Microsoft Azure: Надежность в облаке

Компания Microsoft вступила на арену безопасности туч с Azure, платформой служб, при помощи которых организации могут создавать, устанавливать, управлять и распространять приложения, основанные на WEB-технологиях, в локальной сети (личное скопление) либо в Вебе. Но сумеют ли эти приложения и службы предоставить неопасную вычислительную среду? В этой статье мы поглядим на то, что Microsoft решает для решения насущных заморочек с безопасностью облака.

Безопасность: самое огромное препятствие на пути распространения пасмурных служб

Пасмурные вычисления презентабельны в почти всех качествах. Они намного более эффективны исходя из убеждений издержек, чем локальные службы, потому что они уменьшают либо ликвидируют нужду в покупке оборудования. Объем их работы просто прирастить либо уменьшить зависимо от нужд компании. Но вопросы безопасности и надежности вызывают огромные сомнения у компаний, когда встает вопрос о переходе на пасмурные вычисления.

Сама идея о том, что принципиальные деловые данные просто передаются в неведомом направлении, принуждает людей волноваться. По собственной природе системные админы нередко помешаны на контроле, и потому не испытывают приятных эмоций, если не знают, где на физическом уровне размещаются их данные, зашифрованы ли они и, если да, то каким образом, как очень они смешиваются с данными других клиентов пасмурного провайдера, и кто имеет к ним доступ.

Azure: Что же все-таки это такое и как оно работает

Огромное число провайдеров бьются на рынке туч. Пасмурные службы платформы от Microsoft под заглавием Azure стремятся стать главным игроком на этом рынке. В платформу Azure входят:

Windows Azure (операционная система как служба)
SQL Azure (база данных облака)
Службы NET

Эта платформа может употребляться приложениями, запущенными в облаке (ПО как служба) либо на локальном компьютере (ПО плюс службы). Сама служба на этот момент находится в стадии Community Technology Preview и планируется к выходу в ноябре 2009. Microsoft много вложила в разработку облака и на данный момент строит центры данных в различных точках планетки для поддержки службы. Windows Azure запускается на этих машинах, и к ним можно получить доступ через Веб. Разработчики могут создавать приложения на VB, C++, C# и т.д., которые можно запускать на платформе Azure. Данные сохраняются службой хранения Azure либо, в этом случае, если данные нужно хранить в реляционной базе данных, в базе данных SQL Azure, основанной на SQL Server.

В Windows Azure употребляются достоинства виртуализации. Обычно каждый экземпляр приложения запускается в отдельной виртуальной машине под Windows Server 2008. ВМ запускаются на гипервизоре, разработанном Microsoft специально для среды приложений для пасмурных вычислений. Приложения можно разрабатывать или при помощи экземпляра web role либо worker role . Эти экземпляры, реализованные как worker role, работают без IIS на их ВМ и не могут создавать входящие сетевые соединения. У их могут быть только исходящие соединения, с помощью которых информация отчаливает вовне. Экземпляры web role принимают входящие HTTP- либо HTTPS-запросы.

Как насчет безопасности?

Волнующая тема – задачи с безопасностью, возникающие при работе с пасмурной службой, позволяющей третьесторонним разработчикам создавать приложения и располагать их в облаке Azure. Microsoft создавала платформу Azure, помня о безопасности, и потому в ней реализовано огромное количество функций, содействующих безопасности. Принципиальным нюансом обеспечения безопасности данных является проверка сути тех, кто запрашивает доступ к данным. У Microsoft есть служба контроля доступа .NET Access Control Service, которая работает с web-службами и web-приложениями, чтоб обеспечить интеграцию общих сущностей. Служба будет поддерживать сути фаворитных провайдеров.

Приложения определяют, разрешен ли юзеру доступ на основании знаков языка Security Assertion Markup Language (SAML), создаваемых службой Security Token Service (STS), и содержат информацию о юзере. STS обеспечивает цифровую подпись для каждого маркера. У приложений есть списки цифровых сертификатов STS, которой они доверяют. Дела доверия могут создаваться меж доверенной STS и STS, публикующей маркер, чтоб обеспечить идентификационную целостность. Служба Access Control Service является STS, которая управляет облаком. Эта STS инспектирует подпись на маркере SAML, отправляемом клиентским приложением (к примеру, web-браузером) и делает и подписывает новый маркер для клиентского приложения, чтоб предоставить его пасмурному приложению.

