InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?

Czy platforma Microsoft Azure jest
biznesowo bezpieczna?

InfoTRAMS "Cloud Computing – Latając w chmurach"

{o mnie słów kilka}
PRACA ZAWODOWA:
•związany z informatyką od dwunastu lat
• kilkuletnie doświadczenie w informatyce bankowej [Zorba, AS/400, ICBS, BTeller]
• od ponad pięciu lat pracuje w dużej spółce informatycznej
• na co dzieo interesujący się rozwiązaniami SharePoint, Disaster Recovery, High Availibility, wirtualizacją,
bezpieczeostwem fizycznym, procedurami operacyjnymi, umowami SLA, dobrymi praktykami ISO i ITIL
• konsultant i wdrożeniowiec przy projektach audytów licencyjnych, systemów procedur bezpieczeostwa i
operacyjnych, wdrożeniach platformy SharePoint,

PRACA SPOŁECZNA:
• Microsoft MVP for SQL Server
• Director-at-Large EMEA Board Global IT Community Association
• Członek GLOBAL Technical Support Team w Global IT Community Association
• Członek PASS Programm Committee for 2010
• Członek PASS SQL Azure Global Virtual Chapter
• lider wrocławskiej grupy PLSSUG
• ekspert portalu Windows Server System (WSS.PL)
• prelegent na spotkaniach społeczności
• Microsoft System Center Influencer
• autor kilku artykułów technicznych i współpracownik wydawnictwa aPress (Londyn, New York)
• właściciel kilku blogów (w tym dwóch specjalizowanych)
• uczestnik kilku programów Microsoft: Connect, Community Leadership Programm, ITPro Momentum, VS2010
Terminology Community, Windows 7 Beta, Desktop Deployment Planning Service, New Efficiency Program,
Subject Matter Expert

2

{certyfikacje}
Od 1 lipca 2010 wyróżniony nagrodą Microsoft Most Valuable Professional w kategorii SQL Server

Posiadane certyfikacje:
•Microsoft Certified Professional
•Microsoft Certified System Administrator
•Microsoft Certified Technology Specialist
•Windows 2008 Server Application Configuring
•Windows 2008 Server Infrastructure Configuring
•Windows 2008 server Active directory Configuring
•Microsoft Certified IT Professional
•Windows 2008 Server Administrator
•Microsoft Licensing Specialist
•Microsoft Lite Licensing Sales Specialist
•Microsoft Small Business Specialist
•Microsoft Office Sales Specialist 2003/2007
•Avocent Technical Support

3

Agenda

• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Service Level Agreement
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe


Agenda

• Krótkie wprowadzenie do Microsoft Azure Platform
• Wymagania międzynarodowe dla bezpieczeństwa platformy
• Zarządzanie tożsamością i dostępem
• Najsłabsze ogniwo
• Czy platforma Microsoft Azure jest biznesowo bezpieczna?
• Zasoby dodatkowe


Krótkie wprowadzenie do Microsoft Azure Platform
DZIEŃ DZISIEJSZY:
• Windows Azure
Compute:
Virtualized compute environment based on Windows Server
Storage:
Durable, scalable, & available storage
Management:
Automated, model-driven management of the service
• SQL Azure (cloud-based database)
Database:
Relational processing for structured/unstructured data
• App Fabric (.NET services)
Service Bus:
General purpose application bus
Access Control:
Rules-driven, claims-based access control

PRZYSZŁOŚĆ:
• Live Services
• SharePoint Services
• Dynamics CRM

Rysunek pochodzi z dokumentu: INTRODUCING THE WINDOWS AZURE PLATFORM | David Chappel

6 InfoTRAMS "Cloud Computing – Latając w chmurach"

Wymagania międzynarodowe dla bezpieczeństwa platformy

Jako dostawca usług (Service Provider) Microsoft musi spełniad warunki pozwalające mu
świadczyd usługi w chmurze. Na dzieo dzisiejszy Azure Platform spełnia wymagania:
• ISO/IEC 27001:2005
• SAS 70 Type 1 and II

Również udaje mu się pozytywnie przejśd audyty z zakresu:
• PCI DSS
• SOX compliance
• HIPAA compliance

