MicrosoftAzure云安全应用场景教学课件

Microsoft

Azure云的安全及应用场景MicrosoftAzure云的安全1

12

亿全球用户数超过

3

亿

每月用户数

4800

万57

个国家/地区的成员总数

57%

的财富

500

强企业每周新增订户

10,000

个350

万

活跃用户Online

超过

55

亿每月全球查询数量3超过

4.5

亿

每月有效用户数全球微软可信云超过

200

个云服务，超过

1

百万台服务器，基础结构投入超过

150亿美元10

亿客户，2000

万家企业，覆盖全球

90

个国家/地区12 12亿超过3亿 4800万 57%350万On2微软可信云的基本原则隐私保护透明度合规性安全性

33微软可信云的基本原则隐私保护透明度合规性安全性33Azure

的安全性

微软为客户提供了可信赖的企业级云服务技术••••在线服务的设计和管理方面实施了业界领先的最佳实践增强的安全性、运营管理，以及威胁缓解实践可信赖的企业级云服务技术卓越中心4Azure的安全性•在线服务的设计和管理方面实施了业界领先4

从代码开发到事件响应，我们的所有工作皆以安全为头等要务安全开发生命周期（SDL）和运营安全保障（OSA）Azure

的安全设计和运营

全天候事件响应服务，以减轻攻

击和恶意活动的影响。

专属的安全专家“红色小组”会在

网络、平台，以及应用程序层面

模拟现实世界中的攻击，对

Azure

检测入侵，面对入侵提供

保护，以及入侵后的恢复能力进

行测试

事件响应

全公司范围内强制实施的开发和

运营流程已经将安全意识融入到

开发和运维工作的每个阶段

假定违反模拟5 从代码开发到事件响应，安全开发生命周期（SDL）和运营安A5

运营安全Strategy:

Employ

risk-based,

multi-dimensional

approach

to

safeguarding

services

and

数据

安全监控和响应

数据和密钥数据保护访问控制，加密，密钥管理

用户管理访问身份管理，双重身份验证，培训和宣传，筛选，最少特权和临时特权

应用程序应用程序安全访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理

宿主机系统宿主机保护访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理

内部网络网络安全网络分割，入侵检测，漏洞扫描

网络周边网络安全边缘

ACL，DOS，入侵检测，漏洞扫描

设施物理安全物理控制，视频监控，访问控制威胁情报来源

6 运营安全 数据和密钥 用户 应用程序 宿主机系统 内部6数据中心的物理安全周边建筑物防震加固安全运营中心

24X7安保人员持续数天的

备用电源摄像机警报

双重验证访问控制：生物特征验证装置和读卡器栅栏围墙机房

7数据中心的物理安全周边建筑物防震加固安全运营中心 24X7持7事件评估通知客户引入

Ops事件被检测到引入安全团队事件开始确定对客户产生

的影响客户流程第一步确定受影响

的客户安全事件已确认Azure

客户通知•

专注于遏制和恢复•

针对平台级的事件，分析日志和

VHD

映像，有必要时为客户提供

取证信息•

在客户通知中做出合同承诺Azure

事件响应

•

完善的九步骤事件响应流程8事件评估通知客户引入Ops事件被引入安全团队事件确定对客户8AzurePrivacy

的隐私和控制由世纪互联运营的

Microsoft

Azure

承诺将客户隐私看作第一要务，并承诺应用独立审计策略和实践，包括不会通过挖掘客户数据以展示广告，或将客户数据用于其他商业用途。9AzurePrivacy的隐私和控制由世纪互联运营的Mi9Privacy信任的基础Azure

的隐私原则在设计上更清晰地界定了客户数据的使用责任，所有实践维持极高透明度，提供了有意义的隐私选择

相关指导措施有助于确保在产品和服务的开发与部署阶

段就充分考虑到隐私保护的要求

Azure

使用逻辑隔离将每个客户的数据相互

隔离与生俱来的隐私

Azure

隐私标准数据隔离10Privacy信任的基础Azure的隐私原则在设计上更清晰10客户数据

使用

Azure

服务的过程中，客户数据依然归客户自己所有

决定数据存储位置控制对数据的访问

加密密钥的管理

控制数据的删除客户自行选择数据存储位置和复制选项强有力的身份验证，被慎重记录的“即时”

