資料中心實體存取安全性

Microsoft 瞭解保護客戶資料的重要性,並致力於保護包含它的資料中心。 Microsoft 資料中心的設計、建立及運作,嚴格限制實體存取儲存客戶資料的區域。

資料中心的實體安全性與深入防禦原則一致。 會執行多個安全性措施,以降低未經授權的使用者存取資料和其他資料中心資源的風險。

  • 周邊安全性: Microsoft 資料中心是 nondescript 具有周邊圍牆和24小時外部照明的辦公樓。 由鋼材和混凝土所組成的高範圍包含每英寸周邊環境和資料中心校園的所有專案都必須透過完善定義的存取點。 入口有相機監視和保安人員巡邏,以確保僅限於指定的區域進出。 護柱和其他措施可保護資料中心外部,避免潛在威脅,包括未經授權的存取。
  • 進入資料中心: [資料中心] 進入是由專業的安全性監察官所組成,已完成嚴格訓練和背景檢查。 安全性監察官經常從資料中心內的相機 patrol 資料中心和影片摘要,永遠都會受到監視。
  • 資料中心內:輸入大樓時,需要有生物特徵驗證,才能繼續透過資料中心進行移動。 驗證之後,就會將存取權授與已授權的資料中心部分,而且只適用于已核准的時間。 在資料中心內,指定為高度機密的區域需要進行其他兩個要素驗證。
  • 資料中心地面:只有在輸入時,才可使用預先核准和完整的完整身體偵測偵測篩選,來存取資料中心地面。 若要降低未經授權的資料進入或離開資料中心的風險,只有經核准的裝置才能進入資料中心地面。 此外,影片攝像機會監控每一部伺服器機架的正面和反面。 當您退出資料中心地面時,所有人員都會受到其他完整的完整身體偵測篩選。
  • 離開資料中心,每個人都必須透過最後的安全性檢查點,而且所有訪客都必須 surrender 其暫時徽章。 在收集之後,所有訪客徽章都會在重新使用之前移除其訪問層級,以供今後存取。

存取供給

資料中心管理 (DCM) 小組已經實施運作程式,以限制僅限授權員工、合同工及訪客的實體存取權。 使用票證系統追蹤暫時或永久存取要求。 在驗證身分識別後,需要存取權的人員可以發出或啟用徽章。 實體金鑰和暫時存取徽章會在安全性作業中心 (SOC) 中受到保護。

Microsoft 資料中心受限於許可權最低的存取原則,這表示資料中心存取僅限具有核准業務需求的人員,而且不會有必要的存取權。 存取要求有時間限制,只有在要求者的商業需求仍然有效時,才能更新。

資料中心存取記錄會以核准的要求形式維護。 要求只有 DCM 小組核准,且存取資料中心的訪客存取要求可以記錄下來供任何未來調查使用。

資料中心安全性人員

整個資料中心設施和校園的安全性人員負責下列活動:

  • 運作工作站位於主要管理大樓內的安全性作業中心。
  • 定期透過設施的演練和巡邏隊進行檢查。
  • 回應火警告警和安全性問題
  • 派遣安全性人員協助服務要求和緊急情況
  • 為資料中心管理小組提供有關安全性事件及專案記錄檔的定期更新
  • 操作和監控鬧鐘、存取控制及監控系統

訪客存取

在需要暫時存取資料中心設施內部的人員(包括教學群組和其他訪客)時,必須具備安全性驗證和存回功能。 資料中心訪客必須簽署保密合約、經過資料中心管理審查,並取得資料中心管理核准,才能排定造訪時間。 一開始抵達資料中心時,會使用暫時、最低權限存取權的存取認證來處理訪客。 此外,在流覽期間,會指派由資料中心管理核准的 Microsoft 全職員工 (FTE) 或經授權的指定者給訪客。

已核准資料中心存取權的所有訪客都只會在其徽章上指定為 Escort ,而且必須永遠保留其 escorts。 Escorted 訪客沒有任何授與存取權的訪問權,而且只能在存取其 escorts 時進行旅行。 Escort 負責在存取資料中心時檢查其訪客的動作和存取權。

