Säkerhet i Microsofts infrastruktur i molnet

Transkript

1 Säkerhet i Microsofts infrastruktur i molnet Den här rapporten innehåller en introduktion till Online Services Security and Compliance-teamet, som ingår i avdelningen Global Foundation Services som sköter säkerheten för Microsofts molninfrastruktur. Syftet med rapporten är att ge läsaren en inblick i hur Microsoft ser på molntjänster idag och hur företaget levererar en pålitlig molninfrastruktur. Publicerat: maj

2 Innehållsförteckning Sammanfattning... 3 Säkerhetsutmaningar med molntjänster... 4 Hur Microsoft möter dessa utmaningar... 5 Vad är Microsofts molntjänstmiljö?... 6 Online Services Security and Compliance-teamet... 6 Säker datoranvändning hos Microsoft... 7 Sekretess... 8 Säkerhet... 9 Informationssäkerhetsprogram... 9 Riskhanteringsprocesser Hanteringsprocess för affärskontinuitet Säkerhetshantering Efterlevnad av globala straffrättsliga lagar Regelefterlevnad i verksamheten Ett djupgående försvar: Defense-in-Depth Fysisk säkerhet Nätverkssäkerhet Datasäkerhet Identitets- och åtkomsthantering Programsäkerhet Granskning och rapportering av värdtjänstens säkerhet Slutsatser Ytterligare resurser

3 Sammanfattning Inom aktuell forskning om de senaste definitionerna av begrepp som molnet, molntjänster och molnmiljö har försök gjorts att identifiera vad kunder förväntar sig av molnleverantörer, och hitta sätt att kategorisera vad sådana leverantörer säger sig erbjuda. En lockande tanke i det nuvarande ekonomiska klimatet är att beslutsfattare i teknikbranschen kan spara pengar genom att köpa tjänster från en molnmiljö och därmed även hjälpa sina företag att fokusera på sin kärnverksamhet. Många analytiker anser att de nya möjligheterna för prissättning och för leverans av tjänster på internet är omvälvande för förhållandena på marknaden. De här marknadsstudierna och den efterföljande dialogen mellan potentiella kunder och tjänstleverantörer visar att många ser vissa återkommande möjliga hinder för snabb migrering till molntjänster. Framför allt var det oro över säkerhet, sekretess, tillförlitlighet och kontroll över driften som toppade listan över möjliga hinder. Microsoft inser att beslutsfattarna har många frågor kring dessa problem och ett behov av att få veta hur de hanteras i Microsofts molnmiljö, samt vad det innebär för deras egen risk och driftsbeslut. Den här rapporten visar hur en koordinerad och strategisk användning av människor, processer, teknik och erfarenhet ger kontinuerliga förbättringar av säkerheten i Microsofts molnmiljö. Online Services Security and Compliance-teamet (OSSC) som ingår i Global Foundation Services-avdelningen (GFS) arbetar vidare med de säkerhetsprinciper och processer som Microsoft tagit fram under många års erfarenhet med att hantera säkerhetsrisker i traditionella utvecklings- och driftsmiljöer. 3

4 Säkerhetsutmaningar med molntjänster IT-branschen står inför många utmaningar som medföljer möjligheterna med molntjänster. I mer än 15 år har Microsoft hanterat följande utmaningar med att leverera tjänster på internet: De molnbaserade affärsmodeller som nu utvecklas skapar ett allt större ömsesidigt beroende mellan offentlig och privat sektor och de människor de betjänar Dessa organisationer och deras kunder kommer att bli mer beroende av varandra genom användingen av molnet. Med dessa nya beroendeförhållanden följer ömsesidiga förväntningar på att plattformstjänster och värdbaserade program ska vara säkra och tillgängliga. Microsoft tillhandahåller en säker infrastruktur som offentlig och privat sektor kan använda till grund för att skapa en säker upplevelse för sina användare. Microsoft arbetar aktivt med dessa grupper och med utvecklare i allmänhet för att uppmuntra till användning av säkerhetsfokuserade riskhanteringsprocesser. Ökad användning av molntjänster, däribland allt fler tekniker och affärsmodeller, ger upphov till en dynamisk hostingmiljö, vilket i sig är en säkerhetsutmaning Att hålla jämna steg med denna växande marknad och förutse framtida behov är nödvändigt för att driva ett effektivt säkerhetsprogram. Den senaste förändringsvågen har redan börjat med den snabba övergången till virtualisering och en växande användning av Microsofts strategi Softare-plus-services. Där kombineras kraften och kapaciteten från datorer, mobila enheter, internettjänster och företagsprogram. Med nya molnplattformer kan tredje part utveckla egna program som lagras och körs i Microsofts moln. Genom onlinetjänsten Information Security Program, som beskrivs mer ingående längre fram i rapporten, upprätthåller Microsoft starka interna affärsförbindelser med team som tillhandahåller säkerhet, produkter och tjänster för att kunna erbjuda en säker molnmiljö medan dessa förändringar sker. Försök att infiltrera eller störa onlinetjänster blir alltmer avancerade, i takt med att allt fler affärer bedrivs på internet Samtidigt som uppmärksamhetssökande skojare fortsätter med olika tekniker som t.ex. domänockupationer och man-i-mitten-attacker, har mer sofistikerade angrepp för att komma åt identiteter eller blockera tillgång till känslig affärsinformation dykt upp tillsammans med en mer organiserad svart marknad för stulen information. Microsoft har ett nära samarbete med brottsbekämpande myndigheter, partner och företag inom branschen och forskningsgrupper för att förstå och svara på denna nya hotbild. Microsoft Security Development Lifecycle, som beskrivs längre fram i rapporten, införs dessutom säkerhet och sekretess tidigt och i hela utvecklingsprocessen. Komplexa krav på efterlevnad av regler måste även tas med i beräkningen när nya och befintliga tjänster levereras globalt Att följa föreskrifter, lagar och branschkrav (dessa kallas enbart regler i resten av dokumentet) är mycket komplext eftersom varje land i världen kan stifta egna lagar (och också gör det) som styr etablering och användning av webbmiljöer. Microsoft måste efterleva en mängd regelkrav eftersom företaget har datacenter i många länder och erbjuder tjänster på webben till en global kundbas. Dessutom styrs många branscher av egna villkor. Microsoft har infört ett efterlevnadsramverk (som beskrivs längre fram i detta dokument) som hjälp för att effektivt hantera olika krav på regelefterlevnad, utan att skapa onödiga bördor för företaget. 4

