保护Microsoft的云基础架构(三)

 

安全事件管理

 

Microsoft采取适当的安全控制与风险管理流程来保护云基础架构的安全并降低安全事故带来的风险， 不能天真地认为在未来不会发生恶意攻击。OSSC内的安全事件管理（SIM）团队负责在出现问题时做出响应，并一天24小时运转，每天如此。SIM的使命是快速、准确的评估和减少涉及Microsoft在线服务的计算机安全事故， 同时向Microsoft的高级管理人员和其他有关各方明确的传递相关信息。

 

以下是SIM响应事件过程的六个阶段：

 

·     准备 ——SIM的工作人员不断地接受培训，以便准备应对随时可能发生的安全事故。

 

·     识别 ——追查事故原因，无论其是有意的还是无意的，这往往意味着需要通过Microsoft云计算环境中的多个层面来跟踪问题。SIM与其他Microsoft内部团队的成员合作，一同诊断安全事故的起因。

 

·     遏制 ——一旦事故的原因被找到，SIM将和所有与该事故有关的团队合作。如何进行遏制取决于事故对于业务的影响。

 

·     缓解 —— S IM 协调相关的产品和服务交付团队，以降低事故再次发生的风险。

 

·     恢复– 根据其他团队的需要继续保持合作，由SIM协助服务恢复过程。

 

·     经验总结 ——在安全事故被解决后，, SIM召集由所有相关的人员参与的联席会议，来评估所发生的事件并记录该事件响应过程中的经验和教训。

 

由于跨团队的联盟，使SIM能够及早发现问题并且减轻服务中断。   例如，SIM与运营团队密切配合，

其中包括Microsoft安全响应中心 （ 如需了解更多信息，请访问   Microsoft 安全响应中心 主页）。 这种关系使SIM在事件发生时可以迅速获得全面的业务试图。SIM响应方还通过基于包括潜在的或额外的服务终端以及风险事件对于声誉受损的严重程度等多种因素来咨询资产所有者。

 

全球刑事法规遵从性

 

OS SC的全球刑事法规遵从性（GCC）计划 基于Microsoft的响应流程制定策略并提供培训。此外，GCC也会响应有关信息的司法要求。GCC在许多国家拥有法律代理，在必要的情况下，可以翻译要求。 GCC被许多国际机构认定为是“最好的应对方案”，其中一个原因就是GCC提供了执法门户站点，提供了多语言介绍，说明有关授权的执法人员如何向Microsoft提交司法要求。

 

GCC的培训使命包含为专业执法人员提供培训。GCC还为Microsoft的各级人员提供有关数据保留和隐私性职责的培训。随着Microsoft在国际位置添加数据中心，从而扩大了国际监管要求的范围，内部培训和策略工作不断开展。

 

 

GCC在理解并实施各种国际法规，以及如何将其适用于依赖Microsoft在线服务的消费者或企业客户等方面发挥了至关重要的作用。

 

业务的法规遵从性

 

Microsoft在线服务环境必须符合众多的政府规定和特定的行业安全性要求，此外还需要满足Microsoft自身由业务驱动的规范。由于Microsoft在线业务的持续增长和变化以及引入全新的Microsoft云在线服务，这就需要满足包含特定的区域和国家有关数据安全标准的额外规范。业务遵从性团队跨越运营、产品和服务交付团队以及与内部和外部的审计员合作以确保Microsoft完全符合有关的标准和管理法规的要求。以下内容对Microsoft云环境定期审计和评估进做了概述：

 

·     支付卡行业数据安全标准 ——要求每年审查并验证与信用卡交易有关的安全控制。

 

·     媒体分级委员会 ——关于广告系统数据生成与处理的完整性。

 

·     萨班斯法案 ——  每年对选定的系统进行审计，以验证关键过程的遵守情况以及相关财务报告的完整性。

 

·     健康保险流通与责任法案 —— 具体的隐私性与安全性，以及针对电子存储的健康记录的灾难恢复指南。

 

·     内部审计和隐私评估 ——评估将贯穿整个特定的年份。

 