访问只用于服务支持，并会定期进行审计客户可以灵活地生成并管理自己的加密密钥当客户删除自己的数据或不再使用

Azure

服务时，世纪互联会按照标准流程确保上一位客户的数据无法被访问11客户数据 决定数据存储位置客户自行选择数据存储位置和复制选项11数据控制数据位置数据访问数据保护对于很多服务，客户可以指定自己客户数据存储到的地理位置

为了保护客户数据，世纪互联员工对客户数据的访问受到严格限制，

世纪互联针对

Azure

服务提供了隐私声明，以及强有力的合同承诺

通过技术手段确保客户数据安全无虞，客户可以灵活地实施

额外的加密技术，并自行管理自己的密钥

12数据控制数据位置对于很多服务，客户可以指定自己客户数据存储到12数据位置和数据的复制•

世纪互联不会将客户数据存储在客户指定的地理位置之外•

Azure

会在本地和不同的地理位置对客户数据创建副本•

每个存储

Blob

会在同一个

Azure

数据中心内复制到三台计算机上•

地域复制功能会将数据复制到1000公里之外的数据中心内Azure•

选择数据的存储位置•

配置数据复制选项客户13数据位置和数据的复制•世纪互联不会将客户数据存储在客户指13访问控制机制已获独立审计验证并获得认证受限的数据访问

只有在为使用

Azure

的客户提供支持（例如排错或改善功能），或法律要求

时，才允许访问客户数据

所有获批的访问都受到严密的控制和记录

通过强有力的身份验证，包括

MFA，确保仅获得授权的人

员可以访问客户数据

不再需要时，批准的访问权会被立刻撤销15访问控制机制已获独立审计验证并获得认证受限的数据访问1514只批准完成任务所需的最小特权所有管理工作需要通过多重身份验证世纪互联员工的访问管理

无法直接访问客户数据筛选过的管理员申

请访问管理者授予临时访问权

即时，基于角色

的访问AzureBLOB表队列驱动器运维网络访问申请会被审计、记录，以及审查

16只批准完成任务所需的所有管理工作需要通过世纪互联员工的访问管15数据保护数据分隔通过逻辑隔离机制分隔不同客户的客户数据传输中数据的保护默认使用符合业界标准的协议加密组件内外传入和

传出的数据，以及内部环境中传输的数据数据冗余客户可通过多种选项对数据进行复制，包括副本的数量、以及复制数据中心的位置存储后数据的保护客户可以为虚拟机和存储实施一系列加密选项加密存储后或传输中数据的加密可由客户自行部署，以确保满足客户最佳实践的要求，借此保障数据的机密性和完整性数据销毁当客户删除数据或停止使用