5 Hur Microsoft möter dessa utmaningar Sedan MSN lanserades 1994 har Microsoft skapat och drivit onlinetjänster. GFS-avdelningen hanterar molninfrastrukturen och plattformen för Microsofts onlinetjänster och garanterar tillgång till dem för flera hundra miljoner kunder i hela världen, dygnet runt, alla dagar. Fler än 200 av företagets onlinetjänster och webbportaler tillhandahålls i denna molninfrastruktur, däribland välkända konsumentorienterade tjänster som Windows Live Hotmail och Live Search, och företagsorienterade tjänster som Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite från Microsoft Online Services. Oavsett om kundernas personliga information lagras på deras egna datorer eller i en onlinemiljö, och oavsett om ett företags uppdragskritiska data lagras på plats eller på en hostad server och skickas över internet, är Microsoft medvetet om att alla dessa miljöer måste kunna ge en säker datorupplevelse. Som företag har Microsoft en unik position för att tillhandahålla både råd och tekniska lösningar som kan erbjuda en säkrare upplevelse på webben. För att hjälpa kunder att undvika ekonomisk förlust och andra konsekvenser av opportunistiska och riktade internetattacker, och som en del av ett starkt engagemang för en säker datoranvändning, ser Microsoft till att de människor, processer och tekniker som företaget använder ger säkrare och sekretesshöjande upplevelser, produkter och tjänster. Microsoft tillhandahåller ett pålitligt moln genom att fokusera på tre områden: Användning av ett riskbaserat informationssäkerhetsprogram som bedömer och prioriterar säkerhet och hot mot företagets verksamhet Underhåll och uppdatering av detaljerade säkerhetskontroller som minskar riskerna Drift av ett efterlevnadsramverk som garanterar att kontroller har utformats på lämpligt sätt och används effektivt. I den här rapporten beskrivs hur Microsoft skyddar kunddata och affärsverksamheter genom ett omfattande informationssäkerhetsprogram och en väl beprövad metod för policy- och efterlevnadshantering, många interna och externa utvärderingar av metoder och funktioner samt robusta säkerhetskontroller inom alla serviceområden. Genom dessa processer och mekanismer uppfyller Microsoft branschens standarder och efterlever reglerna i alla tillämpliga lagar, direktiv, förordningar och föreskrifter, samtidigt som företaget levererar tjänster på internet till en global kundbas. Även om sekretessprinciper tas upp i rapporten, är avsikten dock inte att ge någon djupare beskrivning av sekretessprinciper eller tillhandahålla någon guide till sekretessarbete. Information om hur Microsoft hanterar sekretessbehov finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 5

6 Vad är Microsofts molntjänstmiljö? Microsofts molntjänstmiljö är den fysiska och logiska infrastrukturen och de program och plattformstjänster som tillhandahålls där. GFS-avdelningen tillhandahåller den fysiska och logiska molninfrastrukturen hos Microsoft, inklusive många plattformstjänster. Den fysiska infrastrukturen omfattar både själva datacentren och den maskinvara och de komponenter som används för tjänsterna och nätverken. Hos Microsoft består den logiska infrastrukturen av operativsystemsinstanser, dirigerade nätverk och ostrukturerad datalagring på virtuella eller fysiska objekt. Bland plattformstjänsterna finns körningsrutiner (t.ex. Internet Information Services,.NET Framework, Microsoft SQL Server ), identitets- och katalogarkiv (t.ex. Active Directory och Windows Live ID), namntjänster (DNS) och andra avancerade funktioner som används för internettjänster. Microsofts molnplattformstjänster, som t.ex. infrastrukturtjänster, kan vara virtualiserade eller faktiska. Internetprogram som körs i Microsofts moln innehåller enkla och komplexa produkter som utformats för ett stort antal kunder. De internettjänsterna och deras tillhörande säkerhets- och sekretesskrav kan grovt sett indelas i följande grupper: Tjänster för konsumenter och småföretag Exempel på dessa är Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE och Microsoft Office Live. Tjänster för större företag Till exempel Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite, inklusive Exchange Online, SharePoint Online och Office Live Meeting. Tredje parts-hostade tjänster Innehåller webbaserade program och lösningar som har utvecklats och drivs av tredje part med hjälp av plattformstjänster som tillhandahålls genom Microsofts molnmiljö. Online Services Security and Compliance-teamet Online Services Security and Compliance-teamet (OSSC) inom GFS-avdelningen ansvarar för informationssäkerhetsprogrammet för Microsofts molninfrastruktur, där det bland annat ingår principer och program för hantering av säkerhetsrisker på internet. OSSC-teamets uppgift är att gynna säkra internettjänster som ger konkurrensfördelar för Microsoft och dess kunder. Att placera den funktionen i molninfrastrukturlagret innebär att Microsofts alla molntjänster får stordriftsfördelar och minskad komplexitet genom att använda delade säkerhetslösningar. Denna standardlösning gör det också möjligt för alla Microsofts serviceteam att fokusera på varje kunds unika säkerhetsbehov. OSSC-teamet leder arbetet med att tillhandahålla en säker upplevelse i Microsofts moln genom Microsofts informationssäkerhetsprogram och med hjälp av en riskbaserad arbetsmodell och kontroller som karakteriseras av ett djupgående försvar. Detta inbegriper en regelbunden översyn av riskhantering, utveckling och underhåll av ett ramverk för säkerhetskontroll samt ett ständigt arbete för att garantera att alla aktiviteter lever upp till kraven, från 6

