云安全5大关注点

时间 2020-07-19

标签云安关注繁體版

原文原文链接

云安全须要关注的几个领域：物理安全、网络安全、数据安全、身份和访问管理以及应用程序安全。下面对这几个方面作简要描述。算法

物理安全
对技术的应用可使系统自动的获取访问所需的受权和认证，安全技术的进步带来的变化可使其成为保障物理安全的一种方法。从使用传统的企业应用程序、根据业务将用于计算的硬件和软件部署到物理位置的模式转换出来，使用软件即服务和软件加服务则是另一种状况。这些变化使组织有必要作出进一步的调整以保障其资产的安全。缓存

OSSC负责管理Microsoft全部数据中心的物理安全，这对于保持设施的运转和保护客户的数据是相当重要的。使用安全设计与运营构建的过程能够被精确的应用到每一个设施。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3安全

Microsoft确保对经过创建在内外周边的每一个边缘层增长控制。服务器

该安全系统使用告终合不一样的技术解决方案，包括摄像机、生物识别、读卡器以及包括可报警的传统安全措施，例如锁与钥匙。运行控制用来进行自动化的监控以及在遇到违规或问题发生时提供早期通知，并容许对数据中心的物理安全方案文档的进行审核进而实施问责。如下列出了Microsoft在物理安全方面如何应用控制的更多示例：网络

限制访问数据中心的人员 —— Microsoft提出的安全要求将对数据中心雇员和承包商进行审查。除了将其规定在与现场工做人员签定的合同中，一个安全的数据中心内部还应包括应用到人员层面的安全措施。经过应用最小权限的策略限制访问，所以仅受权给必要的人员来管理客户的应用和服务。
解决高业务影响数据要求 —— Microsoft已经开发出更加严格的最低需求，在提供在线服务的数据中心内对使用的资产分类进行分类，将其分为高度敏感、中度及低度敏感。标准化的安全协议被用于识别、访问令牌以及清楚地记录和监测站点条目须要何种类型的身份验证。在这种访问高度敏感资产的状况下，必须进行多因素认证。
集中物理资产访问管理 —— 随着Microsoft不断扩大用于提供在线服务的数据中心数量，一个用于管理物理资产访问控制而且经过集中话的工做流程来审核和记录对数据中心访问的工具被开发出来。该工具的操做使用提供所需最小访问的原则，而且包含了通过受权伙伴批准的工做流程。它能够做为现场条件配置，而且能够更加高效的访问用于进行报告和听从性审计的历史记录。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

网络安全
Microsoft为适当的数据中心设备和网络链接应用了多层面安全性。例如使用了安全性控制以及控制与管理方案。如负载均衡、防火墙和***防御设备等专门的硬件设备被用于应对大规模的拒绝服务（DoS）***。该网络管理团队使用分层的访问控制列表（ACL）来根据须要划分虚拟局域网（VLAN）和应用程序。经过网络硬件，Microsoft使用应用程序网关功能对包进行深度检测并采起行动，如发送警报、阻止或封锁可疑的网络流量等。架构

Microsoft的云环境中运行着一个全球冗余的内部和外部DNS基础架构。经过DNS服务器群集来实现冗余容错。额外的控制用来下降分布式拒绝服务（DDoS）和缓存欺骗或篡改的***风险。例如，在DNS服务器和DNS区域中经过ACL仅容许具备受权的人员写入DNS记录。全新的安全特性，例如随机查询标识符和在全部的DNS服务器上使用最新和安全的DNS软件。DNS群集不断监控未经受权的软件和DNS区域配置变动以及其余破坏性服务事件。负载均衡

DNS是全球互联的Internet的一部分，须要许多组织共同参与并提供这项服务。 Microsoft在这方面进行了许多努力，包括参加域名运营分析与研究协会（DNS-OARC，该协会由全球的DNS专家所组成。分布式

数据安全
Microsoft对资产进行分类以肯定须要采用的安全控制强度。该分类把与资产相关的安全事件带来的潜在财务和名誉损失考虑进来。一旦分类完成，将对须要保护的部分采起纵深防护措施。例如，被归类为中度影响的数据被放置在可移动介质或在外部网络上传输时须要进行加密。对于高度影响的数据，除了这些要求，还被要求在内部系统和网络上传输和存储时进行加密。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3ide

全部的Microsoft产品必须符合SDL的加密标准，该标准列举出了容许与非容许的加密标准。例如，对称加密的密钥长度须要超过128位。若是使用非对称算法，须要使用2048位或更长位数的密钥。工具

身份和访问管理
Microsoft采用须知原则和最低权限模式来管理对资产的访问。若是可行，使用基于角色的访问控制来逻辑化的分配特定的工做职责和范围，而不是针对我的。若是资产全部者没有经过策略明确的配置授予访问，那么在默认状况下相关的业务请求会被拒绝。

对于有权访问任何资产的我的，必须通过适当的措施进行受权。高度敏感的资产须要使用包括密码、硬件令牌、智能卡和生物识别等的多因素身份验证。对于已经取得受权的用户进行持续的审核以确保其对资产的使用是恰当的。对于再也不须要访问资产的帐户将被禁用。

应用程序安全
应用程序的安全性是Microsoft确保其云计算环境安全的关键因素。Microsoft于2004年正式将被称做安全开发生命周期（SDL）的流程归入到产品开发团队中。 SDL流程是一种不受限制的开发方法，能够集成到从设计到响应的整个应用程序开发生命周期，并且不会替代瀑布型或敏捷型等现有的软件开发方法。SDL流程的各个阶段强调教育与培训，并将具体的活动和流程委派并应用到应用程序开发的各个阶段。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft内的高级领导持续不断地支持SDL，并将其应用在在包含交付在线服务的Microsoft产品开发过程当中。 OSSC确保将SDL持续应用在构建被Microsoft云基础架构托管的应用程序开发过程当中，并在其中扮演了重要角色。

本内容转自微软云安全白皮书，云安全5大关注点的相关文章请参考
ITIL安全风险评估
 云安全5大关注点
 企业网络信息安全管理－－－gnaw0725