Fundamentos de Seguridad de Azure

José Francisco Herrera

jherrera@microsoft.com
Microsoft Consulting Services
Plataformas de Servidores y Servicios

Escalar Aplicaciones
Optimizado
Plataforma Escalar Masivamente
Lo Ejecutamos
para
de Hardware Prescrito
Servicios por
Costoti
de Operaciones

Cualquier carga de trabajo o

Lo
Versatilidad aplicación
Plataforma
Construye tu
A través de… Niveles de Escalabilidad
de

Security Talk
mismo
Configuración de Hardware
Servidores Modelos de Operaciones

2
La plataforma de Windows Azure
Windows Azure es una plataforma de servicios en la nube escalable que se encuentra
alojado en los centros de datos de Microsoft alrededor del mundo, que provee de una
plataforma sencilla, confiable y poderosa para la creación de aplicaciones y servicios web.

Security Talk
3
 Plataforma como un modelo de
servicios de seguridad

Data Data

Cliente
Application Application

Microsoft
Cliente

Host Host

Network Network

Physical Physical

Security Talk
En el lugar Plataforma como Servicio
4
Preocupaciones por la seguridad
en la nube

¿Donde están localizados mis datos?

¿La nube de Microsoft es “segura”?
¿Quien puede ver mi data?
¿Como aseguro que los datos de mi compañía siga “las reglas”?
¿Que pasa si…?

Security Talk
5
Capas de Seguridad de Windows
Azure
Capas Defensas
Data  Fuerte almacenamiento de llaves de control de acceso
 Soporte SSL para transferencia de data entre todas las partes

Aplicación  Código Front-end en .Net ejecutándose bajo confianza parcial

 Cuentas de Windows con bajos privilegios

Host  Versión reducida de Windows Server 2008

 Limites del Host reforzado por un hypervisor externo

Red  Firewall limitando el trafico hacia las VMs

Security Talk
 VLANs y filtros de paquetes en los enrutadores

 Seguridad física de clase Mundial

Física  Certificación ISO 27001 and SAS 70 Tipo II en los centros de
datos 6
 Seguridad en los Servicios de
Computo de Azure
1, 2, 4 o 8 CPUs, hasta 14GB de
G G G G G G G
R memoria
o u u u u u u u
Versión reducida y endurecida de
o e e e e e e e Windows Server 2008
t s s s s s s s Tres discos virtuales
t t t t t t t
Número limitado de
V controladores
M V V V V V V V Conexión a la red reducida por
M M M M M M M firewalls

Hypervisor Hypervisor basado en Hyper-V

Network/Disk

Security Talk
El código del cliente se ejecuta en maquinas virtuales dedicadas
Las VM son aisladas por hypervisor basado en Hyper-V
Todos los accesos a la red y discos son a través de una maquina virtual “raíz”
7
Seguridad de Almacenamiento en
Azure
Control de Acceso
Data del cliente almacenada en hardware separados y
organizados por cuentas de almacenamientos
El acceso a la data en una cuenta especifica es
solamente concedida por la entidad que tiene la
llave secreta (secreta key)
• La llave de acceso son generadas aleatoriamente cuando
la cuenta de almacenamiento es creada

Security Talk
• Una cuenta de almacenamiento puede tener dos llaves
activas

8
Confiabilidad de Almacenamiento en
Azure
Redundancia y Almacenamiento en sitio
X
Los Datos son replicados en Azure
en tres nodos físicamente
separados para alta disponibilidad
Almacenamiento del Cliente
en Sitio
Security Talk
El Cliente puede crear una
aplicación para extraer los datos
para respaldos fuera de sitio
9
 Niveles de Acuerdo de Servicio (SLA)
Content delivery
network

Su servicio esta
conectado y
alcanzable vía
web. Los roles de
Internet tienen
conectividad
externa.

>99.95%

Security Talk
10
Administración de Identidad y
Acceso

Single sign-on
Uso de Identidades con losde
y Grupos
Integración
proveedores con
Active Directory mas
a través de
sistemas de terceros
populares de federación a
identidad
través de WS-* y SAML
2.0Habilitar la experiencia

Security Talk
estándar
WS-* and de acceso sin
SAML
problemas con otras
Active Directory Other Providers aplicaciones
En Sitio corporativas vinculadas 11
a AD
Seguro por Diseño
Microsoft Security Development Lifecycle (SDL)

Líder en la industria de seguridad

Conception de software y aseguramiento de
procesos
• Prescriptivo y practico enfoque
• Proactivo – no solo “buscar errores”
• Elimina problema de seguridad de
forma temprana
Release • Resultados probados
Protege a los clientes de Azure por
• Reduciendo el numero de
vulnerabilidades

Security Talk
• Reduciendo la criticidad de las
vulnerabilidades

12
Seguridad de los Centros de Datos
Seguridad Física Industry Certifications
Seguridad de acceso 24x7 ISO/IEC 27001:2005
Sistemas de acceso biométrico SAS 70 Tipo I and Tipo II
Video cámaras de vigilancia
Sensores de Movimiento
Alarmas de Seguridad

Security Talk
13
Localización de Datos
Región seleccionada por el cliente cuando crea el servicio

Eastern Europe

North America Europe

North
West Europe
Asia
Central East Asia
US
South
Central
US

South Asia

Security Talk
Microsoft cumple con todas las leyes relativas a la transferencia de
datos transfronterizos como la UE y los EE.UU. 14
Privilegios de Acceso
Acceso a datos por Administradores de Azure

El acceso a los datos del cliente por administradores

de Microsoft tiene el siguiente procedimiento:
• El cliente aprueba cuando lo considere necesarios
• La separación de obligaciones evita el abuso por
parte de un administrador
• El acceso es siempre auditable para un único
usuario
• La auditoria asegura que los acceso no autorizados sean

Security Talk
descubiertos

15
Windows Azure Appliance
 Todo en una caja para una
implantación en sitio
 Localización de los datos,
acceso del administrador y
seguridad física bajo el
control del cliente

Security Talk
16
 Recursos Adicionales
Visión de la seguridad en Windows Azure
• http://www.globalfoundationservices.com/securit
y/documents/WindowsAzureSecurityOverview1_
0Aug2010.pdf
Microsoft Compliance Framework para Online Services
• http://www.globalfoundationservices.com/docu
ments/MicrosoftComplianceFramework1009.pdf
Microsoft Security Development Lifecycle (SDL)
• http://www.microsoft.com/security/sdl

Security Talk
17
 © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.