Azure Lei Zhang的博客

weibo: LeiZhang的微博/QQ: 185165016/QQ群:319036205/邮箱:leizhang1984@outlook.com/TeL:139-161-22926

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
  389 随笔 :: 0 文章 :: 394 评论 :: 0 引用

  《Windows Azure Platform 系列文章目录

 

  2015年3月5日-6日,参加了上海的Azure University活动。作为桌长与微软合作伙伴交流了Azure相关的技术,同时通过课程案例,学习了很多的Azure相关知识。

  现在就课程中的一个案例,分析一下Azure安全性方面的内容。

  Azure安全性一直是一个被经常问到的问题,把虚拟机、网站和数据库等都部署到Azure平台,如何保证应用程序的安全,如何保证企业级客户的数据不被泄漏,一直是客户经常询问到的问题。

 

  总的来说,Azure的安全性分为三种:数据中心安全性、运维安全性应用平台安全性

 

  一.数据中心安全性

  从数据中心安全性来说,Azure Global数据中心是获得了很多安全认证的。有兴趣的读者可以参考连接:http://azure.microsoft.com/en-us/support/trust-center/compliance/

  截止今天(2015-03-06),Azure Global数据中心获得的认证有:

ISO 27001/27002
SOC 1/SSAE 16/ISAE 3402 and SOC 2
Cloud Security Alliance CCM
FedRAMP
FISMA
FBI CJIS (Azure Government)
PCI DSS Level 1
United Kingdom G-Cloud
Australian Government IRAP
Singapore MTCS Standard
HIPAA
EU Model Clauses
Food and Drug Administration 21 CFR Part 11
FERPA
FIPS 140-2
CCCPPF
MLPS

  有关Azure Global Compliance的详细文档,可以参考:

https://downloads.cloudsecurityalliance.org/star/self-assessment/StandardResponsetoRequestforInformationWindowsAzureSecurityPrivacy.docx

 

  这里特别强调一下,在国内由世纪互联运维的Windows Azure China,获得合规性认证有:

  -  ISO/IEC 27001:2005 审核和认证

  -  工信部可信云服务认证

  -  信息系统安全等级保护定级,二级

  我们可以参考http://www.windowsazure.cn/support/trust-center/compliance,查阅相关的资料。

 

  二.运维安全性

  (1)Azure数据中心的运维团队会对Azure数据中心进行24小时的连续监视,采取物理措施构造、管理和监视数据中心,防止未经授权访问数据和服务以及防范一些环境风险。

  这边顺便提一下,笔者曾经尝试在Azure数据中心内创建一台Windows Server 2012的虚拟机,反复扫描同一数据中心IP段内的常用端口。结果很快被世纪互联的运维团队发现,并发出邮件警告我虚拟机的异常活动,如果不立刻停止该行为,可能有停止整个订阅的风险。笔者只好灰溜溜的关闭虚拟机:)

  (2)另外Azure承诺,不会挖掘客户的数据来进行营销,也无权访问客户数据。

  (3)Tips:如果国内的用户需要对Azure上的应用模拟从客户端发起的压力测试,记得提前7 天填写并提交渗透测试批准表 联系世纪互联哦。

  否则你的客户端请求会被Azure默认提供的Anti-DDos硬件给挡住哦 :)

  

  三.应用平台安全性

  应用平台安全性可以具体分为以下几种:

  1.存储安全性

  Azure 提供包括 AES-256 在内的各种加密功能

  有兴趣的读者可以参考MSDN文章https://msdn.microsoft.com/zh-cn/magazine/ee291586.aspx,了解微软Windows Azure 中的加密服务和数据安全

  2.网络安全性

  (1)Azure提供Anti-DDos功能,预防外部攻击。

  (2)Azure提供ACL(Access Control List),可以设置Internet公用网络的传入流量,允许某些公网IP来管理Azure上的服务

  Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

  (3)Azure提供Network Security Group(NSG),可以设置同一个Virtual Network不同subnet和不同VM之前的互相访问。

 

  3.传输安全性

  Azure提供SSL和 TLS加密方法,可以保证数据传输的加密。

 

  4.网络安全性

  Azure的Virtual Network是使用VLan技术的,客户可以选择将多个部署分配给一个隔离的虚拟网络,并允许这些部署通过私有 IP 地址进行相互通信。

  在混合云的情况里

  (1)Site-To-Site VPN是使用IPSec协议,保证网络安全。

  (2)Point-To-Site VPN是使用SSTP协议,保证网络安全。

  (3)ExpressRoute专线技术,是使用私有网络将客户的数据中心与Azure数据中心进行互联,同样也能保证网络的安全性。

 

  5.数据库安全性

  (1)Azure PaaS SQL提供IP白名单,我们可以设置某些信任服务器的IP端加入IP白名单中,组织其他非信任的IP进行连接

  (2)Azure IaaS SQL VM提供传统SQL Server的数据库安全性连接,如证书加密、对称加密、非对称加密、透明数据加密等。

 

  结合上面谈到的所有技术点,一个典型的Azure安全性架构设计,如下图:

  

  

  其他安全性的资源,可以参考http://www.windowsazure.cn/support/trust-center/resources

 

 

 

=======================分隔符============================

以下是我在azure university的手绘图,留作纪念

 

posted on 2015-03-06 22:11 Lei Zhang的博客 阅读(...) 评论(...) 编辑 收藏