Beveiliging van de cloud infrastructuur van Microsoft

 

 

                                                           

Beveiliging van de cloud‐infrastructuur van  Microsoft 

 

 

 

In dit technische document maakt u kennis met het OSSC‐team (Online Services Security and Compliance),  een onderdeel van de divisie Global Foundation Services, dat zich bezighoudt met de beveiliging van de  cloud‐infrastructuur  van Microsoft. U komt te weten wat cloud computing bij Microsoft inhoudt en op  welke manier Microsoft zorgt voor een betrouwbare infrastructuur voor cloud computing.   

Publicatiedatum: mei 2009 

 

1 |

 

 

Inhoudsopgave  Samenvatting........................................................................................................................................................ 3 Uitdagingen bij de beveiliging van cloud computing ....................................................................................... 4 Hoe Microsoft met deze uitdagingen omgaat ................................................................................................. 5 Wat is de cloudomgeving van Microsoft?............................................................................................................ 6 Het OSSC‐team (Online Services Security and Compliance) ............................................................................ 6 Trustworthy Computing bij Microsoft.............................................................................................................. 7 Privacy .................................................................................................................................................................. 8 Beveiliging ............................................................................................................................................................ 9 Het Information Security Program ................................................................................................................... 9 Procedures voor risicobeheer ........................................................................................................................ 11 Beheer van de bedrijfscontinuïteit................................................................................................................. 11 Beheer van beveiligingsincidenten ................................................................................................................ 13 GCC (Global Criminal Compliance) ................................................................................................................. 13 Operationele compliance ............................................................................................................................... 14 Een gelaagde beveiligingsaanpak....................................................................................................................... 16 Fysieke beveiliging.......................................................................................................................................... 16 Netwerkbeveiliging ........................................................................................................................................ 17 Gegevensbeveiliging....................................................................................................................................... 18 Identiteits‐ en toegangsbeheer ...................................................................................................................... 18 Applicatiebeveiliging ...................................................................................................................................... 18 Controle en rapportage van hostbeveiliging.................................................................................................. 20 Conclusie ............................................................................................................................................................ 22 Overige informatiebronnen ............................................................................................................................... 23  

 

2 |

 

Samenvatting    In recente onderzoeken naar nieuwe definities van de begrippen cloud, cloud computing en cloudomgeving is  geprobeerd vast te stellen wat klanten verwachten van cloudproviders. Daarnaast is gekeken naar manieren om de  oplossingen van deze providers te categoriseren. Het idee dat cloudservices ertoe bijdragen dat bedrijven geld besparen  en zich kunnen richten op hun kernactiviteiten is in het huidige economische klimaat natuurlijk zeer aantrekkelijk. Veel  analisten beschouwen de nieuwe mogelijkheden voor beprijzing en het online aanbieden van services als een bedreiging  voor de marktomstandigheden. Deze marktonderzoeken en de discussie hierover onder potentiële klanten en  serviceproviders laten zien dat bepaalde thema's barrières kunnen vormen voor een snelle acceptatie van cloudservices.  Zorgen over de beveiliging, privacy, betrouwbaarheid en operationele controle staan boven aan de lijst met potentiële  barrières. Microsoft realiseert zich dat besluitvormers hier veel vragen over hebben en willen weten hoe deze kwesties  in de cloudomgeving van Microsoft worden aangepakt. Daarnaast willen zij weten welke implicaties dat heeft voor hun  beslissingen over risico's en bedrijfsvoering.   

Dit document laat zien hoe een gecoördineerd en strategisch inzet van mensen, processen, technologieën en ervaringen  resulteert in blijvende verbeteringen in de beveiliging van de cloudomgeving van Microsoft. Het OSSC‐team (Online  Services Security and Compliance) binnen de divisie Global Foundation Services bouwt voort op dezelfde  beveiligingsprincipes en ‐procedures die Microsoft heeft ontwikkeld door een jarenlange ervaring met het beheer van  veiligheidsrisico's in traditionele ontwikkel‐ en productieomgevingen. 

 

3 |

 

Uitdagingen bij de beveiliging van cloud computing    De IT‐sector wordt geconfronteerd met nieuwe uitdagingen die hand in hand gaan met de mogelijkheden die cloud  computing biedt. Al ruim vijftien jaar houdt Microsoft zich bezig met de volgende uitdagingen met betrekking tot  onlineservices:   

  Nieuwe cloudmodellen zorgen voor toenemende onderlinge afhankelijkheid tussen organisaties in de  publieke en de private sector – Bij dergelijke organisaties en hun klanten neemt de onderlinge afhankelijkheid  toe door het gebruik van de cloud. Deze nieuwe afhankelijkheden scheppen wederzijdse verwachtingen dat  platformservices en de gehoste applicaties veilig en beschikbaar moeten zijn. Microsoft levert een  betrouwbare infrastructuur. Dat is de basis waarop organisaties in de publieke en private sector en hun  partners een betrouwbare omgeving voor hun gebruikers kunnen creëren. Microsoft werkt actief met deze  groepen en de bredere ontwikkelgemeenschap samen aan de implementatie van processen voor risicobeheer  waarbij beveiliging centraal staat.   

  Een snellere acceptatie van cloudservices, en de voortgaande ontwikkeling van technologieën en  bedrijfsmodellen, zorgt voor een dynamische hostingomgeving, en dat is op zich al een uitdaging op  beveiligingsgebied – Gelijke tred houden met de groei en anticiperen op toekomstige behoeften is essentieel  voor een effectief beveiligingsprogramma. De meest recente golf van veranderingen is al begonnen, namelijk  de snelle overgang naar virtualisatie en het toenemend gebruik van de Software‐plus‐Services‐strategie van  Microsoft. Deze strategie combineert de kracht en functionaliteit van computers, mobiele apparatuur,  onlineservices en bedrijfssoftware. Door de komst van cloudplatforms kunnen maatwerkapplicaties door  derden worden ontwikkeld en worden gehost in de Microsoft‐cloud. Via het Information Security Program  voor onlineservices, waarover u verderop meer leest, onderhoudt Microsoft nauwe relaties met teams voor  beveiliging, productaanbod en serviceverlening. Zo kunnen wij ook tijdens deze transitiefase voor een  betrouwbare Microsoft‐cloudomgeving zorgen.      Pogingen om onlineservices binnen te dringen of te verstoren worden slimmer en frequenter naarmate  meer bedrijven zulke services gaan gebruiken – Terwijl grappenmakers nog steeds aandacht vragen met  technieken zoals "domain squatting" en "man‐in‐the‐middle"‐aanvallen, proberen anderen via geavanceerdere  methoden identiteiten te stelen of de toegang tot gevoelige bedrijfsgegevens te blokkeren. Daarnaast is er  sprake van een lucratieve clandestiene markt voor gestolen gegevens. Microsoft werkt nauw samen met  politie en justitie, partners in de branche en onderzoeksgroepen om zulke nieuwe bedreigingen goed in kaart  te brengen en actie te ondernemen. Via de Microsoft Security Development Lifecycle, waarover u verderop  meer leest, worden beveiliging en privacy consequent in het gehele ontwikkelproces toegepast.   

  Complexe compliancevereisten zijn nodig omdat nieuwe en bestaande services wereldwijd worden  aangeboden – Naleving van wet‐ en regelgeving vormt een uiterst complex gebied omdat ieder land zijn eigen  wetten hanteert voor het beschikbaar stellen en gebruik van onlineomgevingen. Microsoft moet voldoen aan  tal van regels en verplichtingen, omdat Microsoft‐datacenters in verschillende landen staan en online services  wereldwijd worden aangeboden. Daarnaast gelden er voor haast iedere branche ook specifieke vereisten.  Microsoft heeft een compliancesysteem ontwikkeld (zie verderop in dit document) waarmee de verschillende  verplichtingen op efficiënte wijze worden beheerd, zonder veel extra werk.   

