任何采用公有云和混合云的企业都会对服务提供商的安全策略、运营和系统进行深入考察。机密信息是公司的命脉，对于很多行业来说，客户数据的使用、传输和存储都受到诸多制约。

由世纪互联运营的 Microsoft Azure 针对您的需求，在提供业务的同时，还提供了完善的数据安全、隐私保护、可控及透明性。通过采用安全开发生命周期 (SDL) 流程，Azure 平台自设计至方案发布，以及后续升级更新过程中，安全和隐私保护始终被充分考虑。世纪互联通过安全管理流程为平台运营提供安全指南。我们还严格根据由世纪互联运营的 Microsoft Azure 隐私声明构建和运营各项服务。

Azure 概述

Azure 采用了多重安全防护为客户和企业数据提供保护。这些安全措施和技术包括：

身份和访问管理

• 帮助确保只有经过授权的用户才能访问您的环境、客户数据和应用程序
• 为高级安全登录提供了多重身份验证功能，包括通过 Microsoft Entra ID 授权身份管理进行的专业化管理访问。
• 根据行业标准协议实施身份验证、授权和访问控制，以帮助开发者跨越不同平台将身份管理与其应用程序进行结合，同时将移动和网络应用程序整合至符合 OAuth2.0 协议的世纪互联和第三方应用程序接口中。
• 可用作企业的独立云目录，或可与您内部部署的 Active Directory 相结合，达到目录同步和单点登录（SSO）的效果。
• 允许联合应用程序支持用户配置和密码保管。

Azure多重身份验证

• 要求用户通过移动应用程序、语音通话或短信验证登录。
• Microsoft Entra ID P1 or P2 版本增添了多重身份验证自定义问候语、欺诈警报、安全报告、一次性绕过、加入黑名单/移出黑名单、对认证通话定制呼叫人 ID 等多种服务。

了解更多有关 Azure 多重身份验证的信息

加密 - Azure 采用符合行业标准的协议对传输中的客户数据进行加密，这包括设备与 Azure 数据中心之间的传输，以及不同数据中心之间的传输。

• 对传输中和存储后的数据实施保护，其中包括对客户数据、文件、应用程序、服务、通讯和驱动器进行加密。
• 支持并运用各种加密机制，如 SSL/TLS 协议、IP 安全协议（IPsec）和高级加密标准（AES）。
• 对包含敏感信息的虚拟磁盘（VHD）进行加密时提供配置支持。
• Azure 支持人员访问客户数据时需获取您的明确许可，他们仅被授予“即时”权限，并且会被日志记录和审计，在服务完成后权限即被撤销。

Azure 密钥保管库服务

安全密钥管理对云中客户数据的保护至关重要。Azure 密钥保管库能够使 Azure 订阅用户保护和掌控密钥及云应用程序和服务所使用的其他机密信息。

• 使用硬件安全模块（HSM）中的秘钥加密秘钥和密码等小型隐私信息。
• 在通过（美国）联邦信息处理标准（FIPS）140-2 二级标准认证的硬件安全模块中输入或生成您的秘钥以增加担保，由此确保您的秘钥保持在硬件安全模块的边界之内。
• 简化并自动处理 SSL/TLS 证书任务，从支持的公共认证机构（CA）注册并自动更新证书。
• 能够在短短几分钟之内配置和部署新的保管库和秘钥，而不会在采购、硬件或信息技术上耗时；
• 掌控加密客户数据——可根据您自身和第三方应用程序的需要同意或撤销秘钥的使用。
• 分离秘钥管理责任，使开发人员能够轻松管理用于开发/测试的密钥，并无缝迁移至由安全操作管理的生产密钥。
• 快速扩展以满足您的云应用程序的加密需求，并匹配高峰需求。