Azure

服务时，世纪互联会按照标准流程确保上一位客户的数据无法再被访问17数据保护数据分隔存储后数据的保护1716传输中的数据加密

Azure

•

加密

Azure

数据中心之间的大部分通讯

•

使用

HTTPS

加密

Azure

门户事务•

支持

FIPS

140-2客户

Azure数据中心

Azure数据中心Azure

门户•

可为

REST

API

选择使用

HTTPS（推荐

做法）•

为

Azure

中运行的应用程序终结点配置

HTTPS•

在

IIS

上实施

TLS，借此加密

Web

客户

端和服务器之间的通讯

19传输中的数据加密•支持FIPS140-2客户 Az17•••数据驱动器引导驱动器SQL

Server

–

透明数据加密和列级加密•文件和文件夹

–

Windows

Server

中的

EFS存储后数据的加密

虚拟机存储•

对使用

Azure

导入/导出服务的驱动器应用

BitLocker

加密•

StorSimple

可支持

AES-256

加密应用程序•

通过

.NET

Crypto

API

实现客户端加密•

通过

RMS

Service

和

SDK

为您的应用程序实现文件加密

20SQL

TDE合作伙伴技术EFS

BitLocker.NET

CryptoStorSimple

RMS

SDK虚拟机

存储应用程序•数据驱动器•文件和文件夹–WindowsServer18数据销毁数据删除•

索引会在第一时间从主要位置中移除•

数据（索引）的地域复制副本会被异

步移除磁盘的处理•

使用符合业界标准的流程销毁退役的

磁盘•

客户只能读取自己曾经写入过的磁盘

空间

21数据销毁数据删除磁盘的处理•客户只能读取自己曾经写入过19Azure

的透明度通过可访问的工具和简洁直观的语言，以透明的方式披露数据存储位置、可以访问的人员，以及世纪互联用何种方法保护客户数据，Azure

可以帮助客户更好地控制自己的客户数据。22Azure的透明度通过可访问的工具和简洁直观的语言，以透明20安全实践

将安全性融入产品代码（SDL）

确保

Azure

基础结构可以承受攻击

保护用户访问

Azure

环境的过程通过加密通讯确保客户数据安全无虞客户知道我们如何为他们的数据提供保护23安全实践 确保Azure基础结构可以承受攻击客户知道我们21Azure

与合规性在开发创新式合规性技术和流程，将其纳入

Azure的过程中，微软和世纪互联分别从技术层面和运营层面做出了大量投入。适用于在线服务的合规性框架列出了各种制度标准和控制机制之间的对应关系，有助于促进服务的设计和开发，能满足当今用户对安全和隐私的高标准严要求。24Azure与合规性在开发创新式合规性技术和流程，将其纳入22合规性框架合规性认证世纪互联和微软组建了专家团队，专注于确保Azure

满足合规义务，进而帮助客户满足自己的合规性要求持续评估，标杆管理，采纳、测试和审计合规性战略可帮助客户实现业务目标，符合行业标准和制度的要求，包括持续评估并采纳新的标准和实践独立验证第三方审计机构进行持续不断的验证审计报告的访问世纪互联会将审计报告的结论和合规程序包分享给客户最佳实践有关

Azure

数据、应用，以及基础结构安全的规范指南，使得客户更容易实现合规性25合规性框架合规性认证持续评估，标杆管理，采独立验证审计报告的23全球微软云丰富的经验和认证HIPAA/HITECHCJISSOC