4 |

 

Hoe Microsoft met deze uitdagingen omgaat    Sinds de start van MSN® in 1994 ontwikkelt en beheert Microsoft onlineservices. De divisie Global Foundation Services  beheert de cloud‐infrastructuur en het cloudplatform voor Microsoft Online Services. Deze divisie zorgt voor de  beschikbaarheid voor miljoenen klanten wereldwijd, 24 uur per dag, zeven dagen per week. Ruim 200 onlineservices en  webportals van Microsoft worden op deze cloud‐infrastructuur gehost, waaronder bekende consumentenservices als  Windows Live™ Hotmail® en Live Search, en zakelijke services als Microsoft Dynamics® CRM Online en Microsoft  Business Productivity Online Standard Suite van Microsoft Online Services.   

Microsoft weet dat deze omgevingen te allen tijde veilig moeten zijn, ongeacht of de persoonlijke gegevens van een  consument op de computer van de klant zelf staan of online zijn opgeslagen, en ongeacht of de cruciale gegevens van  een bedrijf lokaal worden bewaard of op een gehoste server. Als bedrijf bevindt Microsoft zich in een unieke positie.  Microsoft kan zowel advies geven als technologische oplossingen bieden voor een veiliger onlineomgeving. Om  financiële en andere consequenties van gerichte onlineaanvallen voor de klant te voorkomen en als onderdeel van zijn  Trustworthy Computing‐beleid, garandeert Microsoft dat de mensen, processen en technologieën die het bedrijf inzet,  bijdragen aan veiligere producten en services met een betere privacywaarborg.   

Microsoft zorgt voor een betrouwbare cloud via drie speerpunten:      Gebruik van een risico‐analyseprogramma waarmee beveiligingsproblemen en operationele bedreigingen  worden beoordeeld en gerangschikt   

  Onderhoud en doorlopende vernieuwing van gedetailleerde beveiligingsmechanismen die de risico's verkleinen   

  Gebruik van een compliancesysteem dat ervoor zorgt dat beveiligingsmechanismen op de juiste wijze worden  ontwikkeld en naar behoren werken   

In dit document wordt beschreven hoe Microsoft klantgegevens en bedrijfsprocessen beveiligt via een uitgebreid  Information Security Program en bewezen methoden voor beleids‐ en compliancebeheer, frequente interne en externe  evaluatie van procedures en degelijke beveiligingsmechanismen voor alle servicelagen. Via deze procedures en  mechanismen voldoet Microsoft aan industriestandaarden en alle geldende wetten en regels bij de levering van de  onlineservices aan klanten over de hele wereld.   

Hoewel privacybeleid in dit document ter sprake komt, is het niet de bedoeling een diepgaande discussie te starten over  privacybeleid.  Ook  bevat  dit  document  geen  richtlijnen  voor  privacyprocedures.  Informatie  over  de  manier  waarop  Microsoft privacykwestie benadert, vindt u op de Microsoft Trustworthy Computing Privacy‐pagina. 

 

5 |

 

Wat is de cloudomgeving van Microsoft?    De cloudomgeving van Microsoft bestaat uit de fysieke en logische infrastructuur in combinatie met gehoste applicaties  en platformservices. Global Foundation Services (GFS) verzorgt de fysieke en logische cloud‐infrastructuur bij Microsoft,  waaronder veel platformservices. Deze fysieke infrastructuur bestaat uit de datacenters zelf en alle hardware en  onderdelen die ondersteuning bieden voor de services en netwerken. Bij Microsoft bestaat de logische infrastructuur uit  instanties van het besturingssysteem, gerouteerde netwerken en ongestructureerde gegevensopslag, op virtuele dan  wel fysieke objecten. Platformservices bestaan uit runtime‐services (zoals Internet Information Services, .NET  Framework en Microsoft® SQL Server®), identiteits‐ en directory‐opslag (zoals Active Directory® en Windows Live ID),  DNS en andere geavanceerde functies voor onlineservices. Cloudplatformservices van Microsoft, zoals  infrastructuurservices, kunnen fysiek of gevirtualiseerd zijn.   

Online‐applicaties die in de Microsoft‐cloud worden uitgevoerd kunnen zowel eenvoudige als complexe producten zijn  voor verschillende soorten klanten. Deze onlineservices, en de  bijbehorende vereisten op het gebied van beveiliging en privacy,  kunnen grofweg als volgt worden gegroepeerd:      Services voor consumenten en kleine bedrijven –  Bijvoorbeeld Windows Live Messenger, Windows Live  Hotmail, Live Search, Xbox LIVE® en Microsoft Office Live.   

  Enterprise‐services – Bijvoorbeeld Microsoft Dynamics CRM  Online en de Microsoft Business Productivity Online  Standard Suite, bestaande uit Exchange Online, SharePoint®  Online en Office Live Meeting.   

  Services die door derden worden gehost – Bijvoorbeeld  webapplicaties en ‐oplossingen die door derden zijn  ontwikkeld en worden beheerd via platformservices van de  Microsoft‐cloudomgeving.   

Het OSSC‐team (Online Services Security and Compliance)    Het OSSC‐team binnen GFS is verantwoordelijk voor het Information Security Program voor de Microsoft‐cloud‐ infrastructuur, inclusief de beleidsregels en programma's die worden gebruikt voor het beheer van beveiligingsrisico's.  De missie van OSSC is betrouwbare onlineservices te realiseren die zowel Microsoft zelf als de klanten van Microsoft  concurrentievoordeel opleveren. Door deze functie op het niveau van de cloud‐infrastructuur te plaatsen profiteren alle  Microsoft‐cloudservices van de schaalvoordelen en verminderde complexiteit van gedeelde beveiligingsoplossingen.  Dankzij deze standaardbenadering kan ieder Microsoft‐serviceteam zich bovendien richten op de unieke  beveiligingsbehoeften van de klant.   

Het OSSC‐team werkt aan een betrouwbare gebruikersbeleving in de Microsoft‐cloud via het Information Security  Program van Microsoft. Hierbij wordt gebruik gemaakt van een risicomodel en gedetailleerde controlemechanismen.  Daartoe behoren regelmatige beoordelingen van risico's, ontwikkeling en onderhoud van een beveiligingsstructuur en   

6 |

 

complianceprocedures voor alle activiteiten, vanaf het opzetten van datacenters tot het reageren op verzoeken van  regelgevende instanties over de hele wereld. Het team maakt gebruik van best practices, waaronder allerlei interne en  externe beoordelingen, gedurende de gehele levenscyclus van onlineservices en ieder onderdeel van de infrastructuur.  Nauwe samenwerking met andere Microsoft‐teams resulteert in een complete benadering voor het beveiligen van de  applicaties in de Microsoft‐cloud.   

Het gebruik van een wereldwijde cloud‐infrastructuur voor allerlei bedrijfstakken houdt in dat moet worden voldaan  aan uiteenlopende nalevingsverplichtingen en grondige controles door externe auditors. De controleerbare vereisten  zijn afkomstig uit overheids‐ en branchevoorschriften, interne beleidsregels en best practices binnen bedrijfssectoren.  Het OSSC‐programma zorgt ervoor dat verwachtingen ten aanzien van compliance continu worden geëvalueerd en  toegepast. Dankzij het Information Security Program heeft Microsoft belangrijke certificeringen verkregen, zoals  International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC  27001:2005) en Statement of Auditing Standard (SAS) 70 Type I en Type II. Bovendien doorloopt Microsoft de periodieke  controles van onafhankelijke derden zo op een efficiëntere manier.   

Trustworthy Computing bij Microsoft    De belangrijkste basis voor een effectief beveiligingsprogramma is een cultuur waarin men zich bewust is van veiligheid  en beveiliging belangrijk wordt gevonden. Microsoft realiseert zich dat zo'n cultuur door het management moet worden  opgelegd en ondersteund. Het managementteam van Microsoft zorgt al heel lang voor de juiste investeringen en  drijfveren om veilig gedrag te bevorderen . In 2002 is het Trustworthy Computing‐initiatief gerealiseerd waarbij Bill  Gates aangaf dat Microsoft zijn missie en strategie op belangrijke gebieden ingrijpend zou aanpassen. Vandaag de dag is  Trustworthy Computing een van de belangrijkste corporate values bij Microsoft en wordt bijna alles wat het bedrijf doet  hierdoor gestuurd. Dit initiatief is opgebouwd rond de volgende vier criteria: privacy, beveiliging, betrouwbaarheid en  bedrijfsvoering. Ga voor meer informatie over Trustworthy Computing naar de Microsoft Trustworthy Computing pagina.   