7 datacenterutveckling till efterlevnad av krav från brottsbekämpande organisationer i hela världen. Teamet använder väl utvecklade metoder och en rad interna och externa granskningar under livscykeln för internettjänsterna och varje del i infrastrukturen. Nära kontakter med andra Microsoft-team ger ett helhetsbaserat arbete för att garantera säkerheten hos program i Microsofts moln. Att driva en global molninfrastruktur för många olika företag innebär ett behov av att leva upp till krav på efterlevnad av regler och att kunna klara en ingående granskning av utomstående granskare. Granskningskrav kommer genom uppmaningar från myndigheter och branschen, interna principer och god praxis inom branschen. OSSC-teamets program ser till att den förväntade efterlevnaden utvärderas och införlivas kontinuerligt. Som ett resultat av informationssäkerhetsprogrammet kan Microsoft få nyckelcertifieringar som t.ex. International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) och Statement of Auditing Standard (SAS) 70 typ I och typ II-intyg och på ett mer effektivt sätt klara vanliga granskningar från oberoende tredje parter. Säker datoranvändning hos Microsoft Nyckeln till att skapa ett effektivt säkerhetsprogram är att ha en kultur där säkerhet är något man är medveten om och värderar högt. Microsoft inser att en sådan kultur måste krävas och stödjas av företagsledare. Microsofts ledningsteam har länge engagerat sig i att få fram ett säkert beteende genom rätt investeringar och uppmuntran. År 2002 drog företaget igång ett projekt för säker datoranvändning (Trustworthy Computing) tillsammans med Bill Gates, där Microsoft åtog sig att i grunden ändra sin verksamhet och strategi inom nyckelområden. Idag är säker datoranvändning ett grundläggande värde hos Microsoft och det styr nästan allt som företaget gör. Grunden för detta projekt utgörs av fyra pelare: Sekretess, säkerhet, tillförlitlighet och affärspraxis. Mer information om säker datoranvändning finns på Microsofts sida om säker datoranvändning. Microsoft inser att framgång inom den snabbt växlande affärssektorn av internettjänster är beroende av säkerheten och sekretessen för kundernas data och tillgängligheten och återhämtningsförmågan hos de tjänster Microsoft erbjuder. Microsoft ägnar mycket tid åt att utforma och testa program och infrastruktur enligt internt erkända standarder för att demonstrera denna förmåga och efterleva lagar och interna säkerhets- och sekretessprinciper. Ett resultat av detta är att Microsofts kunder kan dra nytta av mer fokuserad testning och övervakning, automatiserade programfixar, kostnadsbesparande stordrift och fortlöpande säkerhetsförbättringar. 7

8 Sekretess Microsoft strävar efter att skydda kundernas integritet och säkerhet och följa alla tillämpliga sekretesslagar som anges i Microsofts sekretesspolicy. För att skapa en tillförlitlig miljö för kunderna utvecklar Microsoft programvara, tjänster och processer med sekretess i åtanke. Microsoft-team strävar uppmärksamt efter att efterleva globala sekretesslagar och företagets sekretesspolicy kommer delvis från sekretesslagar runtom i världen. Microsoft låter sig ledas av de här sekretesslagarna och tillämpar deras standarder globalt. Microsoft arbetar för att skydda säkerheten för personlig information. De team som arbetar med internettjänster använder en mängd olika säkerhetstekniker och -metoder för att skydda personuppgifter så att obehöriga inte kan komma åt, använda eller avslöja dem. Microsofts programutvecklingsteam använder nedanstående principer, som definieras i Security Development Lifecycle (SDL), i företagets alla utvecklings- och driftsmetoder: Sekretess genom design Microsoft använder den är principen på många sätt under utveckling, lansering och underhåll av program för att garantera att den data som samlas in från kunderna är för ett specifikt syfte och att kunden ges lämplig information för att kunna fatta ett informerat beslut. När data som ska samlas in klassas som mycket känslig kan ytterligare säkerhetsåtgärder vidtas som t.ex. kryptering i transit eller vid lagring, eller båda delar. Sekretess som standard Med Microsofts produkter frågas kunderna om lov innan känslig data samlas in eller överförs. Efter kundens godkännande skyddas sådan data genom t.ex. åtkomstkontrollistor (ACL) tillsammans med mekanismer för bekräftelse av kundens identitet. Sekretess vid driftsättning Microsoft lämnar ut sekretessmekanismer till företagsmedlemmar, när så är nödvändigt, för att låta dem upprätta lämpliga sekretess- och säkerhetsprinciper för sina användare. Kommunikation Microsoft arbetar aktivt för att involvera allmänheten genom att publicera sekretessprinciper, teknisk dokumentation och annan dokumentation som rör sekretess. Mer information om Microsofts engagemang för sekretess finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 8

9 Säkerhet Microsoft har fortsatt att anpassa företagets molninfrastruktur för att dra nytta av nya tekniker, som t.ex. virtualisering. Dessa framsteg resulterar i att informationstillgångar skiljs från en gemensam fysisk infrastruktur för många typer av kundobjekt. Kombinera detta med det faktum att programutvecklingsprocessen för program som tillhandahålls på internet ofta är smidigare och nya versioner släpps oftare, och resultatet blir att informationssäkerhetshanteringen måste anpassas för att kunna ge en säker datorupplevelse. Följande avsnitt av detta dokument ger en djupare inblick i hur Microsofts OSSC-team tillämpar grundläggande säkerhet och de ansträngningar som görs inom hela företaget för att hantera risker i Microsofts molninfrastruktur. Här ges också en introduktion till vad det innebär att använda ett djupgående försvar för internettjänsters säkerhet och hur molnmiljöer resulterar i nya sätt att använda säkerhetsåtgärder. Informationssäkerhetsprogram I Microsofts informationssäkerhetsprogram för internettjänster definieras hur OSSC-teamet arbetar. Programmet har oberoende certifierats av British Standards Institute (BSI) Management Systems America som överensstämmande med ISO/IEC 27001:2005. För att se ISO/IEC 27001:2005-certifikaten, gå till Certificate/Client Directory Search Results -sidan. Informationssäkerhetsprogrammet delar upp säkerhetskraven i tre viktiga områden: administrativa, tekniska och fysiska. Kriterierna i dessa områden representerar grunden för riskhanteringen. Med utgångspunkt i de säkerhetsåtgärder och kontroller som identifierats i domänerna och deras underkategorier följer informationssäkerhetsprogrammet ISO/IEC27001:2005-ramverket som består av Planera, Utföra, Kontrollera, Agera. 9