1201220112010SOC

2FedRAMP

P-ATOFISMA

ATO英国

G-Cloud

OFFICIAL201320142015

ISO/IEC27001:2005CSA

云控制

矩阵PCI

DSS

Level

1

澳大利亚IRAP

评审新加坡

MCTSISO/IEC

27018欧盟数据保

护指令CDSA运营安全保障

26全球微软云丰富的经验和认证HIPAA/CJISSOC12024信息安全标准ISO

27001ISO

27018SOC

1

Type

2SOC

2

Type

2政府认证美国

FedRAMP/FISMA美国

CJIS英国

G-Cloud澳大利业

IRAP新加坡

MCTS行业认证

PCI

DSS

Level

1

HIPAA/HITECH

生命科学

GxP全球微软云合规性认证*只适用于全球微软云，不适用于

Gallacake，只在客户需要了解全球微软云时提供信息安全政府认证行业认证全球微软云合规性认证*只适用于全球微25国际信息安全标准

ISO

27001政府和机构认证MLPSTCSAzure

和

Office

365

在中国获得的合规认证•••ISO/IEC

27001:2005

审核和认证

•

由世纪互联运营的

Microsoft

Azure

和

Office

365

已实施

ISO

27001

定义的严格物理、逻辑、

流程和管理控制

•

世纪互联承诺每年基于

ISO/IEC

27001:2005

进行认证

•

ISO/IEC

27001:2005

证书确认世纪互联已实施此标准中定义的国际上认可的信息安全控制措

施，包括有关启动、实施、维护和改进组织中的信息安全管理的指南和一般原则可信云服务认证

（

TCS

）

•

由世纪互联运营的

Microsoft

Azure

成功地获得针对云引擎、全网负载均衡、云备份的可信云

服务认证

•

这些服务接受了

SLA

服务协议框架内，包括数据管理、业务质量及权益保障三大类共16项指

标的测评。在运行的稳定性方面，这些服务达到了

99.9%

的

SLA

保证。

•

世纪互联运营的

Office365

在线应用服务获得了企业级电子邮件（

Exchange

Online

）、文件

共享（

SharePoint

Online

）、联机会议（Exchange

Online）3项可信云服务认证信息系统安全等级保护定级

•

由世纪互联运营的

Microsoft

Azure

信息安全保护等级评定为第二级

•

由世纪互联运营的

Office

365

信息安全保护等级评定为第三级国际信息安全标准政府和机构认证Azure和Office26Microsoft

Confidential

-

Signed

NDA

RequiredMicrosoftConfidential-Signe27Microsoft

Confidential

-

Signed

NDA

RequiredMicrosoftConfidential-Signe28MicrosoftAzure云安全应用场景(教学课件29降低成本按需扩展降低初期投入

改善客户体验

拓展全球市场加速进入市场时间降低成本 改善客户体验30＃应用场景客户难题Azure价值成功案例1LOB应用存储、备份、恢复昂贵的存储成本,异地备份难以实现降低成本80%,即用即付；提供异地备份解决方案成都索贝-楼宇监控PPTV–亚洲电视网络–1.5M（MediaService&CDN;400-600core–KevinYu）Cannon–照片共享系统300K2互联网相关应用及服务业务上线速度慢；本地机房或IDC机房的可用性不够高；不同地区用户访问体验不一致业务快速上线；99.95%SLA保障；一直快速的访问体验可乐－MarketingCampaign三星–KNOXPPTV-亚洲电视网络3突发的业务需求传统的机房没有弹性，空间或者需要大量投入，难以应付突发的业务量无限的扩展，按需付费，快速部署北京渲染平台PPTV-亚洲电视网络可乐－MarketingCampaign三星-Galaxy手机终端管理服务Knox（AWSWinback）4开发测试环境资源消耗巨大，需要大量不同的环境，测试结束资源全部浪费按需付费和使用，提供大量的PaaS和SaaS服务加快应用进程和业务部门/noITTopic＃应用场景客户难题Azure价值成功案例1LOB应用存储、备31SQL

Server

管理工具直接

URL

备份到

Azure

存储Microsoft

AzureWindows

Server

&

System

Center备份工具

地

理

复

制用于存储对象/表/驱动器/虚拟机提供多个数据副本（本地3份）SQLServer管理工具直接URL备份Micros32更低的存储总拥有成本更灵活的管理方式更小的数据风险可从任意互联网连接在异地恢复数据

无缝整合

Windows

Server

与

System

本地默认存储

3

份数据副本，可跨数最高可达

60%-80%

的存储总拥有成本节省（设备，软件，专业技术支持，能源/

支持

REST

API

进行灵活的定制开发

Azure

存储具备财政支持的

SLA，自冷却，电力和人员成本，硬件折旧）

运营以来从未丢失数据帮助IT部门专注新业务支持而不是存储的

方便的扩大与缩小容量的方式

数据加密遵循

AES-256

军用级别加密扩大与维护工作。存储资源先使用后付费，量化计算拥有以下需求的客户群体更可能在

Microsoft

Azure

上使用存储功能IT

存储成本居高不下•

存储容量提升速度快，大笔投入占用了IT部门的其他项

目投入•

存储设备类型多，管理复杂，无法支持业务的快速增

长•

多数被存储和管理的数据并不是常常被使用，挤占了

现有的存储空间在

Microsoft

Azure

上使用存储功能的优势具有异地灾备数据中心建立意向，但苦于技术与设备缺乏需要保证重要数据的高可用性，又希望尽可能降低存储成本更低的存储总拥有成本更灵活的管理方式更小的数据风险可从任意互33IoT

是一个转折点硬件很便宜连接无处不在快速开发新的创新场景用户强烈需求1.唯一标识的通信节点：物，互联网、卫星网络、化学变化2.自动化的数据交换：非人工3.与现实环境的关联：采集的数据具有特定时间、地点、特性IoT是一个转折点硬件很便宜连接无处不在快速开发新的创新场34MicrosoftAzure云安全应用场景(教学课件35MicrosoftAzure云安全应用场景(教学课件36三个重心

