Το Cloud – Microsoft Azure 

Όλα τα δεδομένα του 4schools, καθώς και όλες οι πληροφορίες που καταχωρεί ο εκπαιδευτικός οργανισμός σε αυτό αποθηκεύονται στο Cloud της Microsoft, το Azure.

Το Microsoft Azure είναι ένα από τα πλέον σύγχρονα κέντρα δεδομένων στον πλανήτη σήμερα, που εμπιστεύονται χιλιάδες οργανισμοί που διαχειρίζονται ιδιαίτερα κρίσιμα και ευαίσθητα δεδομένα όπως: Τράπεζες, Κυβερνητικοί Οργανισμοί, Ασφαλιστικές Εταιρείες, Οργανισμοί Υγείας, Τηλεπικοινωνιακοί Φορείς κλπ.

Το Microsoft Azure παρέχει μοναδική ασφάλεια σε θέματα απώλειας δεδομένων. Τα πάντα βρίσκονται σε 2 διαφορετικές τοποθεσίες με αυτόματη μετάβαση στην δεύτερη αν συμβεί κάτι στην πρώτη, χωρίς την παραμικρή απώλεια και με τη πλήρη redundancy του υλικού μέρους: Δίσκοι, μνήμες, CPU κλπ είναι πολλαπλά. Συγχρόνως ο ΕΠΑΦΟΣ διατηρεί συνεχόμενο backup ανά ώρα (24 διαφορετικά στιγμιότυπα των δεδομένων σας κάθε μέρα) για 14 μέρες.

Η ασφάλεια και προστασία δεδομένων, η διαφάνεια και η ακεραιότητα Δεδομένων (data sovereignty), παρέχονται από την πλατφόρμα Microsoft Azure, χρησιμοποιώντας το  Security Development Lifecycle (SDL), από τον αρχικό σχεδιασμό ως την δρομολόγηση της λύσης.

Διεθνείς Πιστοποιήσεις Συμμόρφωσης

Μαζί, η τεχνολογία με ενισχυμένη ασφάλεια και οι αποτελεσματικές διαδικασίες συμμόρφωσης επιτρέπουν στην Microsoft να διατηρήσει και να επεκτείνει ένα πλούσιο σύνολο των πιστοποιήσεων από τρίτους. Ως μέρος της δέσμευσής της για διαφάνεια, η Microsoft μοιράζεται τα αποτελέσματα των πιστοποιήσεων από τρίτους με τους πελάτες της και τις παραθέτουμε στη συνέχεια.

Πιστοποιήσεις και βεβαιώσεις. Το Azure συναντά μια ευρεία σειρά από διεθνή και τοπικά καθώς και ειδικά βιομηχανικά πρότυπα συμμόρφωσης, όπως το ISO 27001, FedRAMP, SOC 1 και SOC 2. Η συμμόρφωση του Azure στους αυστηρούς ελέγχους ασφαλείας που περιέχονται σε αυτά τα πρότυπα επαληθεύεται από ακριβείς ελέγχους από τρίτους που αποδεικνύουν ότι οι υπηρεσίες του Azure πληρούν βιομηχανικά πρότυπα παγκόσμιας κλάσης, πιστοποιήσεις, βεβαιώσεις και άδειες.

Ολοκληρωμένη, ανεξάρτητα επικυρωμένη συμμόρφωση. Το Azure έχει σχεδιαστεί με μια στρατηγική συμμόρφωσης που βοηθά τους πελάτες να αντιμετωπίζουν επιχειρηματικούς στόχους και βιομηχανικά πρότυπα και κανονισμούς. Το πλαίσιο συμμόρφωσης ασφαλείας περιλαμβάνει φάσεις δοκιμών και ελέγχων, security analytics, βέλτιστες πρακτικές διαχείρισης κινδύνου και security benchmark analysis για να επιτευχθούν τα πιστοποιητικά και οι βεβαιώσεις. Το Microsoft Azure προσφέρει τις ακόλουθες πιστοποιήσεις:

