Sécurité locale et physique des centres de données AzureAzure facilities, premises, and physical security

Cet article décrit ce que Microsoft fait pour sécuriser l’infrastructure Azure.This article describes what Microsoft does to secure the Azure infrastructure.

Infrastructure de centre de donnéesDatacenter infrastructure

Azure est composé d’une infrastructure de centres de données distribuée à l’échelle mondiale qui gère des milliers de services en ligne et couvre plus de 100 installations de haute sécurité dans le monde entier.Azure is composed of a globally distributed datacenter infrastructure, supporting thousands of online services and spanning more than 100 highly secure facilities worldwide.

L’infrastructure est conçue pour rapprocher les applications des utilisateurs dans le monde entier, en préservant la résidence des données et en offrant aux clients des options complètes de conformité et de résilience.The infrastructure is designed to bring applications closer to users around the world, preserving data residency, and offering comprehensive compliance and resiliency options for customers. Azure est présent dans 58 régions du monde et disponible dans 140 pays/régions.Azure has 58 regions worldwide, and is available in 140 countries/regions.

Une région est un ensemble de centres de données qui sont interconnectés dans un réseau massif et résilient.A region is a set of datacenters that is interconnected via a massive and resilient network. Le réseau comprend la distribution de contenu, l’équilibrage de charge, la redondance et le chiffrement de la couche de liaison de données par défaut pour tout le trafic Azure au sein d’une région ou le déplacement entre les régions.The network includes content distribution, load balancing, redundancy, and data-link layer encryption by default for all Azure traffic within a region or travelling between regions. En proposant plus de régions dans le monde que les autres fournisseurs de cloud, Azure offre aux clients la possibilité de déployer des applications là où ils en ont besoin.With more global regions than any other cloud provider, Azure gives you the flexibility to deploy applications where you need them.

Les régions Azure sont organisées en zones géographiques.Azure regions are organized into geographies. Une zone géographique Azure garantit que les conditions de résidence, de souveraineté, de conformité et de résilience des données sont respectées dans les limites géographiques.An Azure geography ensures that data residency, sovereignty, compliance, and resiliency requirements are honored within geographical boundaries.

Les zones géographiques permettent aux clients ayant des besoins spécifiques en conformité et résidence des données de conserver leurs données et leurs applications à proximité.Geographies allow customers with specific data-residency and compliance needs to keep their data and applications close. Les zones géographiques sont tolérantes aux pannes et peuvent résister à une défaillance complète de la région, car elles sont connectées à l’infrastructure réseau haute capacité dédiée.Geographies are fault-tolerant to withstand complete region failure, through their connection to the dedicated, high-capacity networking infrastructure.

Les zones de disponibilité sont des emplacements physiquement séparés au sein d’une région Azure.Availability zones are physically separate locations within an Azure region. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un refroidissement et d’un réseau indépendants.Each availability zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Les zones de disponibilité vous permettent d’exécuter des applications critiques avec une haute disponibilité et une réplication de latence faible.Availability zones allow you to run mission-critical applications with high availability and low-latency replication.

La figure suivante montre comment l’infrastructure mondiale d’Azure associe une région à des zones de disponibilité dans la même limite de résidence des données pour bénéficier d’une haute disponibilité, d’une reprise d’activité après sinistre et d’une sauvegarde.The following figure shows how the Azure global infrastructure pairs region and availability zones within the same data residency boundary for high availability, disaster recovery, and backup.

Diagramme montrant la limite de résidence des données

Des centres de données distribués géographiquement permettent à Microsoft d’être proche des clients pour réduire la latence du réseau et rendre possibles les basculements et les sauvegardes géoredondantes.Geographically distributed datacenters enables Microsoft to be close to customers, to reduce network latency and allow for geo-redundant backup and failover.

Sécurité physiquePhysical security

Microsoft conçoit, crée et utilise des centres de données de manière à assurer un contrôle strict de l’accès physique aux zones où vos données sont stockées.Microsoft designs, builds, and operates datacenters in a way that strictly controls physical access to the areas where your data is stored. Microsoft comprend l’importance de protéger les données de ses clients et s’engage à contribuer à la sécurisation des centres de données qui contiennent vos données.Microsoft understands the importance of protecting your data, and is committed to helping secure the datacenters that contain your data. Microsoft compte une division entière dédiée à la conception, à la création et au fonctionnement des installations physiques qui gèrent Azure.We have an entire division at Microsoft devoted to designing, building, and operating the physical facilities supporting Azure. Cette équipe est investie dans la conservation d’une sécurité physique à la pointe.This team is invested in maintaining state-of-the-art physical security.