Направьте внимание:Если вы желаете подробнее выяснить о компонентах Azure и о том, как они работают, также получить подробное описание службы Access Control Service, обратитесь к последующему документу: ‘Представление платформы Windows Azure ‘

Регулируемая сопоставимость и безопасность

В качестве провайдера служб Microsoft должна соответствовать легитимным требованиям правительственных органов, под юриспунденцию которых подпадает Azure, также фабричным нормативам, обхватывающим многие компании из определенных отраслей. Модель сопоставимости Microsoft сотворена, чтоб решить эту задачку. Безопасность инфраструктуры облака Microsoft регулируется командой Online Services Security and Compliance, которая занимается поддержкой модели контроля за безопасностью и развитием политики и программ, обеспечивающих соответствие и управляющих рисками безопасности.

Скопление Microsoft раз в год подвергается проверкам на соответствие PCI DSS, SOX и HIPAA, также как и внутренним оценкам в течение года. Скопление Microsoft получило сертификацию ISO/IEC 27001:2005 и аттестацию SAS 70 Типов 1 и II.

Замечание: ISO/EC 27001:2005 – эталон, регламентирующий требования по установлению, реализации, оперированию, мониторингу, анонсированию, поддержке и улучшению документированной системы Information Security Management System. Подробнее об этом можно выяснить тут.

Замечание #2:Statement on Auditing Standards (SAS – Положение об Аудите Эталонов) 70 – это эталон по аудиту, разработанный в Южноамериканском Институте Дипломированных Публичных Бухгалтеров (American Institute of Certified Public Accountants), предлагающий управление независящим аудиторам по публикации представления о раскрытии службой либо организацией его контроля над деятельностью и процессами. Подробнее об этом тут.

Безопасность в облаке Microsoft

Подход Microsoft к безопасности в пасмурной среде основывается на документе Securing Microsoft’s Cloud Infrastructure. (Обеспечение безопасности инфраструктуры облака Microsoft)

Замечание:Если вы желаете подробнее почитать о подходе Microsoft к безопасности в облаке, щелкните тут.

Подводя итоги: компания применяет механизмы безопасности на различных уровня пасмурной инфраструктуры, чтоб воплотить информационную защиту на глубочайшем уровне. Эти разноуровневые механизмы содержат в себе:

Физическая безопасность центров данных (замки, камеры, биометрические устройства, кард-ридеры, сигнализация)
Брандмауэры, шлюзы приложений и IDS для защиты сети
Access Control Lists (ACL – списки контроля доступа), используемые к виртуальным локальным сетям (VLAN) и приложениям
Аутентификация и авторизация людей и процессов, запрашивающих доступ к данным
Укрепление защиты серверов и операционных систем
Лишная инфраструктура внутренних и наружных DNS с ограниченным правом на запись
Обеспечение безопасности объектов виртуальных машин
Обеспечение безопасности статических и динамических устройств хранения

Все ресурсы компании делятся на категории по уровням требуемой информационной безопасности, основываясь на возможных масштабах вреда. Высокоценные активы защищаются более строго, к примеру, при помощи многофакторной аутентификации (смарт-карты, биометрия, аппаратные маркеры). Также реализуется принцип меньших приемуществ, когда людям и процессам предоставляется меньший нужный им для выполнения собственной работы уровень доступа, и менее того.

Команды онлайн-служб Microsoft используют принципы цикла разработки неопасного программного обеспечения – Security Development Lifecycle (SDL) (безопасность при конструировании, безопасность по дефлоту и безопасность при установке и содействии) к онлайн-службам. Подробнее об SDL и принципах SD3+C можно прочесть по этой ссылке.

Windows Azure устанавливается в центрах данных Global Foundation Services и, как следует, пользуется преимуществами сетевой безопасности, обеспечиваемыми GFS. Обеспечение безопасности данных приложения на уровне приложения находится под ответственностью разработчиков приложения. Таким макаром, конкретно разработчик приложения определяет, должны ли шифроваться данные.

Обеспечение безопасности в SQL Azure больше похоже на обеспечение безопасности обыденного сервера SQL Server, потому админам SQL будет нетрудно перейти к управлению на уровне баз данных. Администрирование на уровне сервера мало отличается из-за того, что базы данных могут обхватывать более одной физической системы.

Замечание: Выяснить подробнее об управлении информационной безопасностью в SQL Azure можно на web-сайте MSDN.

Создание защищенных приложений на платформе Azure

Разработчики могут отыскать практические примеры сотворения защищенных приложений для пуска на платформе Azure в базе познаний Azure Security Knowledge Base тут.

Семинар-тренинг для разработчиков по модели безопасности SQL Azure Security Model будет открыт 30 ноября, см. тут!

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.