在IT行业,每隔十年左右,就会出现一次可能重构市场、改写未来的技术变革,云计算正是这样一种革命性的机会。随着2013年5月22日,微软在上海举办了Windows Azure在华运营重要活动,开启了微软公有云Windows Azure的中国云图,中国将全面进入云实践时代。
然而,就像安全隐私是互联网时代最大的挑战,它同样也是云计算时代最为严峻的挑战。安全是普及云计算必不可少的组成部分,云计算技术架构和基于其上的新商业模式也对安全和隐私提出了新的要求。由于云计算的核心是资源的公有和共享,这就必然带来了对安全和隐私的新思维。
采用安全开发生命周期
2002年,微软公司在全公司范围内启动了可信赖计算工程,提出了可信赖计算环境的重要性,把信息产品和服务的安全性、隐私保护、可靠性和诚信业务实践作为四大重点方向。自2004年起,考虑到安全和隐私,微软将所有产品和服务都从头进行设计和开发,利用微软可信赖计算开发的安全开发生命周期(SDL),编写更安全、可靠并加强隐私的代码,开发更能抵抗恶意攻击的软件产品。
安全开发生命周期(SDL)是由微软可信赖计算部门开发的一个完整、全面的流程,用来编写更安全和加强隐私的代码,并实现更可靠的产品和服务,使安全、隐私和可靠性从最初设计阶段就被融入微软产品。微软对所有新入职的开发人员进行SDL培训,无论开发人员的经验如何,每年都要接受关于最新安全开发技术的强制性培训。在开发流程中,必须提交产品和服务进行常规SDL审查,以确保流程符合要求,只有通过最终SDL审查的软产品和服务才能向市场发行。
微软安全开发生命周期体现了一个基本信念,即与合作伙伴及其它厂商共享安全开发最佳实践、专业知识和技能技巧,以便更安全地开发软件和硬件,从而令整个生态系统受益。微软设计的安全开发生命周期,能够应用于任何平台,并与整个行业免费共享SDL方法和工具。
如今,安全开发生命周期被广泛视作行业最佳实践,并被印度政府以及包括Adobe和思科在内的政府及商业机构采用,作为其安全开发方案的基础。自2004年上线起,微软的安全开发生命周期工具和资源已被150多个国家和地区的开发者下载了超过100万次。
除安全开发生命周期最佳实践外,微软保护客户隐私的义务也是从头开始的。微软根据一系列名为“微软开发隐私标准”的准则来开发并部署产品和服务,并采用“人们有权控制自己信息的使用方式”这一观点的强大隐私保护标准,。
完整的安全运营
互联世界意味着能够跨越移动与桌面计算设备、网络、企业系统和云中的软件,进行无缝工作和通信。微软创建了一个高度可用、可扩展的云平台来支持这一数字生态系统,并提供可靠、可预测的在线服务。
自1989年以来,微软已投资数十亿美元构建全球基础设施来提供云服务,并不断对其进行扩展,提供可靠的容量来满足云计算的需求。微软的数据中心在设计和构建方面满足既遵守地区法律,又遵守公司本身严格的安全隐私政策的国际公认标准。它们符合各种认证,其中包括:ISO 27001、PCI数据安全标准、SAS 70 Type 2、EU Model Clauses、HIPPAA BAA和 FISMA。为了向客户提供更高级别的透明度,微软定期提交由独立机构所做的审计(如德勤和英国标准协会),并与客户分享审计结果。任何云服务在微软数据中心里运行之前,都要进行完整的安全审查流程,其中包括网络和服务器配置等方面,以确保安全部署。
微软安全措施可保护客户数据的完整性,弹性系统可管理网络故障,并在出现故障的情况下有效恢复。微软还开发了行业领先的工程实践,旨在提供高度可靠的云技术。公司创建弹性服务来减轻事故,并最大程度降低或避免事故对客户的潜在影响。微软的可靠性承诺不仅局限于开发可靠的产品和服务。公司对可靠性的长期重视也基于其对人才的投资,其中包括设置首席可靠战略官。