要满足所有这些审核义务对于Microsoft来说是很大的挑战。经过对要求的研究，Microsoft确定多数审计与评估都需要采用相同的业务控制和流程。这是一个可以消除多余 努力的重要机会，可以简化流程，并且可以更加全面积极的进行管理以达到预期目标，为此OSSC制定了全面的遵从性框架。

这一框架和相关的流程基于五步法，如下图所示：

 

 

识别并整合要求 ——对适用范围和控制进行定义。标准作业流程（SOP）并收集和审查流程文档。

 

·     评估和修复差距 ——修复控制过程或技术方面的差距。

 

·     测试有效性和评估风险 ——衡量和报告控制措施的有效性。

 

·     获得证书和认证 ——与第三方认证机构和审计人员签订协议。

 

·       完善和优化—— 如果发现不合规的情况，记录根本原因并作进一步的评估。对这些研究结果进行跟踪，直至完全修复。这一阶段还包括在安全领域持续进行优化控制，以提升在今后的审计和认证中通过审查效率。

 

实施这个方案后所取得的成功之一就是Microsoft的云基础架构已经获得了SAS 70 Type I和Type II认证以及ISO/IEC 27001:2005 证书。这些认证成就体现了Microsoft的承诺，因为其拥有一个可信赖的云计算基础架构：

 

·     I SO/IEC 27001:2005证书证明Microsoft已经实施了国际公认的信息安全控制标准。

 

·     S AS 70认证说明Microsoft愿意开放内部安全方案供外界监督。

 

 

 

 

 

采取一种纵深防御手段

 

具备纵深防御手段是Microsoft提供可信赖云基础架构的基本要素。可以在雇佣保护机制、制定风险缓解策略以及在袭击发生时的具备应对能力等多方面应用控制。多种不同安全措施的使用强度由受保护资产的敏感性制定——从而 实现提升防御破坏的能力并减少安全事故影响的结果。云计算的到来不会改变这个原则——这种控制的强度来自于资产的敏感性——或是管理安全风险的重要性。事实上，在云计算环境中最重要的资产非虚拟化莫属。需要对风险分析做出改变并考虑以及如何将安全控制其应用到传统的纵深防御层（物理、网络、数据、身份访问、访问授权以及身份验证和主机）。

 

在线服务，包括由GFS提供的基础架构与服务平台， 已经开始利用虚拟化的优势。因此，客户在使用托管在Microsoft云上的服务时已经不能再轻易的将其与物理存在的资产相关联。 数据可能会以虚拟化的形式存储在多个地点。这一基本事实意味着必须随之发展并确定安全控制措施，以及如何使用分层的方法来保护资产。当然，仍旧需要采取物理和网络的安全措施必须的。然而，风险管理的重点已经转移，开始接近云环境中使用的要素：例如静态或动态的数据存储容器、虚拟机对象、在计算发生时环境中的运行时等。

 

使用不同的控制来替代许多传统的物理与网络安全方法与设备来保障该实体，无论是希望访问数据中心大楼的真实个人还是的请求访问Microsoft云环境中动态存储用户数据的计算过程，都能够根据其请求提供访问授权。相关 措施也已经部署到位，以确保运行在Microsoft云基础架构上的服务器和操作系统实例可以免遭攻击。

 

本节概述了在解决数据中心、网络硬件和通讯、以及一些服务主机安全性方面，Microsoft所使用的流程与控制。

 

物理安全

 

对技术的应用可以使系统自动的获取访问所需的授权和认证，安全技术的进步带来的变化可以使其成为保障物理安全的一种方法。从使用传统的企业应用程序、根据业务将用于计算的硬件和软件部署到物理位置的模式转换出来，使用软件即服务和软件加服务则是另外一种情况。 这些变化使组织有必要做出进一步的调整以保障其资产的安全。

 

OSSC负责管理Microsoft所有数据中心的物理安全，这对于保持设施的运转和保护客户的数据是至关重要的。使用安全设计与运营构建的过程可以被精确的应用到每个设施。

 

 

 

 

 

 

Microsoft确保对通过建立在内外周边的每个边缘层增加控制。

 

