Condividi tramite

In che modo SharePoint e OneDrive proteggono i dati nel cloud

  • Articolo

Tu controlli i tuoi dati. Quando inserisci i dati in SharePoint e OneDrive per Microsoft 365, rimani il proprietario dei dati. Per altre informazioni sulla proprietà dei dati, vedi Microsoft 365 Privacy per progettazione.

Come trattiamo i dati

I tecnici Microsoft amministrano SharePoint e OneDrive tramite una console di PowerShell che richiede l'autenticazione a due fattori. Eseguiamo attività quotidiane eseguendo flussi di lavoro in modo da poter rispondere rapidamente a nuove situazioni. Le archiviazioni nel servizio richiedono la revisione del codice e l'approvazione della gestione.

Nessun tecnico ha accesso permanente al servizio. Quando i tecnici necessitano dell'accesso, devono richiederlo. L'idoneità viene controllata e, se l'accesso del tecnico viene approvato, è solo per un periodo di tempo limitato. In rari casi in cui i tecnici Microsoft hanno bisogno di accedere al contenuto (ad esempio, se invii un ticket di supporto perché un utente non può accedere a un file importante che riteniamo danneggiato), i tecnici devono archiviare un flusso di lavoro specifico che richiede una giustificazione aziendale e l'approvazione del responsabile. Viene generato un evento di controllo che puoi visualizzare nell’ interfaccia di amministrazione di Microsoft 365. Puoi anche attivare una funzionalità denominata Customer Lockbox, quindi devi approvare la richiesta. Il tecnico ottiene l'accesso solo al file in questione. Per informazioni su come attivare o disattivare Customer Lockbox e approvare e negare le richieste, vedere Richieste di Microsoft Purview Customer Lockbox.

Come proteggere i dati

Una delle cose più importanti che puoi fare per proteggere i tuoi dati è richiedere l'autenticazione a due fattori per le identità in Microsoft 365. Questo impedisce l'uso delle credenziali senza un secondo fattore e riduce l'impatto delle password compromesse. Il secondo fattore può essere ottenuto tramite una chiamata telefonica, un SMS o un'app. Quando si distribuisce l'autenticazione a due fattori, iniziare con gli amministratori globali e quindi con altri amministratori e amministratori della raccolta siti. Per informazioni su come fare, vedi Configurare l'autenticazione a più fattori per gli utenti di Microsoft 365.

Altre cose consigliate per aumentare la sicurezza:

Protezione dei dati in transito e inattivi

Protezione dei dati in transito

Quando i dati transitano nel servizio dai client e tra i data center, vengono protetti con la migliore crittografia. Per informazioni, vedi Crittografia dei dati in OneDrive e SharePoint. È consentito solo l'accesso sicuro. Non verranno effettuate connessioni autenticate tramite HTTP, ma verranno invece reindirizzate a HTTPS.

Protezione dei dati inattivi

Protezione fisica: solo un numero limitato di membri essenziali del personale può accedere ai data center. Le loro identità vengono verificate con più fattori di autenticazione, tra cui smart card e biometria. Sono presenti agenti d sicurezza locali, sensori di movimento e videosorveglianza. Gli avvisi di rilevamento delle intrusioni monitorano le attività anomale.

Protezione di rete: le reti e le identità sono isolate dalla rete aziendale Microsoft. Il servizio viene amministrato con domini di Active Directory dedicati, sono disponibili domini separati per test e produzione e il dominio di produzione è suddiviso in più domini isolati per l'affidabilità e la sicurezza. Per altre informazioni sulla sicurezza fisica e logica predefinita di Microsoft 365, vediSicurezza predefinita di Microsoft 365.

Sicurezza delle applicazioni: i tecnici che creano le funzionalità seguono il ciclo di vita dello sviluppo della sicurezza. Le analisi automatizzate e manuali consentono di identificare le possibili vulnerabilità. Il Microsoft Security Response Center (Microsoft Security Response Center) consente di analizzare i report di vulnerabilità in arrivo e valutare le mitigazioni. Tramite Microsoft Cloud Bug Bounty, le persone di tutto il mondo possono guadagnare denaro segnalando vulnerabilità. Per altre informazioni, vedi Condizioni di Microsoft Cloud Bug Bounty.

Protezione del contenuto: i dati vengono crittografati a livello di disco usando la crittografia BitLocker e a livello di file tramite chiavi. Per informazioni, vedi Crittografia dei dati in OneDrive e SharePoint. Per informazioni sull'uso della chiave del cliente per fornire e controllare le chiavi usate per crittografare i dati inattivi in Microsoft 365, vedere Domande frequenti sulla crittografia del servizio con Microsoft Purview Customer Key.