Oczywiście dla samych Data Center spełnia standardowe wymagania:
• Physical security of the data centers (locks, cameras, biometric devices, card readers,
alarms)
• Firewalls, application gateways and IDS to protect the network
• Access Control Lists (ACLs) applied to virtual local area networks (VLANs) and applications
• Authentication and authorization of persons or processes that request access to data
• Hardening of the servers and operating system instances
• Redundant internal and external DNS infrastructure with restricted write access
• Securing of virtual machine objects
• Securing of static and dynamic storage containers


Zarządzanie tożsamością i dostępem

Windows Identity Foundation
Windows Identity Foundation (WIF) is the latest addition to the foundational technologies in the .NET Framework. It enables .NET developers to offload
the identity logic from their application, providing a solid development model based on separation of concerns. Non-experts can easily secure their
applications without being exposed to the underlying complexity of cryptography and protocols, leveraging Visual Studio integration features such as
point-and-click wizards which result in applications protected using open, interoperable standards such as WS-Federation and WS-Trust.

Active Directory Federation Services 2.0
AD FS 2.0 is a Windows Server role that extends Active Directory (AD) with claims-based identity capabilities. AD FS 2.0 provides AD with a Security
Token Service (STS) which is a single interface enabling existing users to authenticate using applications regardless of whether they are hosted in a data
center, at one partner’s site, or in the cloud. Users are no longer constrained by the boundaries of their local network: if an application hosted in
Windows Azure has been developed using Windows Identity Foundation (or an equivalent stack complying with the same open standards), AD FS 2.0
allows instantly granting anybody with an account in the local directory access to this application. All without requiring any form of synchronization,
new account provisioning or duplication.

Windows Azure AppFabric Access Control Service
The Windows Azure platform AppFabric Access Control (AC) service is a hosted service that provides federated authentication and rules-driven, claims-
based authorization for REST Web services. REST Web services can rely on AC for simple username/password scenarios, in addition to enterprise
integration scenarios that use Active Directory Federation Services 2.0.

Applications exposing REST Web services can take advantage of the AC regardless of where they are deployed, either on-premises, in Windows Azure, or
anywhere else where an internet connection is available. AC allows customers to achieve true externalization of authorization policies, offering the
chance of decoupling applications from most of their authorization logic by hosting it (in the form of claims transformation rules) at the AC itself.

The AC leverages the OAuth Web Resource Authorization Protocol (OAuth WRAP), a lightweight protocol which makes it possible to take advantage of
claims-based identity with REST-based APIs, without imposing strong requirements on clients and service providers: this enables unprecedented reach,
enabling a wide array of device types and communication stacks to participate in secure transactions. OAuth WRAP is the basis for the upcoming Oauth
2.0 specification, a protocol which is catalyzing the consensus of the key players in the Web space.

AC is also capable of bridging the enterprise identity and the REST worlds, thanks to its capability of using SAML tokens issued by an AD FS 2.0 instance
for accessing REST services via OAuth WRAP protocol.


Zarządzanie tożsamością i dostępem (roles)

Web Role Worker Role

Windows Server 2008 x64 Windows Server 2008 x64
IIS 7 .NET Start
ASP.NET 3.5 SP1 Native Code
FastCGI – PHP User Mode
Native Code Inbound any TCP Port
Full Trust
User Mode



Zarządzanie tożsamością i dostępem (service bus)



Zarządzanie tożsamością i dostępem (access control)



Shared Environment

C
D
A B D

Hardware Boundary Hardware Boundary

C C
A B
A B D

Hardware Boundary Hardware Boundary


Sample of SQL Compatibility

In Scope for v1 Out of Scope for v1
Constants Common Language Runtime (CLR)
Constraints Database file placement
Cursors Database mirroring
Index management and rebuilding indexes Distributed queries
Local temporary tables Distributed transactions
Reserved keywords Filegroup management
Stored procedures Global temporary tables
Statistics management Spatial data and indexes
Transactions SQL Server configuration options
Triggers SQL Server Service Broker
Tables, joins, and table variables System tables
Transact-SQL language elements such as Trace Flags
Create/drop databases Physical server or catalog DDL and views
Create/alter/drop tables
Create/alter/drop users and logins
and so on.
User-defined functions
Views


