微軟發布Azure安全指南文件,明確指出微軟公司將就哪些問題負責,而其余問題則由客戶自己買單。
兩份文件解釋了微軟解決問題的方法。第一份文件名為《云計算的共同責任》(Shared Responsibilities for Cloud Computing,PDF),它解釋了微軟是如何劃分安全責任的。
微軟的方法的基本原則是這樣的:
1,所有傳統內部部署的IT問題都由客戶自己負責。
2,當客戶將Azure作為基礎架構即服務使用的時候:
建筑、服務器、網絡硬件和虛擬機監控程序方面的問題屬于微軟的責任范圍。操作系統、網絡配置、應用程序、身份、客戶端和數據的問題則需要客戶負責。
3,當客服使用平臺即服務時:
網絡控制屬于微軟的職責范圍。操作系統、應用程序、身份、客戶端和數據由客戶自己負責。
4,當客戶使用SaaS模式時,除了數據分類、終端安全和用戶管理由客戶自己負責之外,其他一切的問題就都由微軟負責。
此外,另外一份文件名為《微軟Azure云安全響應》(Microsoft Azure Security Response in the Cloud ,PDF)的白皮書,在這份白皮書中,微軟解釋了在當云服務出現問題時微軟是如何響應的。
根據文檔顯示,微軟使用了下面五個步驟巡查Azure的邊界:
客戶支持門戶(Customer Support Portal)提供的客戶報告描述了同Azure基礎架構相關的(非客戶責任范圍內的活動)可疑行為。安全漏洞將通過[email protected]報告給微軟安全響應中心(Microsoft Security Response Center)。MSRC同遍布世界各地的合作伙伴和安全研究人員合作,幫助阻止安全事故的發生,并提高微軟產品的安全性。安全藍隊和紅隊(Security Blue and Red)策略,讓技術精湛的專家組成的紅隊攻擊Azure潛在的安全漏洞,而安全響應(藍隊)負責發現紅隊的行動。紅隊和藍隊的行動都被當成是驗證Azure安全響應工作能夠管理安全事件的手段。安全紅隊和藍隊的活動是在責任的約束之下的,以幫助確保對客戶數據的防護。通過Azure服務的內部檢測和診斷系統監測可疑行為。這些警報可能會以基于簽名的警告的方式出現,例如反惡意軟件、入侵檢測或者通過旨在識別預期的活動并且根據異常情況報警的算法。升級Azure服務運營商。微軟的員工經過培訓,學習如何識別和擴展潛在的安全問題。
文檔的其余部分沒有揭示太多內容,但是在關于緩解措施的章節里確實介紹了微軟努力修復“可能導致短暫中斷”的Azure問題的工作。
這份文件指出:這種決定不能夠掉以輕心。當采取積極的措施的時候,標準流程會通知客戶中斷和恢復所需要的時間。
微軟響應流程的其余部分如下面從文檔中摘錄的一個關系圖和一個表所示:
京公網安備 11010502049343號