《Windows Azure Platform 系列文章目录》
2015年3月5日-6日,参加了上海的Azure University活动。作为桌长与微软合作伙伴交流了Azure相关的技术,同时通过课程案例,学习了很多的Azure相关知识。
现在就课程中的一个案例,分析一下Azure安全性方面的内容。
Azure安全性一直是一个被经常问到的问题,把虚拟机、网站和数据库等都部署到Azure平台,如何保证应用程序的安全,如何保证企业级客户的数据不被泄漏,一直是客户经常询问到的问题。
总的来说,Azure的安全性分为三种:数据中心安全性、运维安全性和应用平台安全性。
一.数据中心安全性
从数据中心安全性来说,Azure Global数据中心是获得了很多安全认证的。有兴趣的读者可以参考连接:http://azure.microsoft.com/en-us/support/trust-center/compliance/
截止今天(2015-03-06),Azure Global数据中心获得的认证有:
ISO 27001/27002
SOC 1/SSAE 16/ISAE 3402 and SOC 2
Cloud Security Alliance CCM
FedRAMP
FISMA
FBI CJIS (Azure Government)
PCI DSS Level 1
United Kingdom G-Cloud
Australian Government IRAP
Singapore MTCS Standard
HIPAA
EU Model Clauses
Food and Drug Administration 21 CFR Part 11
FERPA
FIPS 140-2
CCCPPF
MLPS
有关Azure Global Compliance的详细文档,可以参考:
这里特别强调一下,在国内由世纪互联运维的Windows Azure China,获得合规性认证有:
- ISO/IEC 27001:2005 审核和认证
- 工信部可信云服务认证
- 信息系统安全等级保护定级,二级
我们可以参考http://www.windowsazure.cn/support/trust-center/compliance,查阅相关的资料。
二.运维安全性
(1)Azure数据中心的运维团队会对Azure数据中心进行24小时的连续监视,采取物理措施构造、管理和监视数据中心,防止未经授权访问数据和服务以及防范一些环境风险。
这边顺便提一下,笔者曾经尝试在Azure数据中心内创建一台Windows Server 2012的虚拟机,反复扫描同一数据中心IP段内的常用端口。结果很快被世纪互联的运维团队发现,并发出邮件警告我虚拟机的异常活动,如果不立刻停止该行为,可能有停止整个订阅的风险。笔者只好灰溜溜的关闭虚拟机:)
(2)另外Azure承诺,不会挖掘客户的数据来进行营销,也无权访问客户数据。
(3)Tips:如果国内的用户需要对Azure上的应用模拟从客户端发起的压力测试,记得提前7 天填写并提交渗透测试批准表 联系世纪互联哦。
否则你的客户端请求会被Azure默认提供的Anti-DDos硬件给挡住哦 :)
三.应用平台安全性
应用平台安全性可以具体分为以下几种:
1.存储安全性
Azure 提供包括 AES-256 在内的各种加密功能
有兴趣的读者可以参考MSDN文章https://msdn.microsoft.com/zh-cn/magazine/ee291586.aspx,了解微软Windows Azure 中的加密服务和数据安全
2.网络安全性
(1)Azure提供Anti-DDos功能,预防外部攻击。
(2)Azure提供ACL(Access Control List),可以设置Internet公用网络的传入流量,允许某些公网IP来管理Azure上的服务
Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限
(3)Azure提供Network Security Group(NSG),可以设置同一个Virtual Network不同subnet和不同VM之前的互相访问。
3.传输安全性
Azure提供SSL和 TLS加密方法,可以保证数据传输的加密。
4.网络安全性
Azure的Virtual Network是使用VLan技术的,客户可以选择将多个部署分配给一个隔离的虚拟网络,并允许这些部署通过私有 IP 地址进行相互通信。
在混合云的情况里
(1)Site-To-Site VPN是使用IPSec协议,保证网络安全。
(2)Point-To-Site VPN是使用SSTP协议,保证网络安全。
(3)ExpressRoute专线技术,是使用私有网络将客户的数据中心与Azure数据中心进行互联,同样也能保证网络的安全性。
5.数据库安全性
(1)Azure PaaS SQL提供IP白名单,我们可以设置某些信任服务器的IP端加入IP白名单中,组织其他非信任的IP进行连接
(2)Azure IaaS SQL VM提供传统SQL Server的数据库安全性连接,如证书加密、对称加密、非对称加密、透明数据加密等。
结合上面谈到的所有技术点,一个典型的Azure安全性架构设计,如下图:
其他安全性的资源,可以参考http://www.windowsazure.cn/support/trust-center/resources
=======================分隔符============================
以下是我在azure university的手绘图,留作纪念