Sample of SQL NON-Compatibility

SQL Server 2005 SQL Server 2008
Common Language Runtime (CLR) and CLR User- Change Data Capture
Defined Types Data Auditing
Database Mirroring Data Compression
Service Broker Extended Events
Table Partitioning External Key Management / Extensible Key
Typed XML and XML indexing is not supported. The Management
XML data type is supported by SQL Azure. FILESTREAM Data
Integrated Full-Text Search
Large User-Defined Aggregates (UDAs)
Large User-Defined Types (UDTs)
Performance Data Collection (Data Collector)
Policy-Based Management
Resource Governor
Sparse Columns
Spatial data with GEOGRAPHY and GEOMETRY data
types
SQL Server Replication
Transparent Data Encryption


Connection Model

When writing applications for SQL Azure, you can use the following drivers and libraries:
.NET Framework Data Provider for SQL Server (System.Data.SqlClient) from the .NET Framework
3.5 Service Pack 1.
SQL Server 2008 Native Client ODBC driver.
SQL Server 2008 Driver for PHP version 1.1.
SQL Azure supports tabular data stream (TDS) protocol client version 7.3 or later. Earlier
versions of TDS protocol are not supported.
Connecting to SQL Azure by using OLE DB is not supported.
Support for ASP.NET controls
Clients connect directly to a database
‒ Cannot hop across DBs (no USE)


Security Model

• Uses regular SQL security model
‒ Authenticate logins, map to users and roles
‒ Authorize users and roles to SQL objects
• Support for standard SQL Auth logins
‒ Username + password
• Future AD Federation, WLID – Windows Live ID, etc as alternate authentication
protocols

Security model is 100% compatible with on-premise SQL

UWAGA!!!
[admin, administrator, guest, root, sa]



SQL Azure Service Level Agreement

Poziomy usług | Poziom usług Dostępność w miesiącu: Definicje

1. „Łączna liczba przedziałów czasu” to liczba przedziałów czasu o długości 5 minut w miesięcznym cyklu rozliczeniowym,
obliczana przez pomnożenie liczby dni w cyklu przez 24 * 60 / 5.

2. Przedział czasu o długości 5 minut jest oznaczany jako niedostępny, jeśli wszystkie próby Klienta nawiązania połączenia z
usługą SQL Azure nie powiodą się lub ich wykonanie zajmie ponad 30 sekund, bądź jeśli podstawowe, prawidłowe operacje
odczytu i zapisu (zgodnie z opisem w naszej dokumentacji technicznej) nie powiodą się po nawiązaniu połączenia. Nie są
uwzględniane niepowodzenia spowodowane przez oprogramowanie, sprzęt lub sieć w lokalizacji używanej przez klienta w celu
nawiązania połączenia z usługą SQL Azure.

3. „Zaplanowany przestój” oznacza czas, w przypadku którego firma Microsoft powiadomiła Klienta o okresach przestoju na co
najmniej pięć dni przed wystąpieniem takiego Przestoju. Zaplanowany przestój o długości krótszej niż 10 godzin w roku
kalendarzowym nie jest uznawany za Przestój do celów niniejszej umowy SLA.

SQL Azure Service Level Agreement (SLA)
http://www.microsoft.com/downloads/details.aspx?FamilyID=fa4f7fed-b17f-4cf5-b80f-531b9b681b5c&displaylang=en

21

SQL Azure Service Level Agreement

4. „Procent miesięcznego czasu pracy” dla określonego Klienta jest obliczany przez pomnożenie łącznej liczby minut w
miesiącu kalendarzowym przez łączną liczbę użytkowników, a następnie odjęcie łącznej liczby minut Przestoju
doświadczonego przez wszystkich użytkowników w danym miesiącu kalendarzowym oraz podzielenie wyniku przez łączną
liczbę minut w danym miesiącu kalendarzowym pomnożoną przez łączną liczbę użytkowników. Jest to przedstawiane przy
użyciu następującego wzoru:

