Azure公有云安全合规

MicrosoftAzure

平安,隐私和法规遵从介绍430B+MicrosoftAzureAD认证数量280%MicrosoftAzure数据库的年增长率(YOY)50%的财富500强使用MicrosoftAzure$25,000在云上的开销对比在本地部署的$100,000

(MicrosoftAzureBITeam,STMGProofPointsCentral)效益规模30,000

提升到

250,000

可几乎从瞬间将站点访问量从2周部署新服务vs.6-12个月用传统方式部署(CaseStudy:HarperCollinsPublishers)速度2的CIO将接受云计算优先的发展战略(2016年)(IDCCIOAgendawebinar)云计算趋势:70%优势AZURE成绩使用服务前的关注点60%的受访者对云平台的数据安全有所顾虑45%的人认为云计算将使得数据缺乏控制带来的机会94%的使用者认为云计算让他们有了在内部部署环境中没有的安全方面的优势62%的使用者认为迁移到云平台上增强了他们的隐私保护云计算创新云平台的平安与合规方面的优势将带来时机平安设计/运营根底架构网络认证和访问数据隐私合规BarrierstoCloudAdoptionstudy,ComScore,September2021MicrosoftAzure4

全球物理根底设施效劳器/网络/数据中心计算数据效劳网络效劳NCentralUS,SCentralUS,NEurope,WEurope,EAsia,SEAsia+24EdgeCDNLocations自动化受管理的资源弹性基于用量针对现代化企业的一体化平台应用效劳云平台的可靠运营根底建立在微软以往的经验和效劳创新上20+数据中心可信赖计算计划安全的应用开发生命周期全球数据中心服务防恶意软件保护中心微软安全响应中心Windows

更新1stMicrosoft

数据中心Active

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECH数字犯罪追踪SOC2E.U.DataProtectionDirective运营安全保障19891995200020052010TrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterMicrosoft

UpdateActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssurance1stMicrosoft

DataCenter19891995200020052010TrustworthyComputingCreatedtheSDLwhichhasbecometheindustrystandardfordevelopingsecuresoftware20+DataCenters20+DataCentersTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesWindows

Update1stMicrosoft

DataCenterActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssuranceMalware

Protection

CenterMicrosoftSecurity

ResponseCenter19891995200020052010SecurityCentersof

Excellence:ProtectingMicrosoftcustomersbycombattingevolvingthreatsTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterMicrosoft

UpdateActive

DirectorySOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHDigitalCrimesUnitSOC2E.U.DataProtectionDirectiveOperationsSecurityAssurance1stMicrosoft

DataCenter1989199520002005201020+DataCenters:OperatingMicrosoftAzurein11datacentersaroundtheworld,plus2inChina20+DataCenters20+DataCentersTrustworthyComputing

InitiativeSecurity

DevelopmentLifecycleGlobal

DataCenterServicesMalware

Protection

CenterMicrosoftSecurity

ResponseCenterWindows

Update1stMicrosoft

DataCenterActive

DirectoryDigitalCrimesUnitSOC1CSACloudControlsMatrixPCIDSSLevel1FedRAMP/

FISMAUKG-CloudLevel2ISO/IEC27001:2005HIPAA/

HITECHSOC2E.U.DataProtectionDirective19891995200020052010ComplianceStandards:Investingheavilyinrobustcomplianceprocesses,includingISO27001,FedRAMP,andHIPAAOperationsSecurityAssuranceTrustworthyfoundationBuiltonMicrosoftexperienceandinnovation共同的责任与分工降低平安风险+保持灵活性,访问和控制CustomerMicrosoft内部部署IaaSPaaSSaaS存储物理效劳器网络O/S中间件虚拟化数据应用运行时透明度和独立认证8最佳实践第三方认证云安全联盟安全情报报告合规性报告信任中心访问审计报告安全响应中心的进度报告帮助客户满足合规性和平安性的要求是我们的目标平安微软的行动9合规隐私安全设计方案嵌入在软件开发生命周期中的规划,设计,开发和部署等各个方面采取各类严格的受管制措施用于预防,发现和对现有威胁进行响应通过模拟真实世界的攻击来强化云服务拥有全球化的,7*24的事件响应平台以减轻攻击的影响程度设计和运维运营平安控制假定违反事件响应软件开发生命周期(SDL)作为发布标准并成为最终安全评审中的一部分(FSR)事件响应(MSRC)指导产品团队来满足SDL的各种需求定期进行开发安全培训培训需求设计实现验证发布响应培训进度问责持续的过程改进平安的开发生命周期(SDL)假定破坏在线网站渗透测试集中管理平安日志和监控记录防止破坏建立威胁模型执行代码审查进行平安测试假定违反假定违反用于识别和解决潜在的问题

安全响应计划的测试范围涵盖在线站点,这能够明显的提升威胁检测的时间和恢复效率减少暴露给内部的攻击面(确保即便进入内部,攻击者也无法进行广泛攻击)周期性的环境破坏程度评估和状态更新13事件被检测到平安团队参与平安事件确认事件发生DevOps

参与事件评估确定客户的影响程度通知Azure平台用户客户流程1确定受影响的客户客户通知9大步骤的事件响应流程专注于遏制和恢复按照合同规定对客户进行通知事件响应14根底架构运营15效劳平安始于物理数据中心摄像头24X7安保人员障碍物(护栏/电网)围墙/围栏警报双因素的访问控制:生物识别类和读卡器平安运营中心可持续数日的备用电源抗震设计建筑控制区机房16多租户的平安设计架构AzureStorageSQLDatabaseFabricController客户管理员GuestVMGuestVMCustomer2GuestVMCustomer1PortalSMAPI终端用户HostOSHypervisorMicrosoftAzure17Customer1应用层逻辑层数据层虚拟网络云效劳访问客户端443443VPN企业内部防火墙INTERNETMicrosoftAzure18AZURE:对平台定期的进行更新立即发布关键补丁严格审查和测试所有变化客户:对自己运行的虚拟机采用类似的补丁管理策略补丁管理每月的MSRC

补丁审查补丁封装扫描审核验证监测100,000+的漏洞报告来自于客户或全球网络平安研究员的信息优先处理关键更新每月的补丁更新日处理更新调查报告情况汇总扫描和收集所有Azure虚拟机的报告跟踪和修复任何调查到的问题Thepatchesareautomaticallyappliedtothecustomers’GuestVMsunlessthecustomerhasconfiguredtheVMformanualupgrades.Inthiscase,thecustomerisresponsibleforpatching.19监控和日志记录AZURE:实现平台的运行监控和平安事件告警通过监控代理或Windows事件转发来激活平安数据收集过程客户:配置监视导出事件记录到SQLDB,HDInsight或SIEM用作分析使用监控效劳报警和汇总报告针对告警做出响应AzureStorage客户管理员GuestVMCloudServices用户虚拟机PortalSMAPIGuestVM激活监控代理事件提取事件信息到SIEM或其他日志系统EventIDComputerEventDescriptionSeverityDateTime1150Machine1Examplesecurityevent404/29/20142002Machine2SignatureUpdatedSuccessfully404/29/20145007Machine3ConfigurationApplied404/29/20141116Machine2Examplesecurityevent104/29/20141117Machine2Accessattempted104/29/2014SIEMAdminView警报和汇总报告HDInsightMicrosoftAzure20防病毒/反恶意软件AZURE:实现平台的运行监控和恶意软件事件的报警可针对CloudService和VM提供实时的防护,按需扫描和监控客户:配置微软的反恶意软件或采用Partner的防病毒/反恶意软件的方案提取事件到SIEM监控效劳报警和汇总报告针对告警做出响应AzureStorage客户管理员GuestVMCloudServicesCustomerVMsPortalSMAPIGuestVM激活并配置防病毒软件事件提取事件信息到SIEM或其他日志系统EventIDComputerEventDescriptionSeverityDateTime1150Machine1ClientinHealthyState404/29/20142002Machine2SignatureUpdatedSuccessfully404/29/20145007Machine3ConfigurationApplied404/29/20141116Machine2MalwareDetected104/29/20141117Machine2MalwareRemoved104/29/2014SIEMAdminView警报和汇总报告MicrosoftAzure21威胁检测CustomerEnvironment应用层逻辑层数据层虚拟网络INTERNETVPNCorp1威胁检测:DOS/IDS功能DOS/IDSDOS/IDSDOS/IDSEndUsersMicrosoftAzure22取证AZURE:执行平台级事件的日志分析,协调和VHD映像取证工作客户:在需要的时候联系微软获得取证数据使用标准的平安响应流程和取证过程23网络保护防止来自其他客户/Internet的流量进入到客户的私有IP地址使用私有IP连接一个或多个云服务站点到站点,端点到站点,ExpressRoute等功能帮助用户实现到Azure的安全连接虚拟网络云平台到内部部署的连接网络隔离24网络隔离客户2INTERNET隔离的虚拟网络客户1隔离的虚拟网络部署X部署A部署YAZURE:当虚拟机在站点中被创立时,默认仅开启远程管理节点的方式,不激活一般性的Internet访问客户:配置端点所需的访问方式创立到其他云或者内部部署资源的连接PortalSmartAPI客户管理员VNETtoVNET云服务访问层Web端点(publicaccess)RDP端点(passwordaccess)客户端客户端VPNCorp1MicrosoftAzurePortalSMAPICustomer1虚拟网络AZURE:允许客户创立独立的虚拟专用网络(VPN)CUSTOMER:创立虚拟网络的子网和私有IP地址激活虚拟网络之间的通信可以使用自己的DNS虚拟机可以参加域Customer2INTERNET隔离的虚拟网络子网1部署X部署YVNETtoVNET云访问层RDP端点(passwordaccess)客户端子网2子网3DNS效劳器VPNMicrosoftAzureCorp1隔离的虚拟网络26VPN连接Customer1隔离的虚拟网络部署XMicrosoftAzureVPNSite-to-SiteVPNPoint-to-SiteVPN远程工作员工CustomerSite防火墙后的计算机AZURE:支持客户从企业内部或远程办公室做S2S或P2S的VPN连接CUSTOMERS:在Windows中配置VPN客户端管理证书,策略和用户访问27ExpressRoute连接Customer1IsolatedVirtualNetworkDeploymentXMicrosoftAzureSite1ExpressRoutePeerSite2WANAZURE:通过ExpressRoute提供专用光纤连接实现针对Azure计算,存储和其他效劳的访问客户:可通过提供商在ExpressRoute的位置建立连接到Azure中(ExpressRoutePeer)可直接连接您现有的WAN网络(如网络效劳供给商提供的MPLSVPN)到Azure中管理证书,策略和用户访问28微软员工访问管理企业级云身份认证平台-AzureAD云应用访问的监控与保护多因素认证认证和访问29微软员工访问管理Pre-screenedAdmin

requestsaccessLeadershipgrantstemporaryprivilegeNostandingaccesstotheplatformandnoaccesstocustomerVirtualMachinesGrantsleastprivilegerequiredtocompletetaskMulti-factorauthenticationrequiredforalladministrationAccessrequestsareauditedandloggedJustinTime

