1. Windows Azure Security Overview Juan Pablo García González Solution Architect DELL Daniel A. Montero González Software Developer Manager DATCO Chile

2. Agenda Introducción Seguridad de la Plataforma Seguridad de Aplicaciones Administración de Identidad Seguridad de Datos Seguridad Física – Data Centers

3. Introducción Daniel Montero

4. SDL - Ciclo de vida de desarrollo de seguro Los productos Microsoft son desarrollados acorde a los procesos de SDL Enfoque prescriptivo pero práctico Practivo – no solo en «busca de errores» Elimina de forma temprana los problemas Resultados probados Desarrolle sus soluciones según SDL y proteja a sus clientes Reduzca el número de vulnerabilidades Reduzca la gravedad de sus vulnerabilidades

5. Seguridad Multi Dimensional Para proveer una solución segura, todos los aspectos se deben considerar

12. Seguridad de la Plataforma Juan Pablo García

13. El tráfico de Azure pasa entre diferentes firewalls Algunos son administrador por el dueño del servicio mientras otros son manejados por Fabric Firewalls GuestVm Host VM SqlAzure Local Construido entre Firewall

15. No persistentstorage en VM

16. Drivers limitados

17. Trafico regulado por el Firewall del hostAislamiento Hyper-v basedHypervisor

18. Diferentes canales SSL

19. Aislamiento en Windows Azure No depende de la seguridad de Windows Depende de la seguridad del Hypervisor, la red expuesta y los controladores de discos La superficie de ataques es minimizada aceptando muy pocos comandos y drivers específicos Un core de CPU es dedicado a un VM particular para evitar ataques «sidechannel» Los discos Guest son VHD en el sistema de archivos del OS root El hypervisor y Os root implementan filtro de paquetes de red para evitar Spoffing y trafico no autorizado hacia las VMs

20. Defensas heredadas por las aplicaciones

21. Seguridad de aplicaciones Las aplicaciones debes ser construidas siguiendo las mejores practicas

22. Windows AzureCode Access Security

23. Windows AzureCode Access Security Parcial

24. Seguridad del servicio de administración Los clientes utilizan Windows Live ID Hosted Services y storage accounts se administran en la interfaz o con las API utilizandollavespublica y privadageneradapor el usuario Fabric controla las actualizaciones y controlas los nodos de computo y almacenamiento Fabric corre en un HW separado La comunicación es en un canal SSL

25. Flujos de datos

26. Identidad Daniel Montero

27. Identidad en la Nube Windows Azure soporta ambas administraciones de identidad, basada en Roles (role-base) y basada en Derechos (claim-base)

28. Administración de Identidad y Acceso WS-* and SAML Active Directory Otros Proveedores OnPremises

29. AppFabric: Control de Acceso 2.0Claims-based, Federated Access Control Service Provee autorización basada en reglas y derechos para: (rules-driven, claims-based): Aplicaciones Web Servicios Web REST Servicios Web SOAP Características Claves Amplio soporte a proveedores de identidad, incluyendo AD FederationServices v2 y proveedores conocidos de identidad Web (Live ID, Facebook, Google, Yahoo) Soporte a protocolos WS-Trust y WS-Federation Configurable a través de un nuevo portal Web de Administración

30. Seguridad de Datos Juan Pablo García

31. Seguridad de Datos Los datos de usuarios está en HW separado en Storage accounts El acceso a los datos es solo con la secretkey de la cuenta Políticas de control de acceso a los Blob puede ser adjunta utilizando «Shared Access Signatures» El acceso a los datos es utilizando SSL

32. Blob Storage Security Model Signs Reference Storage Access Key Full Control Shared Access Signatures: Read / Write Delete / List Container Level Access Policie: Read / Write Delete / List ¿Público? Container ACL Azure Storage blob and container

33. Confiabilidad Windows Azure Storage Los datos son replicados en 3 Storage físicos distintos y en diferentes datacenter AzureApplication AzureApplication Data onPremises

34. Cifrado de datos en Azure Es soportado con código propio Aplicación cliente Almacena la llave Local Browser no tiene La llave, no puede Leer la data

35. Seguridad en SQL Azure

36. Seguridad en SQL Azure Solo se soportan autentificación SQL Se debe proveer el usuario en cada conexión Reset del password no obliga a reconectarse a los clientes Cada 60 minutos se debe volver a autentificar Cuando el aprovisionamiento SqlAzure crea una cuenta de nievel de servidor, similar SA Esta cuenta se usa para crear otras cuentas El puerto 1433 debe ser abierto en el firewall local Se deben registrar las IP de acceso

37. Comparación SQL Server y SQL Azure

38. Seguridad FísicaData Center Daniel Montero

39. The Microsoft Cloud~100 Data Centers distribuidosGlobalmente

40. Data Center – Seguridad Física Certificados SAS70 y ISO27001 Procesos Certificados en SAS70 Sensores de Movimiento Accesos protegidos 24 x 7 Control de acceso biométrico a sistemas Vigilancia de Cámaras de Video Alarmas de violación de seguridad

41. Windows Azure Platform Data Centers North America Region Europe Region Asia Pacific Region N. Europe N. Central – U.S. W. Europe S. Central – U.S. E. Asia S.E. Asia 6 datacenters across 3 continents Simply select your data center of choice when deploying an application

42. The Microsoft CloudData Center Infraestructure

43. Conclusiones

44. Windows Azure Security Overview Juan Pablo García González Solution Architect DELL Daniel A. Montero González Software Developer Manager DATCO Chile