Łączna liczba minut czasu
Łączna liczba minut Łączna liczba
w miesiącu
X
użytkowników - przestoju dla wszystkich
użytkowników w danym miesiącu

Łączna liczba minut Łączna liczba
X
w miesiącu użytkowników

Procent miesięcznego czasu pracy Kredyt usługi

< 99,9% 10%

< 99% 25%

22

Scenarios for V1

• Departmental Applications
‒ Simple application built by individual or department
‒ Need simple deployment, self-management, IT: “Empowerment and
Governance”
• Web Applications
‒ Small business or startup that uses the cloud as their IT
‒ Simple deployment, self-management, scale on demand
• ISV
‒ ISV hosting software on behalf of customer
‒ Multi-tenant support for billing and isolation
• Data Hub (Shortly After V1)
‒ Sharing and aggregating of data across tiers and across enterprises
‒ Centralized place for data, high scale, sync with existing data sources


Czy platforma Microsoft Azure jest biznesowo bezpieczna?



Zasoby dodatkowe

• Windows Azure Platform
http://www.azure.com/
• MSDN Development Center
http://msdn.microsoft.com/en-us/sqlserver/dataservices
• Team Blog
http://blogs.msdn.com/sqlazure
• Windows Azure Platform Training Kit
http://www.microsoft.com/downloads/details.aspx?FamilyID=413E88F8-5966-4A83-B309-
53B7B77EDF78&displaylang=en
• Microsoft OS Cloud Windows Azure Data Center – Google & Amazon battle
http://www.youtube.com/watch?v=K3b5Ca6lzqE
• Microsoft patterns & practices: Windows Azure Security Guidance
http://azuresecurity.codeplex.com/
• Installing Certificates in Windows Azure VMs
http://blogs.msdn.com/b/jnak/archive/2010/01/29/installing-certificates-in-windows-azure-vms.aspx


Zasoby dodatkowe

• Microsoft Trustworthy Computing,
http://www.microsoft.com/twc
• Microsoft Online Privacy Notice Highlights:
http://www.microsoft.com/privacy
• The ISO 27001:2005 certificate for the Global Foundation Services group at
Microsoft
http://www.bsi-global.com/en/Assessment-and-certification-services/Client-directory/CertificateClient-Directory-
Search-Results/?pg=1&licencenumber=IS+533913&searchkey=companyXeqXmicrosoft
• Microsoft Global Foundation Services, home page:
http://www.globalfoundationservices.com
• The Microsoft Security Development Lifecycle (SDL)
http://msdn.microsoft.com/en-us/security/cc448177.aspx
• Microsoft Security Development Lifecycle (SDL) – version 3.2, process guidance
http://msdn.microsoft.com/en-us/library/cc307748.aspx
• Microsoft Security Response Center
http://www.microsoft.com/security/msrc
• The Microsoft SDL Threat Modeling Tool
http://msdn.microsoft.com/en-us/security/dd206731.aspx
• Microsoft Online Services
http://www.microsoft.com/online


Dziękuję za uwagę, proszę o ocenę mojej sesji
PYTANIA PO SESJI / KONTAKT:
MAIL: KoprowskiT@windowslive.com | MSG: KoprowskiT@windowslive.com
TWITTER/FACEBOOK/LINKEDIN: KoprowskiT

BLOGI:
ITPRO Anorak’s Vision: http://itblogs.pl/blogs/notbeautifulanymore/default.aspx [PL]
Volume Licensing Specialites: http://volumelicensingspecialites.wordpress.com [PL]
Anorak’s Influence View: http://anorakinfluenceview.wordpress.com [EN]

STRONY:
Społeczności IT: http://www.ms-groups.pl | CodeGuru: http://www.codeguru.pl
Virtual Study Portal: http://www.virtualstudy.pl | Windows Server System: http://www.wss.pl
Professional Association of SQL Server: http://www.sqlpass.org
Global IT Community Association: http://www.gitca.org
Polish SQL Server User Group: http://www.plssug.org.pl

InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?

Ähnlich wie InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna? (20)

Mehr von Tobias Koprowski

Mehr von Tobias Koprowski (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

InfoTRAMS - Czy platforma Microsoft Azure jest biznoseow bezpieczna?