  • CDSA. Το Content Delivery and Security Association παρέχει προστασία περιεχομένου και το πρότυπο (CPS) Ασφαλείας για τη συμμόρφωση με τις διαδικασίες αντι-πειρατείας που διέπουν τα ψηφιακά μέσα. Το Azure πέρασε τον έλεγχο CDSA, επιτρέποντας ασφαλείς ροές εργασίας για την ανάπτυξη και τη διανομή περιεχομένου.
  • Κάθε πολιτεία της Αμερικής και κάθε τοπική υπηρεσία που θέλει να έχει πρόσβαση στην βάση δεδομένων της υπηρεσίας πληροφοριών ποινικής Δικαιοσύνης (CJIS) του FBI, απαιτείται να συμμορφώνονται με την Πολιτική Ασφαλείας CJIS. Το Azure είναι ο μόνος cloud πάροχος που δεσμεύεται να συμμορφωθεί με την πολιτική ασφαλείας CJIS.
  • CSA CCM. Η Cloud Security Alliance (CSA) είναι ένας μη κερδοσκοπικός οργανισμός, με αποστολή την προώθηση της χρήσης των βέλτιστων πρακτικών για την παροχή ασφάλειας μέσα στο σύννεφο. Το CSA Cloud Controls Matrix (CCM) παρέχει λεπτομερείς πληροφορίες σχετικά με το πώς το Azure πληροί την ασφάλεια, την ιδιωτικότητα, τη συμμόρφωση, και τις απαιτήσεις διαχείρισης κινδύνου που ορίζονται στην 1.2 CCM έκδοση και δημοσιεύεται στο CSA’s Security Trust and Assurance Registry (STAR).
  • EU Model Clauses. Η Microsoft παρέχει στους πελάτες της το EU Standard Contractual Clauses, εγγυήσεις για την μεταβίβαση των προσωπικών τους δεδομένων εκτός Ευρώπης. Η Microsoft είναι η πρώτη εταιρεία που λαμβάνει κοινή έγκριση από το EU’s Article 29 Working Party. Αυτό εξασφαλίζει ότι οι πελάτες του Azure μπορούν να χρησιμοποιούν τις υπηρεσίες της Microsoft για να μετακινήσουν τα δεδομένα τους ελεύθερα μέσα από το cloud από την Ευρώπη προς τον υπόλοιπο κόσμο.
  • FERPA. Ο νόμος Family Educational Rights and Privacy Act (FERPA) – Νόμος για τα οικογενειακά εκπαιδευτικά δικαιώματα και ιδιωτικότητα - είναι μια ομοσπονδιακή νομοθεσία των Η.Π.Α. που προστατεύει τα εκπαιδευτικά δεδομένα των μαθητών. Η Microsoft συμφωνεί να χρησιμοποιεί και να δημοσιοποιεί τους περιορισμούς που επιβάλλονται από τον FERPA.
  • FIPS 140-2. Το Azure συμμορφώνεται με το Ομοσπονδιακό Πρότυπο Επεξεργασίας Πληροφοριών (FIPS) Δημοσίευση 140-2, ένα κυβερνητικό πρότυπο των ΗΠΑ που καθορίζει ένα ελάχιστο σύνολο απαιτήσεων ασφάλειας για τα προϊόντα και τα συστήματα που εφαρμόζουν κρυπτογράφηση.
  • ISO/IEC 27018. Η Microsoft είναι ο πρώτος cloud πάροχος που έχει υιοθετήσει το πρότυπο ISO/IEC 27018, το οποίο καλύπτει την επεξεργασία των προσωπικών πληροφοριών από παρόχους cloud υπηρεσιών.
  • ISO/IEC 27001/27002:2013. To Azure συμμορφώνεται με αυτό το πρότυπο το οποίο καθορίζει τους ελέγχους ασφαλείας που απαιτούνται από ένα σύστημα διαχείρισης πληροφοριών.
  • PCI DSS. Το Azure παρέχει επιπέδου 1 συμβατότητα με τα πρότυπα ασφάλειας δεδομένων καρτών πληρωμών - Payment Card Industry (PCI) Data Security Standards (DSS) version0 - το παγκόσμιο πρότυπο πιστοποίησης για τους οργανισμούς που δέχονται κάρτες πληρωμών, καθώς και την αποθήκευση, επεξεργασία ή μετάδοση δεδομένων του κατόχου της κάρτας.
  • SOC 1 και SOC 2. Το Azure έχει ελεγχθεί από την Υπηρεσία Ελέγχου Οργανισμού (SOC) και για τα δύο πλαίσια SOC 1 Type 2 and SOC 2 Type 2. Και οι δύο εκθέσεις είναι διαθέσιμες στους πελάτες για να πληρούν ένα ευρύ φάσμα διεθνών απαιτήσεων. Ο SOC 1 Type 2 έλεγχος βεβαιώνει για το σχεδιασμό και την αποτελεσματική λειτουργία του Azure ελέγχου. Ο SOC 2 Type 2 έλεγχος περιλαμβάνει περαιτέρω εξέταση των ελέγχων του Azure που σχετίζονται με την ασφάλεια, τη διαθεσιμότητα και την εμπιστευτικότητα.
  • TCS CCCPPF
  • UK G-Cloud
  • MLPS
  • MTCS
  • HIPAA
  • IRAP
  • FDA 21 CFR Part 11.
  • FedRAMP

