Windows Azure HandBook (3) 浅谈Azure安全性

　　《Windows Azure Platform 系列文章目录》

　　2015年3月5日-6日，参加了上海的Azure University活动。作为桌长与微软合作伙伴交流了Azure相关的技术，同时通过课程案例，学习了很多的Azure相关知识。

　　现在就课程中的一个案例，分析一下Azure安全性方面的内容。

　　Azure安全性一直是一个被经常问到的问题，把虚拟机、网站和数据库等都部署到Azure平台，如何保证应用程序的安全，如何保证企业级客户的数据不被泄漏，一直是客户经常询问到的问题。

　　总的来说，Azure的安全性分为三种：数据中心安全性、运维安全性和应用平台安全性。

　　一.数据中心安全性

　　从数据中心安全性来说，Azure Global数据中心是获得了很多安全认证的。有兴趣的读者可以参考连接：http://azure.microsoft.com/en-us/support/trust-center/compliance/

　　截止今天(2015-03-06)，Azure Global数据中心获得的认证有：

ISO 27001/27002
SOC 1/SSAE 16/ISAE 3402 and SOC 2
Cloud Security Alliance CCM
FedRAMP
FISMA
FBI CJIS (Azure Government)
PCI DSS Level 1
United Kingdom G-Cloud
Australian Government IRAP
Singapore MTCS Standard
HIPAA
EU Model Clauses
Food and Drug Administration 21 CFR Part 11
FERPA
FIPS 140-2
CCCPPF
MLPS

　　有关Azure Global Compliance的详细文档，可以参考：

https://downloads.cloudsecurityalliance.org/star/self-assessment/StandardResponsetoRequestforInformationWindowsAzureSecurityPrivacy.docx

　　这里特别强调一下，在国内由世纪互联运维的Windows Azure China，获得合规性认证有：

　　-　　ISO/IEC 27001:2005 审核和认证

　　-　　工信部可信云服务认证

　　-　　信息系统安全等级保护定级，二级

　　我们可以参考http://www.windowsazure.cn/support/trust-center/compliance，查阅相关的资料。

　　二.运维安全性

　　(1)Azure数据中心的运维团队会对Azure数据中心进行24小时的连续监视，采取物理措施构造、管理和监视数据中心，防止未经授权访问数据和服务以及防范一些环境风险。

　　这边顺便提一下，笔者曾经尝试在Azure数据中心内创建一台Windows Server 2012的虚拟机，反复扫描同一数据中心IP段内的常用端口。结果很快被世纪互联的运维团队发现，并发出邮件警告我虚拟机的异常活动，如果不立刻停止该行为，可能有停止整个订阅的风险。笔者只好灰溜溜的关闭虚拟机:)

　　(2)另外Azure承诺，不会挖掘客户的数据来进行营销，也无权访问客户数据。

　　(3)Tips：如果国内的用户需要对Azure上的应用模拟从客户端发起的压力测试，记得提前7 天填写并提交渗透测试批准表 联系世纪互联哦。

　　否则你的客户端请求会被Azure默认提供的Anti-DDos硬件给挡住哦 :)

　　

　　三.应用平台安全性

　　应用平台安全性可以具体分为以下几种：

　　1.存储安全性

　　Azure 提供包括 AES-256 在内的各种加密功能

　　有兴趣的读者可以参考MSDN文章https://msdn.microsoft.com/zh-cn/magazine/ee291586.aspx，了解微软Windows Azure 中的加密服务和数据安全

　　2.网络安全性

　　(1)Azure提供Anti-DDos功能，预防外部攻击。

　　(2)Azure提供ACL(Access Control List)，可以设置Internet公用网络的传入流量，允许某些公网IP来管理Azure上的服务

　　Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

　　(3)Azure提供Network Security Group(NSG)，可以设置同一个Virtual Network不同subnet和不同VM之前的互相访问。

　　3.传输安全性

　　Azure提供SSL和 TLS加密方法，可以保证数据传输的加密。

　　4.网络安全性

　　Azure的Virtual Network是使用VLan技术的，客户可以选择将多个部署分配给一个隔离的虚拟网络，并允许这些部署通过私有 IP 地址进行相互通信。

　　在混合云的情况里

　　(1)Site-To-Site VPN是使用IPSec协议，保证网络安全。

　　(2)Point-To-Site VPN是使用SSTP协议，保证网络安全。

　　(3)ExpressRoute专线技术，是使用私有网络将客户的数据中心与Azure数据中心进行互联，同样也能保证网络的安全性。

　　5.数据库安全性

　　(1)Azure PaaS SQL提供IP白名单，我们可以设置某些信任服务器的IP端加入IP白名单中，组织其他非信任的IP进行连接

　　(2)Azure IaaS SQL VM提供传统SQL Server的数据库安全性连接，如证书加密、对称加密、非对称加密、透明数据加密等。

　　结合上面谈到的所有技术点，一个典型的Azure安全性架构设计，如下图：

　　

　　

　　其他安全性的资源，可以参考http://www.windowsazure.cn/support/trust-center/resources

=======================分隔符============================

以下是我在azure university的手绘图，留作纪念