L'azur

Sécurité physique
  • Microsoft conçoit, construit et exploite des centres de données de manière à contrôler strictement l'accès physique aux zones où vos données sont stockées. Microsoft comprend l'importance de la protection de vos données et s'engage à sécuriser les centres de données qui les contiennent. Chez Microsoft, une division entière se consacre à la conception, à la construction et à l'exploitation des installations physiques qui supportent Azure. Cette équipe s'investit dans le maintien d'une sécurité physique de pointe.
  • Microsoft adopte une approche stratifiée de la sécurité physique, afin de réduire le risque que des utilisateurs non autorisés accèdent physiquement aux données et aux ressources du centre de données. Les centres de données gérés par Microsoft disposent de plusieurs niveaux de protection : approbation de l'accès au périmètre de l'installation, au périmètre du bâtiment, à l'intérieur du bâtiment et au sol du centre de données. Les couches de sécurité physique sont les suivantes :
  • Demande d'accès et approbation. Vous devez demander un accès avant d'arriver au centre de données. Vous devez fournir une justification professionnelle valable pour votre visite, par exemple à des fins de conformité ou d'audit. Toutes les demandes sont approuvées par des employés de Microsoft en fonction des besoins. Ce principe permet de limiter au strict minimum le nombre de personnes nécessaires à l'exécution d'une tâche dans les centres de données. Une fois l'autorisation accordée par Microsoft, une personne n'a accès qu'à la zone discrète du centre de données dont elle a besoin, sur la base de la justification commerciale approuvée. Les autorisations sont limitées à une certaine période de temps et expirent ensuite.
  • Le périmètre de l'installation. Lorsque vous arrivez dans un centre de données, vous devez passer par un point d'accès bien défini. En général, de hautes clôtures en acier et en béton entourent chaque centimètre du périmètre. Des caméras sont disposées autour des centres de données et une équipe de sécurité surveille les vidéos en permanence.
  • Entrée du bâtiment. L'entrée du centre de données est occupée par des agents de sécurité professionnels qui ont suivi une formation rigoureuse et dont les antécédents ont été vérifiés. Ces agents de sécurité effectuent également des patrouilles régulières dans le centre de données et surveillent en permanence les vidéos des caméras situées à l'intérieur du centre de données.
  • À l'intérieur du bâtiment. Après avoir pénétré dans le bâtiment, vous devez passer une authentification à deux facteurs avec des données biométriques pour continuer à vous déplacer dans le centre de données. Si votre identité est validée, vous ne pouvez entrer que dans la partie du centre de données dont l'accès a été approuvé. Vous ne pouvez y rester que pour la durée approuvée.
  • Étage du centre de données. Vous n'êtes autorisé à entrer qu'à l'étage pour lequel vous avez reçu l'autorisation. Vous devez passer un contrôle de détection de métaux sur tout le corps. Pour réduire le risque que des données non autorisées entrent ou sortent du centre de données à notre insu, seuls les appareils approuvés peuvent pénétrer dans l'étage du centre de données. En outre, des caméras vidéo surveillent l'avant et l'arrière de chaque baie de serveurs. Lorsque vous quittez l'étage du centre de données, vous devez à nouveau passer par un détecteur de métaux sur tout le corps. Pour quitter le centre de données, vous devez passer par un balayage de sécurité supplémentaire.
  • Microsoft exige que les visiteurs remettent leur badge lorsqu'ils quittent ses locaux.
Examens de la sécurité physique
  • Nous procédons périodiquement à des examens de la sécurité physique des installations, afin de nous assurer que les centres de données répondent correctement aux exigences de sécurité d'Azure.
  • Le personnel de l'hébergeur du centre de données n'assure pas la gestion des services Azure. Le personnel ne peut pas se connecter aux systèmes Azure et n'a pas d'accès physique à la salle de colocation et aux cages Azure.
Infrastructure du centre de données
  • Azure est composé d'une infrastructure de centres de données répartie dans le monde entier, qui prend en charge des milliers de services en ligne et s'étend sur plus de 100 installations hautement sécurisées dans le monde entier.
  • L'infrastructure est conçue pour rapprocher les applications des utilisateurs du monde entier, en préservant la résidence des données et en offrant aux clients des options complètes de conformité et de résilience. Azure compte 58 régions dans le monde et est disponible dans 140 pays/régions.
  • Une région est un ensemble de centres de données interconnectés par un réseau massif et résilient. Le réseau inclut la distribution de contenu, l'équilibrage de charge, la redondance et le cryptage de la couche de liaison de données par défaut pour tout le trafic Azure à l'intérieur d'une région ou entre les régions. Avec plus de régions mondiales que tout autre fournisseur de cloud, Azure vous offre la flexibilité de déployer des applications là où vous en avez besoin.
  • Les régions Azure sont organisées en zones géographiques. Une géographie Azure garantit que les exigences en matière de résidence, de souveraineté, de conformité et de résilience des données sont respectées à l'intérieur des frontières géographiques.
  • Les géographies permettent aux clients ayant des besoins spécifiques en matière de résidence des données et de conformité de conserver leurs données et leurs applications à proximité. Les géographies sont tolérantes aux pannes et peuvent résister à une défaillance complète de la région, grâce à leur connexion à l'infrastructure de réseau dédiée à haute capacité.
  • Les zones de disponibilité sont des emplacements physiquement distincts au sein d'une région Azure. Chaque zone de disponibilité est composée d'un ou plusieurs centres de données équipés d'une alimentation, d'un refroidissement et d'un réseau indépendants. Les zones de disponibilité vous permettent d'exécuter des applications critiques avec une haute disponibilité et une réplication à faible latence.
  • La figure suivante montre comment l'infrastructure globale Azure associe des régions et des zones de disponibilité au sein du même périmètre de résidence des données pour la haute disponibilité, la reprise après sinistre et la sauvegarde.
  • La répartition géographique des centres de données permet à Microsoft d'être proche de ses clients, de réduire la latence du réseau et de permettre une sauvegarde et un basculement géo-redondants.
Dispositifs de support de données
  • Microsoft utilise des procédures fondées sur les meilleures pratiques et une solution d'effacement conforme à la norme NIST 800-88. Pour les disques durs qui ne peuvent pas être effacés, nous utilisons un processus de destruction qui les détruit et rend impossible la récupération des informations. Ce processus de destruction peut consister à désintégrer, déchiqueter, pulvériser ou incinérer. Nous déterminons le mode de destruction en fonction du type de bien. Nous conservons des traces de la destruction.