该安全系统使用了结合不同的技术解决方案，包括摄像机、生物识别、读卡器以及包括可报警的传统安全措施，例如锁与钥匙。运行控制用来进行自动化的监控以及在遇到违规或问题发生时提供早期通知，并允许对数据中心的物理安全方案文档的进行审核进而实施问责。以下列出了Microsoft在物理安全方面如何应用控制的更多示例：

 

·     限制访问数据中心的人员 —— Microsoft提出的安全要求将对数据中心雇员和承包商进行审查。除了将其规定在与现场工作人员签订的合同中，一个安全的数据中心内部还应包括应用到人员层面的安全措施。通过应用最小权限的策略限制访问，因此仅授权给必要的人员来管理客户的应用和服务。

 

·     解决高业务影响数据要求 —— Microsoft已经开发出更加严格的最低需求，在提供在线服务的数据中心内对使用的资产分类进行分类，将其分为高度敏感、中度及低度敏感。标准化的安全协议被用于识别、访问令牌以及清楚地记录和监测站点条目需要何种类型的身份验证。在这种访问高度敏感资产的情况下，必须进行多因素认证。

 

·     集中物理资产访问管理 ——随着Microsoft不断扩大用于提供在线服务的数据中心数量，一个用于管理物理资产访问控制并且通过集中话的工作流程来审核和记录对数据中心访问的工具被开发出来。该工具的操作使用提供所需最小访问的原则，并且包含了经过授权伙伴批准的工作流程。它可以作为现场条件配置，并且可以更加高效的访问用于进行报告和遵从性审计的历史记录。

 

网络安全

 

Microsoft为适当的数据中心设备和网络连接应用了多层面安全性。例如使用了安全性控制以及控制与管理方案。如负载均衡、防火墙和入侵防护设备等专门的硬件设备被用于应对大规模的拒绝服务（DoS）攻击。该网络管理团队使用分层的访问控制列表（ACL）来根据需要划分虚拟局域网（VLAN）和应用程序。 通过网络硬件，Microsoft使用应用程序网关功能对包进行深度检测并采取行动，如发送警报、阻止或封锁可疑的网络流量等。

 

Microsoft的云环境中运行着一个全球冗余的内部和外部DNS基础架构。通过DNS服务器群集来实现冗余容错。额外的控制用来降低分布式拒绝服务（DDoS）和缓存欺骗或篡改的攻击风险。例如，在DNS服务器和DNS区域中通过ACL仅允许具有授权的人员写入DNS记录。 全新的安全特性，例如随机查询标识符和在所有的DNS服务器上使用最新和安全的DNS软件。DNS群集不断监控未经授权的软件和DNS区域配置变更以及其他破坏性服务事件。

 

 

 

 

DNS是全球互联的Internet的一部分，需要许多组织共同参与并提供这项服务。 Microsoft在这方面进行了许多努力，包括参加域名运营分析与研究协会（DNS-OARC），该协会由全球的DNS专家所组成。

 

数据安全

 

Microsoft对资产进行分类以确定需要采用的安全控制强度。该分类把与资产相关的安全事件带来的潜在财务和名誉损失考虑进来。一旦分类完成，将对需要保护的部分采取纵深防御措施。 例如，被归类为中度影响的数据被放置在可移动介质或在外部网络上传输时需要进行加密。对于高度影响的数据，除了这些要求，还被要求在内部系统和网络上传输和存储时进行加密。

 

所有的Microsoft产品必须符合SDL的加密标准，该标准列举出了允许与非允许的加密标准。 例如，对称加密的密钥长度需要超过128位。如果使用非对称算法，需要使用2048位或更长位数的密钥。

 

身份和访问管理

 

Microsoft采用须知原则和最低权限模式来管理对资产的访问。如果可行，使用基于角色的访问控制来逻辑化的分配特定的工作职责和范围，而不是针对个人。 如果资产所有者没有通过策略明确的配置授予访问，那么在默认情况下相关的业务请求会被拒绝。

 

对于有权访问任何资产的个人，必须经过适当的措施进行授权。高度敏感的资产需要使用包括密码、硬件令牌、智能卡和生物识别等的多因素身份验证。对于已经取得授权的用户进行持续的审核以确保其对资产的使用是恰当的。对于不再需要访问资产的账户将被禁用。