云安全5大關注點

云安全需要關注的幾個領域：物理安全、網絡安全、數據安全、身份和訪問管理以及應用程序安全。下面對這幾個方面做簡要描述。

物理安全
對技術的應用可以使系統自動的獲取訪問所需的授權和認證，安全技術的進步帶來的變化可以使其成為保障物理安全的一種方法。從使用傳統的企業應用程序、根據業務將用于計算的硬件和軟件部署到物理位置的模式轉換出來，使用軟件即服務和軟件加服務則是另外一種情況。 這些變化使組織有必要做出進一步的調整以保障其資產的安全。

OSSC負責管理Microsoft所有數據中心的物理安全，這對于保持設施的運轉和保護客戶的數據是至關重要的。使用安全設計與運營構建的過程可以被精確的應用到每個設施。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft確保對通過建立在內外周邊的每個邊緣層增加控制。

該安全系統使用了結合不同的技術解決方案，包括攝像機、生物識別、讀卡器以及包括可報警的傳統安全措施，例如鎖與鑰匙。運行控制用來進行自動化的監控以及在遇到違規或問題發生時提供早期通知，并允許對數據中心的物理安全方案文檔的進行審核進而實施問責。以下列出了Microsoft在物理安全方面如何應用控制的更多示例：

• 限制訪問數據中心的人員 —— Microsoft提出的安全要求將對數據中心雇員和承包商進行審查。除了將其規定在與現場工作人員簽訂的合同中，一個安全的數據中心內部還應包括應用到人員層面的安全措施。通過應用最小權限的策略限制訪問，因此僅授權給必要的人員來管理客戶的應用和服務。
   
• 解決高業務影響數據要求 —— Microsoft已經開發出更加嚴格的最低需求，在提供在線服務的數據中心內對使用的資產分類進行分類，將其分為高度敏感、中度及低度敏感。標準化的安全協議被用于識別、訪問令牌以及清楚地記錄和監測站點條目需要何種類型的身份驗證。在這種訪問高度敏感資產的情況下，必須進行多因素認證。
   
• 集中物理資產訪問管理 —— 隨著Microsoft不斷擴大用于提供在線服務的數據中心數量，一個用于管理物理資產訪問控制并且通過集中話的工作流程來審核和記錄對數據中心訪問的工具被開發出來。該工具的操作使用提供所需最小訪問的原則，并且包含了經過授權伙伴批準的工作流程。它可以作為現場條件配置，并且可以更加高效的訪問用于進行報告和遵從性審計的歷史記錄。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

網絡安全
Microsoft為適當的數據中心設備和網絡連接應用了多層面安全性。例如使用了安全性控制以及控制與管理方案。如負載均衡、防火墻和***防護設備等專門的硬件設備被用于應對大規模的拒絕服務（DoS）***。該網絡管理團隊使用分層的訪問控制列表（ACL）來根據需要劃分虛擬局域網（VLAN）和應用程序。通過網絡硬件，Microsoft使用應用程序網關功能對包進行深度檢測并采取行動，如發送警報、阻止或封鎖可疑的網絡流量等。

Microsoft的云環境中運行著一個全球冗余的內部和外部DNS基礎架構。通過DNS服務器群集來實現冗余容錯。額外的控制用來降低分布式拒絕服務（DDoS）和緩存欺騙或篡改的***風險。例如，在DNS服務器和DNS區域中通過ACL僅允許具有授權的人員寫入DNS記錄。全新的安全特性，例如隨機查詢標識符和在所有的DNS服務器上使用最新和安全的DNS軟件。DNS群集不斷監控未經授權的軟件和DNS區域配置變更以及其他破壞性服務事件。

DNS是全球互聯的Internet的一部分，需要許多組織共同參與并提供這項服務。 Microsoft在這方面進行了許多努力，包括參加域名運營分析與研究協會（DNS-OARC，該協會由全球的DNS專家所組成。

數據安全
Microsoft對資產進行分類以確定需要采用的安全控制強度。該分類把與資產相關的安全事件帶來的潛在財務和名譽損失考慮進來。一旦分類完成，將對需要保護的部分采取縱深防御措施。例如，被歸類為中度影響的數據被放置在可移動介質或在外部網絡上傳輸時需要進行加密。對于高度影響的數據，除了這些要求，還被要求在內部系統和網絡上傳輸和存儲時進行加密。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

所有的Microsoft產品必須符合SDL的加密標準，該標準列舉出了允許與非允許的加密標準。例如，對稱加密的密鑰長度需要超過128位。如果使用非對稱算法，需要使用2048位或更長位數的密鑰。

身份和訪問管理
Microsoft采用須知原則和最低權限模式來管理對資產的訪問。如果可行，使用基于角色的訪問控制來邏輯化的分配特定的工作職責和范圍，而不是針對個人。如果資產所有者沒有通過策略明確的配置授予訪問，那么在默認情況下相關的業務請求會被拒絕。

對于有權訪問任何資產的個人，必須經過適當的措施進行授權。高度敏感的資產需要使用包括密碼、硬件令牌、智能卡和生物識別等的多因素身份驗證。對于已經取得授權的用戶進行持續的審核以確保其對資產的使用是恰當的。對于不再需要訪問資產的賬戶將被禁用。

應用程序安全
應用程序的安全性是Microsoft確保其云計算環境安全的關鍵因素。Microsoft于2004年正式將被稱作安全開發生命周期（SDL）的流程納入到產品開發團隊中。 SDL流程是一種不受限制的開發方法，可以集成到從設計到響應的整個應用程序開發生命周期，而且不會替代瀑布型或敏捷型等現有的軟件開發方法。SDL流程的各個階段強調教育與培訓，并將具體的活動和流程委派并應用到應用程序開發的各個階段。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft內的高級領導持續不斷地支持SDL，并將其應用在在包含交付在線服務的Microsoft產品開發過程中。 OSSC確保將SDL持續應用在構建被Microsoft云基礎架構托管的應用程序開發過程中，并在其中扮演了重要角色。

本內容轉自微軟云安全白皮書，云安全5大關注點的相關文章請參考
ITIL安全風險評估
云安全5大關注點
企業網絡信息安全管理
－－－gnaw0725