Windows Azure HandBook (3) 浅谈Azure安全性

《Windows Azure Platform 系列文章目录》

2015年3月5日-6日，参加了上海的Azure University活动。作为桌长与微软合作伙伴交流了Azure相关的技术，同时通过课程案例，学习了很多的Azure相关知识。

现在就课程中的一个案例，分析一下Azure安全性方面的内容。

Azure安全性一直是一个被经常问到的问题，把虚拟机、网站和数据库等都部署到Azure平台，如何保证应用程序的安全，如何保证企业级客户的数据不被泄漏，一直是客户经常询问到的问题。

总的来说，Azure的安全性分为三种：数据中心安全性、运维安全性和应用平台安全性。

一.数据中心安全性

从数据中心安全性来说，Azure Global数据中心是获得了很多安全认证的。有兴趣的读者可以参考连接：

截止今天(2015-03-06)，Azure Global数据中心获得的认证有：

ISO 27001/27002

SOC 1/SSAE 16/ISAE 3402 and SOC 2

Cloud Security Alliance CCM

FedRAMP

FISMA

FBI CJIS (Azure Government)

PCI DSS Level 1

United Kingdom G-Cloud

Australian Government IRAP

Singapore MTCS Standard

HIPAA

EU Model Clauses

Food and Drug Administration 21 CFR Part 11

FERPA

FIPS 140-2

CCCPPF

MLPS

有关Azure Global Compliance的详细文档，可以参考：

这里特别强调一下，在国内由世纪互联运维的Windows Azure China，获得合规性认证有：

-ISO/IEC 27001:2005 审核和认证

-工信部可信云服务认证

-信息系统安全等级保护定级，二级

我们可以参考，查阅相关的资料。

二.运维安全性

(1)Azure数据中心的运维团队会对Azure数据中心进行24小时的连续监视，采取物理措施构造、管理和监视数据中心，防止未经授权访问数据和服务以及防范一些环境风险。

这边顺便提一下，笔者曾经尝试在Azure数据中心内创建一台Windows Server 2012的虚拟机，反复扫描同一数据中心IP段内的常用端口。结果很快被世纪互联的运维团队发现，并发出邮件警告我虚拟机的异常活动，如果不立刻停止该行为，可能有停止整个订阅的风险。笔者只好灰溜溜的关闭虚拟机:)

(2)另外Azure承诺，不会挖掘客户的数据来进行营销，也无权访问客户数据。

(3)Tips：如果国内的用户需要对Azure上的应用模拟从客户端发起的压力测试，记得提前7 天填写并提交渗透测试批准表联系世纪互联哦。

否则你的客户端请求会被Azure默认提供的Anti-DDos硬件给挡住哦 :)

三.应用平台安全性

应用平台安全性可以具体分为以下几种：

1.存储安全性

Azure 提供包括 AES-256 在内的各种加密功能

有兴趣的读者可以参考MSDN文章，了解微软Windows Azure 中的加密服务和数据安全

2.网络安全性

(1)Azure提供Anti-DDos功能，预防外部攻击。

(2)Azure提供ACL(Access Control List)，可以设置Internet公用网络的传入流量，允许某些公网IP来管理Azure上的服务

Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

(3)Azure提供Network Security Group(NSG)，可以设置同一个Virtual Network不同subnet和不同VM之前的互相访问。

3.传输安全性

Azure提供SSL和 TLS加密方法，可以保证数据传输的加密。

4.网络安全性

Azure的Virtual Network是使用VLan技术的，客户可以选择将多个部署分配给一个隔离的虚拟网络，并允许这些部署通过私有 IP 地址进行相互通信。

在混合云的情况里

(1)Site-To-Site VPN是使用IPSec协议，保证网络安全。

(2)Point-To-Site VPN是使用SSTP协议，保证网络安全。

(3)ExpressRoute专线技术，是使用私有网络将客户的数据中心与Azure数据中心进行互联，同样也能保证网络的安全性。

5.数据库安全性

(1)Azure PaaS SQL提供IP白名单，我们可以设置某些信任服务器的IP端加入IP白名单中，组织其他非信任的IP进行连接

(2)Azure IaaS SQL VM提供传统SQL Server的数据库安全性连接，如证书加密、对称加密、非对称加密、透明数据加密等。

结合上面谈到的所有技术点，一个典型的Azure安全性架构设计windows安全性，如下图：

其他安全性的资源，可以参考

=======================分隔符============================

以下是我在azure university的手绘图，留作纪念

（编辑：海南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!