10 OSSC-teamet definierar vidare de fyra stegen i den traditionella Planera, Utföra, Kontrollera, Agera"-strukturen i ett ISOcertifierat informationssäkerhetsprogram enligt följande: Planera Utföra a. Riskbaserat beslutsfattande Genom att driva prioriteringen av nyckelaktiviteter och fördelning av resurser skapar OSSC-teamet en handlingsplan för säkerheten baserat på riskbedömningar. De organisatoriska och individuella mål som ingår i planen innebär uppdateringar av principer, driftstandarder och säkerhetskontroller i GFS-avdelningen och många produktgrupper. b. Dokumentkrav OSSC-teamet fastställer tydliga förväntningar som bestämmer förutsättningarna för åtkomst till tredje parts intyg och certifikat genom ett dokumenterat ramverk för kontroll. Detta ramverk fastställer krav på ett tydligt, konsekvent och koncist sätt. a. Implementera lämpliga kontroller Kontroller som baseras på handlingsplanen för säkerhet införs av drifts-, produkt- och tjänstleveransteam. b. Utföra kontroller OSSC-teamet genomför och utför många kontroller direkt, t.ex. de som används för att säkerställa efterlevnad av globala straffrättsliga lagar, hantera hot mot infrastrukturen och fysiskt säkra datacenter. Många åtgärder utförs och upprätthålls genom drifts-, produktions- och tjänsteteam. Kontrollera Agera a. Utvärdera och förbättra OSSC-teamet utvärderar kontinuerligt kontrollaktiviteterna. Ytterligare kontroller kan läggas till eller befintliga kontroller kan modifieras för att garantera att målen som anges i informationssäkerhetspolicyn och ramverket för kontroll uppfylls. a. Verifiera programeffektivitet Både interna team och externa granskare ser regelbundet över informationssäkerhetsprogrammet som en del i det ständiga arbetet med att verifiera programeffektiviteten. b. Justera för att säkerställa relevans OSSC-teamet utvärderar informationssäkerhetsprogrammet och dess ramverk för kontroll gentemot tillämpliga krav och standarder i lagar och regler och från företag och branschen för att identifiera områden som behöver förbättras och verifiera att målen uppnås. Som ett resultat av detta uppdateras Microsofts teknik och företagsplaner för att möta konsekvenserna av driftsförändringar. Inget säkerhetsprogram är fullständigt om personalen inte utbildas. Microsoft skapar och levererar säkerhetsutbildning för att garantera att alla grupper som är inblandade i att skapa, starta, driva och stödja internettjänster i molninfrastrukturen förstår sitt ansvar i förhållande till Microsofts informationssäkerhetspolicy för internettjänster. Detta utbildningsprogram lär ut grundläggande principer som ska användas för varje del av Microsofts djupgående försvar för säkerställande av internettjänster. Microsoft uppmuntrar också företagskunder och utomstående programvaruutvecklare att använda samma principer när de utvecklar program och tillhandahåller tjänster med hjälp av Microsofts molninfrastruktur. 10

11 Riskhanteringsprocesser Analys och lösning av säkerhetsproblem i internetsystem som är beroende av varandra är mer komplext och kan bli mer tidsintensivt än med traditionella IT-system. Riskhantering och översyn måste anpassas till denna dynamiska miljö. För att hantera dessa risker använder Microsoft väl beprövade processer som utvecklats genom lång erfarenhet av att tillhandahålla tjänster på nätet. OSSC-personalen arbetar tillsammans med driftteam och företagsägare i många produkt- och tjänstegrupper inom Microsoft för att hantera dessa risker. Informationssäkerhetsprogrammet fastställer standardkraven för processer och dokumentation som används vid genomförande av fortlöpande riskbaserat beslutsfattande. Genom programmet för hantering av säkerhetsrisker görs riskbedömningar på flera olika nivåer och det genomsyrar prioriteringarna inom områden som produktlanseringsplaner, policyhantering och resursfördelning. Varje år görs en omfattande utvärdering av hoten mot Microsofts molninfrastruktur som leder till ytterligare översyn under året. Detta fortlöpande arbete fokuserar på de hot som skulle kunna medföra omfattande störningar. Genom den här processen prioriterar och leder Microsoft utvecklingen av säkerhetskontroller och liknande aktiviteter. Med metoden i programmet för hantering av säkerhetsrisker utvärderas kontrollernas effektivitet gentemot hot genom att: Identifiera hot mot och sårbarheter i molnmiljön Beräkna risken Rapportera risker i hela Microsofts molnmiljö Hantera risker på grundval av konsekvensbedömningar och tillhörande affärsfall Testa åtgärders effektivitet och kvarvarande risk Hantera risker kontinuerligt Hanteringsprocess för affärskontinuitet Många företag som funderar på att använda molnprogram ställer ofta frågor om tjänstens tillgänglighet och återhämtningsförmåga. Att köra program och lagra data i en molnmiljö innebär nya alternativ såväl för tjänstetillgänglighet och återhämtningsförmåga som för säkerhetskopiering och återställning. Microsofts program för affärskontinuitet använder beprövade branschmetoder för att skapa och anpassa möjligheter i det här området för att svara mot nya program när de blir tillgängliga i Microsofts molnmiljö. Microsoft använder en fortlöpande hanterings- och styrningsprocess för att garantera att nödvändiga åtgärder vidtas för att identifiera konsekvenserna av eventuella förluster, upprätthålla praktiska återställningsstrategier och -planer, och garantera kontinuitet i produkter och tjänster. Att känna till alla resurserna människor, utrustning och system som behövs för att genomföra en uppgift eller en process är absolut nödvändigt för att upprätta en relevant katastrofplan. Om planen därefter inte ses över, underhålls och testas medför det en av de största riskerna för att verkligen utsättas för en stor förlust. Därför gör programmet mer än att bara registrera återställningsåtgärder. Microsoft använder en utvecklingslivscykel för den plan som ingår i hanteringsprocessen för affärskontinuitet. Livscykeln ska skapa och upprätthålla återställningsplaner genom att använda sex faser, som visas i bilden nedan: 11