Il motore antimalware Microsoft 365 analizza i documenti in fase di caricamento per individuare contenuti corrispondenti a una firma AV (aggiornata ogni ora). Per informazioni, vedi Rilevamento dei virus in SharePoint. Per una protezione più avanzata, usa Microsoft 365 Advanced Threat Protection (ATP). ATP analizza il contenuto condiviso e applica l'intelligence e l'analisi delle minacce per identificare minacce sofisticate. Per informazioni, vedi Microsoft 365 Advanced Threat Protection.

Per limitare il rischio che il contenuto venga scaricato in dispositivi non attendibili:

Per gestire il contenuto inattivo:

Disponibilità elevata, sempre ripristinabile

I nostri data center sono distribuiti geograficamente all'interno dell'area geografica e a tolleranza di errore. II dati vengono sottoposti a mirroring in almeno due data center per ridurre l'impatto di una calamità naturale o di un'interruzione del servizio. Per altre informazioni, vedere Dove vengono archiviati i dati dei clienti di Microsoft 365.

I backup dei metadati vengono conservati per 14 giorni e possono essere ripristinati in qualsiasi momento entro una finestra di cinque minuti.

In caso di un attacco ransomware, puoi usare la cronologia delle versioni (Abilitare e configurare il controllo delle versioni per un elenco o una raccolta) per eseguire il rollback, e il Cestino o il Cestino della raccolta siti per ripristinare (Ripristinare gli elementi eliminati dal Cestino della raccolta siti). Se un elemento viene rimosso dal Cestino della raccolta siti, puoi chiamare il supporto entro 14 giorni per accedere a un backup. Per informazioni sulla nuova funzionalità Ripristino file che consente agli utenti di ripristinare un intero OneDrive in qualsiasi punto negli ultimi 30 giorni, vedi Ripristinare OneDrive.

Convalida continua

Monitoriamo continuamente i data center per mantenerli integri e sicuri. Questa operazione inizia con l'inventario. Un agente di inventario analizza ogni subnet alla ricerca di vicini. Per ogni computer viene eseguita un'acquisizione dello stato.

Dopo aver creato un inventario, è possibile monitorare e correggere l'integrità dei computer. Il training delle patch di sicurezza applica le patch, aggiorna le firme antivirus e verifica che sia stata salvata una configurazione valida nota. Abbiamo una logica specifica del ruolo che garantisce l’applicazione di una patch o la rotazione solo di una determinata percentuale di computer alla volta.

Abbiamo un flusso di lavoro automatizzato per identificare i computer che non soddisfano i criteri e accodarli per la sostituzione.

Il Microsoft 365 "Red Team" all'interno di Microsoft è composto da esperti di intrusioni. Sono alla ricerca di eventuali opportunità per ottenere l'accesso non autorizzato. Il "Blue Team" è costituito da tecnici esperti in difesa che si concentrano su prevenzione, rilevamento e ripristino Costruiscono tecnologie di rilevamento e di risposta delle intrusioni. Per tenersi al passo con le conoscenze dei team di sicurezza di Microsoft, vedi il Blog su sicurezza, privacy e conformità.

Per monitorare e osservare le attività nell’abbonamento a Microsoft 365:

  • Se disponi di un centro operativo di sicurezza locale o SIEM, puoi monitorare l'attività con le API delle attività di gestione. Per informazioni, vedi Panoramica delle API di gestione di Microsoft 365. Verrà visualizzata l'attività da SharePoint, Exchange, ID Microsoft Entra, DLP e altro ancora. Se non disponi di un centro operativo di sicurezza locale o SIEM, puoi usare Cloud App Security. Cloud App Security usa le API delle attività di gestione. Per informazioni, vedi Panoramica di Microsoft 365 Cloud App Security. Tramite Cloud App Security, puoi segnalare, cercare e avvisare sulle attività.

  • Usare Microsoft Entra ID Protection. Ciò si applica all'apprendimento automatico per rilevare comportamenti sospetti degli account, ad esempio, gli accesso simultanei da parte dello stesso utente in diverse parti del mondo. È possibile configurare la protezione delle identità per intervenire per bloccare questi accessi. Per altre info, vedi Microsoft Entra ID Protection.

  • Usa Secure Score per valutare il profilo di sicurezza dell'abbonamento rispetto a una buona linea di base nota e per identificare le opportunità per aumentare la protezione. Per maggiori informazioni, visita Microsoft Secure Score.

Verificata e conforme

La conformità normativa è fondamentale per Microsoft 365. Ci assicuriamo che il servizio sia conforme agli standard normativi e di conformità. Ti aiutiamo anche a soddisfare i tuoi obblighi di controllo e conformità. Il Service Trust Portal è uno sportello unico per le informazioni sulla conformità e sulla fiducia per i servizi aziendali Microsoft. Il portale contiene report, libri bianchi, valutazioni delle vulnerabilità e guide alla conformità. Per altre informazioni su Service Trust Portal, vedi Introduzione a Microsoft Service Trust Portal.

Per soddisfare i requisiti normativi: