Схема безопасности и соответствия требованиям Azure. Веб-приложение PaaS для финансовых услуг FFIEC

Обзор

Служба автоматизации Azure Blueprint по безопасности и соответствию требованиям предоставляет указания по развертыванию среды платформы как услуги (PaaS), которая подходит для сбора, хранения и получения финансовых данных, регулируемых Федеральным советом по надзору за финансовыми учреждениями (Federal Financial Institution Examination Council, FFIEC). Это решение автоматизирует развертывание и конфигурацию ресурсов Azure для общей эталонной архитектуры, демонстрируя, как клиенты могут обеспечить соответствие требованиям к безопасности и соответствию. Оно также служит основой для создания и настройки решений в Azure. Это решение реализует подмножество требований из руководств FFIEC. Дополнительные сведения о требованиях FFIEC и этом решении см. в разделе документации по соответствию требованиям.

Служба автоматизации Azure Blueprint по безопасности и соответствию требованиям развертывает эталонную архитектуру веб-приложения PaaS с предварительно настроенными элементами управления безопасностью, чтобы помочь клиентам обеспечить соответствие требованиям FFIEC. Решение состоит из шаблонов Azure Resource Manager и сценариев PowerShell, позволяющих развернуть и настроить ресурсы.

Эта архитектура призвана служить основой, которую клиенты должны адаптировать для конкретных требований, и не должна использоваться "как есть" в рабочей среде. Развертывания приложения в этой среде без изменений недостаточно для полного соответствия требованиям FFIEC. Обратите внимание на следующее:

• Эта архитектура является своего рода эталоном, который помогает клиентам использовать Azure в соответствии с требованиями FFIEC.
• Клиенты несут ответственность за проведение соответствующих проверок безопасности и соответствия внутренней оценки решения, созданного с использованием этой архитектуры, поскольку требования могут варьироваться в зависимости от специфики реализации каждого клиента.

Для соответствия требованиям FFIEC необходимо, чтобы квалифицированные аудиторы сертифицировали решение клиента для рабочей среды. Аудиты проводятся под руководством экспертов из учреждений-членов FFIEC, включая Совет управляющих Федеральной резервной системы(FRB), Федеральную корпорацию по страхованию вкладов (FDIC), Национальное управление кредитных союзов (NCUA), Комиссию пр регулированию деятельности коммерческих банков (OCC) и Бюро по финансовой защите потребителей (CFPB). Эти специалисты подтверждают, что аудиты выполнены экспертами по оценке, сохраняющими независимость от прошедшего аудит учреждения. Клиенты несут ответственность за выполнение надлежащей оценки безопасности и соответствия любого решения, созданного с использованием этой архитектуры, так как требования могут варьироваться в зависимости от специфики реализации каждого клиента.

Инструкции по развертыванию см. здесь.

Схема и компоненты архитектуры

Служба автоматизации Azure Blueprint по безопасности и соответствию требованиям позволяет развернуть эталонную архитектуру для веб-приложения PaaS с внутренней базой данных SQL Azure. Веб-приложение размещается в изолированной среде службы приложений Azure, представляющей собой частную выделенную среду в центре обработки данных Azure. В этой среде осуществляется балансировка нагрузки трафика для веб-приложения между виртуальными машинами под управлением Azure. Эта архитектура также включает в себя группы безопасности сети и шлюз приложений, а также службы Azure DNS и Load Balancer.

Для расширенного анализа и создания отчетов базы данных SQL Azure можно настроить с индексами columnstore. Базы данных SQL Azure можно масштабировать или полностью отключить в соответствии с текущей активностью клиентов. Весь трафик SQL шифруется с помощью SSL и самозаверяющих сертификатов. Azure рекомендует использовать доверенный центр сертификации для повышенной безопасности.

В решении используются учетные записи хранения Azure, в которых клиенты могут настроить использование Шифрования службы хранилища, чтобы обеспечить конфиденциальность неактивных данных. Azure хранит три копии данных в выбранном центре обработки данных клиента для обеспечения устойчивости. Геоизбыточное хранилище гарантирует, что данные будут реплицированы в дополнительный центр обработки данных, который находится в сотнях километров, и снова сохранены в виде трех копий в этом центре обработки данных, предотвращая неполадки в основном центре обработки данных, которые могут привести к потере данных клиента.

Для повышения уровня безопасности все ресурсы в этом решении управляются как группа ресурсов с помощью Azure Resource Manager. Управление доступом на основе ролей Azure Active Directory используется для управления доступом к развернутым ресурсам, в том числе к ключам в Azure Key Vault. Мониторинг работоспособности системы осуществляется через Azure Monitor. Клиенты могут настроить обе службы мониторинга для ведения журналов и отображения работоспособности системы на единой панели мониторинга с удобной навигацией.

Для управления базой данных SQL Azure часто используется пакет SQL Server Management Studio, запущенный на локальном компьютере с доступом к Базе данных SQL Azure через безопасное соединение VPN или ExpressRoute.

Кроме того, Application Insights обеспечивает управление производительностью приложений в режиме реального времени и аналитику с помощью журналов Azure Monitor. Корпорация Майкрософт рекомендует настроить подключение VPN или ExpressRoute для управления и импорта данных в подсеть эталонной архитектуры.

Схема

Это решение использует следующие службы Azure. Подробные сведения об архитектуре развертывания см. в этом разделе.

• Шлюз приложений
  • Брандмауэр веб-приложения
    • режим брандмауэра — предотвращение;
    • набор правил — OWASP;
    • прослушиватель — порт 443.
• Application Insights
• Azure Active Directory
• Среда службы приложений Azure версии 2
• Служба автоматизации Azure
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor (журналы)
• Azure Resource Manager
• Центр безопасности Azure
• База данных SQL Azure
• Хранилище Azure
• Виртуальная сеть Azure
  • (1) Сеть /16
  • (4) Сети /24
  • Группы безопасности сети
• Служба приложений Azure

Архитектура развертывания

В следующем разделе подробно описываются компоненты развертывания и реализации.

Azure Resource Manager. Azure Resource Manager позволяет клиентам работать с ресурсами решения как с группой. Клиенты могут развертывать, обновлять или удалять все ресурсы решения в рамках одной скоординированной операции. Клиенты выполняют развертывание на основе шаблона, используемого в разных средах, в том числе тестовой, промежуточной и рабочей. Resource Manager предоставляет функции безопасности, аудита и добавления тегов, помогающие клиентам управлять ресурсами после развертывания.

Узел-бастион. Узел-бастион является единой точкой входа, которая позволяет пользователям получать доступ к ресурсам, развернутым в этой среде. Узел-бастион предоставляет безопасное подключение к развернутым ресурсам, разрешая только удаленный трафик с общедоступных IP-адресов из надежного списка. Для разрешения трафика по протоколу удаленного рабочего стола (RDP) источник трафика должен быть определен в группе безопасности сети.

Это решение создает виртуальную машину в виде присоединенного к домену узла-бастиона со следующими настройками:

• Расширение защиты от вредоносных программ
• Расширение службы "Диагностика Azure"
• шифрование дисков Azure с помощью хранилища ключей Azure Key Vault;
• Политика автоматического завершения работы для снижения потребления ресурсов виртуальной машины, если она не используется
• Защитник Windows Credential Guard включен, чтобы учетные данные и другие секреты выполнялись в защищенной среде, изолированной от работающей операционной системы.

Среда службы приложений версии 2. Среда службы приложений Azure — это компонент службы приложений, предоставляющий полностью изолированную выделенную среду для безопасного выполнения приложений службы приложений Azure в большом масштабе. Эта функция изоляции необходима для выполнения требований FFIEC по соответствию.

Среды службы приложений изолированы для запуска приложений только одного клиента и всегда развернуты в виртуальной сети. Функция изоляции в эталонной архитектуре предусматривает полную изоляцию клиентов, благодаря чему они не находятся в многопользовательской среде Azure. Это не позволяет им перечислять развернутые ресурсы среды службы приложений. Клиенты могут детально управлять входящим и исходящим сетевым трафиком приложений, а приложения могут создавать высокоскоростные безопасные подключения к локальным корпоративным ресурсам через виртуальные сети. Клиенты могут выполнить "автомасштабирование" с помощью среды службы приложений на основе метрик нагрузки, доступного бюджета или заданного расписания.

Использование среды службы приложений для этой архитектуры позволяет использовать следующие средства конфигурации:

• Размещение внутри защищенной виртуальной сети Azure и использование правил безопасности сети.
• Самозаверяющийся сертификат внутренней подсистемы балансировки нагрузки для подключений HTTPS. Майкрософт рекомендует использовать доверенный центр сертификации для повышенной безопасности.
• внутренняя балансировка нагрузки;
• Отключение TLS 1.0
• Изменение шифров TLS.
• управление портами N/W для входящего трафика;
• Брандмауэр веб-приложения — ограничение данных
• разрешение трафика Базы данных SQL Azure.

Служба приложений Azure: Служба приложений Azure позволяет клиентам создавать и размещать веб-приложения на выбранном языке программирования без управления инфраструктурой. Служба обеспечивает автоматическое масштабирование и высокий уровень доступности, поддерживает Windows и Linux и обеспечивает автоматическое развертывание из GitHub, Azure DevOps или любого репозитория Git.

Виртуальная сеть

Архитектура определяет частную виртуальную сеть с пространством адресов 10.200.0.0/16.

Группы безопасности сети. Группы безопасности сети содержат списки управления доступом, которые разрешают или запрещают трафик в виртуальной сети. Группы безопасности сети можно использовать для защиты трафика на уровне подсети или отдельной виртуальной машины. Существуют следующие группы безопасности сети:

• 1 группа безопасности сети для шлюза приложений;
• 1 группа безопасности сети для среды службы приложений;
• 1 группа безопасности сети для Базы данных SQL Azure.
• 1 группа безопасности сети для узла-бастиона.

В каждой группе безопасности сети открыты определенные порты и протоколы, чтобы решение могло работать безопасно и правильно. Кроме того, для каждой группы безопасности сети настроены следующие конфигурации:

• включены журналы диагностики и события, которые хранятся в учетной записи хранения;
• Журналы Azure Monitor подключены к журналам диагностики группы безопасности сети.

Подсети. Каждая подсеть связана с соответствующей группой безопасности сети.

Azure DNS. Служба доменных имен (DNS) отвечает за преобразование (разрешение) имени веб-сайта или службы в IP-адрес. Azure DNS является службой размещения доменов DNS, которая осуществляет разрешение имен на базе инфраструктуры Azure. Размещая домены в Azure, пользователи могут управлять записями DNS, используя те же учетные данные, API, инструменты и средства выставления счетов, что и для других служб Azure. Azure DNS также поддерживает частные домены DNS.

Azure Load Balancer. Azure Load Balancer позволяет клиентам масштабировать приложения и обеспечивать высокий уровень доступности служб. Load Balancer поддерживает как входящие, так и исходящие сценарии, обеспечивает низкую задержку и высокую пропускную способность, а также увеличивает масштаб до миллионов потоков для всех приложений, которые используют протоколы TCP и UDP.

Передаваемые данные

Azure по умолчанию шифрует весь обмен данными в центрах обработки данных в обоих направлениях. Все транзакции, направляемые в службу хранилища Azure через портал Azure, проходят по протоколу HTTPS.

Неактивные данные

Архитектура защищает неактивные данные, используя шифрование, аудит базы данных и другие меры.

Служба хранилища Azure. Для выполнения требований к шифрованию неактивных данных во всей службе хранилища Azure используется шифрование службы хранилища. Это помогает защищать и охранять данные в рамках корпоративных обязательств по безопасности и соответствия требованиям, определенным в FFIEC.

Шифрование дисков Azure. Служба Шифрование дисков Azure использует компонент BitLocker в Windows, чтобы обеспечить шифрование томов для дисков данных. Решение интегрируется с Azure Key Vault, что помогает управлять ключами шифрования дисков.

База данных SQL Azure. В экземпляре Базы данных SQL Azure используются следующие меры безопасности базы данных:

• Использование Active Directory для аутентификации и авторизации обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт.
• Аудит базы данных SQL позволяет отслеживать события базы данных и записывать их в журнал аудита в учетной записи хранения Azure.
• В Базе данных SQL Azure настроено прозрачное шифрование данных, которое обеспечивает шифрование и расшифровку базы данных, связанных резервных копий и файлов журналов транзакций в реальном времени для защиты неактивных данных. Прозрачное шифрование данных позволяет защитить сохраненные данные от несанкционированного доступа.
• Правила брандмауэра предотвращают любой доступ к серверам баз данных без надлежащих разрешений. Брандмауэр предоставляет доступ к базам данным на основе исходного IP-адреса каждого запроса.
• Обнаружение угроз SQL позволяет немедленно выявлять потенциальные угрозы и реагировать на них. При этом поступают оповещения системы безопасности о подозрительных действиях с базами данных, потенциальных уязвимостях, атаках путем внедрения кода SQL и аномальных шаблонах доступа к базам данных.
• Зашифрованные столбцы гарантируют, что конфиденциальные данные никогда не отобразятся как открытый текст внутри системы баз данных. После включения шифрования данных получить доступ к данным в виде открытого текста смогут только клиентские приложения и серверы приложений, у которых есть доступ к ключам.
• Динамическое маскирование данных Базы данных SQL ограничивает возможность раскрытия конфиденциальных данных, маскируя их для непривилегированных пользователей или приложений. Динамическое маскирование данных может автоматически обнаруживать потенциально конфиденциальные данные и предлагать применение соответствующих масок. Это помогает определить и сократить доступ к данным таким образом, чтобы они не извлекались из базы данных с помощью несанкционированного доступа. Клиенты несут ответственность за настройку параметров динамического маскирования данных в соответствии со своей схемой базы данных.

Управление удостоверениями

Следующие технологии обеспечивают возможности управления доступом к данным в среде Azure.

• Azure Active Directory — это мультитенантная облачная служба каталогов и управления удостоверениями Майкрософт. Все пользователи этого решения создаются в Azure Active Directory, включая пользователей, обращающихся к Базе данных SQL Azure.
• Аутентификация приложения выполняется с использованием Azure Active Directory. Дополнительные сведения см. в статье об интеграции приложений с Azure Active Directory. Кроме того, при шифровании столбцов базы данных используется Azure Active Directory для проверки подлинности приложения в Базе данных Azure SQL. Дополнительные сведения см. в статье о защите конфиденциальных данных в Базе данных SQL Azure.
• Управление доступом на основе ролей Azure позволяет администраторам определять детальные разрешения доступа, предоставляя его ровно в той мере, которая необходима пользователям для выполнения работы. Вместо предоставления каждому пользователю неограниченных разрешений на ресурсы Azure администраторы могут разрешить только определенные действия для доступа к данным. Доступ к подписке есть только у администратора подписки.
• Azure Active Directory Privileged Identity Management позволяет клиентам свести к минимуму число пользователей, имеющих доступ к определенной информации. Администраторы могут использовать Azure Active Directory Privileged Identity Management для обнаружения, ограничения и отслеживания привилегированных удостоверений, а также их доступа к ресурсам. Эту функцию можно также задействовать для получения административного JIT-доступа по требованию, когда это необходимо.
• Защита идентификации Azure Active Directory обнаруживает потенциальные уязвимости, влияющие на удостоверения организации, настраивает автоматические ответы на обнаруженные подозрительные действия, связанные с удостоверениями организации, и расследует подозрительные инциденты, чтобы принять соответствующие меры для их устранения.

Безопасность

Управление секретами. Для управления ключами и секретами в решении используется Azure Key Vault. Хранилище ключей Azure помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Следующие возможности Azure Key Vault помогают клиентам защитить эти данные и получить доступ к ним:

• Политики расширенного доступа настраиваются по мере необходимости.
• Политики доступа к Key Vault определены с минимальными необходимыми разрешениями на использование ключей и секретов.
• Все ключи и секреты в Key Vault имеют срок действия.
• Все ключи в Key Vault защищены специализированными аппаратными модулями безопасности. Тип ключа — 2048-разрядный ключ RSA, защищенный с помощью HSM.
• Всем пользователям или идентификаторам предоставляются минимальные необходимые разрешения с помощью управления доступом на основе ролей.
• Для журналов диагностики хранилища ключей включен срок хранения не менее 365 дней.
• Допустимые операции шифрования для ключей доступны только тем пользователям, которым они нужны.

Центр безопасности Azure. С помощью центра безопасности клиенты могут централизованно применять политики безопасности и управлять ими в рабочих нагрузках, ограничивать уязвимость системы к угрозам, а также выявлять атаки и реагировать на них. Кроме того, центр безопасности Azure обращается к существующей конфигурации служб Azure и предоставляет конфигурацию и рекомендации по службам для повышения уровня безопасности и защиты данных.

В центре безопасности Azure используются различные возможности обнаружения, чтобы оповещать клиентов о потенциальных атаках на их среды. Эти оповещения содержат важные сведения о причине их активации, ресурсах, на которые нацелена атака, и ее источнике. Центр безопасности Azure имеет ряд предопределенных оповещений безопасности, которые активируются при возникновении угрозы или подозрительной активности. Настраиваемые правила генерации оповещений в центре безопасности Azure позволяют клиентам определять новые оповещения безопасности на основе данных, собранных из их среды.

Центр безопасности Azure предоставляет приоритетные оповещения безопасности и инциденты, упрощая процедуры обнаружения и устранения потенциальных проблем безопасности. Для каждой обнаруженной угрозы создается отчет об исследовании угроз. Это позволяет командам реагирования на инциденты расследовать и устранять угрозы.

Шлюз приложений Azure. Архитектура снижает риск уязвимостей системы безопасности с помощью Шлюз приложений Azure с настроенным брандмауэром веб-приложения и включенным набором правил OWASP. Доступны следующие дополнительные возможности:

• Сквозной SSL
• Включение разгрузки SSL
• Отключение TLS версии 1.0 и 1.1
• брандмауэр веб-приложения (режим предотвращения);
• режим предотвращения с набором правил OWASP 3.0.
• Включение ведения журнала диагностики
• пользовательские пробы работоспособности;
• Центр безопасности Azure и Помощник Azure обеспечивают дополнительную защиту и уведомления. Центр безопасности Azure также предоставляет систему репутации.

Ведение журналов и аудит

Службы Azure обеспечивают детальную запись системных и пользовательских действий, а также сведений о работоспособности системы.

• Журналы действий: журналы действий предоставляют аналитические сведения об операциях, выполняемых с ресурсами в подписке. Журналы действий помогают определить инициатора операции, время события и состояние.
• Журналы диагностики.Журналы диагностики включают в себя все журналы, создаваемые каждым ресурсом. К этим журналам относятся системные журналы событий Windows, журналы службы хранилища Azure, журналы аудита Key Vault, а также журналы брандмауэра и доступа к шлюзу приложений. Все журналы диагностики обеспечивают запись данных в централизованную и зашифрованную учетную запись Azure для архивирования. В соответствии с требованиями конкретной организации пользователь может настроить срок хранения до 730 дней.

Журналы Azure Monitor. Эти журналы объединяются в журналы Azure Monitor для обработки, хранения и создания отчетов на панелях мониторинга. Собранные данные объединяются в отдельные таблицы для каждого типа данных в рабочих областях Log Analytics, что позволяет анализировать все данные независимо от первичного источника. Кроме того, Центр безопасности Azure интегрируется с журналами Azure Monitor, позволяя клиентам использовать запросы Kusto для доступа к данным событий безопасности и объединения их с данными из других служб.

В эту архитектуру входят следующие решения для мониторинга Azure:

• Оценка Active Directory. Решение проверки работоспособности Active Directory оценивает риск и работоспособность серверных сред через регулярный интервал и предоставляет приоритетный список рекомендаций, относящихся к развернутой серверной инфраструктуре.
• Оценка SQL. Решение "Проверка работоспособности SQL" регулярно оценивает риски и работоспособность серверных сред и предоставляет клиентам список рекомендаций, относящихся к развернутой серверной инфраструктуре и перечисленных в порядке приоритета.
• Работоспособность агентов. Решение "Работоспособность агентов" сообщает количество развернутых агентов, их географическое распределение, а также количество агентов, которые перестают отвечать на запросы и агентов, которые отправляют операционные данные.
• Аналитика журнала действий. Решение "Аналитика журнала действий" помогает анализировать журналы действий Azure во всех подписках Azure для клиента.

Служба автоматизации Azure. Это решение обеспечивает хранение и выполнение модулей Runbook, а также управление ими. В этом решении модули runbook помогают собирать журналы из Базы данных SQL Azure. Решение Отслеживание изменений службы автоматизации позволяет клиентам легко определять изменения в среде.

Azure Monitor.Azure Monitor помогает пользователям отслеживать производительность, поддерживать безопасность и выявлять тенденции. Решение предоставляет организациям возможность аудита, создания оповещений и архивации данных, включая отслеживание вызовов API в ресурсах Azure клиентов.

Application Insights.Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков с поддержкой нескольких платформ. Application Insights обнаруживает аномалии производительности и может использоваться клиентами для мониторинга динамического веб-приложения. Эта служба содержит мощные аналитические средства, которые помогают клиентам диагностировать проблемы и понять, что пользователи фактически делают в их приложении. Эта служба помогает клиентам постоянно улучшать производительность и удобство использования.

Модель рисков

Схему потока данных для этой эталонной архитектуры можно скачать или просмотреть ниже. Используя эту модель, клиенты могут выявить зоны потенциального риска в инфраструктуре системы при внесении изменений.