&Role-BasedAccessMicrosoftCorporateNetworkMicrosoftAzureBLOBSTABLESQUEUESDRIVES企业级云身份认证平台-AzureAD30AZURE:提供企业级云身份和访问管理提供跨云应用的单点登录提供多因素认证方式以增强平安性客户:集中管理用户访问O365,Azure和数百款默认提供AzureAD集成的云应用将AzureAD移植到现有的Web和移动应用上可以扩展企业内部的身份目录平台到AzureAD中最终用户ActiveDirectoryAzureActiveDirectory云应用AZURE:使用密码哈希作为同步方式提供平安报告来反映不一致的通信模式,其中包括:来源不明的登录信息屡次失败的登录信息短时间内来自多个地区的登录信息来自可疑IP地址和可疑设备的登录信息客户:查看相关报告并缓解潜在的威胁可启用多因素身份验证方式云应用访问的监控与保护XXXXXXXXXXXXXXXUserNon-user数据加密选项数据隔离数据存储位置和冗余数据销毁32数据保护数据在传输过程中加密AZURE:Azure数据中心之间的传输,绝大多数的通信将保持加密状态通过Azure门户使用HTTPS加密传输支持FIPS140-2标准客户:选择HTTPS方式调用RESTAPI(推荐)配置Azure中运行的应用端点使用HTTPS在IIS上通过TLS实现Web客户端与效劳器之间的加密AzurePortalAzureDataCenterAzureDataCenter34空闲时加密虚拟机:数据盘-使用BitLocker进行全盘加密启动盘–使用Bitlocker和Partner的相关解决方案SQLServer–透明的数据和列级别加密文件和文件夹-WinSvr中的EFS加密存储:使用Azure导入导出效劳时开启Bitlocker加密StorSimple使用AES-256加密机制应用:客户端方面通过.NETCryptoAPI进行加密为应用程序提供RMS效劳和SDK加密方式RMSSDK.NETCryptoSQLTDEBitlockerPartnersEFS虚拟机应用存储BitlockerStorSimple35数据隔离存储隔离:通过存储访问密钥和共享访问签名密钥(SAS)进行访问存储块由Hypervisor进行哈希计算并分配给用户使用SQL隔离:SQLDatabase使用SQL账户进行隔离网络隔离:主机级别上的虚拟交换机默认阻止租户之间的网络交换FabricController客户管理员GuestVMGuestVMCustomer2GuestVMCustomer1PortalSMAPIEndUsersHostOSHypervisorMicrosoftAzureAzureStorageSQLDatabase访问控制数据存储位置和冗余Note:MicrosoftAzuredatacenters,Australia–Q2FY15AZURE:在每个数据中心创立数据的三个副本提供相隔至少400英里以上的另外数据中心的数据复制默认在大洲之间不传输用户的数据.(如从US到Europe或者是从Asia到US)客户:选择数据所驻留的位置配置数据的复制方式37数据删除数据销毁磁盘处理兼容国际指标NIST800-88有缺陷的/损坏的磁盘将在数据中心进行销毁指向数据源位置的指针立即被删除异地复制的数据(指针)进行异步删除用户只能从他们已经写过数据的磁盘空间中进行读操作磁盘处理隐私保护的控制融入到Azure平台整体的设计和运营中间用户数据仅用于提供服务,绝对不会被用于任何广告投放上数据处理协议遵从欧盟示范条款(EUModelClauses)和HIPAABAA限制数据的访问与使用合同承诺为保护隐私而设计为保护隐私进行设计39限制使用Azure从不分享用户的数据给广告效劳商Azure从不挖掘用户的数据用于任何广告请注意读取其他云效劳供给商的隐私声明小字合同承诺欧盟数据隐私保护认证微软会坚定的履行其合同承诺来保护用户的数据,这些数据均在HIPAABAA,数据处理协议和欧盟用户数据处理示范条款等各种规范中被保护企业级的云服务平台可针对每个行业/地区提供更加具体的隐私保护机制微软满足保护欧洲客户数据隐私的最高标准微软为用户提供了欧盟示范条款来帮助客户考虑在跨国界转移用户数据方面的工作微软的做法被欧盟数据保护委员会认可并批准,成为第一个通过此认证的公司广泛的合同范围ISO27001SOC1Type2SOC2Type2FedRAMP/FISMAPCIDSSLevel1UKG-CloudHIPAA/HITECH信息平安标准有效的控制政府与行业认证简化合规性42

合规性的持续改进平安分析风险管理与最正确实践平安标准分析测试和审核平安合规框架按照商业和工业方面的要求设置平安目标执行平安分析和最正确实践,用于检测和应对威胁通过各类隐私方面的认证来确保合规性的标准足够高持续的监控,测试和审核合规性情况为新推出的效劳不断更新证书业务目标行业标准与法规证书和认证工作43类别描述ISO/IEC27001TheISO/IEC27001:2005certificatevalidatesthatAzurehasimplementedtheinternationallyrecognizedinformationsecuritycontrolsdefinedinthisstandard.SOC1

