。一旦分類完成，將對須要保護的部分採起縱深防護措施。例如，被歸類爲中度影響的數據被放置在可移動介質或在外部網絡上傳輸時須要進行加密。對於高度影響的數據，除了這些要求，還被要求在內部系統和網絡上傳輸和存儲時進行加密。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3ide

全部的Microsoft產品必須符合SDL的加密標準，該標準列舉出了容許與非容許的加密標準。例如，對稱加密的密鑰長度須要超過128位。若是使用非對稱算法，須要使用2048位或更長位數的密鑰。工具

身份和訪問管理
Microsoft採用須知原則和最低權限模式來管理對資產的訪問。若是可行，使用基於角色的訪問控制來邏輯化的分配特定的工做職責和範圍，而不是針對我的。若是資產全部者沒有經過策略明確的配置授予訪問，那麼在默認狀況下相關的業務請求會被拒絕。

對於有權訪問任何資產的我的，必須通過適當的措施進行受權。高度敏感的資產須要使用包括密碼、硬件令牌、智能卡和生物識別等的多因素身份驗證。對於已經取得受權的用戶進行持續的審覈以確保其對資產的使用是恰當的。對於再也不須要訪問資產的帳戶將被禁用。

應用程序安全
應用程序的安全性是Microsoft確保其雲計算環境安全的關鍵因素。Microsoft於2004年正式將被稱做安全開發生命週期（SDL）的流程歸入到產品開發團隊中。 SDL流程是一種不受限制的開發方法，能夠集成到從設計到響應的整個應用程序開發生命週期，並且不會替代瀑布型或敏捷型等現有的軟件開發方法。SDL流程的各個階段強調教育與培訓，並將具體的活動和流程委派並應用到應用程序開發的各個階段。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft內的高級領導持續不斷地支持SDL，並將其應用在在包含交付在線服務的Microsoft產品開發過程當中。 OSSC確保將SDL持續應用在構建被Microsoft雲基礎架構託管的應用程序開發過程當中，並在其中扮演了重要角色。

本內容轉自微軟雲安全白皮書，雲安全5大關注點的相關文章請參考
ITIL安全風險評估
 雲安全5大關注點
 企業網絡信息安全管理－－－gnaw0725