1

设备连接和管理

2

分析和业务运营洞察力

3

展现及业务链接Azure

IoT

开箱即用

按量收费、按需扩展

全球就绪、超大规模

全面安全和隐私保护三个重心AzureIoT37RTOS,

Linux,

Windows,

Android,

iOSDevices

Field

Gateway设备连接和管理ProtocolAdaptation批量分析及可视化Azure

HDInsight,

AzureML,

Power

BI,Azure

Data

Factory热路径分析Azure

Stream

Analytics,

Azure

HDInsight

Storm展现及业务链接App

Service,

WebsitesDynamics,

BizTalk

Services,Notification

Hubs展现及业务链接热路径业务逻辑Service

Fabric

&

Actor

Framework分析和业务运营洞察力Cloud

GatewayEvent

Hubs&IoT

HubFieldGatewayProtocolAdaptationRTOS,Linux,Windows,Android,38设备连接存储分析Event

HubsService

BusSQL

DatabaseTable/BlobStorageMachineLearningStream

Analytics

展现App

ServicePower

BIExternal

DataSourcesDocumentDBExternal

DataSourcesHDInsightData

FactoryNotificationHubsMobile

ServicesBizTalk

Services{

}设备连接存储分析EventHubsSQLDatabase39MicrosoftAzure云安全应用场景(教学课件40Microsoft

Azure云的安全及应用场景MicrosoftAzure云的安全41

12

亿全球用户数超过

3

亿

每月用户数

4800

万57

个国家/地区的成员总数

57%

的财富

500

强企业每周新增订户

10,000

个350

万

活跃用户Online

超过

55

亿每月全球查询数量3超过

4.5

亿

每月有效用户数全球微软可信云超过

200

个云服务，超过

1

百万台服务器，基础结构投入超过

150亿美元10

亿客户，2000

万家企业，覆盖全球

90

个国家/地区12 12亿超过3亿 4800万 57%350万On42微软可信云的基本原则隐私保护透明度合规性安全性

33微软可信云的基本原则隐私保护透明度合规性安全性343Azure

的安全性

微软为客户提供了可信赖的企业级云服务技术••••在线服务的设计和管理方面实施了业界领先的最佳实践增强的安全性、运营管理，以及威胁缓解实践可信赖的企业级云服务技术卓越中心4Azure的安全性•在线服务的设计和管理方面实施了业界领先44

从代码开发到事件响应，我们的所有工作皆以安全为头等要务安全开发生命周期（SDL）和运营安全保障（OSA）Azure

的安全设计和运营

全天候事件响应服务，以减轻攻

击和恶意活动的影响。

专属的安全专家“红色小组”会在

网络、平台，以及应用程序层面

模拟现实世界中的攻击，对

Azure

检测入侵，面对入侵提供

保护，以及入侵后的恢复能力进

行测试

事件响应

全公司范围内强制实施的开发和

运营流程已经将安全意识融入到

开发和运维工作的每个阶段

假定违反模拟5 从代码开发到事件响应，安全开发生命周期（SDL）和运营安A45

运营安全Strategy:

