Comprendre l’isolation du réseau, du service et des clients dans Microsoft 365
Les limites d’effraction sont un principe de sécurité essentiel qui informe la conception de Microsoft 365. Les services Microsoft 365 sont basés sur une infrastructure partagée et sont conçus pour empêcher les actions d’un locataire d’affecter la sécurité ou d’accéder au contenu d’autres locataires. Microsoft 365 tire parti de l’isolation de réseau, de service et de locataire pour créer des limites d’effraction dans nos services, en empêchant qu'un compromis d'une limite ne conduise à un compromis dans d'autres limites.
Isolation de réseau et de service
L’objectif de l’isolation du réseau est de limiter la possibilité de communications entre différentes parties de l’infrastructure du service Microsoft 365, à l’exception du minimum nécessaire au fonctionnement du service. Les services Microsoft 365 interagissent entre eux mais sont conçus et implémentés de manière à pouvoir être déployés et exploités en tant que services autonomes et indépendants. De plus, le trafic client dans les services en ligne est isolé de notre réseau d’entreprise. Combiné à d'autres contrôles, tels que notre implémentation de l'accès permanent zéro du moindre privilège, l'isolation du réseau et des services nous permettent d'établir des limites d'effraction entre les services et les composants de services au sein de Microsoft 365.
Dans la base, l’isolation de réseau dans Microsoft 365 est conçue pour bloquer le trafic superflu et non autorisé entre les composants de service et les segments réseau. L’isolation du réseau consiste non seulement à empêcher l’authentification indésirable d’un service à un autre. Elle aide également nos services à se défendre contre les attaques non authentifiées. Certaines des attaques « jour zéro » les plus risquées concernent l’exécution de code à distance non authentifié (RCE) qui exploite les chemins d’accès réseau sensibles entre les ordinateurs. La possibilité d’établir une connexion avec une cible avant que l’authentification ne soit tentée doit être limitée autant que possible. L’isolation réseau renforcée dans Microsoft 365 fournit une protection critique contre ces types d’attaques.
L’infrastructure cloud de Microsoft surveille et contrôle le trafic réseau aux limites externes, limites internes clé et sur les hôtes utilisant les listes de contrôle d’accès (ACL). Les Listes de contrôle d’accès sont le mécanisme préféré pour la restriction des communications et sont implémentées à l’aide d’appareils réseau tels que des routeurs, des pare-feux réseau et basés sur l’hôte et les Groupes de sécurité réseau Azure (NSG). Un trafic réseau qui ne répond pas à un besoin opérationnel spécifique est refusé par défaut. Nous examinons étroitement toutes les règles du trafic réseau dans le cadre de la maintenance de notre architecture et des diagrammes de flux de données (DFD). Les DFD documentent les flux réseau approuvés entre les composants de service et aident nos ingénieurs à visualiser les modèles de trafic réseau et à limiter le trafic superflu aux couches hôte, pare-feu et routeur du réseau.
Lorsque les services de base de Microsoft 365 se développent, le trafic provenant de la capacité nouvellement fournie vers des parties du service déjà établies est refusé par défaut. Les équipes doivent ouvrir manuellement les chemins d’accès réseau nécessaires à l’exécution d’une nouvelle fonctionnalité de service, et nous examinons étroitement toute tentative d'exécution pour nous assurer que seuls les chemins d'accès minimaux requis sont ouverts. Nos principes clés de sécurité s'appliquent ici ; même une capacité fraîchement fournie n'est pas considérée comme sûre, et nos stratégies d'isolation réseau sont automatiquement appliquées au fur et à mesure de l'évolution du service.
Isolation du locataire
L'un des principaux avantages du cloud computing est la possibilité de tirer parti d'une infrastructure partagée par de nombreux clients simultanément, ce qui permet de réaliser des économies d'échelle. Ce concept est appelé architecture mutualisée. Microsoft travaille continuellement pour s’assurer que les architectures mutualisées de nos services Cloud prennent en charge les normes de sécurité, de confidentialité, de respect de la vie privée, d'intégrité et de disponibilité au niveau de l'entreprise. Tout le contenu client des locataires de Microsoft 365 est isolé des autres locataires et des données d'exploitation et des systèmes utilisés dans la gestion de Microsoft 365. Plusieurs formes de protection sont implémentées dans Microsoft 365 pour minimiser le risque de compromission d'un service ou d'une application Microsoft 365.
Les services cloud de Microsoft ont été conçus en partant du principe que tous les locataires sont potentiellement hostiles à tous les autres locataires. Par conséquent, nous avons implémenté des mesures de sécurité pour empêcher les actions d’un locataire d’affecter la sécurité ou d’accéder au contenu d’un autre locataire. Les deux objectifs principaux de la maintenance de l’isolation des locataires dans Microsoft 365 sont les suivants :
- Empêcher la fuite ou l’accès non autorisé au contenu du client entre les locataires.
- Empêcher les actions d’un locataire d’affecter le service à un autre locataire.
L’isolation logique du contenu client au sein de chaque locataire est intégrée à chaque service par conception et obtenue par le biais du contrôle d’accès Microsoft Entra ID et en fonction du rôle. Plus précisément, chaque conteneur de locataire dans Microsoft 365 est défini par l’unité d’organisation (UO) du locataire dans Microsoft Entra ID. Les locataires ont leurs propres limites de sécurité et noms d'utilisateur principal (UPN) pour empêcher les fuites d'informations et les accès non autorisés entre les locataires. L'authentification des utilisateurs dans Microsoft 365 vérifie non seulement l'identité de l'utilisateur, mais aussi celle du locataire dont le compte utilisateur fait partie, ce qui empêche les utilisateurs d'accéder aux données en dehors de leur environnement de locataire. Le chiffrement propre au locataire au niveau du service offre une couche de protection supplémentaire pour chaque client locataire.
Les services individuels peuvent fournir des couches supplémentaires d'isolation du locataire au niveau des données et des applications du service. Par exemple, SharePoint Online offre des mécanismes d’isolation des données au niveau du stockage en chiffrant et en stockant le contenu client dans des bases de données distinctes. Exchange Online nécessite une authentification au niveau de la boîte aux lettres et permet de chiffrer les boîtes aux lettres avec des clés de chiffrement gérées par le client à l’aide de la clé client.