Τo Microsoft Azure χρησιμοποιεί πολλαπλές διασφαλίσεις για την προστασία των δεδομένων των πελατών και των επιχειρήσεων. Αυτές οι πρακτικές και τεχνολογίες ασφάλειας περιλαμβάνουν:

  • Identity and access management – Το Azure Active Directory βοηθά στο να διασφαλιστεί ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση στα δεδομένα και την πλατφόρμα σας, και παρέχει multi-factor πιστοποίηση για εξαιρετικά ασφαλή σύνδεση.
  • Encryption – Το Azure χρησιμοποιεί βιομηχανικά πρότυπα πρωτοκόλλων (industry-standard protocols) για την κρυπτογράφηση των δεδομένων καθώς ταξιδεύουν μεταξύ των συσκευών και των κέντρων δεδομένων της Microsoft.
  • Secure networks – Azure Virtual Networks extend your on-premises network to the cloud via a site-to-site virtual private network (VPN). Μπορείτε επίσης να χρησιμοποιήσετε ένα ExpressRoute για να δημιουργήσετε μια cross-premises σύνδεση όταν χρειάζεται να χρησιμοποιήσετε το internet.
  • Threat management – Το Microsoft Antimalware προστατεύει τις Azure υπηρεσίες και τις εικονικές μηχανές (virtual machines). Η Microsoft ακόμα χρησιμοποιεί intrusion detection, denial-of-service (DDoS) attack prevention, penetration testing, data analytics, and machine learning για τη συνεχή ενίσχυση της άμυνας του και τη μείωση των κινδύνων.
  • Compliance – Το Azure είναι συμμορφωμένο με τα διεθνή και βιομηχανικά-ειδικά πρότυπα και συμμετέχει σε αυστηρούς ελέγχους από τρίτους, οι οποίοι επαληθεύουν τα επίπεδα ασφαλείας του.