Microsoft realiseert zich dat succes in de snel veranderende wereld van onlineservices afhankelijk is van de beveiliging en  privacy van de klantgegevens en de beschikbaarheid en robuustheid van de aangeboden services. Microsoft ontwikkelt en  test applicaties en infrastructuur volgens internationale standaarden om ervoor te zorgen dat de applicaties en  infrastructuur hieraan voldoen en ook voldoen aan wet‐ en regelgeving en interne beveiligings‐ en privacyregels. Daardoor  daarvan profiteren de klanten van Microsoft van betere testprocedures en controles, automatische aflevering van patches,  kostenbesparende schaalvoordelen en voortdurende verbeteringen in de beveiliging. 

 

7 |

 

Privacy    Microsoft stelt alles in het werk om de privacy en veiligheid van klanten te waarborgen. Wij voldoen aan alle geldende  privacywetgeving en de richtlijnen in de Privacyverklaring van Microsoft worden strikt opgevolgd.    Microsoft ontwikkelt zijn software, services en processen altijd met privacy in het achterhoofd. Zo creëren wij een  betrouwbare gebruiksomgeving voor klanten. De teams van Microsoft letten er goed op dat wereldwijd de  privacywetgeving wordt nageleefd. De privacyprocedures van Microsoft zijn voor een deel afgeleid van privacywetten  over de hele wereld. Microsoft volgt het voorbeeld van deze privacywetten en past die standaarden wereldwijd toe.   

Microsoft stelt alles in het werk om uw persoonlijke gegevens te beschermen. De onlineserviceteams maken gebruik  van diverse beveiligingstechnieken en ‐procedures om persoonlijke gegevens te beveiligen tegen onbevoegde toegang,  onbevoegd gebruik of openbaring. Microsoft hanteert bij alle ontwikkelprocessen en operationele procedures de  PD3+C‐principes, die zijn gedefinieerd in de SDL (Security Development Lifecycle):   

  Privacy bij ontwikkeling – Microsoft hanteert dit principe op meerdere manieren tijdens ontwikkeling, release  en onderhoud van applicaties. Zo worden gegevens van klanten alleen voor een bepaald doel verzameld en  wordt de klant hierover altijd tijdig geïnformeerd. Als te verzamelen gegevens als zeer gevoelig zijn  aangemerkt, worden aanvullende beveiligingsmaatregelen toegepast, zoals versleuteling, tijdens de  overdracht maar ook als de gegevens niet worden gebruikt.   

  Privacy is standaard – Microsoft vraagt klanten om toestemming voordat gevoelige gegevens worden  verzameld of overgedragen. Nadat toestemming is gegeven, worden deze gegevens beveiligd door ACL's  (Access Control Lists) in combinatie met identiteitsverificatie.   

  Privacy bij implementatie – Microsoft maakt de privacymechanismen bekend aan organisaties zodat deze de  juiste privacy‐ en beveiligingsregels kunnen implementeren voor hun gebruikers.   

  Communicatie – Microsoft houdt iedereen op de hoogte door publicatie van zijn privacybeleid, whitepapers  en andere documenten die betrekking hebben op privacy.   

Ga voor meer informatie over de initiatieven van Microsoft op privacygebied naar de Microsoft Trustworthy Computing  Privacy‐pagina. 

 

8 |

 

Beveiliging    Microsoft past de cloud‐infrastructuur steeds aan om gebruik te kunnen maken van de nieuwste technologieën, zoals  virtualisatie. Dat heeft tot gevolg dat voor veel soorten klantobjecten de opgeslagen bedrijfsgegevens worden  losgekoppeld van een normale fysieke infrastructuur. Verder is het ontwikkelproces van applicaties die online worden  gehost flexibeler en heeft het meer releases tot gevolg. Dit vroeg om een nieuwe benadering van beveiligingsrisico's om  Trustworthy Computing te kunnen realiseren.   

De volgende secties van dit document bevatten een uitgebreid overzicht van de manier waarop het Microsoft OSSC‐ team de grondbeginselen van beveiliging toepast om de risico's in de cloud‐infrastructuur te beheren. Tevens leest u  wat een gelaagde beveiligingsstrategie voor onlineservices inhoudt en hoe de cloudomgeving nieuwe  beveiligingsmaatregelen tot gevolg heeft.   

Het Information Security Program    Het Information Security Program van Microsoft bepaalt hoe OSSC werkt. Het programma is gecertificeerd door de  British Standards Institute (BSI) Management Systems America en voldoet daardoor aan ISO/IEC 27001:2005. Als u de  ISO/IEC 27001:2005‐certificeringen erop wilt naslaan, ga dan naar de Certificate/Client Directory Search Results‐pagina.   

In het Information Security Program zijn beveiligingsvereisten in drie hoofddomeinen gerangschikt: beheer, techniek en  fysiek. De criteria in deze domeinen vormen de basis van waaruit risico's worden beheerd. Het Information Security  Program volgt de structuur van ISO/IEC27001:2005: plannen, uitvoeren, controleren, actie nemen. Het begint bij de  beveiligingselementen en controlemechanismen van deze domeinen en de bijbehorende subcategorieën.   

 

 

9 |

 

OSSC definieert daarop de vier stappen van de traditionele structuur van plannen, uitvoeren, controleren en actie nemen  van een ISO‐beveiligingsprogramma als volgt:   Plannen  a.  Op risicoanalyses gebaseerde besluitvorming – Door prioritering van belangrijke activiteiten en  toewijzing van resources biedt OSSC een beveiligingsplan basis van de risicoanalyses. De  organisatorische en individuele doelen van dit plan hebben betrekking op updates van beleidsregels,  operationele standaarden en beveiligingsopties in GFS en allerlei productgroepen.  b.  Documentvereisten – OSSC definieert duidelijke verwachtingen die de weg bereiden voor het  verkrijgen van attesten en certificeringen van derden op basis van een gedocumenteerde  beveiligingsstructuur. In deze structuur zijn de vereisten duidelijk, consistent en beknopt vastgelegd.  

Uitvoeren a.  De juiste controlemechanismen implementeren – Controlemechansimen die zijn gebaseerd op het  beveiligingsplan worden geïmplementeerd door operationele teams, productieteams en  serviceteams.  b.  Controlemechanismen toepassen – OSSC implementeert en gebruikt veel controlemechanismen  rechtstreeks, bijvoorbeeld om GCC (Global Criminal Compliance) te garanderen, bedreigingen voor de  infrastructuur te beperken en datacenters fysiek te beveiligen. Operationele teams, productteams en  serviceteams implementeren en onderhouden daarnaast ook nog andere maatregelen. 



Controleren a.  Meten en verbeteren – OSSC evalueert controle‐activiteiten continu. Nieuwe  controlemechanismen worden toegevoegd of bestaande controlemechanismen worden aangepast  om de doelstellingen van het Information Security‐beleid en de beveiligingsstructuur te realiseren. 



Actie ondernemen a.  Effectiviteit van programma valideren – Zowel interne teams als externe auditors beoordelen het  Information Security Program periodiek om de effectiviteit van het programma te controleren.  b.  Aanpassen om relevant te blijven – OSSC evalueert het Information Security Program en de  beveiligingsstructuur op basis van toepasselijke wet‐ en regelgeving, zakelijke vereisten,  branchevereisten en standaarden. Zo worden gebieden geïdentificeerd die kunnen worden  verbeterd en wordt vastgesteld of doelen zijn behaald. Op deze manier worden de Microsoft‐ technologie en bedrijfsplannen bijgewerkt met het oog op de impact van operationele wijzigingen. 

