微软发布Azure安全指南 划分责任范围

ZD至顶网软件频道消息： 微软发布Azure安全指南文件，明确指出微软公司将就哪些问题负责，而其余问题则由客户自己买单。

两份文件解释了微软解决问题的方法。第一份文件名为《云计算的共同责任》（Shared Responsibilities for Cloud Computing，PDF），它解释了微软是如何划分安全责任的。

微软的方法的基本原则是这样的：

 1，所有传统内部部署的IT问题都由客户自己负责。

 2，当客户将Azure作为基础架构即服务使用的时候：

• 建筑、服务器、网络硬件和虚拟机监控程序方面的问题属于微软的责任范围。
• 操作系统、网络配置、应用程序、身份、客户端和数据的问题则需要客户负责。

  3，当客服使用平台即服务时：

• 网络控制属于微软的职责范围。
• 操作系统、应用程序、身份、客户端和数据由客户自己负责。

  4，当客户使用SaaS模式时，除了数据分类、终端安全和用户管理由客户自己负责之外，其他一切的问题就都由微软负责。

此外，另外一份文件名为《微软Azure云安全响应》（Microsoft Azure Security Response in the Cloud ，PDF）的白皮书，在这份白皮书中，微软解释了在当云服务出现问题时微软是如何响应的。

根据文档显示，微软使用了下面五个步骤巡查Azure的边界：

• 客户支持门户（Customer Support Portal）提供的客户报告描述了同Azure基础架构相关的（非客户责任范围内的活动）可疑行为。
• 安全漏洞将通过secure@microsoft.com报告给微软安全响应中心（Microsoft Security Response Center）。MSRC同遍布世界各地的合作伙伴和安全研究人员合作，帮助阻止安全事故的发生，并提高微软产品的安全性。
• 安全蓝队和红队（Security Blue and Red）策略，让技术精湛的专家组成的红队攻击Azure潜在的安全漏洞，而安全响应（蓝队）负责发现红队的行动。红队和蓝队的行动都被当成是验证Azure安全响应工作能够管理安全事件的手段。安全红队和蓝队的活动是在责任的约束之下的，以帮助确保对客户数据的防护。
• 通过Azure服务的内部检测和诊断系统监测可疑行为。这些警报可能会以基于签名的警告的方式出现，例如反恶意软件、入侵检测或者通过旨在识别预期的活动并且根据异常情况报警的算法。
• 升级Azure服务运营商。微软的员工经过培训，学习如何识别和扩展潜在的安全问题。

文档的其余部分没有揭示太多内容，但是在关于缓解措施的章节里确实介绍了微软努力修复“可能导致短暂中断”的Azure问题的工作。

这份文件指出：这种决定不能够掉以轻心。当采取积极的措施的时候，标准流程会通知客户中断和恢复所需要的时间。

微软响应流程的其余部分如下面从文档中摘录的一个关系图和一个表所示：