SSAE16/ISAE3402AzurehasalsobeenauditedagainsttheServiceOrganizationControl(SOC)reportingframeworkforSOC1Type2(formerlySAS70),attestingtothedesignandoperatingeffectivenessofitscontrols.SOC2AzurehasbeenauditedforSOC2Type2,whichincludesafurtherexaminationofAzurecontrolsrelatedtosecurity,availability,andconfidentialityFedRAMP/FISMAAzurehasreceivedProvisionalAuthorizationtoOperatefromtheFederalRiskandAuthorizationManagementProgram(FedRAMP)JointAuthorizationBoard(JAB),havingundergonetheassessmentsnecessarytoverifythatitmeetsFedRAMPsecuritystandards.PCIDSSLevel1AzurehasbeenvalidatedforPCI-DSSLevel1compliancebyanindependentQualifiedSecurityAssessor(QSA).UKG-CloudIL2IntheUnitedKingdom,AzurehasbeenawardedImpactLevel2(IL2)accreditation,furtherenhancingMicrosoftanditspartnerofferingsonthecurrentG-CloudprocurementFrameworkandCloudStore.HIPAABAATohelpcustomerscomplywithHIPAAandHITECHActsecurityandprivacyprovisions,MicrosoftoffersaHIPAABusinessAssociateAgreement(BAA)tohealthcareentitieswithaccesstoProtectedHealthInformation(PHI).相关认证针对现代化企业设计的统一平台微软的承诺增强平安保护隐私简化合规微软云效劳被这些行业的龙头企业所信任45AzureMooncake

平安和隐私以及合规性问题解答46AzureMooncake根本情况Mooncake平安概述-148Mooncake平安概述-2平安控制和功能WindowsAzure为客户提供一个可信赖的平台，以供他们设计、构建和管理自己的平安云应用程序以及根底结构。24小时监视物理平安性：采取物理措施构造、管理和监视数据中心，防止未经授权访问数据和效劳以及防范一些环境风险。监视和日志记录：借助集中式的监视、相关性和分析系统〔可用于管理由环境内的设备生成的大量信息〕来监视平安性，并提供及时警报。此外，提供多种级别的监视、日志记录和报告，方便客户了解平安状况。修补：使用集成的部署系统来管理平安修补程序的分发和安装。对于WindowsAzure中部署的虚拟机，客户可以采用相似的修补管理流程。入侵检测和DDoS：入侵检测和防护系统、拒绝效劳攻击防护、定期渗透测试和法医式工具帮助识别WindowsAzure内部和外部的潜在威胁并加以预防。49Mooncake平安概述-3平安控制和功能不授予长期使用的权限：默认情况下，拒绝运营和支持人员访问客户数据。授予他们权限时，谨慎管理和记录其访问情况。数据中心对存储客户数据的系统的访问通过锁箱流程进行严格控制。隔离：Azure使用网络隔离来防止部署之间不必要的通信，通过访问控制阻止未授权的用户访问系统。虚拟机不接收来自Internet的传入流量，除非客户配置它们接收。Azure虚拟网络：客户可以选择将多个部署分配给一个隔离的虚拟网络，并允许这些部署通过私有IP地址进行相互通信。加密的通信：内置的SSL和TLS加密方法使用户可以加密部署内、部署之间、从WindowsAzure到本地数据中心以及从WindowsAzure到管理员和用户的通信。数据加密：Azure提供包括AES-256在内的各种加密功能，便于客户采用满足自己需求的最正确方法。标识和访问权限：通过AzureActiveDirectory，客户可以管理对WindowsAzure、Office365和其他云应用程序的访问。实施多重身份验证和访问监视，进一步提高了平安性。50Mooncake隐私概述51Mooncake合规性概述-1我们与客户合作以帮助其满足法规要求。通过为客户提供合规的、独立验证的云效劳，我们使客户能够更轻松地实现其在WindowsAzure中运行的根底结构和应用程序的合规性。我们为WindowsAzure客户提供了有关我们的平安性和合规性方案的信息，旨在帮助客户针对其自己的法律和法规要求评估我们的效劳。此外，我们还开发了一个可扩展的合规性框架，可通过该框架使用一组控件来设计和构建效劳，从而加速并简化跨一组不同的法规的合规性的实现，并快速适应规章制度的变更。ISO/IEC27001:2005审核和认证ISO27001是全球最正确平安基准之一。由世纪互联运营的WindowsAzure已实施ISO27001定义的严格物理、逻辑、流程和管理控制。世纪互联承诺每年基于ISO/IEC27001:2005〔这是一种适用范围广泛的国际信息平安标准〕进行认证。ISO/IEC27001:2005证书确认世纪互联已实施此标准中定义的国际上认可的信息平安控制措施，包括有关启动、实施、维护和改进组织中的信息平安管理的指南和一般原那么。ISO范围：信息平安管理系统(ISMS)，其中包含了操作、平安和对商务流程管理。该证书由北京赛西认证有限责任公司(CESI)公开颁发。52Mooncake合规性概述-253Mooncake合规性概述-354Mooncake信任中心信任中心首页:://常见问题解答:://平安与隐私的说明文档://555621V方面目前能提供的招投标资源(见右)AzureMooncake法律中心:/AzureMooncake支持方案:/Azure效劳的SLA指标://其他资料Getstartedtoday!TalktoaMicrosoftsecurityexpertExploreadditionalresources:TrustworthyComputingCloudServices:MicrosoftTrustCenterforMicrosoftAzure:://AuditCertified*InProgressAnnualUpdateAnnualupdateContinuousComplianceCompliancebyServiceAzureISO/IEC27001:2005SOC1andSOC2

