Windows Azure HandBook (3) 浅谈Azure安全性
《Windows Azure Platform 系列文章目录》
2015年3月5日-6日,参加了上海的Azure University活动。作为桌长与微软合作伙伴交流了Azure相关的技术,同时通过课程案例,学习了很多的Azure相关知识。
现在就课程中的一个案例,分析一下Azure安全性方面的内容。
Azure安全性一直是一个被经常问到的问题,把虚拟机、网站和数据库等都部署到Azure平台,如何保证应用程序的安全,如何保证企业级客户的数据不被泄漏,一直是客户经常询问到的问题。
总的来说,Azure的安全性分为三种:数据中心安全性、运维安全性和应用平台安全性。
一.数据中心安全性
从数据中心安全性来说,Azure Global数据中心是获得了很多安全认证的。有兴趣的读者可以参考连接:http://azure.microsoft.com/en-us/support/trust-center/compliance/
截止今天(2015-03-06),Azure Global数据中心获得的认证有:
ISO 27001/27002
SOC 1/SSAE 16/ISAE 3402 and SOC 2
Cloud Security Alliance CCM
FedRAMP
FISMA
FBI CJIS (Azure Government)
PCI DSS Level 1
United Kingdom G-Cloud
Australian Government IRAP
Singapore MTCS Standard
HIPAA
EU Model Clauses
Food and Drug Administration 21 CFR Part 11
FERPA
FIPS 140-2
CCCPPF
MLPS
有关Azure Global Compliance的详细文档,可以参考:
这里特别强调一下,在国内由世纪互联运维的Windows Azure China,获得合规性认证有:
- ISO/IEC 27001:2005 审核和认证
- 工信部可信云服务认证
- 信息系统安全等级保护定级,二级
我们可以参考http://www.windowsazure.cn/support/trust-center/compliance,查阅相关的资料。
二.运维安全性
(1)Azure数据中心的运维团队会对Azure数据中心进行24小时的连续监视,采取物理措施构造、管理和监视数据中心,防止未经授权访问数据和服务以及防范一些环境风险。
这边顺便提一下,笔者曾经尝试在Azure数据中心内创建一台Windows Server 2012的虚拟机,反复扫描同一数据中心IP段内的常用端口。结果很快被世纪互联的运维团队发现,并发出邮件警告我虚拟机的异常活动,如果不立刻停止该行为,可能有停止整个订阅的风险。笔者只好灰溜溜的关闭虚拟机:)
(2)另外Azure承诺,不会挖掘客户的数据来进行营销,也无权访问客户数据。
(3)Tips:如果国内的用户需要对Azure上的应用模拟从客户端发起的压力测试,记得提前7 天填写并提交渗透测试批准表 联系世纪互联哦。
否则你的客户端请求会被Azure默认提供的Anti-DDos硬件给挡住哦 :)
三.应用平台安全性
应用平台安全性可以具体分为以下几种:
1.存储安全性
Azure 提供包括 AES-256 在内的各种加密功能
有兴趣的读者可以参考MSDN文章https://msdn.microsoft.com/zh-cn/magazine/ee291586.aspx,了解微软Windows Azure 中的加密服务和数据安全
2.网络安全性
(1)Azure提供Anti-DDos功能,预防外部攻击。
(2)Azure提供ACL(Access Control List),可以设置Internet公用网络的传入流量,允许某些公网IP来管理Azure上的服务
Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限
(3)Azure提供Network Security Group(NSG),可以设置同一个Virtual Network不同subnet和不同VM之前的互相访问。
3.传输安全性
Azure提供SSL和 TLS加密方法,可以保证数据传输的加密。
4.网络安全性
Azure的Virtual Network是使用VLan技术的,客户可以选择将多个部署分配给一个隔离的虚拟网络,并允许这些部署通过私有 IP 地址进行相互通信。
在混合云的情况里
(1)Site-To-Site VPN是使用IPSec协议,保证网络安全。
(2)Point-To-Site VPN是使用SSTP协议,保证网络安全。
(3)ExpressRoute专线技术,是使用私有网络将客户的数据中心与Azure数据中心进行互联,同样也能保证网络的安全性。
5.数据库安全性
(1)Azure PaaS SQL提供IP白名单,我们可以设置某些信任服务器的IP端加入IP白名单中,组织其他非信任的IP进行连接
(2)Azure IaaS SQL VM提供传统SQL Server的数据库安全性连接,如证书加密、对称加密、非对称加密、透明数据加密等。
结合上面谈到的所有技术点,一个典型的Azure安全性架构设计,如下图:

其他安全性的资源,可以参考http://www.windowsazure.cn/support/trust-center/resources
=======================分隔符============================
以下是我在azure university的手绘图,留作纪念

Windows Azure HandBook (3) 浅谈Azure安全性的更多相关文章
- Windows Azure Storage (19) 再谈Azure Block Blob和Page Blob
<Windows Azure Platform 系列文章目录> 请读者在参考本文之前,预习相关背景知识:Windows Azure Storage (1) Windows Azure St ...