12 Microsoft hanterar tjänste- och dataåterställning efter att ha genomfört en beroendeanalys genom att identifiera två faktorer vid återställning av tillgångarna: Återställningstiden Den maximala tiden som förlust av en kritisk process, funktion eller resurs kan tolereras utan allvarliga negativa affärskonsekvenser. Återställningspunkten Den maximala dataförlust som kan tolereras vid en händelse, oftast sett i form av tiden mellan den senaste säkerhetskopieringen och tiden för avbrottet. Eftersom processen för att identifiera och klassificera tillgångar ständigt används som en del av riskhanteringen för Microsofts molninfrastruktur innebär planen för nödåterställning att dessa faktorer kan tillämpas mer direkt för att utvärdera om man ska genomföra återställningsstrategier i en nödsituation eller inte. Microsoft verifierar även dessa strategier genom övningar som inbegriper repetition, testning, träning och underhåll. 12

13 Säkerhetshantering Säkerhetskontrollerna och riskhanteringsprocesserna som Microsoft använder för att säkra molninfrastrukturen minskar riskerna för säkerhetsincidenter, men det skulle ändå vara naivt att tro att skadliga attacker inte kommer att ske i framtiden. Säkerhetshanteringsteamet (SIM) inom OSSC hanterar dessa frågor när de uppstår och arbetar 24 timmar om dygnet, varje dag. SIM:s uppgift är att snabbt och korrekt bedöma och minska IT-incidenter i anslutning till Microsofts internettjänster och samtidigt förmedla relevant information till högre företagsledning och andra berörda parter inom Microsoft. SIM:s process för incidentrapportering består av sex faser: Förberedelse SIM-personalen utbildas för att vara beredda på att agera när en säkerhetsincident sker. Identifiering Arbetet med att söka efter orsaken till en incident, oavsett om den var avsiktlig eller inte, innebär ofta att spåra problemet genom många lager i Microsofts molnmiljö. SIM-teamet identifierar källan till varje säkerhetsincident i samarbete med medlemmar från andra interna team på Microsoft. Begränsning När orsaken till incidenten har fastställs samarbetar SIM-teamet med alla nödvändiga team för att begränsa incidentens omfattning. Hur begränsningen genomförs beror på incidentens inverkan på verksamheten. Riskminskning SIM-teamet minskar risken för att incidenten inträffar igen genom att samordna arbetet med relevanta produkt- och tjänstteam. Återställning SIM-teamet hjälper till att återställa tjänsten genom fortsatt samarbete med andra grupper. Lärdomar När säkerhetsincidenten har åtgärdats sammankallar SIM-teamet till ett gemensamt möte för all inblandad personal. Under mötet utvärderar man händelsen och drar lärdomar av incidenthanteringen. SIM-teamet kan identifiera problem tidigt och minska störningar i tjänsterna genom att samverka med andra team. SIMteamet har till exempel ett nära samarbete med olika driftteam, bland annat Microsoft Security Response Center (mer information finns på sidan om Microsoft Security Response Center). Tack vare samarbetet kan SIM-teamet snabbt få en helhetsbild av en incident medan den äger rum. SIM-teamet kontaktar även resursens ägare för att fastställa hur allvarlig incidenten är. Bedömningen sker utifrån flera faktorer, bland annat risken för fler störningar i tjänsten och för försämrat anseende. Efterlevnad av globala straffrättsliga lagar OSSC-teamet bedriver programmet GCC (Global Criminal Compliance, d.v.s. efterlevnad av globala straffrättsliga lagar), och är ett team som arbetar med att fastställa regler och tillhandahålla utbildning i Microsofts åtgärdsprocesser. GCC svarar även på juridiska förfrågningar om information. GCC har juridiska representanter i många länder som kan godkänna och vid behov översätta förfrågan. Ett skäl till att många internationella myndigheter betraktar GCC som ett av världens bästa åtgärdsprogram är att GCC har en portal för polismyndigheter. Här kan autentiserad personal få information på flera språk om hur man skickar en juridisk förfrågan till Microsoft. I GCC:s utbildningsuppdrag ingår att erbjuda utbildning till polismyndigheters personal. GCC tillhandahåller även utbildning till personal på alla nivåer inom Microsoft om deras ansvar för datalagring och sekretess. Intern utbildning och polisarbete utvecklas fortlöpande allteftersom Microsoft lägger till fler datacenter runtom i världen, och därmed 13

14 ökar räckvidden för kraven i internationella regelverk. GCC spelar en avgörande roll när det gäller att förstå och införa processer som tar hänsyn till olika internationella lagar och deras tillämplighet för konsumenter eller företagskunder som använder Microsofts onlinetjänster. Regelefterlevnad i verksamheten Microsofts miljö för onlinetjänster måste uppfylla ett antal myndighetsutfärdade och branschspecifika säkerhetskrav utöver Microsofts egna företagsspecifikationer. Microsofts onlineverksamhet fortsätter att växa och förändras, och nya onlinetjänster införs hela tiden i Microsoft-molnet. Därför kan vi räkna med fler krav, till exempel regionala och landsspecifika standarder för datasäkerhet. Teamet för regelefterlevnad i verksamheten samarbetar med drift-, produkt- och tjänstteamen liksom med interna och externa granskare för att se till att Microsoft uppfyller kraven i gällande standarder och föreskrifter. I följande lista visas en översikt över några av de granskningar och utvärderingar som genomförs av Microsofts molnmiljö med regelbundna mellanrum: Payment Card Industry Data Security Standard Kräver årlig granskning och validering av säkerhetskontroller i samband med kreditkortstransaktioner. Media Ratings Council Gäller integriteten för generering och bearbetning av reklamdata. Sarbanes-Oxley Utvalda system granskas varje år i syfte att verifiera att företaget följer viktiga processer gällande integriteten för ekonomisk rapportering. Health Insurance Portability and Accountability Act Här anges riktlinjer för sekretess, säkerhet och nödåterställning för elektronisk lagring av sjukvårdsuppgifter. Interna granskningar och sekretessutvärderingar Utvärderingar genomförs fortlöpande under ett år. Det blev en stor utmaning för Microsoft att uppfylla alla de här granskningskraven. När Microsoft studerade kraven i detalj kunde man se att många av granskningarna och utvärderingarna bedömde samma verksamhetskontroller och processer. OSSC insåg att det fanns betydande möjligheter att eliminera onödigt arbete, effektivisera processerna och hantera efterlevnadskrav på ett mer omfattande och proaktivt sätt. Därför utvecklade teamet ett heltäckande ramverk för regelefterlevnad. Ramverket och dess tillhörande processer bygger på en metod med fem steg enligt följande bild: 14

15 Identifiera och integrera behov Omfattning och tillämpliga kontroller definieras. Handledningar för verksamheten och processdokument samlas och granskas. Utvärdera och åtgärda brister Brister i process- eller teknikkontroller identifieras och åtgärdas. Testa effektivitet och utvärdera risker Kontrollernas effektivitet mäts och rapporteras. Erhålla certifiering och intyg Kontakt med certifieringsmyndigheter och granskare från tredje part sker. Förbättra och optimera Om bristande efterlevnad upptäcks dokumenteras och utreds orsaken. Bristerna följs upp tills de har åtgärdats helt. I den här fasen optimeras även kontrollerna ytterligare i olika säkerhetsdomän för att stärka effektiviteten inför framtida gransknings- och certifieringsbedömningar. En positiv konsekvens av att ha infört det här programmet är att Microsofts molninfrastruktur har erhållit både SAS 70 Type I- och Type II-intyg och ISO/IEC 27001:2005-certifiering. Det är en prestation som tydligt visar hur viktigt det är för Microsoft att leverera en tillförlitlig molninfrastruktur eftersom: ISO/IEC 27001:2005-certifieringen intygar att Microsoft har infört de internationellt erkända kontrollerna för informationssäkerhet enligt definitionerna i standarden, och SAS 70-intygen visar att Microsoft är villigt att öppna upp interna säkerhetsprogram för extern granskning. 15

16 Ett djupgående försvar: Defense-in-Depth Defense-in-Depth är en grundläggande del av Microsofts arbete för att erbjuda en tillförlitlig molninfrastruktur. Kontroller på flera nivåer innebär att man använder skyddsmekanismer, utvecklar strategier för riskminskning och klarar av att försvara sig mot attacker när de inträffar. Med flera säkerhetsåtgärder av varierande styrka beroende på hur känslig den resurs som ska skyddas är förbättras möjligheterna att förebygga intrång eller minska följderna av en säkerhetsincident. Lanseringen av molntjänster förändrar inte principen om att styrkan på kontrollerna avgörs av hur känslig en viss resurs är, eller om hur viktigt det är att hantera säkerhetsrisker. Eftersom de flesta resurser i en molnmiljö kan virtualiseras förändras riskanalysen. Dessutom förändras förutsättningarna för hur säkerhetskontroller används i de traditionella lagren enligt Defense-in-Depth (fysisk, nätverk, data, identitetsåtkomst, åtkomstauktorisering och -autentisering samt värd). För onlinetjänster, exempelvis infrastruktur- och plattformstjänster som tillhandahålls av GFS, används virtualisering. Det innebär att kunder som använder tjänster som lagras i Microsofts moln kan ha resurser som inte längre enkelt kan associeras med en fysisk närvaro. Data kan lagras virtuellt och distribueras mellan många olika platser. Därför måste man förändra hur man identifierar säkerhetskontroller och fastställer hur de ska användas för att implementera en metod med flera säkerhetsnivåer för att skydda resurserna. Åtgärder för fysisk säkerhet och nätverkssäkerhet behövs självklart fortfarande. Fokus på riskhanteringen hamnar däremot allt närmare objektnivån, närmare de element som används i molnmiljön. Det gäller till exempel statiska eller dynamiska databehållare, virtuella maskinobjekt och de körningsmiljöer där beräkningarna sker. De olika kontrollerna använder många traditionella fysiska och nätverksrelaterade säkerhetsmetoder för att säkerställa att enheten är autentisk och auktoriserad för att få åtkomst. Det spelar ingen roll om det gäller en person som vill ha åtkomst till en datacenterbyggnad eller en beräkningsprocess som begär åtkomst till kunddata som lagras dynamiskt i Microsoft-molnet. Åtgärder finns även på plats för att servrar och operativsystemsinstanser som körs i Microsofts molninfrastruktur ska härdas mot attacker. Det här avsnittet innehåller en översikt över några av de processer och kontroller som Microsoft använder för att skydda datacenter, nätverksmaskinvara och -kommunikation samt tjänstvärdar. Fysisk säkerhet Den fysiska säkerheten har förändrats på flera sätt i och med utvecklingen av säkerhetstekniken. Ett exempel är användningen av tekniska system för att automatisera auktorisering för åtkomst och autentisering för vissa skyddsfunktioner. Ett annat är övergången från traditionella affärsprogram, som driftsätts på maskinvara och programvara som förvaras på företaget, till programvara som tjänst och programvara plus tjänster. På grund av de här förändringarna måste organisationer anpassa hur de skyddar sina resurser ytterligare. OSSC hanterar den fysiska säkerheten för alla Microsofts datacenter. Det är avgörande för att hålla anläggningarna igång och skydda kundernas data. Etablerade, exakta procedurer inom säkerhetsdesign och säkerhetsverksamhet används för varje anläggning. Microsoft ser till att yttre och inre parametrar fastställs med allt kraftfullare kontroller för varje säkerhetsnivå. 16