Προστασία κατά το σχεδιασμό (Privacy by Design)

  • Κυριότητα δεδομένων. Ο Πελάτης έχει την κυριότητα των δεδομένων του και διατηρεί όλα τα δικαιώματα επ' αυτών. Εάν κάποιος Πελάτης αποφασίσει να σταματήσει τη λήψη της υπηρεσίας, τα δεδομένα του διαγράφονται εντός 180 ήμερων.
  • Όχι για διαφήμιση. Δεν δημιουργεί προϊόντα διαφήμισης χρησιμοποιώντας δεδομένα πελατών. Δεν σαρώνει (no scanning) ηλεκτρονικά μηνύματα (email) ή έγγραφα για σκοπούς διαφήμισης.

Στάδια κρυπτογράφησης

Προστασία δεδομένων σε όλα τα στάδια επικοινωνίας.

  1. Δεδομένα υπό διαβίβαση μεταξύ χρήστη και υπηρεσίας. Προστατεύει το χρήστη από υποκλοπή των επικοινωνιών του και βοηθάει τη διασφάλιση της ακεραιότητας των διαβιβάσεων.
  1. Δεδομένα υπό διαβίβαση (in transit) μεταξύ data centers. Προστατεύει από μαζική υποκλοπή των δεδομένων.
  1. Δεδομένα σε αδράνεια (data at rest). Προστατεύει από αφαίρεση φυσικών μέσων.
  2. Ολοκληρωμένη (end- to-end) κρυπτογράφηση επικοινωνιών μεταξύ χρηστών. Προστατεύει από υποκλοπή ή απώλεια δεδομένων κατά τη διαβίβαση (data in transit) μεταξύ των χρηστών.

Διαφάνεια για τοποθεσία δεδομένων

  • Πού αποθηκεύονται τα δεδομένα;
    • Πιστοποιημένα data centers της Microsoft στην Ευρώπη.
    • Παρέχονται ξεκάθαρες πληροφορίες για τη «χαρτογράφηση» και τα γεωγραφικά όρια των δεδομένων.
    • Δέσμευση για τα δεδομένα σε αδράνεια (data at rest) να παραμένουν στην Ευρώπη.

Ασφάλεια υποδομών

Οι υποδομές του Azure περιλαμβάνουν υλικό, λογισμικό, δίκτυα, διοικητικό και λειτουργικό προσωπικό, και τα φυσικά κέντρα δεδομένων (data centers) που τα στεγάζουν όλα.

Φυσική ασφάλεια. Τo Azure τρέχει σε γεωγραφικά κατανεμημένες εγκαταστάσεις της Microsoft, που μοιράζονται χώρο και λειτουργίες με άλλες online υπηρεσίες της Microsoft. Κάθε εγκατάσταση έχει σχεδιαστεί για να τρέχει 24x7x365 και χρησιμοποιεί διάφορα μέτρα για την προστασία από διακοπές ενέργειας, φυσικές εισβολές και διακοπές του δικτύου. Αυτά τα κέντρα δεδομένων συμμορφώνονται με βιομηχανικά πρότυπα (όπως ISO 27001) για τη σωματική ασφάλεια και τη διαθεσιμότητα.

Παρακολούθηση και καταγραφή. Με κεντρική παρακολούθηση καθώς και με συστήματα συσχέτισης και ανάλυσης γίνεται η διαχείριση του μεγάλου όγκου των πληροφοριών που παράγονται από συσκευές μέσα στο περιβάλλον του Azure, παρέχοντας συνεχή προβολή και έγκαιρες προειδοποιήσεις προς τις ομάδες που διαχειρίζονται την υπηρεσία. Πρόσθετη παρακολούθηση, δυνατότητες καταγραφής και αναφοράς παρέχουν ορατότητα προς τους πελάτες.

Περίμετρος

Κτήρια

Αίθουσες Υπολογιστών

Προσωπικό ασφαλείας όλο το 24ωρο.