- 浅谈WEB安全性(前端向)
相信进来的时候你已经看到alert弹窗,显示的是你cookie信息(为配合博客园要求已删除).单纯地在你的客户端弹出信息只是类似于迫使你在自己的房间脱衣服——没人看得到,自然也不算啥恶意行为.那么如果 ...
- 浅谈HTTPS安全性
各位可曾有过使用智能手机App在网络商店购物的经验,想必是有的,那你/妳会不会担心不够安全呢?有人会说放心吧,购物网站有使用SSL/TLS加密传输,我们就来聊聊HTTPS好了. 客户端与服务器端的交握 ...
- Windows Azure HandBook (2) Azure China提供的服务
<Windows Azure Platform 系列文章目录> 对于传统的自建数据中心,从底层的Network,Storage,Servers,Virtualization,中间层的OS, ...
- Windows Azure HandBook (5) Azure混合云解决方案
<Windows Azure Platform 系列文章目录> 在很多情况下,我们都会遇到本地私有云和公有云做互通互联的混合云场景.对于这种混合云的场景,微软的Windows Azure会 ...
- Windows Azure HandBook (9) Azure性能测试(2)
<Windows Azure Platform 系列文章目录> 在上一节中,笔者介绍了我们在Azure性能测试之前,首先需要提交<渗透性测试表> Windows Azure H ...
- Windows Azure HandBook (1) IaaS相关技术
<Windows Azure Platform 系列文章目录> 1.Microsoft Azure底层是否由System Center和Hyper-V构成? Microsoft Azure ...
- Windows Azure HandBook (4) 分析Windows Azure如何处理Session
<Windows Azure Platform 系列文章目录> 本文是对笔者之前的文章Windows Azure Cloud Service (13) 多个VM Instance场景下如何 ...
- Windows Azure HandBook (8) Azure性能测试(1)
<Windows Azure Platform 系列文章目录> 我们在项目上线之前,常常需要对部署在微软云上的应用软件做压力测试. 一般的压力测试,常常在本地计算机安装压力测试软件 (比如 ...
随机推荐
- 更高效地提高redis client多线程操作的并发吞吐设计
Redis是一个非常高效的基于内存的NOSQL数据库,它提供非常高效的数据读写效能.在实际应用中往往是带宽和CLIENT库读写损耗过高导致无法更好地发挥出Redis更出色的能力.下面结合一些redis ...
- Yii2 使用Composer
composer 是 PHP 用来管理依赖(dependency)关系的工具.你可以在自己的项目中声明所依赖的外部工具库(libraries),Composer 会帮你安装这些依赖的库文件 compo ...
- .net与mono的那些事
米格尔·德伊卡萨在.NET的文档于2000年10月发布时就马上对.NET产生了兴趣.在查看字节码解释器后,他发现对于元数据(metadata)没有相应的说明文档.2001年2月,德伊卡萨在.NET邮件 ...
- [.NET领域驱动设计实战系列]专题一:前期准备之EF CodeFirst
一.前言 从去年已经接触领域驱动设计(Domain-Driven Design)了,当时就想自己搭建一个DDD框架,所以当时看了很多DDD方面的书,例如领域驱动模式与实战,领域驱动设计:软件核心复杂性 ...
- java提高篇(九)-----实现多重继承
多重继承指的是一个类可以同时从多于一个的父类那里继承行为和特征,然而我们知道Java为了保证数据安全,它只允许单继承.有些时候我们会认为如果系统中需要使用多重继承往往都是糟糕的设计,这个时候我们往往需 ...
- js中的console很强大
今天闲来没事,瞎逛, 发现了淘宝首页的这个: 想起来之前在百度的 页面中也曾看到过.于是乎自己试一试. 于是便见识到了console对象其实很强大,用好它对调试真的有很大帮助. 代码: <!DO ...
- 更改Photoshop 语言为英语(无需语言包)
因为有时看国外教程时,手头上的PS是中文的而教程里的界面是英文的,而且中英菜单顺序在某些地方是不一样的,所以很不方便. 终于找到一个非常完美的方法可以把界面换成英文,而且不需任何语言包. 并且试了在最 ...
- Google 新推出Background sync API
Background sync是Google新推出的Web API,可延迟用户行为,直到用户网络连接稳定.这样有助于保证用户想要发送的数据就是实际发送的数据. 目前存在的问题 网络是消磨用户时间最多的 ...
- webservice 之 WSDL的解析
先看一个wsdl, <?xml version="1.0" encoding="UTF-8" standalone="no"?> ...
- EF架构~在Linq to Entity中使用日期函數
回到目录 眾所周知,在linq to entity的查询语句中,不允许出现ef不能识别的关键字,如Trim,Substring,TotalDays等.net里的关键字,在EF查询里都是不被支持的,它的 ...