資料中心威脅、弱點和風險評估

Microsoft 為客戶提供 200 多項全天候的雲端服務。 某些範例是 Microsoft Azure、Microsoft Office 365、Microsoft Dynamics 等企業服務,以及 Bing、MSN、Outlook.com、Skype 和 Xbox Live 等家庭用戶服務。 這些服務主控于 Microsoft 的雲端基礎結構中:全域分散式資料中心、edge 計算節點和服務運作中心,以及世界最大的全域網路之一;以廣泛的纖維等方式連接所有的記憶體。 自 1989 年設立第一個資料中心起,Microsoft 已在基礎結構方面投資了數十億的資金,而且會繼續專注於提供可靠、可擴展和安全性增強的線上服務,同時隨著服務成長而有效率地管理作業和成本。

Microsoft 雲端服務是以信任和安全性為建置基礎,其首要重點是以最先進的技術、程序及加密功能,來保護客戶在雲端中的資料和應用程式。 客戶資料會儲存在分散各地的 Microsoft 資料中心,而這些資料中心是由各層的深度邏輯和實體安全措施所保護。 Microsoft 資料中心的設計和運作訴求是要保護服務和資料,以免遭受自然災害、環境威脅或未經授權的存取危害。

威脅、弱點和風險評估方法

威脅、弱點和風險評估 (TVRA) 計畫,可協助您瞭解 Microsoft 如何識別及緩解 Microsoft 資料中心的實體和環境威脅影響。 Microsoft 致力於不斷更新其風險評估和方法,以進行改進,以及隨著條件變更。 因此,TVRA 分析和結論可能會變更,而且報告會被視為時間點。

Microsoft 會遵循下列步驟來促進 TVRA 程序:

TVRA 處理流程。

風險識別

Tvra 會考慮從自然和人工所建立的 ((包括意外) 危險)產生的各種各樣威脅案例。 結果會依資料中心位置、設計、服務範圍及其他因素而不同。 TVRA 會根據客戶的需求,選取要在 TVRA 檔中醒目提示的威脅案例,以及協力廠商和第一方的風險資訊所提供之風險環境的獨立國家、城市及網站層級評估。 若為具有多個資料中心的區域,我們會彙總 TVRA 評等,以確保能夠全面檢視所評估位置的實體與環境威脅、弱點和風險。

針對資料中心 TVRA 評估的威脅案例類型包括:

  • 外部威脅:由外部故意或意外的人工活動所產生的事件。 例如,內亂、恐怖攻擊、犯罪活動、外部竊取、簡易爆炸裝置、武裝攻擊、縱火、未經授權的出入境和飛機失事。
  • 內部威脅:由內部蓄意或意外的人工活動所產生的事件。 例如,內部竊取和蓄意破壞。
  • 自然危險:可能會對資料中心造成負面影響的自然處理或現象。 例如熱帶風暴、氣旋、洪水、山崩、乾旱、野火、地震、火山活動、有閃電、冰雹、強風或驟雨的劇烈風暴。
  • 環境威脅:可能對資料中心造成負面影響的環境條件。 例如,水資源短缺、熱壓力和疫情。

風險分析

威脅是根據其固有風險的評估來評估;在缺少管理動作和控制措施時,會將固有的風險當做威脅和威脅發生之固有影響的功能計算。 透過內部領域專家 (SME) 意見反應及利用外部風險指數,來取得這些評估。

殘留風險

在考慮控制效能後,會決定剩餘風險等級的衡量。 將控制效果當做目前管理動作和控制 (其設計訴求是預防或偵測威脅) 的度量,同時評估這些控制措施按照設計和實作產生預期效果的可能性。 透過彙總 SME 對 TVRA 中提到的資料中心位置控制效果的內部意見反應,來取得這些評估。

報告

完成評估之後,就會產生 TVRA 報告以進行管理核准,並支援與風險管理相關的整體工作。

資源