17 I säkerhetssystemet används tekniska lösningar som kameror, biometrisk teknik, kortläsare och alarm i kombination med traditionella skyddsåtgärder som lås och nycklar. Verksamhetskontroller införlivas för att underlätta automatisk övervakning och tidig underrättelse om ett intrång eller ett problem inträffar. Dessutom möjliggörs ansvarsskyldighet via tillhandahållande av granskningsbar dokumentation av datacentrets fysiska säkerhetsprogram. I följande lista visas ytterligare exempel på hur Microsoft använder kontroller för fysisk säkerhet: Åtkomst begränsas till datacentrets personal Microsoft tillhandahåller säkerhetskrav enligt vilka datacentrets anställda och leverantörer granskas. Utöver avtalsbestämmelser om anläggningens personal tillämpas ytterligare en säkerhetsnivå i datacentret på personal som driver anläggningen. Åtkomsten begränsas genom att endast nödvändig personal har tillåtelse att hantera kundernas program och tjänster. Krav på data med väsentlig verksamhetsinverkan Microsoft har utvecklat hårdare minimikrav för resurser som betraktas som mycket känsliga än för sådana som inte är lika känsliga. Dessa krav tillämpas i datacenter som används för onlinetjänster. Vanliga säkerhetsprotokoll för identifiering, åtkomsttoken och loggning och övervakning av platsposter anger tydligt vilken typ av autentisering som krävs. När det gäller åtkomst till mycket känsliga resurser krävs flerfaktorsautentisering. Centraliserad åtkomsthantering för fysiska resurser Microsoft får allt fler datacenter som används för onlinetjänster och har därför utvecklat ett verktyg för att hantera åtkomstkontroll till fysiska resurser. Verktyget skapar även granskningsbara register genom centralisering av arbetsflödet för att begära, godkänna och etablera åtkomst till datacenter. Verktyget drivs enligt principen om att tillhandahålla minsta nödvändiga åtkomst och införlivar arbetsflöden för att få godkännanden från flera auktoriseringsparter. Det kan konfigureras enligt förhållandena på platsen och ger mer effektiv åtkomst till historik för rapportering och efterlevnad med granskningar. Nätverkssäkerhet Microsoft använder så många säkerhetsnivåer som anses nödvändigt för datacenterenheter och nätverksanslutningar. Till exempel används säkerhetskontroller både på kontroll- och hanteringsplanet. Specialiserad maskinvara som belastningsutjämnare, brandväggar och enheter som förebygger intrång finns på plats för att hantera volymbaserade DoSattacker. Nätverkshanteringsteamen tillämpar tredelade åtkomstkontrollistor (ACL) på segmenterade virtuella lokala nätverk (VLAN) och program enligt behov. Genom nätverksmaskinvara använder Microsoft funktioner hos programgateways för DPI (djup paketinspektion) och åtgärder som att skicka varningar om, eller blockera, misstänkt nätverkstrafik. En globalt redundant intern och extern DNS-infrastruktur finns på plats för Microsofts molnmiljö. Redundans skapar feltolerans och uppnås genom klustring av DNS-servrar. Genom ytterligare kontroller motverkas distribuerade DoSattacker och skadliga cache-attacker. Exempelvis begränsar ACL-listor i DNS-servrar och DNS-zoner skrivbehörigheten för DNS-register till auktoriserad personal. Nya säkerhetsfunktioner, till exempel slumpmässiga frågeidentifierare, från den senaste säkra DNS-programvaran används på alla DNS-servrar. DNS-kluster övervakas kontinuerligt för att skydda mot obehörig programvara och konfigurationsändringar av DNS-zonen liksom andra störande händelser. DNS är en del av det globalt sammankopplade internet och många organisationer måste delta för att tillhandahålla den här tjänsten. Microsoft deltar i många av dessa, till exempel DNS Operations Analysis and Research Consortium (DNS-OARC), som består av DNS-experter världen över. 17

18 Datasäkerhet Microsoft klassificerar resurser för att kunna fastställa hur kraftfulla säkerhetskontrollerna som ska användas för dem. Kategorierna tar hänsyn till den relativa risken för skador på ekonomi och anseende om en resurs skulle drabbas av en säkerhetsincident. Efter klassificeringen används en Defense-in-Depth-metod för att avgöra vilka skydd som krävs. För dataresurser i den medelkänsliga kategorin gäller till exempel krypteringskrav när de finns i flyttbara medier eller när de ska överföras till externa nätverk. För data i den mycket känsliga kategorin gäller utöver de här kraven krypteringskrav för lagring och även för interna system och nätverksöverföringar. Alla Microsoft-produkter måste uppfylla kraven i de kryptografiska SDL-standarderna, där acceptabla och ickeacceptabla kryptografiska algoritmer fastställs. Nycklar som är längre än 128 bitar krävs till exempel för symmetrisk kryptering. När asymmetriska algoritmer används krävs nycklar på bitar eller längre. Identitets- och åtkomsthantering Microsoft använder en modell där endast de som behöver åtkomst till olika resurser får åtkomst till dem. Där så är möjligt används rollbaserade åtkomstkontroller för att tilldela logisk åtkomst till specifika arbetsuppgifter eller ansvarsområden, snarare än till en individ. Enlig de här reglerna nekas som standard åtkomst som inte uttryckligen har godkänts av resursens ägare baserat på ett identifierat verksamhetskrav. Personer som har åtkomstbehörighet till en resurs måste använda lämpliga åtgärder för att få tillgång. För mycket känsliga resurser krävs flerfaktorsautentisering, däribland åtgärder som lösenord, maskinvarutoken, smartkort eller biometriska metoder. Användarkonton kontrolleras fortlöpande mot auktoriseringar för användning för att se till att all användning av en resurs är lämplig och nödvändig för en viss aktivitet. Konton som inte längre behöver åtkomst till en viss resurs avaktiveras. Programsäkerhet Programsäkerhet är ett nyckelelement i Microsofts metoder för att skydda sin molnmiljö. De strikta säkerhetsrutiner som används av Microsofts utvecklingsteam formaliserades till en process med namnet Security Development Lifecycle (SDL) år SDL-processen är oberoende av utvecklingsmetodik och fullständigt integrerad med livscykeln för programutveckling, från design till respons. Den är inte avsedd som en ersättning av programutvecklingsmetoder som waterfall eller Agile. Olika faser i SDL-processen betonar utbildning och fastslår även att specifika aktiviteter och processer ska tillämpas på varje fas i programutvecklingen. Microsofts ledning stöder även fortsättningsvis användningen av SDL under utvecklingen av Microsofts produkter, däribland driften för onlinetjänsterna. OSSC spelar en viktig roll för att garantera att SDL idag och i framtiden tillämpas när man skapar program som ska lagras i Microsofts molninfrastruktur. 18

