حماية بيانات عملاء Azure

يتم رفض الوصول إلى بيانات العملاء بواسطة عمليات Microsoft وموظفي الدعم بشكل افتراضي. عند منح الوصول إلى البيانات المتعلقة بحالة الدعم، يتم منحها فقط باستخدام نموذج في الوقت المناسب (JIT) باستخدام النُهج التي يتم تدقيقها وفحصها وفقاً لنُهج الامتثال والخصوصية الخاصة بنا. يتم إنشاء متطلبات التحكم في الوصول من خلال نهج أمان Azure التالي:

• لا يمكن الوصول إلى بيانات العملاء بشكل افتراضي.
• لا توجد حسابات مستخدم أو مسؤول على الأجهزة الظاهرية للعملاء (VMs).
• منح أقل امتياز مطلوب لإكمال المهمة؛ تدقيق وتسجيل طلبات الوصول.

تم تعيين حسابات Active Directory فريدة لموظفي دعم Azure بواسطة Microsoft. تعتمد Azure على Microsoft Corporate Active Directory، الذي تديره Microsoft Information Technology (MSIT)، للتحكم في الوصول إلى أنظمة المعلومات الأساسية. المصادقة متعددة العوامل مطلوبة، ولا يُمنح الوصول إلا من وحدات التحكم الآمنة.

حماية البيانات

يوفر Azure للعملاء أماناً قوياً للبيانات، سواء بشكل افتراضي أو كخيارات للعميل.

فصل البيانات: Azure هي خدمة متعددة المستأجرين، مما يعني أن عمليات التوزيع المتعددة للعملاء والأجهزة الافتراضية المخزنة على نفس الأجهزة المادية. يستخدم Azure العزل المنطقي لفصل بيانات كل عميل عن بيانات الآخرين. يوفر الفصل النطاق والفوائد الاقتصادية للخدمات متعددة المستأجرين مع منع العملاء بشكل صارم من الوصول إلى بيانات بعضهم البعض.

حماية البيانات أثناء عدم التشغيل: يتحمل العملاء مسؤولية ضمان تشفير البيانات المخزنة في Azure وفقاً لمعاييرهم. يوفر Azure مجموعة واسعة من قدرات التشفير، ما يمنح العملاء المرونة لاختيار الحل الذي يلبي احتياجاتهم على أفضل نحو. يساعد Azure Key Vault العملاء على الحفاظ على التحكم بسهولة في المفاتيح التي تستخدمها التطبيقات والخدمات السحابية لتشفير البيانات. تشفير قرص Azure تمكن العملاء من تشفير الأجهزة الظاهرية. يتيح تشفير خدمة تخزين Azure تشفير جميع البيانات الموضوعة في حساب تخزين العميل.

حماية البيانات أثناء النقل: توفر Microsoft عدداً من الخيارات التي يمكن للعملاء استخدامها لتأمين البيانات أثناء النقل داخلياً داخل شبكة Azure وخارجياً عبر الإنترنت إلى المستخدم النهائي. وتشمل هذه الاتصالات من خلال الشبكات الخاصة الظاهرية (باستخدام تشفير IPsec/IKE)، أمان طبقة النقل (TLS) 1.2 أو أحدث (عبر مكونات Azure مثل Application Gateway أو Azure Front Door)، والبروتوكولات مباشرة على أجهزة Azure الظاهرية (مثل Windows IPsec أو SMB)، والمزيد.

بالإضافة إلى ذلك، يتم تمكين "التشفير بشكل افتراضي" باستخدام MACsec (معيار IEEE في طبقة ارتباط البيانات) لجميع حركة مرور Azure التي تنتقل بين مراكز بيانات Azure لضمان سرية بيانات العملاء وسلامتها.

تكرار البيانات: تساعد Microsoft في ضمان حماية البيانات في حالة حدوث هجوم إلكتروني أو ضرر مادي لمركز البيانات. يمكن للعملاء اختيار:

• التخزين داخل البلد/المنطقة لاعتبارات التوافق أو زمن الانتقال.
• التخزين خارج البلد/المنطقة لأغراض الأمان أو الإصلاح بعد كارثة.

يمكن نسخ البيانات داخل منطقة جغرافية محددة للتكرار ولكن لا يمكن نقلها خارجها. لدى العملاء خيارات متعددة لنسخ البيانات، بما في ذلك عدد النسخ وعدد وموقع مراكز بيانات النسخ المتماثل.

عندما تقوم بإنشاء حساب التخزين الخاص بك، حدد أحد خيارات النسخ المتماثل التالية:

• التخزين الزائد محلياً (LRS): يحتفظ التخزين الزائد محلياً بثلاث نسخ من بياناتك. يتم تكرار LRS ثلاث مرات داخل منشأة واحدة في منطقة واحدة. يحمي LRS بياناتك من أعطال الأجهزة العادية، ولكن ليس من فشل منشأة واحدة.
• تخزين المنطقة الزائدة عن الحاجة (ZRS): تحتفظ منطقة التخزين الزائدة عن الحاجة بثلاث نسخ من بياناتك. يتم تكرار ZRS ثلاث مرات عبر منشأتين أو ثلاث لتوفير متانة أعلى من LRS. يحدث النسخ المتماثل داخل منطقة واحدة أو عبر منطقتين. يساعد ZRS على ضمان استمرارية بياناتك داخل منطقة واحدة.
• تخزين احتياطي جغرافي (GRS): يتم تمكين التخزين المتكرر جغرافياً لحساب التخزين الخاص بك افتراضياً عند إنشائه. تحتفظ GRS بست نسخ من بياناتك. باستخدام GRS، يتم نسخ بياناتك ثلاث مرات داخل المنطقة الأساسية. يتم أيضاً نسخ بياناتك ثلاث مرات في منطقة ثانوية تبعد مئات الأميال عن المنطقة الأساسية، مما يوفر أعلى مستوى من المتانة. في حالة حدوث فشل في المنطقة الأساسية، يفشل Azure Storage في المنطقة الثانوية. يساعد GRS على ضمان أن بياناتك دائمة في منطقتين منفصلتين.

إتلاف البيانات: عندما يحذف العملاء البيانات أو يغادرون Azure، تتبع Microsoft معايير صارمة لحذف البيانات، فضلاً عن التدمير المادي للأجهزة التي تم إيقاف تشغيلها. تنفذ Microsoft حذفاً كاملاً للبيانات بناءً على طلب العميل وعند إنهاء العقد. لمزيد من المعلومات، راجع إدارة البيانات في Microsoft.

ملكية بيانات العميل

لا تقوم Microsoft بفحص التطبيقات التي يوزعها العملاء إلى Azure أو اعتمادها أو مراقبتها. علاوة على ذلك، لا تعرف Microsoft نوع البيانات التي يختار العملاء تخزينها في Azure. لا تدعي Microsoft ملكية البيانات على معلومات العميل التي يتم إدخالها في Azure.

إدارة السجلات

أنشأ Azure متطلبات الاحتفاظ بالسجلات الداخلية للبيانات الخلفية. يتحمل العملاء مسؤولية تحديد متطلبات الاحتفاظ بالسجلات الخاصة بهم. بالنسبة للسجلات المخزنة في Azure، يكون العملاء مسؤولين عن استخراج بياناتهم والاحتفاظ بمحتواهم خارج Azure لفترة استبقاء يحددها العميل.

يسمح Azure للعملاء بتصدير البيانات وتقارير التدقيق من المنتج. يتم حفظ عمليات التصدير محلياً للاحتفاظ بالمعلومات لفترة استبقاء يحددها العميل.

الاكتشاف الإلكتروني (الاكتشاف الإلكتروني)

يتحمل عملاء Azure مسؤولية الامتثال لمتطلبات الاكتشاف الإلكتروني في استخدامهم لخدمات Azure. إذا كان يجب على عملاء Azure الاحتفاظ ببيانات العملاء الخاصة بهم، فيمكنهم تصدير البيانات وحفظها محلياً. بالإضافة إلى ذلك، يمكن للعملاء طلب تصدير بياناتهم من قسم دعم العملاء في Azure. بالإضافة إلى السماح للعملاء بتصدير بياناتهم، يقوم Azure بإجراء عمليات تسجيل ومراقبة واسعة النطاق داخلياً.

الخطوات التالية

لمعرفة المزيد حول ما تفعله Microsoft لتأمين البنية الأساسية لـ Azure، راجع:

• مرافق Azure ومبانيها وأمانها المادي
• توفّر البنية التحتية Azure
• حدود ومكونات نظام معلومات Azure
• بنية شبكة Azure
• شبكة إنتاج Azure
• ميزات أمان قاعدة بيانات Azure SQL
• عمليات الإنتاج والإدارة في Azure
• مراقبة البنية الأساسية لـ Azure
• تكامل البنية الأساسية لـ Azure