Employ

risk-based,

multi-dimensional

approach

to

safeguarding

services

and

数据

安全监控和响应

数据和密钥数据保护访问控制，加密，密钥管理

用户管理访问身份管理，双重身份验证，培训和宣传，筛选，最少特权和临时特权

应用程序应用程序安全访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理

宿主机系统宿主机保护访问控制，监控，反恶意软件，漏洞扫描，补丁和配置管理

内部网络网络安全网络分割，入侵检测，漏洞扫描

网络周边网络安全边缘

ACL，DOS，入侵检测，漏洞扫描

设施物理安全物理控制，视频监控，访问控制威胁情报来源

6 运营安全 数据和密钥 用户 应用程序 宿主机系统 内部46数据中心的物理安全周边建筑物防震加固安全运营中心

24X7安保人员持续数天的

备用电源摄像机警报

双重验证访问控制：生物特征验证装置和读卡器栅栏围墙机房

7数据中心的物理安全周边建筑物防震加固安全运营中心 24X7持47事件评估通知客户引入

Ops事件被检测到引入安全团队事件开始确定对客户产生

的影响客户流程第一步确定受影响

的客户安全事件已确认Azure

客户通知•

专注于遏制和恢复•

针对平台级的事件，分析日志和

VHD

映像，有必要时为客户提供

取证信息•

在客户通知中做出合同承诺Azure

事件响应

•

完善的九步骤事件响应流程8事件评估通知客户引入Ops事件被引入安全团队事件确定对客户48AzurePrivacy

的隐私和控制由世纪互联运营的

Microsoft

Azure

承诺将客户隐私看作第一要务，并承诺应用独立审计策略和实践，包括不会通过挖掘客户数据以展示广告，或将客户数据用于其他商业用途。9AzurePrivacy的隐私和控制由世纪互联运营的Mi49Privacy信任的基础Azure

的隐私原则在设计上更清晰地界定了客户数据的使用责任，所有实践维持极高透明度，提供了有意义的隐私选择

相关指导措施有助于确保在产品和服务的开发与部署阶

段就充分考虑到隐私保护的要求

Azure

使用逻辑隔离将每个客户的数据相互

隔离与生俱来的隐私

Azure

隐私标准数据隔离10Privacy信任的基础Azure的隐私原则在设计上更清晰50客户数据

使用

Azure

服务的过程中，客户数据依然归客户自己所有

决定数据存储位置控制对数据的访问

加密密钥的管理

控制数据的删除客户自行选择数据存储位置和复制选项强有力的身份验证，被慎重记录的“即时”

访问只用于服务支持，并会定期进行审计客户可以灵活地生成并管理自己的加密密钥当客户删除自己的数据或不再使用

Azure

服务时，世纪互联会按照标准流程确保上一位客户的数据无法被访问11客户数据 决定数据存储位置客户自行选择数据存储位置和复制选项51数据控制数据位置数据访问数据保护对于很多服务，客户可以指定自己客户数据存储到的地理位置

为了保护客户数据，世纪互联员工对客户数据的访问受到严格限制，

世纪互联针对

Azure

服务提供了隐私声明，以及强有力的合同承诺

通过技术手段确保客户数据安全无虞，客户可以灵活地实施

额外的加密技术，并自行管理自己的密钥

12数据控制数据位置对于很多服务，客户可以指定自己客户数据存储到52数据位置和数据的复制•

世纪互联不会将客户数据存储在客户指定的地理位置之外•

Azure

会在本地和不同的地理位置对客户数据创建副本•

每个存储

Blob

会在同一个

Azure

数据中心内复制到三台计算机上•

地域复制功能会将数据复制到1000公里之外的数据中心内Azure•

选择数据的存储位置•

配置数据复制选项客户13数据位置和数据的复制•世纪互联不会将客户数据存储在客户指53访问控制机制已获独立审计验证并获得认证受限的数据访问

只有在为使用

Azure

的客户提供支持（例如排错或改善功能），或法律要求

时，才允许访问客户数据

所有获批的访问都受到严密的控制和记录

通过强有力的身份验证，包括

MFA，确保仅获得授权的人

员可以访问客户数据

不再需要时，批准的访问权会被立刻撤销15访问控制机制已获独立审计验证并获得认证受限的数据访问1554只批准完成任务所需的最小特权所有管理工作需要通过多重身份验证世纪互联员工的访问管理

无法直接访问客户数据筛选过的管理员申

请访问管理者授予临时访问权

即时，基于角色

的访问AzureBLOB表队列驱动器运维网络访问申请会被审计、记录，以及审查

16只批准完成任务所需的所有管理工作需要通过世纪互联员工的访问管55数据保护数据分隔通过逻辑隔离机制分隔不同客户的客户数据传输中数据的保护默认使用符合业界标准的协议加密组件内外传入和

传出的数据，以及内部环境中传输的数据数据冗余客户可通过多种选项对数据进行复制，包括副本的数量、以及复制数据中心的位置存储后数据的保护客户可以为虚拟机和存储实施一系列加密选项加密存储后或传输中数据的加密可由客户自行部署，以确保满足客户最佳实践的要求，借此保障数据的机密性和完整性数据销毁当客户删除数据或停止使用

Azure

服务时，世纪互联会按照标准流程确保上一位客户的数据无法再被访问17数据保护数据分隔存储后数据的保护1756传输中的数据加密

Azure

•

加密

Azure

数据中心之间的大部分通讯

•

使用

HTTPS

加密

Azure

门户事务•

支持

FIPS

140-2客户

Azure数据中心

Azure数据中心Azure

门户•

可为

REST

API

选择使用

HTTPS（推荐

做法）•

为

Azure

中运行的应用程序终结点配置

HTTPS•

在

IIS

上实施

TLS，借此加密

Web

客户

端和服务器之间的通讯

19传输中的数据加密•支持FIPS140-2客户 Az57•••数据驱动器引导驱动器SQL

Server

–

透明数据加密和列级加密•文件和文件夹

–

Windows

Server

中的

EFS存储后数据的加密

虚拟机存储•

对使用

Azure

导入/导出服务的驱动器应用

BitLocker

加密•

StorSimple

可支持

AES-256

加密应用程序•

通过

.NET

Crypto

API

实现客户端加密•

通过

RMS

Service

和

SDK

为您的应用程序实现文件加密

20SQL

TDE合作伙伴技术EFS

BitLocker.NET

CryptoStorSimple

RMS

SDK虚拟机

存储应用程序•数据驱动器•文件和文件夹–WindowsServer58数据销毁数据删除•

索引会在第一时间从主要位置中移除•

数据（索引）的地域复制副本会被异

步移除磁盘的处理•

使用符合业界标准的流程销毁退役的

磁盘•

客户只能读取自己曾经写入过的磁盘

空间

21数据销毁数据删除磁盘的处理•客户只能读取自己曾经写入过59Azure

的透明度通过可访问的工具和简洁直观的语言，以透明的方式披露数据存储位置、可以访问的人员，以及世纪互联用何种方法保护客户数据，Azure

可以帮助客户更好地控制自己的客户数据。22Azure的透明度通过可访问的工具和简洁直观的语言，以透明60安全实践

将安全性融入产品代码（SDL）

确保

Azure

基础结构可以承受攻击

保护用户访问

Azure

环境的过程通过加密通讯确保客户数据安全无虞客户知道我们如何为他们的数据提供保护23安全实践 确保Azure基础结构可以承受攻击客户知道我们61Azure

与合规性在开发创新式合规性技术和流程，将其纳入

Azure的过程中，微软和世纪互联分别从技术层面和运营层面做出了大量投入。适用于在线服务的合规性框架列出了各种制度标准和控制机制之间的对应关系，有助于促进服务的设计和开发，能满足当今用户对安全和隐私的高标准严要求。24Azure与合规性在开发创新式合规性技术和流程，将其纳入62合规性框架合规性认证世纪互联和微软组建了专家团队，专注于确保Azure

满足合规义务，进而帮助客户满足自己的合规性要求持续评估，标杆管理，采纳、测试和审计合规性战略可帮助客户实现业务目标，符合行业标准和制度的要求，包括持续评估并采纳新的标准和实践独立验证第三方审计机构进行持续不断的验证审计报告的访问世纪互联会将审计报告的结论和合规程序包分享给客户最佳实践有关

Azure

数据、应用，以及基础结构安全的规范指南，使得客户更容易实现合规性25合规性框架合规性认证持续评估，标杆管理，采独立验证审计报告的63全球微软云丰富的经验和认证HIPAA/HITECHCJISSOC