19 SDL-processen visas i följande bild: SDL-processen inleds med systemkravsfasen och omfattar ett antal specifika aktiviteter med hänsyn till utveckling av program som ska lagras i Microsoft-molnet: Systemkrav Det primära målet i den här fasen är att identifiera viktiga säkerhetsmål och på andra sätt maximera programsäkerheten samtidigt som störningar av kundens användning, planer och scheman minimeras. Aktiviteten kan till exempel omfatta en verksamhetsdiskussion under hanteringen av tjänstprogram med fokus på hur tjänsten ska använda nätverksanslutningar och meddelandetransporter. Utforma Viktiga säkerhetsåtgärder i den här fasen omfattar dokumentering av den potentiella attackytan och riskmodellering. Precis som i systemkravsfasen kan miljökriterier identifieras när processen genomgås för en programtjänst. Implementering Kodning och testning sker i den här fasen. Under implementeringen går de viktigaste stegen ut på att förebygga koder med säkerhetsproblem och att vidta åtgärder för att ta bort dem om det behövs. Verifiering Under betafasen betraktas nya program som funktionellt fullständiga. Under den här fasen fastställer man vilka säkerhetsrisker som finns närvarande när programmet driftsätts i verkliga scenarier och vilka åtgärder som kan vidtas för att eliminera eller minska säkerhetsriskerna. Lansering Under den här fasen genomförs den sista säkerhetsgranskningen. Om det behövs sker även en driftssäkerhetsgranskning innan det nya programmet kan lanseras i Microsofts molnmiljö. Svar För Microsofts molnmiljö ansvarar SIM-teamet för att svara på säkerhetsincidenter. Teamet samarbetar med produkt- och tjänstteamen samt medlemmar av Microsoft Security Response Center för att prioritera, utreda och åtgärda rapporterade incidenter. Mer information om SDL finns på sidan Microsoft Security Development Lifecycle (SDL). OSSC hanterar den sista säkerhetsgranskningen, som är obligatorisk enligt SDL, för Microsofts onlinetjänster för att se till att relevanta säkerhetskrav har uppfyllts innan nya program driftsätts i Microsofts molninfrastruktur. Den sista säkerhetsgranskningen gäller ett teams efterlevnad av SDL under hela utvecklingsprocessen. Under granskningen hanterar OSSC följande uppgifter: 19

20 Samordning med produktteamet Frågeformulär och övrig dokumentation måste fyllas i av produktutvecklingsteamet. Informationen används av OSSC för att säkerställa att SDL har tillämpats korrekt under utvecklingen. Granskning av hotmodeller Microsoft betraktar hotmodeller som kritiska för att utveckla säker programvara. OSSC analyserar hotmodeller som tas fram av produktteamen och kontrollerar att de är kompletta och aktuella. Som en del av granskningen verifieras även att åtgärdskontroller har införts för att hantera alla identifierade risker. Granskning av säkerhetsbuggar Alla säkerhetsbuggar som upptäcks under design, utveckling och testning granskas. Buggar som påverkar säkerheten eller sekretessen för kundernas data måste åtgärdas. Verifiering av verktygsanvändning Microsofts utvecklings- och testteam använder säkerhetsverktyg och dokumenterade kodmönster och rutiner som en del av utvecklingsprocessen. Detta kan förbättra programsäkerheten genom att vanliga problem elimineras. OSSC kontrollerar att produktteamen har använt tillgängliga verktyg, dokumenterad kod och mönster och rutiner på ett korrekt och lämpligt sätt. Utöver hanteringen av den sista säkerhetsgranskningen hanterar OSSC även en process för driftsäkerhetsgranskning. Granskningen består i att granska relaterad nätverkskommunikation, plattform och systemkonfiguration och att övervaka funktioner jämfört med väletablerade säkerhetsstandarder och riktlinjer. Genom granskningsprocessen säkerställs att lämpliga säkerhetskontroller ingår i driftsplanerna innan driftsättning i molninfrastrukturen tillåts. Granskning och rapportering av värdtjänstens säkerhet Det är viktigt att hantera växande miljöer och ökande komplexitet för att leverera tillförlitliga, väladministrerade, säkra och uppdaterade tjänster. Genom att söka igenom infrastrukturresurserna varje dag får man en aktuell översikt över värdsystemets sårbarheter. Dessutom får OSSC möjlighet att samarbeta med produkt- och tjänstteamen för att hantera relaterade risker utan att störa driften av Microsofts onlinetjänster. Penetreringstester som genomförs av interna och externa parter visar hur effektiva säkerhetskontrollerna är för Microsofts molninfrastruktur. Resultatet av granskningarna och pågående utvärderingar av följkontrollerna används i påföljande arbete för genomsökning, övervakning och riskminskning. Tack vare automatisk driftsättning av vanliga härdade operativsystemavbildningar tillsammans med aktiv användning av värdprinciper, till exempel grupprinciper, kan Microsoft kontrollera servertillägg i molninfrastrukturen. Efter driftsättningen åtgärdas säkerhetsrisker i värdsystemen genom Microsofts driftsgranskningar och korrigeringsprogram. 20