Συναγερμοί

Έλεγχος πρόσβασης δύο παραγόντων:

βιομετρικός και καρτών ανάγνωσης (card readers)

Εγκαταστάσεις με προδιαγραφές για οπουδήποτε υποτροπή

Κέντρο λειτουργιών ασφαλείας

Κάμερες

Εμπόδια

Σεισμική αντιστήριξη

Εφεδρική ενέργεια πολλών ημερών

Περίφραξη

Κάμερες ασφαλείας

  • Ποιος έχει πρόσβαση και τι είδους;

Πρόσβαση μόνο για λόγους επίλυσης προβλημάτων (troubleshooting) και πρόληψης κατά ιών (malware)

Πρόσβαση περιορισμένη μόνο στο αναγκαίο προσωπικό (key personnel) σε εξαιρετικές περιπτώσεις

Backup Δεδομένων

Τα backup δεδομένα σας αποθηκεύονται σε γεωγραφικά κατανεμημένα δίκτυα (geo-replicated) αποθήκευσης, τα οποία διατηρούν 6 αντίγραφα των δεδομένων σας σε δύο Azure datacenters.

Προστασία Δεδομένων

Το Azure διασφαλίζει τα δεδομένα των πελατών χρησιμοποιώντας τρεις συγκεκριμένες μεθόδους: Κρυπτογράφηση, διαχωρισμό και καταστροφή.

Απομόνωση Δεδομένων. Το Azure είναι μια υπηρεσία ενοικίασης, πράγμα που σημαίνει ότι τα δεδομένα πολλών πελατών αλλά και εικονικών μηχανών είναι αποθηκευμένα στον ίδιο εξοπλισμό.

Data redundancy. Οι πελάτες έχουν την δυνατότητα να επιλέξουν την αποθήκευση εντός της χώρας for compliance or latency considerations ή την αποθήκευση εκτός της χώρας με σκοπό την ανάκτηση δεδομένων για ασφάλεια ή σε περιπτώσεις καταστροφής. Τα δεδομένα μπορούν να αντιγραφούν μέσα σε μια επιλεγμένη γεωγραφική περιοχή για πλεονασμό.

Καταστροφή Δεδομένων. Όταν οι πελάτες διαγράφουν δεδομένα ή φύγουν από το Azure, η Microsoft ακολουθεί αυστηρά πρότυπα για την αντικατάσταση των πόρων αποθήκευσης πριν επαναχρησιμοποιηθούν. Ως μέρος της συμφωνίας μας για την cloud υπηρεσία μας, είμαστε δεσμευμένοι σε συγκεκριμένες διαδικασίες για τη διαγραφή των δεδομένων.

Διαχείριση αναβαθμίσεων. Η ασφάλεια διαχείρισης αναβαθμίσεων βοηθά στην προστασία των συστημάτων από γνωστές αδυναμίες. Το Azure χρησιμοποιεί ολοκληρωμένα συστήματα ανάπτυξης για τη διαχείριση τη διανομή και την εγκατάσταση των ενημερώσεων ασφαλείας για το λογισμικό της Microsoft. Το Azure χρησιμοποιεί έναν συνδυασμό εργαλείων σάρωσης της Microsoft αλλά και τρίτων κατασκευαστών, για να σαρώνει λειτουργικά, διαδικτυακές εφαρμογές αλλά και βάσεις δεδομένων σε όλο το περιβάλλον του Azure.

Antivirus και Αntimalware. Τα στοιχεία του λογισμικού του Azure θα πρέπει να περάσουν από μια σάρωση για ιούς πριν αναπτυχθούν. Ο κώδικας δεν προχωράει στην παραγωγή αν δεν γίνει πρώτα μια καθαρή και πετυχημένη σάρωση

DDoS προστασία. Τo Azure έχει ένα σύστημα άμυνας κατά των Distributed Denial-of-Service επιθέσεων στις υπηρεσίες του. Χρησιμοποιεί πρότυπα ανίχνευσης και τεχνικές άμβλυνσης. Το αμυντικό σύστημα Azure DDoS είναι σχεδιασμένο να αντέχει τις επιθέσεις που παράγονται μέσα και έξω από την πλατφόρμα.