不管是用哪種公共雲,安全性都是雲端服務供應商和你(服務使用者)的共同責任。對於IaaS產品來說,這通常意味著以下的責任分工:
雲端服務供應商 | 你 |
設備
實體安全 網路 基礎設施 虛擬層 |
作業系統
應用程式 資料 |
如果你曾經使用過AWS雲端服務,那你可能已經熟悉於這種模式。AWS一直在努力推廣此一模式給社群,所以現在其他服務供應商(以及像趨勢科技這樣的合作夥伴)就能夠利用這教育成果來幫助提高每個人在公共雲內的標準。
共同責任模式的成功關鍵在於確保你確認服務供應商的工作,然後集中精力在防護你責任範圍內的部分。
微軟的責任
微軟已經替Azure建立一個集中的安全性中心。微軟的Azure信任中心是個很棒的地方讓你可以確認微軟如何履行其對安全性的責任。
第一步是下載並閱讀 – 「Windows Azure的安全、隱私和合規性」。這份白皮書介紹了他們對於安全性的做法、目前的努力和他們對於不斷改進Azure安全性的一貫承諾。
信任中心的法規遵循頁面強調和確認微軟已獲得或正在申請中的各種第三方認證。這是確認你的雲端服務供應商所做的安全努力時的重要考慮因素。
符合像SOC 1和2 Type 2和FedRAMP等第三方框架不僅僅是對安全性的承諾,還包含了透明度。這兩者對都是合作夥伴的關鍵部分…也正是你在檢視和你雲端服務供應商的關係中所需要的。
你的責任
現在,你已經瞭解了微軟如何履行其安全責任,是時候來看看如何最佳的盡到你的責任。
當移動到公共雲時,最大的改變是失去了你在原本資料中心所依賴的邊界控制。你不再有強大的防火牆和入侵防禦系統檔在你網路的進出口來過濾所有的流量。同樣地,網關類型產品也會很快地過時,因為雲端環境裡擴展和設定的難度
我們失去對邊界的控制,並不代表我們就該接受而繼續前進。實踐SANS的20大安全控制是個很好的實作方法,我們不能想都不想就接受不去落實第13項(邊界防禦)和第18項(安全網絡工程)。
你應該研究如何將曾經存在邊界的安全控制移到虛擬機器層級上。這意味著直接在Azure虛擬主機部署入侵防禦系統。
同樣的,你應該部署虛擬主機到Azure虛擬網路。不去管初步的概述,虛擬網路可以部署成純雲端,並透過你的部署設定內的較底層來提供更多控制。
這只是開始
你現在應該已經更瞭解Azure的安全模型和你在其中所扮演的角色。有了這些認識,你現在可以開始將安全整合到你的部署中,並確保你提供所有Azure運作一個高的安全等級。
@原文出處:Security On Azure作者:Mark Nunnikhoven(首席工程師)