 

Een beveiligingsprogramma is pas compleet nadat de training van medewerkers is geregeld. Microsoft verzorgt  beveiligingstrainingen die ervoor zorgen dat alle groepen die betrokken zijn bij het ontwikkelen, implementeren, gebruiken  en ondersteunen van onlineservices op de cloud‐infrastructuur, weten wat hun verantwoordelijkheden zijn met betrekking  tot het Information Security‐beleid voor Online Services van Microsoft.   

In dit trainingsprogramma worden de drie basisprincipes behandeld die moeten worden toegepast bij iedere laag van de  Microsoft‐strategie voor beveiliging van onlineservices. Microsoft raadt zakelijke klanten en externe softwareontwikkelaars  aan deze principes toe te passen bij het bouwen van applicaties en het aanbieden van services via de cloud‐infrastructuur  van Microsoft.   

10 |

 

Procedures voor risicobeheer    Het analyseren en oplossen van beveiligingsproblemen in onderling afhankelijke onlinesystemen is ingewikkelder en  kost vaak meer tijd dan bij traditionele IT‐systemen. Risicobeheer en beoordelingen moeten aan deze dynamische  omgeving worden aangepast. Microsoft maakt hierbij gebruik van gedegen procedures die zijn gebaseerd op langdurige  ervaring met het leveren van services op internet.   

OSSC‐medewerkers werken in veel product‐ en servicegroepen binnen Microsoft samen met operationele teams en  managers aan het beheer van deze risico's. Het Information Security Program bepaalt de standaardprocessen en  documentatievereisten voor continue besluitvorming op basis van risicoanalyses.   

Aan de hand van het SRMP (Security Risk Management Program) worden de risico's op verschillende niveaus  beoordeeld en worden prioriteiten gesteld voor productreleases, beleidsonderhoud en toewijzing van resources. Ieder  jaar wordt er een uitgebreide beoordeling van de bedreigingen voor de Microsoft‐cloud‐infrastructuur uitgevoerd op  basis waarvan gedurende het hele jaar aanvullende beoordelingen plaatsvinden. Deze beoordelingen zijn vooral gericht  op de bedreigingen die grote problemen kunnen veroorzaken. Via dit proces stelt Microsoft prioriteiten vast en wordt  de ontwikkeling van beveiligingsmechanismen en bijbehorende activiteiten bepaald. De SRMP‐methodologie evalueert  de effectiviteit van controlemechanismen tegen bedreigingen door:   

 

Identificeren van bedreigingen en beveiligingslekken in de omgeving 

 

 

Boordeling van risico's 

 

 

Rapportage van risico's in de Microsoft‐cloudomgeving 

 

 

Reageren op risico's op basis van de mogelijke impact en de bijbehorende business case 

 

 

Testen van de effectiviteit van de oplossing en het resterende risico 

 

 

Continu beheer van risico's 

 

Beheer van de bedrijfscontinuïteit    Veel organisaties die het gebruik van cloudapplicaties overwegen hebben vragen over de beschikbaarheid en  robuustheid van de service. Het hosten van applicaties en het opslaan van gegevens in een cloudomgeving biedt nieuwe  opties voor servicebeschikbaarheid en robuustheid, en nieuwe opties voor back‐up en herstel van gegevens. Het  Microsoft Business Continuity Program maakt gebruik van best practices in de branche om voorzieningen voor  bedrijfscontinuïteit te creëren voor nieuwe applicaties die in de Microsoft‐cloudomgeving beschikbaar komen.   

Microsoft gebruikt een doorlopend beheer‐ en beleidsproces waarin alle noodzakelijke stappen worden gevolgd bij de  beoordeling van mogelijke verliezen, het onderhoud van herstelstrategieën en het waarborgen van de continuïteit van  producten en services. Weten welke resources (mensen, apparatuur en systemen) nodig zijn voor het uitvoeren van een  taak of een proces is essentieel als u een relevant plan wilt maken voor noodherstel. Het niet beoordelen, onderhouden  en testen van het plan vormt een van de grootste risico's van mogelijk gegevensverlies. Het programma doet daarom  meer dan alleen het documenteren van herstelprocedures. Microsoft maakt gebruik van de Business Continuity  Management Plan Development Lifecycle bij het maken en onderhouden van calamiteitenplannen aan de hand van zes  fasen, zoals aangegeven in onderstaande illustratie:   

11 |

 

 

  Microsoft richt zich op het herstel van services en gegevens nadat een afhankelijkheidsanalyse is uitgevoerd waarbij  twee doelen in kaart worden gebracht met betrekking tot het herstel van de assets:   

  RTOԜ(Recovery Time Objective) – De maximale tijd dat een kritiek proces, functie of resource kan uitvallen  voordat er een ernstig probleem optreedt.   

  RPO (Recovery Point Objective) – Het maximale gegevensverlies dat bij een calamiteit mag optreden, vaak  uitgedrukt in de tijd tussen de meest recente back‐up en het moment waarop het probleem optreedt.   

Het identificeren en classificeren van assets is een continu onderdeel van risicobeheer voor de Microsoft‐cloud‐ infrastructuur. Het calamiteitenplan zorgt ervoor dat deze doelstellingen strikt worden toegepast bij de beoordeling of  herstelstrategieën al of niet moeten worden geïmplementeerd in een noodsituatie. Microsoft valideert deze strategieën  verder met activiteiten zoals oefeningen, tests, training en onderhoud. 

 

12 |

 

Beheer van beveiligingsincidenten    De beveiligingsmechanismen en processen voor risicobeheer die Microsoft gebruikt om de cloud‐infrastructuur te  beveiligen verlagen het risico op beveiligingsincidenten, maar het zou naïef zijn te denken dat er geen kwaadaardige  aanvallen zullen plaatsvinden. Het SIM‐team binnen OSSC, dat belast is met beveiligingsincidenten, komt in actie als  dergelijke aanvallen plaatsvinden, 24 uur per dag, zeven dagen per week. De missie van SIM is beveiligingsincidenten  snel en accuraat te beoordelen en op te lossen met de hulp van Microsoft Online Services, waarbij relevante informatie  naar het management en relevante teams binnen Microsoft wordt gecommuniceerd.   

Het responsproces van SIM bestaat uit zes fasen: 

 

  Voorbereiding – SIM‐medewerkers worden getraind zodat ze adequaat kunnen reageren als er een  beveiligingsincident optreedt.   

  Identificatie – Bij het zoeken naar de oorzaak van een incident, moet het probleem vaak in meerdere lagen  van de Microsoft‐cloudomgeving worden getraceerd. SIM werkt samen met andere interne Microsoft‐teams  bij het achterhalen van de oorzaak van een beveiligingsincident.   

  Risicobeheersing – Als de oorzaak eenmaal is vastgesteld, werkt SIM samen met alle andere betrokken teams  aan het beperking van het incident. Hoe dat precies gebeurt, is afhankelijk van de impact van het incident.   

  Risicobeperking – SIM werkt met de relevante product‐ en serviceteams samen om het risico op herhaling van  het incident te beperken.   

  Herstel – Samen met andere groepen en teams werkt SIM vervolgens aan het herstel van de service.   

  Geleerde lessen – Nadat een beveiligingsincident is opgelost, evalueert SIM samen met alle betrokkenen wat  er is gebeurd en welke lessen tijdens herstelproces zijn geleerd.   

Door intensieve samenwerking  met andere teams kan SIM problemen snel detecteren, zodat de verstoring van services  wordt beperkt. SIM werkt bijvoorbeeld nauw samen met operationele teams, zoals het Microsoft Security Response  Center (ga voor meer informatie naar de Microsoft Security Response Center‐pagina). Mede hierdoor krijgt SIM snel een  holistisch, operationeel inzicht in een incident op het moment dat dit zich voordoet. SIM‐medewerkers nemen ook  contact op met ontwikkelaars om de ernst van het incident vast te stellen op basis van verschillende factoren, zoals  potentiële of extra storingen in de service en risico op reputatieschade. 

