InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?
-
Upload
tobiasz-koprowski -
Category
Technology
-
view
510 -
download
0
description
Transcript of InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?
Czy platforma Microsoft Azure jest biznesowo bezpieczna?
InfoTRAMS "Cloud Computing – Latając w chmurach"
2
{o mnie słów kilka} PRACA ZAWODOWA: •związany z informatyką od dwunastu lat • kilkuletnie doświadczenie w informatyce bankowej [Zorba, AS/400, ICBS, BTeller] • od ponad pięciu lat pracuje w dużej spółce informatycznej • na co dzieo interesujący się rozwiązaniami SharePoint, Disaster Recovery, High Availibility, wirtualizacją, bezpieczeostwem fizycznym, procedurami operacyjnymi, umowami SLA, dobrymi praktykami ISO i ITIL • konsultant i wdrożeniowiec przy projektach audytów licencyjnych, systemów procedur bezpieczeostwa i operacyjnych, wdrożeniach platformy SharePoint,
PRACA SPOŁECZNA: • Microsoft MVP for SQL Server • Director-at-Large EMEA Board Global IT Community Association • Członek GLOBAL Technical Support Team w Global IT Community Association • Członek PASS Programm Committee for 2010 • Członek PASS SQL Azure Global Virtual Chapter • lider wrocławskiej grupy PLSSUG • ekspert portalu Windows Server System (WSS.PL) • prelegent na spotkaniach społeczności • Microsoft System Center Influencer • autor kilku artykułów technicznych i współpracownik wydawnictwa aPress (Londyn, New York) • właściciel kilku blogów (w tym dwóch specjalizowanych) • uczestnik kilku programów Microsoft: Connect, Community Leadership Programm, ITPro Momentum, VS2010 Terminology Community, Windows 7 Beta, Desktop Deployment Planning Service, New Efficiency Program, Subject Matter Expert
3
{certyfikacje}
Od 1 lipca 2010 wyróżniony nagrodą Microsoft Most Valuable Professional w kategorii SQL Server Posiadane certyfikacje: •Microsoft Certified Professional •Microsoft Certified System Administrator •Microsoft Certified Technology Specialist
•Windows 2008 Server Application Configuring •Windows 2008 Server Infrastructure Configuring •Windows 2008 server Active directory Configuring
•Microsoft Certified IT Professional •Windows 2008 Server Administrator
•Microsoft Licensing Specialist •Microsoft Lite Licensing Sales Specialist •Microsoft Small Business Specialist •Microsoft Office Sales Specialist 2003/2007
•Avocent Technical Support
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
6
Krótkie wprowadzenie do Microsoft Azure Platform
DZIEŃ DZISIEJSZY:
• Windows Azure Compute:
Virtualized compute environment based on Windows Server
Storage:
Durable, scalable, & available storage
Management:
Automated, model-driven management of the service
• SQL Azure (cloud-based database) Database:
Relational processing for structured/unstructured data
• App Fabric (.NET services) Service Bus:
General purpose application bus
Access Control:
Rules-driven, claims-based access control
PRZYSZŁOŚĆ:
• Live Services
• SharePoint Services
• Dynamics CRM
Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel
InfoTRAMS "Cloud Computing – Latając w chmurach"
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
8
Wymagania międzynarodowe dla bezpieczeństwa platformy
Jako dostawca usług (Service Provider) Microsoft musi spełniad warunki pozwalające mu świadczyd usługi w chmurze. Na dzieo dzisiejszy Azure Platform spełnia wymagania: • ISO/IEC 27001:2005 • SAS 70 Type 1 and II Również udaje mu się pozytywnie przejśd audyty z zakresu: • PCI DSS • SOX compliance • HIPAA compliance Oczywiście dla samych Data Center spełnia standardowe wymagania: • Physical security of the data centers (locks, cameras, biometric devices, card readers,
alarms) • Firewalls, application gateways and IDS to protect the network • Access Control Lists (ACLs) applied to virtual local area networks (VLANs) and applications • Authentication and authorization of persons or processes that request access to data • Hardening of the servers and operating system instances • Redundant internal and external DNS infrastructure with restricted write access • Securing of virtual machine objects • Securing of static and dynamic storage containers
InfoTRAMS "Cloud Computing – Latając w chmurach"
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
10
Zarządzanie tożsamością i dostępem
InfoTRAMS "Cloud Computing – Latając w chmurach"
Windows Identity Foundation Windows Identity Foundation (WIF) is the latest addition to the foundational technologies in the .NET Framework. It enables .NET developers to offload the identity logic from their application, providing a solid development model based on separation of concerns. Non-experts can easily secure their applications without being exposed to the underlying complexity of cryptography and protocols, leveraging Visual Studio integration features such as point-and-click wizards which result in applications protected using open, interoperable standards such as WS-Federation and WS-Trust.
Active Directory Federation Services 2.0 AD FS 2.0 is a Windows Server role that extends Active Directory (AD) with claims-based identity capabilities. AD FS 2.0 provides AD with a Security Token Service (STS) which is a single interface enabling existing users to authenticate using applications regardless of whether they are hosted in a data center, at one partner’s site, or in the cloud. Users are no longer constrained by the boundaries of their local network: if an application hosted in Windows Azure has been developed using Windows Identity Foundation (or an equivalent stack complying with the same open standards), AD FS 2.0 allows instantly granting anybody with an account in the local directory access to this application. All without requiring any form of synchronization, new account provisioning or duplication.
Windows Azure AppFabric Access Control Service The Windows Azure platform AppFabric Access Control (AC) service is a hosted service that provides federated authentication and rules-driven, claims-based authorization for REST Web services. REST Web services can rely on AC for simple username/password scenarios, in addition to enterprise integration scenarios that use Active Directory Federation Services 2.0.
Applications exposing REST Web services can take advantage of the AC regardless of where they are deployed, either on-premises, in Windows Azure, or anywhere else where an internet connection is available. AC allows customers to achieve true externalization of authorization policies, offering the chance of decoupling applications from most of their authorization logic by hosting it (in the form of claims transformation rules) at the AC itself.
The AC leverages the OAuth Web Resource Authorization Protocol (OAuth WRAP), a lightweight protocol which makes it possible to take advantage of claims-based identity with REST-based APIs, without imposing strong requirements on clients and service providers: this enables unprecedented reach, enabling a wide array of device types and communication stacks to participate in secure transactions. OAuth WRAP is the basis for the upcoming Oauth 2.0 specification, a protocol which is catalyzing the consensus of the key players in the Web space.
AC is also capable of bridging the enterprise identity and the REST worlds, thanks to its capability of using SAML tokens issued by an AD FS 2.0 instance for accessing REST services via OAuth WRAP protocol.
11
Zarządzanie tożsamością i dostępem (roles)
Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel
InfoTRAMS "Cloud Computing – Latając w chmurach"
Windows Server 2008 x64
IIS 7
ASP.NET 3.5 SP1
FastCGI – PHP
Native Code
Full Trust
User Mode
Windows Server 2008 x64
.NET Start
Native Code
User Mode
Inbound any TCP Port
Web Role Worker Role
12
Zarządzanie tożsamością i dostępem (service bus)
InfoTRAMS "Cloud Computing – Latając w chmurach"
Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel
13
Zarządzanie tożsamością i dostępem (access control)
InfoTRAMS "Cloud Computing – Latając w chmurach"
Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
15
Hardware Boundary
Hardware Boundary
Hardware Boundary
Hardware Boundary
Shared Environment
B C
D
A A
B
B
C
C
D
D
A
InfoTRAMS "Cloud Computing – Latając w chmurach"
16
Sample of SQL Compatibility
InfoTRAMS "Cloud Computing – Latając w chmurach"
In Scope for v1
Constants
Constraints
Cursors
Index management and rebuilding indexes
Local temporary tables
Reserved keywords
Stored procedures
Statistics management
Transactions
Triggers
Tables, joins, and table variables
Transact-SQL language elements such as
Create/drop databases
Create/alter/drop tables
Create/alter/drop users and logins
and so on.
User-defined functions
Views
Out of Scope for v1
Common Language Runtime (CLR)
Database file placement
Database mirroring
Distributed queries
Distributed transactions
Filegroup management
Global temporary tables
Spatial data and indexes
SQL Server configuration options
SQL Server Service Broker
System tables
Trace Flags
Physical server or catalog DDL and views
17
Sample of SQL NON-Compatibility
InfoTRAMS "Cloud Computing – Latając w chmurach"
SQL Server 2005
Common Language Runtime (CLR) and CLR User-Defined Types
Database Mirroring
Service Broker
Table Partitioning
Typed XML and XML indexing is not supported. The XML data type is supported by SQL Azure.
SQL Server 2008 Change Data Capture
Data Auditing
Data Compression
Extended Events
External Key Management / Extensible Key Management
FILESTREAM Data
Integrated Full-Text Search
Large User-Defined Aggregates (UDAs)
Large User-Defined Types (UDTs)
Performance Data Collection (Data Collector)
Policy-Based Management
Resource Governor
Sparse Columns
Spatial data with GEOGRAPHY and GEOMETRY data types
SQL Server Replication
Transparent Data Encryption
18
Connection Model
When writing applications for SQL Azure, you can use the following drivers and libraries:
.NET Framework Data Provider for SQL Server (System.Data.SqlClient) from the .NET Framework 3.5 Service Pack 1.
SQL Server 2008 Native Client ODBC driver.
SQL Server 2008 Driver for PHP version 1.1.
SQL Azure supports tabular data stream (TDS) protocol client version 7.3 or later. Earlier versions of TDS protocol are not supported.
Connecting to SQL Azure by using OLE DB is not supported.
Support for ASP.NET controls
Clients connect directly to a database
‒ Cannot hop across DBs (no USE)
InfoTRAMS "Cloud Computing – Latając w chmurach"
19
Security Model
• Uses regular SQL security model
‒ Authenticate logins, map to users and roles
‒ Authorize users and roles to SQL objects
• Support for standard SQL Auth logins
‒ Username + password
• Future AD Federation, WLID – Windows Live ID, etc as alternate authentication protocols
UWAGA!!!
[admin, administrator, guest, root, sa]
Security model is 100% compatible with on-premise SQL
InfoTRAMS "Cloud Computing – Latając w chmurach"
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
21
SQL Azure Service Level Agreement
Poziomy usług | Poziom usług Dostępność w miesiącu: Definicje
1. „Łączna liczba przedziałów czasu” to liczba przedziałów czasu o długości 5 minut w miesięcznym cyklu rozliczeniowym, obliczana przez pomnożenie liczby dni w cyklu przez 24 * 60 / 5.
2. Przedział czasu o długości 5 minut jest oznaczany jako niedostępny, jeśli wszystkie próby Klienta nawiązania połączenia z usługą SQL Azure nie powiodą się lub ich wykonanie zajmie ponad 30 sekund, bądź jeśli podstawowe, prawidłowe operacje odczytu i zapisu (zgodnie z opisem w naszej dokumentacji technicznej) nie powiodą się po nawiązaniu połączenia. Nie są uwzględniane niepowodzenia spowodowane przez oprogramowanie, sprzęt lub sieć w lokalizacji używanej przez klienta w celu nawiązania połączenia z usługą SQL Azure.
3. „Zaplanowany przestój” oznacza czas, w przypadku którego firma Microsoft powiadomiła Klienta o okresach przestoju na co najmniej pięć dni przed wystąpieniem takiego Przestoju. Zaplanowany przestój o długości krótszej niż 10 godzin w roku kalendarzowym nie jest uznawany za Przestój do celów niniejszej umowy SLA.