Документация по соответствию

В документе Схема безопасности и соответствия требованиям Azure. Таблица ответственности клиента согласно FFIEC указаны все нормативы FFIEC по безопасности. В этой таблице указано, кто отвечает за реализацию каждого норматива: корпорация Майкрософт, клиент или все вместе.

В документе Схема безопасности и соответствия требованиям Azure. Таблица реализации веб-приложения PaaS в соответствии с FFIEC содержатся сведения о том, какие требования FFIEC отражены в архитектуре веб-приложения PaaS, включая подробные описания того, как реализация соответствует требованиям каждого норматива.

Развертывание этого решения

Это решение автоматизации схемы безопасности и соответствия требованиям Azure состоит из файлов конфигурации JSON и сценариев PowerShell, которые обрабатываются службой API Azure Resource Manager для развертывания ресурсов в Azure. Подробные инструкции по развертыванию см. в этой статье.

Краткое руководство

1. Клонируйте или скачайте этот репозиторий GitHub на локальную рабочую станцию.

2. Просмотрите 0-Setup-AdministrativeAccountAndPermission.md и выполните предоставленные команды.

3. Разверните тестовое решение с примером данных Contoso или осуществите пилотный проект в начальной рабочей среде.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Этот сценарий развертывает ресурсы Azure для демонстрации интернет-магазина, используя пример данных Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Этот сценарий развертывает ресурсы Azure, обеспечивающие поддержку рабочей среды для веб-приложения клиента. Клиенту нужно дополнительно настроить эту среду в соответствии с потребностями организации.

Инструкции и рекомендации

VPN и ExpressRoute

Чтобы установить защищенное подключение к ресурсам, которые развертываются в рамках этой эталонной архитектуры веб-приложений PaaS, необходимо настроить защищенный VPN-туннель или ExpressRoute. Правильно настроив VPN-подключение или ExpressRoute, клиенты могут добавить уровень защиты передаваемых данных.

При реализации защищенного VPN-туннеля с помощью Azure можно создать виртуальное частное подключение между локальной сетью и виртуальной сетью Azure. Это подключение выполняется через Интернет и позволяет клиентам безопасно туннелировать информацию внутри зашифрованной связи между сетью клиента и Azure. VPN типа "сеть — сеть" представляет собой безопасную проверенную технологию, которая десятилетиями применяется на предприятиях всех размеров. Режим туннеля IPsec используется в этом решении как механизм шифрования.

Так как трафик в VPN-туннеле проходит через Интернет с VPN типа "сеть-сеть", Майкрософт предлагает другой, еще более защищенный вариант подключения. Azure ExpressRoute — это выделенный канал связи в глобальной сети между Azure и локальной средой или поставщиком услуг размещения Exchange. Подключения ExpressRoute не осуществляются через Интернет и обеспечивают повышенный уровень безопасности, надежности и быстродействия подключений с низким уровнем задержки по сравнению со стандартными подключениями через Интернет. Более того, так как это прямое подключение поставщика телекоммуникационных услуг клиента, данные не передаются через Интернет и поэтому недоступны в нем.

См. рекомендации по реализации защищенной гибридной сети, расширяющей локальную сеть в Azure.

Отказ от ответственности

• Этот документ является исключительно информационным. МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, КОСВЕННЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ЗАКОНОМ, В ОТНОШЕНИИ ИНФОРМАЦИИ В ЭТОМ ДОКУМЕНТЕ. Этот документ предоставляется как есть. Информация и представления, выраженные в этом документе, включая URL-адрес и другие ссылки на интернет-сайт, могут изменяться без уведомления. Клиенты, читающие этот документ, берут ответственность за его использование на себя.
• Настоящий документ не предоставляет клиентам юридических прав на интеллектуальную собственность в отношении продуктов или решений корпорации Майкрософт.
• Клиенты могут скопировать и использовать данный документ для внутренних справочных целей.
• Выполнение некоторых рекомендаций в этом документе может привести к более интенсивному использованию данных, а также сетевых и вычислительных ресурсов в Azure, а значит и к дополнительным затратам на лицензии или подписки Azure.
• Эта архитектура призвана служить основой, которую клиенты должны адаптировать для конкретных требований, и не должна использоваться "как есть" в рабочей среде.
• Этот документ разработан в качестве справочного материала и не определяет все способы, с помощью которых клиент может отвечать нормам и стандартам соответствия. Клиентам следует обратиться в юридический отдел своей организации, чтобы получить одобренные варианты пользовательских реализаций.