 

GCC (Global Criminal Compliance)    Het GCC ‐programma van OSSC wordt gebruikt bij het opstellen van beleid en het geven van trainingen voor de  responsprocedures van Microsoft. Het GCC‐team reageert ook op juridische aanvragen om informatie. GCC beschikt in  verschillende landen over juridische agenten die de aanvraag valideren, en als dat nodig is, vertalen. Een van de  redenen waarom GCC door veel internationale instellingen wordt beschouwd als een uitstekend responsprogramma is  het feit dat GCC over een portal beschikt dat wetshandhavers richtlijnen in meerdere talen biedt voor het indienen van  een juridische aanvraag bij Microsoft.   

Het trainingsdoel van GCC is onder meer het geven van training aan wetshandhavers. GCC geeft ook training aan  Microsoft‐personeel over verantwoordelijkheden bij het bewaren van gegevens en privacy. Interne trainingen en   

13 |

 

beleidswerk veranderen voortdurend naarmate Microsoft meer datacenters op internationale locaties toevoegt,  waardoor het bereik van internationale wettelijke voorschriften groter wordt. GCC speelt een cruciale rol in processen  waarbij rekening moet worden gehouden met verschillende internationale wetgevingen en hoe die van toepassing zijn  op consumenten of zakelijke klanten die gebruikmaken van Microsoft Online Services.   

Operationele compliance    De onlineservices van Microsoft moeten voldoen aan tal van overheidsregels, branchespecifieke voorschriften en de  bedrijfsspecificaties die Microsoft zelf hanteert. Naarmate de online‐omgeving van Microsoft verder groeit en verandert,  en nieuwe onlineservices aan de Microsoft‐cloud worden toegevoegd, zijn nieuwe voorschriften nodige, zoals regionale  en landspecifieke normen voor gegevensbeveiliging. Het Operational Compliance‐team zorgt er samen met bedrijfs‐,  product‐ en serviceteams en interne en externe auditors voor dat Microsoft voldoet aan alle relevante normen en  wettelijke verplichtingen. De volgende lijst geeft een overzicht van enkele van audits en evaluaties die de Microsoft‐ cloudomgeving jaarlijks ondergaat:   

  Gegevensbeveiligingsnorm betaalkaartsector– Vereist jaarlijkse beoordeling en validatie van  beveiligingsmechanismen voor creditcardtransacties.    Raad voor mediabeoordelingen – Houdt verband met de integriteit bij het genereren en verwerken van  gegevens in advertentiesystemen.    Sarbanes‐Oxley – Bepaalde systemen worden jaarlijks gecontroleerd op naleving van belangrijke processen  met betrekking tot de integriteit van financiële verslaggeving.    Health Insurance Portability and Accountability Act – Amerikaanse wet die richtlijnen bevat ten aanzien van  privacy, beveiliging en noodherstel voor elektronische opslag van medische dossiers.    Interne controle en privacybeoordelingen – Beoordelingen vinden gedurende een bepaald jaar plaats. 

 

Het was een aanzienlijke uitdaging voor Microsoft om te voldoen aan al deze controleverplichtingen. Na bestudering  van de vereisten besloot Microsoft dat voor veel van de controles en beoordelingen een evaluatie nodig was van  dezelfde operationele controlemechanismen en processen. OSSC zag een goede kans om redundant werk te elimineren,  processen te stroomlijnen en proactief en diepgaander om te gaan met complianceverwachtingen en ontwikkelde  hiervoor een uitgebreid compliancesysteem. Dit systeem en de bijbehorende processen zijn gebaseerd op een methode  met vijf stappen die in de volgende afbeelding wordt getoond: 

 

14 |

 

 

   

Vereisten identificeren en integreren – Bereik en toepasselijke controlemechanismen worden bepaald.  Standaard operationele procedures (SOP) en procesdocumenten worden verzameld en beoordeeld. 

 

 

Lacunes beoordelen en verhelpen – Lacunes in proces of technische controlemechanismen worden  geïdentificeerd en verholpen. 

 

 

Effectiviteit testen en risico beoordelen – Effectiviteit van controlemechanismen wordt gemeten en  gerapporteerd. 

 

 

Certificering en attesten verkrijgen – Samenwerking met certificeringsinstellingen en auditors. 

 

 

Verbeteren en optimaliseren – Als niet‐naleving wordt geconstateerd, wordt de hoofdoorzaak  gedocumenteerd en verder geëvalueerd. Dergelijke bevindingen worden gevolgd totdat ze volledig zijn  verholpen. In deze fase worden ook de controlemechanismen voor verschillende beveiligingsdomeinen  continu geoptimaliseerd met het oog op toekomstige audits en certificeringen. 

 

Een van de successen van dit programma is dat de cloud‐infrastructuur van Microsoft zowel de SAS 70 Type I als Type II‐ attesten heeft verkregen en ook de ISO/IEC 27001:2005‐certificering. Dit onderstreept de inzet aan van Microsoft om  een betrouwbare cloud‐infrastructuur aan te bieden:      Het ISO/IEC 27001:2005‐certificaat bevestigt dat Microsoft de internationaal erkende controlemechanismen  voor gegevensbeveiliging heeft geïmplementeerd die in deze norm zijn vastgelegd.    

  De SAS 70‐attesten illustreren dat Microsoft bereid is interne beveiligingsprogramma's toegankelijk te maken  voor externe controle. 

 

15 |

 

Een gelaagde beveiligingsaanpak    Een gelaagde beveiligingsaanpak is een essentieel onderdeel van de wijze waarop Microsoft een betrouwbare cloud‐ infrastructuur aanbiedt. Bij het gebruik van controlemechanismen op meerdere lagen spelen ook beveiligingsopties,  risicobeperkende strategieën en paraatheid om te kunnen reageren op aanvallen een belangrijke rol. Via sterkere en  minder sterke beveiligingsmaatregelen, afhankelijk van de gevoeligheid van de te beschermen gegevens, nemen de  mogelijkheden voor het voorkomen en beperken van een beveiligingsincident toe. De komst van cloud computing  verandert niets aan dit principe. De sterkte van de controlemechanismen wordt bepaald door de gevoeligheid van de te  beschermen gegevens of het belang van het beperken van beveiligingsrisico's. Het feit dat in een cloudomgeving de  meeste bedrijfsgegevens kunnen worden gevirtualiseerd leidt tot veranderingen in risicoanalyses en de implementatie  van beveiligingsmechanismen in de traditionele beveiligingslagen (fysiek, netwerk, gegevens, identiteitstoegang,  toegangsautorisatie en ‐verificatie en host).   

Onlineservices, zoals de infrastructuur‐ en platformservices van GFS, maken gebruik van virtualisatie. Hierdoor kan het zijn  dat bedrijfsgegevens van klanten die gebruikmaken van services die worden gehost op de Microsoft‐cloud niet meer  gemakkelijk kunnen worden geassocieerd met een fysieke locatie. Gegevens worden virtueel opgeslagen en verdeeld over  veel locaties. Dit betekent dat beveiligingsmechanismen moeten worden geïdentificeerd en dat moet worden bepaald hoe  deze worden geïmplementeerd in een gelaagde beveiligingsstrategie. Fysieke en netwerkbeveiligingsmaatregelen moeten  uiteraard nog steeds worden genomen. De focus van risicobeheer verschuift echter dichter naar het objectniveau, dichter  naar de elementen die in de cloudomgeving worden gebruikt: bijvoorbeeld opslagcontainers voor statische of dynamische  gegevens, VM‐objecten, de runtime‐omgevingen waarin berekeningen worden uitgevoerd.    Daarbij wordt gebruikgemaakt van tal van traditionele fysieke en netwerkbeveiligingsmethoden en middelen om te  zorgen dat entiteiten, bijvoorbeeld een persoon die toegang wil tot een datacenter of een rekenproces dat toegang  vraagt tot klantgegevens in de Microsoft‐cloudomgeving, worden geverifieerd en gemachtigd voor de gevraagde  toegang. Er zijn ook maatregelen waarmee servers en besturingssystemen die in de Microsoft‐cloud‐infrastructuur  worden uitgevoerd, worden versterkt tegen aanvallen.   