Dispositifs de support de données
  • Lorsqu'un système arrive en fin de vie, le personnel opérationnel de Microsoft suit des procédures rigoureuses de traitement des données et d'élimination du matériel pour s'assurer que le matériel contenant vos données n'est pas mis à la disposition de parties non fiables. Nous utilisons une approche d'effacement sécurisé pour les disques durs qui le supportent. Pour les disques durs qui ne peuvent pas être effacés, nous utilisons une méthode de destruction.

processus qui détruit le disque et rend impossible la récupération des informations. Ce processus de destruction peut consister à désintégrer, déchiqueter, pulvériser ou incinérer. Nous déterminons le mode de destruction en fonction du type de bien. Nous conservons des traces de la destruction. Tous les services Azure font appel à des services agréés de gestion du stockage et de l'élimination des supports.

Conformité
  • Nous concevons et gérons l'infrastructure Azure de manière à respecter un large éventail de normes de conformité internationales et sectorielles, telles que ISO 27001, HIPAA, FedRAMP, SOC 1 et SOC 2. Nous respectons également les normes spécifiques à un pays ou à une région, notamment l'IRAP australien, le G-Cloud britannique et le MTCS singapourien. Des audits tiers rigoureux, tels que ceux réalisés par le British Standards Institute, vérifient le respect des contrôles de sécurité stricts imposés par ces normes.