Azure

Seguridad física
  • Microsoft diseña, construye y opera centros de datos de forma que se controla estrictamente el acceso físico a las áreas donde se almacenan sus datos. Microsoft entiende la importancia de proteger sus datos, y se compromete a ayudar a asegurar los centros de datos que contienen sus datos. Tenemos una división entera en Microsoft dedicada a diseñar, construir y operar las instalaciones físicas que soportan Azure. Este equipo invierte en mantener una seguridad física de vanguardia.
  • Microsoft aplica un enfoque por capas a la seguridad física, para reducir el riesgo de que usuarios no autorizados obtengan acceso físico a los datos y a los recursos del centro de datos. Los centros de datos gestionados por Microsoft tienen amplias capas de protección: aprobación de acceso en el perímetro de las instalaciones, en el perímetro del edificio, dentro del edificio y en la planta del centro de datos. Las capas de seguridad física son:
  • Solicitud y autorización de acceso. Debe solicitar el acceso antes de llegar al centro de datos. Debe proporcionar una justificación comercial válida para su visita, como el cumplimiento de normativas o fines de auditoría. Los empleados de Microsoft aprueban todas las solicitudes en función de la necesidad de acceso. La necesidad de acceso ayuda a mantener al mínimo el número de personas necesarias para completar una tarea en los centros de datos. Una vez que Microsoft concede el permiso, una persona sólo tiene acceso a la zona concreta del centro de datos que necesite, en función de la justificación empresarial aprobada. Los permisos están limitados a un determinado periodo de tiempo, y después expiran.
  • Perímetro de la instalación. Cuando llegas a un centro de datos, tienes que pasar por un punto de acceso bien definido. Normalmente, altas vallas de acero y hormigón abarcan cada centímetro del perímetro. Hay cámaras alrededor de los centros de datos, con un equipo de seguridad que vigila sus vídeos en todo momento.
  • Entrada al edificio. En la entrada del centro de datos trabajan agentes de seguridad profesionales que han recibido una formación rigurosa y han sido sometidos a una comprobación de sus antecedentes. Estos agentes de seguridad también patrullan rutinariamente el centro de datos y controlan en todo momento los vídeos de las cámaras del interior del centro de datos.
  • Dentro del edificio. Después de entrar en el edificio, debe pasar la autenticación de dos factores con datos biométricos para seguir moviéndose por el centro de datos. Si se valida su identidad, sólo podrá entrar en la parte del centro de datos a la que haya autorizado el acceso. Sólo podrá permanecer allí durante el tiempo aprobado.
  • Planta del centro de datos. Sólo se le permitirá acceder a la planta a la que esté autorizado a entrar. Deberá pasar un control de detección de metales en todo el cuerpo. Para reducir el riesgo de que datos no autorizados entren o salgan del centro de datos sin nuestro conocimiento, sólo los dispositivos aprobados pueden entrar en la planta del centro de datos. Además, las cámaras de vídeo vigilan la parte delantera y trasera de cada rack de servidores. Al salir de la planta del centro de datos, deberá pasar de nuevo por un control de detección de metales en todo el cuerpo. Para salir del centro de datos, hay que pasar por un escáner de seguridad adicional.
  • Microsoft exige que los visitantes entreguen las tarjetas de identificación a la salida de cualquier instalación de Microsoft.
Revisiones de seguridad física
  • Periódicamente, llevamos a cabo revisiones de la seguridad física de las instalaciones, para garantizar que los centros de datos cumplen adecuadamente los requisitos de seguridad de Azure.
  • El personal del proveedor de alojamiento del centro de datos no se encarga de la gestión del servicio Azure. El personal no puede iniciar sesión en los sistemas Azure y no tiene acceso físico a la sala de coubicación y las jaulas de Azure.
Infraestructura del centro de datos
  • Azure se compone de una infraestructura de centros de datos distribuida por todo el mundo, que da soporte a miles de servicios en línea y abarca más de 100 instalaciones de alta seguridad en todo el mundo.
  • La infraestructura está diseñada para acercar las aplicaciones a los usuarios de todo el mundo, preservando la residencia de los datos y ofreciendo opciones integrales de cumplimiento y resiliencia para los clientes. Azure cuenta con 58 regiones en todo el mundo y está disponible en 140 países/regiones.
  • Una región es un conjunto de centros de datos interconectados a través de una red masiva y resistente. La red incluye distribución de contenido, equilibrio de carga, redundancia y cifrado de capa de enlace de datos por defecto para todo el tráfico de Azure dentro de una región o que se desplace entre regiones. Con más regiones globales que cualquier otro proveedor de nube, Azure le ofrece la flexibilidad de desplegar aplicaciones donde las necesite.
  • Las regiones de Azure se organizan en geografías. Una geografía Azure garantiza que los requisitos de residencia, soberanía, cumplimiento y resistencia de los datos se respeten dentro de los límites geográficos.
  • Las geografías permiten a los clientes con necesidades específicas de residencia de datos y cumplimiento de normativas mantener sus datos y aplicaciones cerca. Las geografías son tolerantes a fallos para resistir un fallo completo de la región, a través de su conexión a la infraestructura de red dedicada de alta capacidad.
  • Las zonas de disponibilidad son ubicaciones físicamente separadas dentro de una región Azure. Cada zona de disponibilidad está formada por uno o más centros de datos equipados con alimentación, refrigeración y redes independientes. Las zonas de disponibilidad le permiten ejecutar aplicaciones de misión crítica con alta disponibilidad y replicación de baja latencia.
  • La siguiente figura muestra cómo la infraestructura global Azure empareja región y zonas de disponibilidad dentro del mismo límite de residencia de datos para alta disponibilidad, recuperación ante desastres y copias de seguridad.
  • Los centros de datos distribuidos geográficamente permiten a Microsoft estar cerca de los clientes, reducir la latencia de la red y realizar copias de seguridad y conmutación por error georredundantes.
Dispositivos portadores de datos
  • Microsoft utiliza procedimientos basados en las mejores prácticas y una solución de borrado que cumple la norma NIST 800-88. Para los discos duros que no pueden borrarse, utilizamos un proceso de destrucción que los destruye y hace imposible la recuperación de la información. Este proceso de destrucción puede consistir en desintegrar, triturar, pulverizar o incinerar. Determinamos el medio de eliminación en función del tipo de activo. Conservamos registros de la destrucción.

Dispositivos portadores de datos
  • Cuando un sistema llega al final de su vida útil, el personal operativo de Microsoft sigue rigurosos procedimientos de manipulación de datos y eliminación de hardware para garantizar que el hardware que contiene sus datos no se ponga a disposición de personas no fiables. Utilizamos un método de borrado seguro para los discos duros que lo admiten. Para los discos duros que no se pueden borrar, utilizamos un método de destrucción

proceso que destruye la unidad y hace imposible la recuperación de la información. Este proceso de destrucción puede consistir en desintegrar, triturar, pulverizar o incinerar. Determinamos el medio de eliminación en función del tipo de activo. Conservamos registros de la destrucción. Todos los servicios de Azure utilizan servicios aprobados de gestión de almacenamiento y eliminación de medios.

Conformidad
  • Diseñamos y gestionamos la infraestructura Azure para cumplir un amplio conjunto de normas de conformidad internacionales y específicas del sector, como ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2. También cumplimos normas específicas de cada país o región, como Australia IRAP, UK G-Cloud y Singapore MTCS. Rigurosas auditorías de terceros, como las realizadas por el British Standards Institute, verifican el cumplimiento de los estrictos controles de seguridad que exigen estas normas.