Deze sectie geeft een overzicht van enkele processen en controlemechanismen die Microsoft gebruikt voor de  beveiliging van datacenters, netwerkhardware en ‐communicatie en servicehosts.   

Fysieke beveiliging    Technische systemen voor automatisering van toegangsmachtiging en ‐verificatie in bepaalde omstandigheden zijn een  voorbeeld van de manier waarop fysieke beveiliging is veranderd door nieuwe technologie. Een ander voorbeeld is de  verschuiving van traditionele applicaties, op computerhardware en ‐software die fysiek in het bedrijf aanwezig is, naar  het gebruik van Software as a Service en Software‐plus‐Services. Deze veranderingen vragen verdere aanpassingen van  de manier waarop organisaties de beveiliging van hun bedrijfsgegevens regelen.   

OSSC beheert de fysieke beveiliging van alle Microsoft‐datacenters, wat essentieel is voor de operationele  bedrijfsvoering en de bescherming van klantgegevens. Voor iedere vestiging worden vaste procedures in  beveiligingsontwerp en ‐applicaties gebruikt. Microsoft stelt binnen‐ en buitengrenzen in met steeds strengere  controlemechanismen voor elke laag. 

 

16 |

 

 

Het beveiligingssysteem werkt met diverse technische oplossingen,zoals camera's, biometrie, kaartlezers en alarmen,  en traditionele beveiligingsmaatregelen zoals sloten en sleutels. Operationele controlemechanismen zorgen voor  geautomatiseerde bewaking en tijdige melding van lekken of problemen, en voor controleerbaarheid door middel van  documentatie van het fysieke beveiligingsprogramma van het datacenter. De volgende lijst geeft meer voorbeelden van  hoe Microsoft controlemechanismen voor fysieke beveiliging toepast:   

  Toegang voor datacenter‐personeel – Microsoft heeft diverse beveiligingsvereisten waarop werknemers en  contractors bij datacenters worden gecontroleerd. Naast contractvoorschriften voor medewerkers op locatie,  wordt nog een andere beveiligingslaag toegepast voor personeel dat in het datacenter werkt. De toegang  wordt beperkt met een beleid van minimale rechten zodat alleen het benodigde personeel gemachtigd is om  applicaties en services van klanten te beheren.   

  Vereisten voor zeer gevoelige bedrijfsgegevens – Microsoft heeft voor zeer gevoelige bedrijfsgegevens  strengere minimumvereisten ontwikkeld dan voor bedrijfsgegevens met een lage of gemiddelde gevoeligheid  die binnen de datacenters worden gebruikt om onlineservices aan te bieden. Standaardbeveiligingsprotocollen  voor identificatie, toegangstokens, registratie en toezicht op sitetoegang geven duidelijk aan welke soort  verificatie nodig is. Voor toegang tot zeer gevoelige bedrijfsgegevens is verificatie met meerdere factoren  vereist.   

  Gecentraliseerd toegangsbeheer voor fysieke bedrijfsmiddelen – Omdat het aantal datacenters voor  onlineservices groeit, heeft Microsoft een programma ontwikkeld voor het beheer van toegang tot fysieke  bedrijfsmiddelen. Dit programma beschikt ook over controleerbare logboeken dankzij centralisatie van de  processen voor aanvragen, goedkeuringen en verlening van toegang tot datacenters. Het programma gebruikt  het principe van minimaal benodigde toegang en integreert processen voor het verkrijgen van toestemming  van meerdere machtigingsinstanties. De configuratie van het programma kan worden aangepast aan de  omstandigheden op locatie en geeft efficiëntere toegang tot historische gegevens voor verslaggeving en  compliance met audits.   

Netwerkbeveiliging    Microsoft gebruikt allerlei beveiligingslagen die zijn afgestemd op de apparatuur en netwerkverbindingen van  datacenters. Beveiligingsmechanismen worden bijvoorbeeld gebruikt op zowel controleniveau als beheerniveau.  Er wordt gespecialiseerde hardware, zoals load balancers, firewalls en inbraakpreventiemiddelen, gebruikt om DoS‐ aanvallen (Denial of Service) tegen te gaan. De netwerkbeheerteams gebruiken gelaagde toegangsbeheerlijsten (ACL's)  toe voor gesegmenteerde VLAN's (virtual local area networks) en indien nodig voor applicaties. Via netwerkhardware  zorgt Microsoft dat applicatie‐gatewayfuncties grondige pakketinspecties uitvoeren en zo nodig een alarm uitzenden of  verdacht netwerkverkeer blokkeren.   

De Microsoft‐cloudomgeving beschikt over een redundante interne en externe DNS‐infrastructuur. Deze redundantie zorgt  voor fouttolerantie en wordt bereikt door het clusteren van DNS‐servers. Extra controlemechanismen verkleinen de kans op  verspreide denial‐of‐service (DDoS), cachevergiftiging of vervuilingsaanvallen. ACL's binnen DNS‐servers en DNS‐zones  beperken bijvoorbeeld schrijfrechten voor DNS‐records tot gemachtigd personeel. Nieuwe beveiligingsfuncties voor DNS‐ software, zoals het randomiseren van query‐id's, worden op alle DNS‐servers gebruikt. DNS‐clusters worden voortdurend  gecontroleerd op illegale software, veranderingen in de DNS‐zoneconfiguratie en andere verstorende servicegebeurtenissen. 

 

17 |

 

DNS is een onderdeel van internet en vereist deelname van vele organisaties om deze service te bieden. Microsoft  neemt deel aan veel van zulke organisaties, zoals het DNS Operations Analysis en Research Consortium (DNS‐OARC), dat  bestaat uit DNS‐experts over de hele wereld.   

Gegevensbeveiliging    Microsoft classificeert bedrijfsmiddelen en ‐gegevens om de sterkte van de toe te passen beveiligingsmechanismen te  bepalen. Hierbij wordt rekening gehouden met de kans op financiële schade en schade aan de bedrijfsreputatie mocht  de bedrijfsinformatie betrokken raken bij een beveiligingsincident. Na classificatie wordt een gelaagde  beveiligingsanalyse toegepast om de benodigde beschermingsgraad te bepalen. Voor bedrijfsgegevens in de categorie  gemiddelde gevoeligheid is bijvoorbeeld versleuteling vereist als deze zich op verwisselbare media bevinden of  betrokken zijn bij externe netwerkoverdrachten. Voor zeer gevoelige gegevens is verder ook versleuteling vereist bij  opslag en bij interne systeem‐ en netwerkoverdrachten.   

Alle Microsoft‐producten moeten voldoen aan de cryptografische SDL‐normen die een overzicht bevatten van acceptabele  en niet‐acceptabele cryptografische algoritmen. Sleutels van meer dan 128 bits zijn vereist voor symmetrische  versleuteling. Bij gebruik van asymmetrische algoritmen moeten sleutels van 2048 bits of meer worden gebruikt.   

Identiteits‐ en toegangsbeheer    Microsoft gebruikt een model met minimale informatieschaffing en toegangsrechten voor toegang tot bedrijfsmiddelen  en gegevens. Waar mogelijk worden op rollen gebaseerde toegangsmechanismen gebruikt om logische toegang toe te  wijzen aan specifieke taakfuncties of bepaalde verantwoordelijkheden in plaats van aan een persoon. Bij dit type beleid  wordt toegang geweigerd die niet uitdrukkelijk is toegekend door de eigenaar van de bedrijfsgegevens op basis van een  geïdentificeerde bedrijfsbehoefte.   

Personen die zijn gemachtigd voor toegang tot alle bedrijfsgegevens moeten de gedefinieerde methoden gebruiken om  toegang te verkrijgen. Voor zeer gevoelige bedrijfsgegevens is verificatie met meerdere factoren vereist, waaronder  wachtwoorden, hardware‐tokens, smartcards of biometrische voorzieningen. Machtigingen van gebruikersaccounts  worden continu gecontroleerd om te zien of het gebruik van bedrijfsmiddelen en ‐gegevens noodzakelijk is voor een  bepaald activiteit. Accounts die geen toegang meer nodig hebben tot bepaalde bedrijfsgegevens worden gedeactiveerd.   