透過已指派的 escort,以及由控制室主管透過封閉式 (CCTV) 和告警監控系統來監控訪客存取。 已核准之存取要求的訪客會在驗證時,根據政府簽發的身分識別或 Microsoft 簽發的徽章的形式來檢查其存取要求。 已核准供 escorted 存取的訪客會發佈自我過期的粘滯標,並在傳回工具中的存取記錄後終止。 如果訪客保留其標記,徽章會自動在24小時內到期。

暫時存取徽章會儲存在每個 shift 的開頭和結尾的存取控制的 SOC 和清查中。 安全性監察官是以24x7 人員為中心,而實體金鑰則儲存在與實體存取系統(需要安全性監察官 PIN 和存取標記以取得存取權)關聯的電子金鑰管理系統中。

存取權複查和取消撤銷

DCM 小組負責定期檢查資料中心存取,以及執行每季審核,以確認仍然需要個別的存取。

若為端接或傳輸,則會立即從系統中移除人員的存取權,並移除其存取標記。 這會移除人員可能擁有的任何資料中心存取權。 DCM 小組也會執行季度存取檢查,以驗證系統中資料中心存取清單的 appropriateness。

金鑰管理

您可以將實體/個人的存取標記與實體金鑰相符合,將實體/hard 參數檢出給特定人員。 個人必須具備工具中的適當訪問層級,才能查看特定的金鑰。 不允許非現場使用機碼。

硬金鑰和徽章會由 Microsoft 保持在嚴格控制之下,並每日進行審核。 Microsoft 也會透過執行嚴格的存取層級,以及受管理的金鑰發佈和管理,來降低風險。 資料中心的主要存取方法是「電子存取徽章」和「生物識別」,可讓您在需要時立即撤銷存取權。 Microsoft 有適當的程式可以判斷是否有任何遺失的金鑰風險的適當動作 commensurate。 這些動作可能需要重新加密單一伺服器機架或閘,以及整個資料中心設施的重新加密。

存取記錄和監控

存取要求和進出事件均會記錄並保留為電子稽核記錄的一部分,允許事後的資料審訊與和解。 存取控制系統報告和資料分析允許進一步的異常偵測,以識別並防止不必要和未經授權的存取。

資料中心監控系統會監視重要資料中心區域,例如資料中心主要進入/結束、資料中心 colocations 進入/出口、cages、鎖定的櫃子、通道方式、運送和接收區域、重要環境、周邊門和停車區。 除非當地的法律規定,否則監控錄製至少會保留90天。

控制室主管永遠位於 SOC 中,以提供資料中心之實體存取的監控。 影片監控是用來監視資料中心和資訊系統的實體存取。 影片監控系統會連結至組建告警監控系統,以支援告警點的實體存取監控。 安全性監察官可確保只有具有適當授權的人員可以存取,並驗證將設備引入和移出重要基礎結構功能的任何人都遵循適當的程式。

在資料中心內發生的安全性事件會由安全小組記錄在名為 Security 事件通知 (SEN) 中的報表。 SEN 報告會捕獲安全性事件的詳細資料,並在事件發生之後必須加以記載,以盡可能正確地捕獲詳細資料。 SEN 報告也包含在 After 動作報告中執行的調查分析 (AAR) ,它會記錄安全性事件的調查,嘗試識別事件的根本原因,並記錄任何修正動作和經驗教訓。 修正動作和經驗教訓是用來改善安全性程式,並減少事件重複的 likeliness。 如果事件會影響 Microsoft 資產或服務,則安全性事件管理 (SIM) 小組有適當的詳細程式可回應。

除了全天候的現場安全性之外,Microsoft 資料中心也會使用可提供即時告警和影片監控的告警監控系統。 資料中心門的告警會在每次開啟時報告,而且會在經過預先設定的時間長度內繼續開啟。 在觸發門告警時,會對安全性系統進行設計,以顯示即時影片影像。 存取卡和生物識別讀卡機是透過告警監控系統進行設計及監控。 控制室主管會利用在所調查之事件區域中的攝像頭來監視和回應告警,以提供回應者即時資訊。