1201220112010SOC

2FedRAMP

P-ATOFISMA

ATO英国

G-Cloud

OFFICIAL201320142015

ISO/IEC27001:2005CSA

云控制

矩阵PCI

DSS

Level

1

澳大利亚IRAP

评审新加坡

MCTSISO/IEC

27018欧盟数据保

护指令CDSA运营安全保障

26全球微软云丰富的经验和认证HIPAA/CJISSOC12064信息安全标准ISO

27001ISO

27018SOC

1

Type

2SOC

2

Type

2政府认证美国

FedRAMP/FISMA美国

CJIS英国

G-Cloud澳大利业

IRAP新加坡

MCTS行业认证

PCI

DSS

Level

1

HIPAA/HITECH

生命科学

GxP全球微软云合规性认证*只适用于全球微软云，不适用于

Gallacake，只在客户需要了解全球微软云时提供信息安全政府认证行业认证全球微软云合规性认证*只适用于全球微65国际信息安全标准

ISO

27001政府和机构认证MLPSTCSAzure

和

Office

365

在中国获得的合规认证•••ISO/IEC

27001:2005

审核和认证

•

由世纪互联运营的

Microsoft

Azure

和

Office

365

已实施

ISO

27001

定义的严格物理、逻辑、

流程和管理控制

•

世纪互联承诺每年基于

ISO/IEC

27001:2005

进行认证

•

ISO/IEC

27001:2005

证书确认世纪互联已实施此标准中定义的国际上认可的信息安全控制措

施，包括有关启动、实施、维护和改进组织中的信息安全管理的指南和一般原则可信云服务认证

（

TCS

）

•

由世纪互联运营的

Microsoft

Azure

成功地获得针对云引擎、全网负载均衡、云备份的可信云

服务认证

•

这些服务接受了

SLA

服务协议框架内，包括数据管理、业务质量及权益保障三大类共16项指

标的测评。在运行的稳定性方面，这些服务达到了

99.9%

的

SLA

保证。

•

世纪互联运营的

Office365

在线应用服务获得了企业级电子邮件（

Exchange

Online

）、文件

共享（

SharePoint

Online

）、联机会议（Exchange

Online）3项可信云服务认证信息系统安全等级保护定级

•

由世纪互联运营的

Microsoft

Azure

信息安全保护等级评定为第二级

•

由世纪互联运营的

Office

365

信息安全保护等级评定为第三级国际信息安全标准政府和机构认证Azure和Office66Microsoft

Confidential

-

Signed

NDA

RequiredMicrosoftConfidential-Signe67Microsoft

Confidential

-

Signed

NDA

RequiredMicrosoftConfidential-Signe68MicrosoftAzure云安全应用场景(教学课件69降低成本按需扩展降低初期投入

改善客户体验

拓展全球市场加速进入市场时间降低成本 改善客户体验70＃应用场景客户难题Azure价值成功案例1LOB应用存储、备份、恢复昂贵的存储成本,异地备份难以实现降低成本80%,即用即付；提供异地备份解决方案成都索贝-楼宇监控PPTV–亚洲电视网络–1.5M（MediaService&CDN;400-600core–KevinYu）Cannon–照片共享系统300K2互联网相关应用及服务业务上线速度慢；本地机房或IDC机房的可用性不够高；不同地区用户访问体验不一致业务快速上线；99.95%SLA保障；一直快速的访问体验可乐－MarketingCampaign三星–KNOXPPTV-亚洲电视网络3突发的业务需求传统的机房没有弹性，空间或者需要大量投入，难以应付突发的业务量无限的扩展，按需付费，快速部署北京渲染平台PPTV-亚洲电视网络可乐－MarketingCampaign三星-Galaxy手机终端管理服务Knox（AWSWinback）4开发测试环境资源消耗巨大，需要大量不同的环境，测试结束资源全部浪费按需付费和使用，提供大量的PaaS和SaaS服务加快应用进程和业务部门/noITTopic＃应用场景客户难题Azure价值成功案例1LOB应用存储、备71SQL

Server

管理工具直接

URL

备份到

Azure

存储Microsoft

AzureWindows

Server

&

System

Center备份工具

地

理

复

制用于存储对象/表/驱动器/虚拟机提供多个数据副本（本地3份）SQLServer管理工具直接URL备份Micros72更低的存储总拥有成本更灵活的管理方式更小的数据风险可从任意互联网连接在异地恢复数据