Applicatiebeveiliging    Applicatiebeveiliging is een belangrijk element van het Microsoft‐beleid voor beveiliging van zijn cloudomgeving. De  strikte beveiligingsmaatregelen die ontwikkelteams van Microsoft gebruiken werden in 2004 geformaliseerd in een  zogenoemd Security Development Lifecycle‐proces (SDL). Het SDL‐proces maakt geen onderscheid in  ontwikkelmethoden en is volledig geïntegreerd in de levenscyclus van applicaties, van ontwerp tot respons, en vormt  geen vervanging voor softwareontwikkelmethoden zoals Waterfall of Agile. Verschillende fasen in het SDL‐proces  benadrukken onderricht en training en vereisen dat specifieke activiteiten en processen worden gebriuikt die zijn  toegesneden op iedere fase van softwareontwikkeling.   

Het management van Microsoft ondersteunt de verplichte toepassing van SDL tijdens het ontwikkelproces van  Microsoft‐producten en de levering van onlineservices. OSSC zorgt ervoor dat de SDL wordt toegepast bij het bouwen  van applicaties die worden gehost op de Microsoft‐cloud‐infrastructuur. 

 

18 |

 

Het SDL‐proces is in de volgende afbeelding weergegeven: 

 

 

  Het proces begint bij de vereistenfase en bevat een aantal specifieke activiteiten waarmee rekening wordt gehouden bij  ontwikkeling van applicaties die worden gehost in de Microsoft‐cloud:   

  Vereisten – Het hoofddoel in deze fase is belangrijke beveiligingsdoelstellingen te formuleren en de  softwarebeveiliging te maximaliseren, met minimale verstoring van het gebruik, de plannen en de planningen  van klanten. Deze activiteit kan een operationele discussie bevatten als het gaat om gehoste applicaties, die is  gericht op de manier waarop de service gebruik gaat maken van netwerkverbindingen en protocollen.      Ontwerp – Belangrijke beveiligingsstappen in deze fase zijn onder andere het documenteren van het mogelijke  aanvalsvlak en het testen van dreigingsmodellen. Net als in de vereistenfase kunnen tijdens dit proces  omgevingscriteria worden geformuleerd voor een gehoste toepassing.      Implementatie – Codering en testen vinden in deze fase plaats. Tijdens de implementatie zijn voorkoming van  onveilige code en stappen om beveiligingsproblemen te elimineren de belangrijkste activiteiten.      Verificatie – De bètafase begint wanneer nieuwe applicaties functioneel als voltooid worden beschouwd.  Gedurende deze fase wordt bepaald welke beveiligingsrisico's er bestaan wanneer de toepassing wordt  geïmplementeerd in een productieomgeving en welke stappen ondernomen kunnen worden om  beveiligingsrisico's te elimineren of te verminderen.      Release – De Final Security Review (FSR) vindt in deze fase plaats. Er vindt zo nodig ook een Operational  Security Review (OSR) plaats voordat de nieuwe toepassing kan worden vrijgegeven in de cloudomgeving van  Microsoft.      Respons – Voor de cloudomgeving van Microsoft neemt het SIM‐team het voortouw bij beveiligingsincidenten.  Het werkt nauw samen met de product‐ en serviceteams en met medewerkers van het Microsoft Security  Response Center voor triage, onderzoek en oplossing van gemelde incidenten. 

 

Zie voor meer informatie over SDL The Microsoft Security Development Lifecycle (SDL) ‐pagina.    OSSC beheert het FSR‐proces, een verplichte SDL‐beoordeling voor Microsoft Online Services die ervoor zorgt dat aan  de juiste beveiligingsvereisten is voldaan voordat nieuwe applicaties worden geïmplementeerd in de Microsoft‐cloud‐  

19 |

 

infrastructuur. De FSR beoordeelt in hoeverre een team de Security Development Lifecycle heeft gevolgd tijdens het  ontwikkelproces. Tijdens de FSR beheert OSSC de volgende taken:   

  Productteamcoördinatie – Vragenlijsten en andere documenten moeten worden ingevuld door het  productontwikkelteam. OSSC gebruikt die informatie om te controleren of SDL correct is toegepast tijdens de  ontwikkeling.   

  Beoordeling van risicomodellen – Voor Microsoft zijn risicomodellen essentieel bij het ontwikkelen van  beveiligingssoftware. OSSC analyseert de risicomodellen die door productteams worden geproduceerd en  controleert of deze volledig en actueel zijn. Tijdens deze beoordeling wordt ook nagegaan of  controlemechanismen zijn geïmplementeerd om alle geformuleerde risico's te beperken.   

  Beoordeling van beveiligingsfouten – Alle fouten die tijdens het ontwerpen, ontwikkelen en testen zijn  gedetecteerd worden beoordeeld. Zo wordt gezorgd dat fouten die gevolgen hebben voor de beveiliging of  privacy van klantgegevens worden verholpen.   

  Programma's voor validatie – Ontwikkel‐ en testteams van Microsoft gebruiken  softwarebeveiligingsprogramma's en gedocumenteerde methoden voor het schrijven van programmacode als  onderdeel van het ontwikkelproces. Door het elimineren van algemene beveiligingslekken kan de  softwarebeveiliging aanzienlijk worden verbeterd. OSSC controleert of dat productteams op de juiste wijze  gebruik hebben gemaakt van de beschikbare programma's en de gedocumenteerde methoden voor het  schrijven en testen van programmacode.   

Naast het FSR‐proces beheert OSSC ook een Operational Security Review (OSR). De OSR bestaat uit het beoordelen van  netwerkcommunicatie, platform, systeemconfiguratie en controlemogelijkheden ten opzichte van de geformuleerde  beveiligingsnormen en ‐basislijnen. Het OSR‐proces zorgt dat de juiste beveiligingsmechanismen deel uitmaken van de  operationele plannen voordat toestemming wordt verleend voor implementatie in de cloud‐infrastructuur.   

Controle en rapportage van hostbeveiliging    Grotere en complexere omgevingen moeten worden beheerd voor het leveren van betrouwbare, veilige en goed  onderhouden services.   

Dagelijkse controle van de infrastructuuronderdelen zorgt voor een actueel inzicht in de beveiligingsproblemen van het  hostsysteem, waardoor OSSC samen met product‐ en serviceteams de bijbehorende risico's kan beheren zonder dat dit  leidt tot onderbrekingen van onlineservices van Microsoft.   

Penetratietests die worden uitgevoerd door interne en externe partijen bieden belangrijk inzicht in de doelmatigheid  van beveiligingsmechanismen voor de Microsoft‐cloud‐infrastructuur. Het resultaat van deze beoordelingen en de  voortdurende evaluatie van de hieruit voortvloeiende controlemechanismen worden vervolgens gebruikt bij het  scannen, bewaken en het oplossen van risico's.   

Geautomatiseerde implementatie van robuuste systeemimages, samen met een actief gebruik van  hostbeleidsvoorzieningen, zoals groepsbeleid, zorgen ervoor dat Microsoft grip heeft op de toevoeging van servers aan  de cloud‐infrastructuur van Microsoft. Na implementatie zorgen de operationele beoordelingsprocessen en het  patchbeheerprogramma van Microsoft voor continue beperking van beveiligingsrisico's op hostsystemen.   