SSAE16/ISAE3402FedRAMPPCIDSSUKG-CloudHIPAABAAEUModelClausesCompute

VirtualMachinesŸŸŸŸŸŸŸCloudServicesŸŸŸŸŸŸŸWebsitesŸŸŸŸŸŸMobileServicesŸŸŸŸŸŸDataServices

StorageŸŸŸŸŸŸŸSQLDatabaseŸŸŸŸŸŸHDInsightŸŸŸ

CacheBackup

Ÿ

SiteRecoveryAppServices

ActiveDirectoryŸŸ

ŸŸŸŸServiceBusŸŸ

ŸŸŸŸMediaServicesŸŸ

ŸŸŸŸNotificationHubs

Ÿ

Ÿ

Multi-FactorAuthenticationŸŸ

ŸŸŸŸBizTalkServicesŸ

ŸŸŸŸScheduler

CDN

RightsManagementServiceŸ

Ÿ

Ÿ

ŸNetworkServices

VirtualNetworkŸŸŸŸŸŸŸTrafficManagerŸŸŸŸŸŸŸExpressRoute

Securitypartners:BarracudaNextGenerationFirewallforPublic/PrivateCloudSecureRemoteAccesstoAzureCrossPremiseConnectivityGranularSecurity&PolicyManagementKeyUseCasesSecureHighSpeedVPNConnections(>1Gbps)Deployingmulti-tiernetworkarchitecturesMultisite-to-siteconnectivityBarracudaNGFirewallComprehensiveSolutionforApplicationSecurityProvidesconstantprotectionfromevolvingthreatsScalableapplicationsecurityGranularidentityandaccessmanagementKeyUseCasesApplicationsecurityforwebapplicationsSecuring&scalingelasticapplicationsTMGreplacementforpublishingSharePointinAzureBarracudaWebApplicationFirewallSecuritypartners:AlertLogicAlertLogicThreatManager™AlertLogicWebSecurityManager™AlertLogicLogManager™AlertLogicUnifiedWebUserInterfaceFullyManagedIntrusionDetection&

VulnerabilityScanningFullyManagedLogManagement&

ComplianceReportingFullyManagedActiveProtectionforWebApplications

61政府准入问题没有后门增强的平安AZURE:不向任何政府提供直接或随意访问您的数据的方式.不协助任何政府的工作人员来解密已经加密的数据,或者是提供在数据传输和存储中被加密数据的密钥不设计任何产品上的后门,我们通过明确的措施来确保政府可以