云安全5大关注点

云安全需要关注的几个领域：物理安全、网络安全、数据安全、身份和访问管理以及应用程序安全。下面对这几个方面做简要描述。

物理安全
对技术的应用可以使系统自动的获取访问所需的授权和认证，安全技术的进步带来的变化可以使其成为保障物理安全的一种方法。从使用传统的企业应用程序、根据业务将用于计算的硬件和软件部署到物理位置的模式转换出来，使用软件即服务和软件加服务则是另外一种情况。 这些变化使组织有必要做出进一步的调整以保障其资产的安全。

OSSC负责管理Microsoft所有数据中心的物理安全，这对于保持设施的运转和保护客户的数据是至关重要的。使用安全设计与运营构建的过程可以被精确的应用到每个设施。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft确保对通过建立在内外周边的每个边缘层增加控制。

该安全系统使用了结合不同的技术解决方案，包括摄像机、生物识别、读卡器以及包括可报警的传统安全措施，例如锁与钥匙。运行控制用来进行自动化的监控以及在遇到违规或问题发生时提供早期通知，并允许对数据中心的物理安全方案文档的进行审核进而实施问责。以下列出了Microsoft在物理安全方面如何应用控制的更多示例：

• 限制访问数据中心的人员 —— Microsoft提出的安全要求将对数据中心雇员和承包商进行审查。除了将其规定在与现场工作人员签订的合同中，一个安全的数据中心内部还应包括应用到人员层面的安全措施。通过应用最小权限的策略限制访问，因此仅授权给必要的人员来管理客户的应用和服务。
   
• 解决高业务影响数据要求 —— Microsoft已经开发出更加严格的最低需求，在提供在线服务的数据中心内对使用的资产分类进行分类，将其分为高度敏感、中度及低度敏感。标准化的安全协议被用于识别、访问令牌以及清楚地记录和监测站点条目需要何种类型的身份验证。在这种访问高度敏感资产的情况下，必须进行多因素认证。
   
• 集中物理资产访问管理 —— 随着Microsoft不断扩大用于提供在线服务的数据中心数量，一个用于管理物理资产访问控制并且通过集中话的工作流程来审核和记录对数据中心访问的工具被开发出来。该工具的操作使用提供所需最小访问的原则，并且包含了经过授权伙伴批准的工作流程。它可以作为现场条件配置，并且可以更加高效的访问用于进行报告和遵从性审计的历史记录。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

网络安全
Microsoft为适当的数据中心设备和网络连接应用了多层面安全性。例如使用了安全性控制以及控制与管理方案。如负载均衡、防火墙和***防护设备等专门的硬件设备被用于应对大规模的拒绝服务（DoS）***。该网络管理团队使用分层的访问控制列表（ACL）来根据需要划分虚拟局域网（VLAN）和应用程序。通过网络硬件，Microsoft使用应用程序网关功能对包进行深度检测并采取行动，如发送警报、阻止或封锁可疑的网络流量等。

Microsoft的云环境中运行着一个全球冗余的内部和外部DNS基础架构。通过DNS服务器群集来实现冗余容错。额外的控制用来降低分布式拒绝服务（DDoS）和缓存欺骗或篡改的***风险。例如，在DNS服务器和DNS区域中通过ACL仅允许具有授权的人员写入DNS记录。全新的安全特性，例如随机查询标识符和在所有的DNS服务器上使用最新和安全的DNS软件。DNS群集不断监控未经授权的软件和DNS区域配置变更以及其他破坏性服务事件。

DNS是全球互联的Internet的一部分，需要许多组织共同参与并提供这项服务。 Microsoft在这方面进行了许多努力，包括参加域名运营分析与研究协会（DNS-OARC，该协会由全球的DNS专家所组成。

数据安全
Microsoft对资产进行分类以确定需要采用的安全控制强度。该分类把与资产相关的安全事件带来的潜在财务和名誉损失考虑进来。一旦分类完成，将对需要保护的部分采取纵深防御措施。例如，被归类为中度影响的数据被放置在可移动介质或在外部网络上传输时需要进行加密。对于高度影响的数据，除了这些要求，还被要求在内部系统和网络上传输和存储时进行加密。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

所有的Microsoft产品必须符合SDL的加密标准，该标准列举出了允许与非允许的加密标准。例如，对称加密的密钥长度需要超过128位。如果使用非对称算法，需要使用2048位或更长位数的密钥。

身份和访问管理
Microsoft采用须知原则和最低权限模式来管理对资产的访问。如果可行，使用基于角色的访问控制来逻辑化的分配特定的工作职责和范围，而不是针对个人。如果资产所有者没有通过策略明确的配置授予访问，那么在默认情况下相关的业务请求会被拒绝。

对于有权访问任何资产的个人，必须经过适当的措施进行授权。高度敏感的资产需要使用包括密码、硬件令牌、智能卡和生物识别等的多因素身份验证。对于已经取得授权的用户进行持续的审核以确保其对资产的使用是恰当的。对于不再需要访问资产的账户将被禁用。

应用程序安全
应用程序的安全性是Microsoft确保其云计算环境安全的关键因素。Microsoft于2004年正式将被称作安全开发生命周期（SDL）的流程纳入到产品开发团队中。 SDL流程是一种不受限制的开发方法，可以集成到从设计到响应的整个应用程序开发生命周期，而且不会替代瀑布型或敏捷型等现有的软件开发方法。SDL流程的各个阶段强调教育与培训，并将具体的活动和流程委派并应用到应用程序开发的各个阶段。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

Microsoft内的高级领导持续不断地支持SDL，并将其应用在在包含交付在线服务的Microsoft产品开发过程中。 OSSC确保将SDL持续应用在构建被Microsoft云基础架构托管的应用程序开发过程中，并在其中扮演了重要角色。

本内容转自微软云安全白皮书，云安全5大关注点的相关文章请参考
ITIL安全风险评估
云安全5大关注点
企业网络信息安全管理
－－－gnaw0725