20 |

 

 

OSSC gebruikt controle en rapportage als detectiemiddel en voor het verkrijgen van inzicht en forensisch bewijs  wanneer incidenten plaatsvinden. Logboeken van perimeter‐firewalls, inbraakpreventiesystemen en netwerkapparaten  worden centraal verzameld via het SYSLOG‐protocol en opgeslagen als bestanden. De afzonderlijke gebeurtenisrecords  in deze bestanden worden geparseerd en geüpload naar een gecentraliseerde SQL‐serverdatabase. De records worden  automatisch gecontroleerd op patronen die op abnormaal gedrag of kwaadaardige activiteit binnen de bewaakte  omgeving kunnen duiden, en alarmeren het SIM‐team als onderzoek naar de activiteit nodig is. Nadat ieder logboek is  verwerkt, wordt een cryptografische hash toegepast op het bestand en deze wordt samen met relevante  bestandsstatistieken opgeslagen in dezelfde database. Na de hashbewerking worden de afzonderlijke logboekbestanden  gecomprimeerd en opgeslagen op redundante opslagservers. Door middel van de hashwaarden kunnen auditors en  onderzoekers de integriteit van de oorspronkelijke logboekbestanden in de opslag valideren als deze bestanden nodig  zouden zijn voor verdere analyse.   

De auditlogboeken van essentiële servers in de cloud‐infrastructuur van Microsoft, zoals domeincontrollers,  beveiligingsservers en servers met gevoelige informatie, worden nagenoeg in realtime verzameld via de Microsoft  System Center Operations Manager 2007 Audit Collection Services (ACS) en opgeslagen in een SQL‐serverdatabase.  Vanwege de grote hoeveelheid verzamelde gegevens voor deze omgevingen, worden belangrijke en relevante  gebeurtenissen (“Events‐of‐Interest” genoemd) uit de database gehaald en doorgestuurd naar een andere SQL‐database  waar OSSC geautomatiseerde programma's om te zoeken naar verdachte activiteiten. De informatie die in de  gebeurtenissenlogboeken wordt verzameld, omvat onder andere de gebruikersaanmeldingen, wijzigingen van het  beveiligingsbeleid en ongeoorloofde toegang tot systeem‐ of applicatiebestanden. De Events‐of‐Interest worden net als  de records die worden gegenereerd door perimeter‐ en netwerkapparatuur, uit de auditlogboeken gehaald en  gecontroleerd op falende controlemechanismen, ongeoorloofde wijzigingen van serverconfiguraties en andere  schadelijke activiteiten.   

Speciale beheerpakketten voor Microsoft Operations Manager (MOM) en Microsoft System Center Operations Manager  zorgen voor realtime‐alarmering en statuscontrole. Dit zorgt voor extra zichtbaarheid van beveiligingsovertredingen,  wijzigingen die de integriteit van het systeem beïnvloeden en beleidsschendingen op afzonderlijke systemen. Deze  MOM‐ en System Center Operations Manager‐gebeurtenissen zijn geïntegreerd in standaard operationele frameworks.  De uitvoeringsteams binnen Microsoft gebruiken deze ook voor het oplossen van minder urgente problemen.   

Informatie uit de verschillende logboekbestanden wordt gebruikt voor het opstellen van incidenten, rapportages en  historische trends ‐ dit alles om de doeltreffendheid van de controlemechanismen in het controleframework te  valideren. 

 

21 |

 

 

Conclusie    Volgens dezelfde beveiligingsprincipes die worden gebruikt bij softwareontwikkeling en in operationele omgevingen van  Microsoft, heeft OSSC een Information Security Program samengesteld dat leidt tot continue verbetering van de  beveiliging van de Microsoft‐cloudomgeving. Door gecoördineerde en strategische inzet van mensen, processen en  technologie speelt Microsoft in op de snelle veranderingen in de cloud‐infrastructuur en in de markt voor onlineservices,  terwijl klanten een betrouwbare gebruikservaring worden geboden.   

Het framework waarmee Microsoft het ISO 27001:2005‐certificaat en de SAS Type I en Type II‐attesten voor zijn cloud‐ infrastructuur verkreeg, legt de basis voor product‐ en serviceteams bij het behalen van aanvullende certificaten en  attestaties. Door beveiligingstraining, doorlopende controle en beheer van risico's, en snelle reactie op  beveiligingsincidenten en juridische aanvragen voldoet Microsoft aan alle eisen van Trustworthy Computing en  profiteren partners en klanten van de voordelen van deze gedegen en flexibele processen.   

Via het Information Security Program onderhoudt Microsoft een uitgebreid compliancesysteem en gedetailleerde  beveiligingsmechanismen en beleidsregels waarmee de betrouwbaarheid en privacy worden geleverd die klanten van  Microsoft verwachten Tegelijkertijd wordt voldaan aan de wettelijke voorschriften en industriestandaarden. De staat  van dienst en certificeringen van Microsoft‐programma's bewijzen de relevantie van deze programma's bij de steeds  veranderende uitdagingen en mogelijkheden in een opkomende markt voor onlineservices. Productteams van Microsoft  gebruiken deze middelen om vertrouwen en transparantie te bieden bij het ontwikkelen van nieuwe producten binnen  de Software‐plus‐Services‐strategie. Dankzij een betrouwbare cloud‐infrastructuur kunnen Microsoft‐, partner‐ en  klantteams veiligere applicaties bouwen voor deze dynamische cloudomgeving. 

 

22 |

 

   

Overige informatiebronnen    Microsoft Trustworthy Computing, startpagina: http://www.microsoft.com/twc    Belangrijke informatie over onlineprivacy van Microsoft: http://www.microsoft.com/privacy    Het ISO 27001:2005‐certificaat voor de Global Foundation Services‐groep van Microsoft: http://www.bsi‐  global.com/en/Assessment‐and‐certification‐services/Client‐directory/CertificateClient‐Directory‐Search‐ Results/?pg=1&licencenumber=IS+533913&searchkey=companyXeqXmicrosoft    Microsoft Global Foundation Services, startpagina: http://www.globalfoundationservices.com    The Microsoft Security Development Lifecycle (SDL): http://msdn.microsoft.com/en‐us/security/cc448177.aspx    Microsoft Security Development Lifecycle (SDL) – versie 3.2, procesgids: http://msdn.microsoft.com/en‐ us/library/cc307748.aspx    Microsoft Security Response Center: http://www.microsoft.com/security/msrc    SDL‐tool voor dreigingsmodellering van Microsoft: http://msdn.microsoft.com/en‐us/security/dd206731.aspx    Microsoft Online Services: http://www.microsoft.com/online 

 

23 |

 

 

      Voorwaarden en bepalingen  De informatie in dit document vertegenwoordigt de huidige visie van Microsoft Corporation op zaken die ten tijde van publicatie  actueel waren. Omdat Microsoft continu inspeelt op marktontwikkelingen, legt Microsoft zich niet vast op de inhoud van dit  document en kan Microsoft niet garanderen dat alle informatie in dit document na de datum van publicatie nog nauwkeurig en  correct is.  Dit artikel dient uitsluitend ter informatie. MICROSOFT BIEDT GEEN GARANTIES MET BETREKKING TOT DE INFORMATIE IN DIT  DOCUMENT, ONGEACHT OF DEZE GARANTIES EXPLICIET, IMPLICIET OF WETTELIJK ZIJN.    Het is de verantwoordelijkheid van de gebruiker zich te houden aan alle geldende auteurswetten. Behoudens de in of krachtens de  auteurswet gestelde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van  druk, fotokopie, microfilm of op welke andere wijze dan ook en evenmin in een gegevensopzoeksysteem worden opgeslagen zonder  voorafgaande schriftelijke toestemming van Microsoft Corporation.  Microsoft kan octrooien, octrooiaanvragen, handelsmerken, auteursrechten of andere intellectuele eigendomsrechten hebben die  op de inhoud van dit document van toepassing zijn. Dit document geeft u geen enkel gebruiksrecht op deze octrooien,  handelsmerken, auteursrechten of andere intellectuele eigendomsrechten, behalve wanneer dit uitdrukkelijk is bepaald in een  schriftelijke licentieovereenkomst van Microsoft.    © 2009 Microsoft Corporation. Alle rechten voorbehouden.  Microsoft, Active Directory, Hotmail, Microsoft Dynamics, MSN, SharePoint, SQL Server, Windows Live en Xbox LIVE zijn  handelsmerken van de Microsoft‐groep.  Alle andere handelsmerken zijn het eigendom van hun respectieve eigenaren. 

 

24 |