منشآت Azure ومبانيه وأمانه المادي

توضح هذه المقالة ما تفعله Microsoft لتأمين بنية Azure الأساسية.

البنية الأساسية لمراكز البيانات

يتألف Azure من بنية تحتية مُوزَّعة عالمياً لمركز البيانات، ويدعم الآلاف من خدمات الإنترنت، ويمتد في أكثر من 100 منشأة آمنة للغاية في جميع أنحاء العالم.

صُمِّمت البنية الأساسية لتقريب التطبيقات إلى المستخدمين في جميع أنحاء العالم، والحفاظ على موقع البيانات، وتقديم خيارات التوافق والمرونة الشاملة للعملاء. يحتوي Azure على أكثر من 60 منطقة في جميع أنحاء العالم، وهو متاح في 140 بلدا/منطقة.

المنطقة هي مجموعة من مراكز البيانات المترابطة عبر شبكة ضخمة ومرنة. تتضمن الشبكة توزيع المحتوى وموازنة التحميل والتكرار وتشفير مستوى ارتباط البيانات بشكل افتراضي لنسبة استخدام شبكة Azure بالكامل داخل منطقة أو التنقل فيما بين المناطق. يتضمن Azure مناطق عالمية أكثر من أي موفّر سحابة آخر، فيمنحك المرونة لتوزيع التطبيقات حيثما تحتاج إليها.

يتم تنظيم مناطق Azure في مناطق جغرافية. تضمن جغرافية Azure احترام متطلبات موقع البيانات والسيادة والتوافق والمرونة داخل الحدود الجغرافية.

تسمح المناطق الجغرافية للعملاء الذين لديهم موقع بيانات محدد واحتياجات توافق بالحفاظ على قُرب بياناتهم وتطبيقاتهم منهم. المناطق الجغرافية متسامحة مع الأخطاء لتحمل الفشل الكامل للمنطقة، من خلال اتصالها بالبنية الأساسية المخصصة عالية السعة للشبكات.

مناطق توافر الخدمات هي مواقع منفصلة فعلياً داخل منطقة Azure. يتكون كل نطاق توفر من مركز واحد أو أكثر من مراكز البيانات المجهزة بالشبكة والتبريد والطاقة المستقلة. تسمح لك مناطق التوفر بتشغيل التطبيقات المهمة للمهام والتي تتمتع بتوفر عالٍ ونسخ متماثل ذي زمن انتقال منخفض.

يوضح الشكل التالي كيفية اقتران البنية التحتية العالمية لـ Azure بالمنطقة ومناطق التوفر داخل نفس حدود موقع البيانات لتوفير قابلية وصول عالية والإصلاح بعد الكوارث والنسخ الاحتياطي.

مراكز البيانات المُوزَّعة جغرافياً تمكّن Microsoft من أن تكون قريبة من العملاء، لتقليل زمن انتقال الشبكة والسماح بالنسخ الاحتياطي المتكرر جغرافياً وتجاوز الفشل.

الأمان المادي

تعمل Microsoft على تصميم مراكز البيانات وإنشائها وتشغيلها بطريقة تتحكم بشكل صارم في الوصول الفعلي إلى المناطق التي يتم تخزين المفاتيح والبيانات فيها. تدرك Microsoft أهمية حماية بياناتك، وتلتزم بالمساعدة في تأمين مراكز البيانات التي تحتوي على بياناتك. لدينا قسم كامل في Microsoft مخصص لتصميم المرافق المادية التي تدعم Azure وبنائها وتشغيلها. يستثمر هذا الفريق في الحفاظ على أحدث آليات الأمان المادي.

تتبع Microsoft نهجاً متعدد المستويات للأمان المادي، لتقليل مخاطر حصول المستخدمين غير المصرّح لهم بالوصول الفعلي إلى البيانات وموارد مركز البيانات. تتمتع مراكز البيانات التي تديرها Microsoft بمستويات ممتدة من الحماية: اعتماد الوصول في محيط المنشأة، وفي محيط المبنى، وفي المبنى من الداخل، وفي طابق مركز البيانات. مستويات الأمان المادي هي:

• طلب الوصول والاعتماد. عليك طلب الوصول قبل الوصول مادياً إلى مركز البيانات. أنت مُطالب بتقديم مبرر عمل صالح لزيارتك، مثل أغراض التوافق أو التدقيق. تُعتمَد جميع الطلبات على أساس حاجة موظفي Microsoft إلى الوصول. يساعد أساس الحاجة إلى الوصول في إبقاء عدد الأفراد المطلوبين لإكمال مهمة في مراكز البيانات عند أدنى حد له. بعد منح Microsoft الإذن، يكون للفرد حق الوصول فقط إلى المنطقة المنفصلة لمركز البيانات المطلوب، استناداً إلى مبررات العمل المُعتمدة. تقتصر الأذونات على فترة زمنية معينة، ثم تنتهي صلاحيتها.

• وصول الزائر. يتم تخزين شارات الوصول المؤقتة داخل SOC التي يتحكم فيها الوصول ويتم جردها في بداية ونهاية كل وردية. يتم تعيين جميع الزوار الذين وافقوا على الوصول إلى مركز البيانات كمرافقة فقط على شاراتهم ويطلب منهم البقاء دائما مع مرافقيهم. الزوار المرافقين ليس لديهم أي مستويات الوصول الممنوحة لهم ويمكنهم السفر فقط على وصول مرافقيهم. المرافق هو المسؤول عن مراجعة الإجراءات ووصول الزوار خلال زيارتهم لمركز البيانات. تطلب Microsoft من الزوار تسليم الشارات عند مغادرة أيٍ من منشآت Microsoft. تتم إزالة جميع شارات الزوار من مستويات وصولهم قبل إعادة استخدامها للزيارات المستقبلية.