了解更多有关 Azure 密钥保管库的信息

数据与存储安全特征

• 您可以在将客户数据导入 Azure 之前对其进行加密，并将密钥存储在内部部署的数据中心中。
• Azure Blob 存储的客户端加密使您能够完全控制密钥。存储服务无法获取密钥，也不能解密数据。Azure Storage 会在您选择存储客户数据之前自动加密您的数据，并在读取客户数据之前自动解密。
  了解更多有关 Azure 存储服务加密的详细信息
• 每位 Azure 租户均享有独一无二的存储帐户密钥、共享访问签名、管理证书和其他密钥。
  了解更多有关 Azure 存储安全与加密最佳实践的信息

网络安全 - Azure 基础架构依托各种安全措施和技术，在虚拟机间和虚拟机到内部部署数据中心间建立互联，并有效阻止未经授权的通信。Azure 虚拟网络可以通过站到站虚拟私有网络（VPN）将您的内部网络扩展至云端。当您需要私有网络连接的时候，还可以使用 ExpressRoute 来建立跨越内部部署的连接。

了解更多关于 Azure 网络安全的信息 物理基础设施安全——由世纪互联运营的 Microsoft Azure 在物理和逻辑上完全与全球其他地区的微软云服务隔离。世纪互联的服务受到深度防御安全体系的层层保护，包括周边防护、摄影机、安保人员、安全入口和实时通讯网络等。深度防御安全体系贯穿设施的每个区域，也囊括了每一个物理服务器单元。

威胁管理 - Microsoft Antimalware^① 对 Azure 服务和虚拟机提供持续保护并能支持在订购中部署第三方安全解决方案，例如网络应用程序防火墙、网络防火墙、反恶意软件、入侵检测和预防系统（IDS / IPS）等。世纪互联还通过入侵检测、拒绝服务（DDoS）攻击防护、渗透测试、数据分析和机器学习不断加强防御能力并减少风险。

安全控制及功能 - Azure 为客户提供了一个可信赖的平台，以供他们设计、构建和管理自己的安全云应用程序和基础架构。

• 补丁 - 使用集成的部署系统来管理安全补丁的分发和安装。对于 Azure 中部署的虚拟机，客户可以采用相似的补丁管理流程。
• 无常设访问权 - 默认情况下，杜绝运营和支持人员访问客户数据。授予他们权限时，谨慎管理和记录其访问情况。通过数据中心对存储客户数据的系统的访问通过锁箱流程进行严格控制。

借助虚拟局域网（VLAN）隔离、访问控制列表（ACL）、负载均衡器、IP 过滤器以及流量策略，Azure 可防止多租户架构中的各部署之间产生未授权和无意的信息传输；网络地址转换（NAT）可对内部网络流量与外部流量进行分离。

Azure 结构控制器

• 将基础架构资源分配给租户工作负载，并对从主机到虚拟机的单向通信实施管理。
• 使用 Azure 虚拟机监视器在虚拟机之间实施内存和进程分离，并将网络流量安全分配给客户机操作系统租户。Azure 还能为租户、存储和虚拟网络实现隔离。

网络安全组（NSG）

• 控制虚拟机实例的路由流量。
• 网络安全组、用户定义的路由、IP转发、强制隧道和端点访问控制列表有助于保护 Azure 虚拟网络上的通信。
• 默认情况下，Azure 对所有主机和客户虚拟机开启数据包过滤防火墙。
  了解更多有关网络安全组 (NSG) 的信息

合规性 - 我们严格遵守国际及行业合规性标准，并通过严格的第三方审计对各项安全控制点进行验证。

安全事件及滥用报告 - 若要报告有关 Azure 的疑似安全问题或滥用情况，请联系世纪互联 Azure 客户支持部门。

渗透测试 - 我们通过常规渗透测试来改进 Azure 的安全控制措施和流程。

客户对自己的客户数据具有完全所有权和控制权。在隐私保护的透明性方面，我们之所以能够成为领先的服务提供商，一个重要的原因就是由世纪互联运营的 Microsoft Azure 实施了严格的物理、逻辑、流程和管理控制。