SQL Azure Service Level Agreement (SLA) http://www.microsoft.com/downloads/details.aspx?FamilyID=fa4f7fed-b17f-4cf5-b80f-531b9b681b5c&displaylang=en
22
SQL Azure Service Level Agreement
4. „Procent miesięcznego czasu pracy” dla określonego Klienta jest obliczany przez pomnożenie łącznej liczby minut w miesiącu kalendarzowym przez łączną liczbę użytkowników, a następnie odjęcie łącznej liczby minut Przestoju doświadczonego przez wszystkich użytkowników w danym miesiącu kalendarzowym oraz podzielenie wyniku przez łączną liczbę minut w danym miesiącu kalendarzowym pomnożoną przez łączną liczbę użytkowników. Jest to przedstawiane przy użyciu następującego wzoru:
Łączna liczba minut
w miesiącuX
Łączna liczbaużytkowników -
Łączna liczba minut czasuprzestoju dla wszystkich
użytkowników w danym miesiącu
Łączna liczba minutw miesiącu
XŁączna liczbaużytkowników
Procent miesięcznego czasu pracy Kredyt usługi
< 99,9% 10%
< 99% 25%
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
24
Scenarios for V1
• Departmental Applications ‒ Simple application built by individual or department
‒ Need simple deployment, self-management, IT: “Empowerment and Governance”
• Web Applications ‒ Small business or startup that uses the cloud as their IT
‒ Simple deployment, self-management, scale on demand
• ISV ‒ ISV hosting software on behalf of customer
‒ Multi-tenant support for billing and isolation
• Data Hub (Shortly After V1) ‒ Sharing and aggregating of data across tiers and across enterprises
‒ Centralized place for data, high scale, sync with existing data sources
InfoTRAMS "Cloud Computing – Latając w chmurach"
25
Czy platforma Microsoft Azure jest biznesowo bezpieczna?
Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel
InfoTRAMS "Cloud Computing – Latając w chmurach"
Agenda
• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe
InfoTRAMS "Cloud Computing – Latając w chmurach"
27
Zasoby dodatkowe
• Windows Azure Platform http://www.azure.com/
• MSDN Development Center http://msdn.microsoft.com/en-us/sqlserver/dataservices
• Team Blog http://blogs.msdn.com/sqlazure
• Windows Azure Platform Training Kit http://www.microsoft.com/downloads/details.aspx?FamilyID=413E88F8-5966-4A83-B309-
53B7B77EDF78&displaylang=en
• Microsoft OS Cloud Windows Azure Data Center – Google & Amazon battle http://www.youtube.com/watch?v=K3b5Ca6lzqE
• Microsoft patterns & practices: Windows Azure Security Guidance http://azuresecurity.codeplex.com/
• Installing Certificates in Windows Azure VMs http://blogs.msdn.com/b/jnak/archive/2010/01/29/installing-certificates-in-windows-azure-vms.aspx
InfoTRAMS "Cloud Computing – Latając w chmurach"
28
Zasoby dodatkowe
• Microsoft Trustworthy Computing, http://www.microsoft.com/twc
• Microsoft Online Privacy Notice Highlights: http://www.microsoft.com/privacy
• The ISO 27001:2005 certificate for the Global Foundation Services group at Microsoft
http://www.bsi-global.com/en/Assessment-and-certification-services/Client-directory/CertificateClient-Directory-Search-Results/?pg=1&licencenumber=IS+533913&searchkey=companyXeqXmicrosoft
• Microsoft Global Foundation Services, home page: http://www.globalfoundationservices.com
• The Microsoft Security Development Lifecycle (SDL) http://msdn.microsoft.com/en-us/security/cc448177.aspx
• Microsoft Security Development Lifecycle (SDL) – version 3.2, process guidance http://msdn.microsoft.com/en-us/library/cc307748.aspx
• Microsoft Security Response Center http://www.microsoft.com/security/msrc
• The Microsoft SDL Threat Modeling Tool http://msdn.microsoft.com/en-us/security/dd206731.aspx
• Microsoft Online Services http://www.microsoft.com/online
InfoTRAMS "Cloud Computing – Latając w chmurach"
Dziękuję za uwagę, proszę o ocenę mojej sesji
PYTANIA PO SESJI / KONTAKT: MAIL: [email protected] | MSG: [email protected]
TWITTER/FACEBOOK/LINKEDIN: KoprowskiT
BLOGI: ITPRO Anorak’s Vision: http://itblogs.pl/blogs/notbeautifulanymore/default.aspx [PL] Volume Licensing Specialites: http://volumelicensingspecialites.wordpress.com [PL]
Anorak’s Influence View: http://anorakinfluenceview.wordpress.com [EN]
STRONY: Społeczności IT: http://www.ms-groups.pl | CodeGuru: http://www.codeguru.pl
Virtual Study Portal: http://www.virtualstudy.pl | Windows Server System: http://www.wss.pl Professional Association of SQL Server: http://www.sqlpass.org
Global IT Community Association: http://www.gitca.org Polish SQL Server User Group: http://www.plssug.org.pl