• محيط المنشأة عند الوصول إلى مركز بيانات، يُطلب منك المرور عبر نقطة وصول محددة جيداً. عادةً ما تحيط الأسوار الطويلة المصنوعة من الصلب والخرسانة بكل شبر من المحيط. توجد كاميرات حول مراكز البيانات، إلى جانب فريق أمني يراقب مقاطع الفيديو الخاصة بالكاميرات في جميع الأوقات. وتكفل دوريات حراسة الأمن تقييد الدخول والخروج إلى المناطق المحددة. تحمي Bollards وغيرها من التدابير الخارجية لمركز البيانات من التهديدات المحتملة، بما في ذلك الوصول غير المصرح به.

• مدخل المبنى. يمتلئ مدخل مركز البيانات بضباط أمن محترفين خضعوا لتدريب صارم وفحوصات لخلفياتهم. كما يُجري ضباط الأمن هؤلاء دوريات منتظمة في مركز البيانات، ويراقبون مقاطع الفيديو الخاصة بالكاميرات داخل مركز البيانات في جميع الأوقات.

• المبنى من الداخل. بعد دخول المبنى، عليك تمرير المصادقة الثنائية باستخدام القياسات الحيوية لكي تواصل التنقل في أنحاء مركز البيانات. عند التحقق من صحة هويتك، يمكنك فقط أن تدخل جزء مركز البيانات الذي حصلت على اعتماد للوصول إليه. يمكنك البقاء هناك فقط للمدة الزمنية المعتمدة.

• طابق مركز البيانات. يُسمح لك فقط بالدخول إلى الطابق الذي حصلت على اعتماد لدخوله. يُطلب منك اجتياز فحص كامل للكشف عن المعادن في الجسم. لتقليل مخاطر إدخال البيانات أو إخراجها من مركز البيانات بشكل غير مصرّح به دون علمنا، يمكن للأجهزة المعتمدة فقط الوصول إلى طابق مركز البيانات. بالإضافة إلى ذلك، تراقب كاميرات الفيديو الواجهتين الأمامية والخلفية لكل حامل خادم. عند الخروج من طابق مركز البيانات، عليك المرور مرة أخرى بالفحص الكامل للكشف عن المعادن في الجسم. لمغادرة مركز البيانات، يُطلب منك المرور بفحص أمان إضافي.

مراجعات الأمان المادية

بشكل دوري، نُجري مراجعات أمان مادية للمرافق، لضمان أن مراكز البيانات تعالج متطلبات أمان Azure كما ينبغي. موظفو موفّر استضافة مركز البيانات لا يوفر إدارة خدمة Azure. لا يمكن للموظفين تسجيل الدخول إلى أنظمة Azure ولا يمكنهم الوصول الفعلي إلى غرف وأقفاص الترتيب في Azure.

الأجهزة الحاملة للبيانات

تستخدم Microsoft إجراءات أفضل الممارسات وحل مسح متوافق مع NIST 800-88. بالنسبة إلى محركات الأقراص الثابتة التي لا يمكن مسحها، نستخدم عملية تدمير تدمرها وتجعل استرداد المعلومات مستحيلاً. يمكن أن تكون عملية التدمير هذه عملية تفكيك أو تمزيق أو تحطيم أو حرق. نحدد وسيلة التخلص وفقاً لنوع الأصل. ونحتفظ بسجلات التدمير.

التخلص من المعدات

عند انتهاء عمر النظام، يتبع موظفو عمليات Microsoft إجراءات صارمة لمعالجة البيانات والتخلص من الأجهزة لضمان عدم إتاحة الأجهزة التي تضم بياناتك للأطراف غير الموثوقة. نستخدم نهج مسح آمناً لمحركات الأقراص الثابتة التي تدعمه. بالنسبة إلى محركات الأقراص الثابتة التي لا يمكن مسحها، نستخدم عملية تدمير تدمر القرص وتجعل استرداد المعلومات مستحيلاً. يمكن أن تكون عملية التدمير هذه عملية تفكيك أو تمزيق أو تحطيم أو حرق. نحدد وسيلة التخلص وفقاً لنوع الأصل. ونحتفظ بسجلات التدمير. تستخدم جميع خدمات Azure خدمات معتمدة لتخزين الوسائط وإدارة التخلص منها.

التوافق

نصمم بنية Azure الأساسية ونديرها بحيث تلبي مجموعة واسعة من معايير التوافق الدولية والخاصة بالمجال، مثل ISO 27001 وHIPAAA وFedRAMP وSOC 1 وSOC 2. كما أننا نلبي المعايير الخاصة بالبلد/المنطقة، بما في ذلك أستراليا IRAP والمملكة المتحدة G-Cloud وMTCS في سنغافورة. تعمل عمليات التدقيق الصارمة التي تُجريها الجهات الخارجية، مثل تلك التي يُجريها المعهد البريطاني للمعايير، على التحقق من الالتزام بضوابط الأمان الصارمة التي تفرضها هذه المعايير.

للحصول على قائمة كاملة بمعايير التوافق التي يلتزم بها Azure، راجع عروض التوافق.

الخطوات التالية

للتعرّف على المزيد حول ما تفعله Microsoft للمساعدة في تأمين بنية Azure الأساسية، راجع:

• توافر بنية Azure الأساسية
• حدود ومكونات نظام معلومات Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان قاعدة بيانات Azure SQL
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية لـ Azure
• تكامل البنية الأساسية لـ Azure
• حماية بيانات عملاء Azure