Microsoft adopte une approche en couche de la sécurité physique, pour réduire les risques que des utilisateurs non autorisés puissent avoir un accès physique aux données et aux ressources des centres de données.Microsoft takes a layered approach to physical security, to reduce the risk of unauthorized users gaining physical access to data and the datacenter resources. Les centres de données gérés par Microsoft présentent des couches de protection complètes : approbation de l’accès au périmètre de l’installation, au périmètre du bâtiment, à l’intérieur du bâtiment et à l’étage du centre de données.Datacenters managed by Microsoft have extensive layers of protection: access approval at the facility’s perimeter, at the building’s perimeter, inside the building, and on the datacenter floor. Les couches de la sécurité physique sont :Layers of physical security are:

  • Demande d’accès et approbation.Access request and approval. Vous devez demander l’accès avant d’arriver au centre de données.You must request access prior to arriving at the datacenter. Vous êtes obligé de fournir une justification professionnelle valide de votre visite, par exemple pour des raisons de conformité ou d’audit.You're required to provide a valid business justification for your visit, such as compliance or auditing purposes. Toutes les demandes sont approuvées au cas par cas par les employés de Microsoft.All requests are approved on a need-to-access basis by Microsoft employees. La gestion des accès au cas par cas permet de garder le nombre de personnes qui ont besoin d’effectuer une tâche dans les centres de données au strict minimum.A need-to-access basis helps keep the number of individuals needed to complete a task in the datacenters to the bare minimum. Une fois qu’une personne obtient une autorisation de Microsoft, elle n’a accès qu’à la zone du centre de données requise, pour laquelle sa justification a été approuvée.After Microsoft grants permission, an individual only has access to the discrete area of the datacenter required, based on the approved business justification. Les autorisations sont limitées dans le temps et expirent.Permissions are limited to a certain period of time, and then expire.

  • Périmètre de l’installation.Facility’s perimeter. Quand vous arrivez dans un centre de données, vous êtes obligé de passer par un point d’accès bien défini.When you arrive at a datacenter, you're required to go through a well-defined access point. En règle générale, des clôtures hautes en acier et en béton couvrent chaque centimètre du périmètre.Typically, tall fences made of steel and concrete encompass every inch of the perimeter. Des caméras sont postées autour des centres de données et une équipe de sécurité visionne les vidéos en permanence.There are cameras around the datacenters, with a security team monitoring their videos at all times.

  • Entrée du bâtiment.Building entrance. L’entrée des centres de données est surveillée par des professionnels de la sécurité qui ont suivi une formation stricte et dont les antécédents ont été vérifiés.The datacenter entrance is staffed with professional security officers who have undergone rigorous training and background checks. Ces professionnels de la sécurité patrouillent aussi régulièrement dans le centre de données tout en contrôlant les vidéos des caméras qui se trouvent à l’intérieur en permanence.These security officers also routinely patrol the datacenter, and monitor the videos of cameras inside the datacenter at all times.

  • À l’intérieur du bâtiment.Inside the building. Après être entré dans le bâtiment, vous devez passer une authentification à deux facteurs avec biométrie pour pouvoir vous déplacer dans le centre de données.After you enter the building, you must pass two-factor authentication with biometrics to continue moving through the datacenter. Si votre identité est validée, vous pouvez entrer dans la partie du centre de données pour laquelle votre accès a été approuvé.If your identity is validated, you can enter only the portion of the datacenter that you have approved access to. Vous pouvez y rester uniquement pendant la durée approuvée.You can stay there only for the duration of the time approved.

  • Étage du centre de donnéesDatacenter floor. Vous n’êtes autorisé à vous rendre qu’à l’étage pour lequel votre accès a été approuvé.You are only allowed onto the floor that you're approved to enter. Vous êtes obligé de passer sous un portique de détection de métaux.You are required to pass a full body metal detection screening. Pour réduire le risque que des données non autorisées entrent ou sortent du centre de données sans notre connaissance, seuls les appareils approuvés sont admis à l’étage du centre de données.To reduce the risk of unauthorized data entering or leaving the datacenter without our knowledge, only approved devices can make their way into the datacenter floor. Par ailleurs, des caméras vidéo surveillent les deux côtés de chaque rack de serveurs.Additionally, video cameras monitor the front and back of every server rack. Quand vous quittez l’étage du centre de données, vous devez repasser par le portique de détection de métaux.When you exit the datacenter floor, you again must pass through full body metal detection screening. Pour quitter le centre de données, vous devez passer par un autre scan de sécurité.To leave the datacenter, you're required to pass through an additional security scan.

Les visiteurs doivent rendre leurs badges quand ils quittent un bâtiment Microsoft.Microsoft requires visitors to surrender badges upon departure from any Microsoft facility.

Révisions de la sécurité physiquePhysical security reviews

Les révisions de la sécurité physique des bâtiments sont effectuées régulièrement pour s’assurer que les centres de données répondent aux critères de sécurité d’Azure.Periodically, we conduct physical security reviews of the facilities, to ensure the datacenters properly address Azure security requirements. Le personnel du fournisseur d’hébergement du centre de données ne fournit aucune gestion des services Azure.The datacenter hosting provider personnel do not provide Azure service management. Il ne peut pas se connecter aux systèmes Azure n’a pas d’accès physique à la salle et aux cages de collocation Azure.Personnel can't sign in to Azure systems and don't have physical access to the Azure collocation room and cages.

Appareils contenant des donnéesData bearing devices

Microsoft utilise les procédures de bonne pratique et une solution d’effacement conforme à la norme NIST 800-88.Microsoft uses best practice procedures and a wiping solution that is NIST 800-88 compliant. Pour les disques durs qui ne peuvent pas être effacés, une procédure de destruction est utilisée pour les détruire et rendre la récupération des informations impossible.For hard drives that can’t be wiped, we use a destruction process that destroys it and renders the recovery of information impossible. Le processus de destruction peut être une désintégration, un déchiquetage, une pulvérisation ou une incinération.This destruction process can be to disintegrate, shred, pulverize, or incinerate. Nous déterminons les moyens d’élimination en fonction du type de ressource.We determine the means of disposal according to the asset type. Les enregistrements des destructions sont conservés.We retain records of the destruction.

Élimination de l’équipementEquipment disposal

À la fin du cycle de vie d’un système, le personnel d’exploitation de Microsoft suit les procédures rigoureuses de traitement des données et d’élimination de matériel afin de s’assurer qu’aucun matériel susceptible de contenir les données d’un client ne soit accessible à des tiers non approuvés.Upon a system's end-of-life, Microsoft operational personnel follow rigorous data handling and hardware disposal procedures to assure that hardware containing your data is not made available to untrusted parties. Nous utilisons une approche d’effacement sécurisée pour les disques durs qui la prennent en charge.We use a secure erase approach for hard drives that support it. Pour les disques durs qui ne peuvent pas être effacés, un processus de destruction est utilisé pour les détruire et rendre la récupération des informations impossible.For hard drives that can’t be wiped, we use a destruction process that destroys the drive and renders the recovery of information impossible. Le processus de destruction peut être une désintégration, un déchiquetage, une pulvérisation ou une incinération.This destruction process can be to disintegrate, shred, pulverize, or incinerate. Nous déterminons les moyens d’élimination en fonction du type de ressource.We determine the means of disposal according to the asset type. Les enregistrements des destructions sont conservés.We retain records of the destruction. Tous les services Microsoft Azure utilisent des services de gestion des supports de stockage et d’élimination approuvés.All Azure services use approved media storage and disposal management services.

ConformitéCompliance

L’infrastructure Azure est conçue et gérée pour répondre à un large éventail de normes de conformité internationales et spécifiques au secteur, telles que ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2.We design and manage the Azure infrastructure to meet a broad set of international and industry-specific compliance standards, such as ISO 27001, HIPAA, FedRAMP, SOC 1, and SOC 2. Les normes propres aux pays ou régions sont également respectées, comme l’IRAP en Australie, UK G-Cloud et la MTCS à Singapour.We also meet country- or region-specific standards, including Australia IRAP, UK G-Cloud, and Singapore MTCS. Des audits rigoureux de tiers, comme ceux effectués par le British Standards Institute, vérifient l’adhérence d’Azure aux contrôles de sécurité stricts imposés par ces normes.Rigorous third-party audits, such as those done by the British Standards Institute, verify adherence to the strict security controls these standards mandate.

Pour avoir une liste complète des normes de conformité observées par Azure, consultez les Offres de conformité.For a full list of compliance standards that Azure adheres to, see the Compliance offerings.

Étapes suivantesNext steps

Pour en savoir plus sur ce que Microsoft fait pour sécuriser l’infrastructure Azure, consultez :To learn more about what Microsoft does to help secure the Azure infrastructure, see: