Controlli di isolamento Microsoft 365

Microsoft lavora continuamente per garantire che l'architettura multi-tenant di Microsoft 365 supporti la sicurezza, la riservatezza, la privacy, l'integrità, la disponibilità e gli standard locali e internazionali a livello aziendale. La scalabilità e l'ambito dei servizi forniti da Microsoft rendono difficile e poco pratico gestire con un'interazione umana significativa. I servizi di Microsoft 365 vengono forniti tramite data center distribuiti a livello globale, ognuno altamente automatizzato con poche operazioni che richiedono un tocco umano o qualsiasi accesso ai dati dei clienti. Il nostro personale supporta questi servizi e data center usando strumenti automatizzati e accesso remoto altamente sicuro.

Microsoft 365 è composto da più servizi che forniscono importanti funzionalità aziendali e contribuiscono all'esperienza complessiva. Ognuno di questi servizi è autonomo e progettato per un'integrazione reciproca. Microsoft 365 è progettato con i principi seguenti:

• Architettura orientata ai servizi: progettazione e sviluppo di software sotto forma di servizi interoperabili che forniscono funzionalità aziendali ben definite.
• Garanzia della sicurezza operativa: un framework che incorpora le conoscenze acquisite tramite varie funzionalità esclusive di Microsoft, tra cui il ciclo di vita dello sviluppo della sicurezza Microsoft, microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la cybersecurity.

I servizi di Microsoft 365 operano tra loro, ma sono progettati e implementati in modo che possano essere distribuiti e gestiti come servizi autonomi, indipendentemente l'uno dall'altro. Microsoft suddivide le mansioni e le aree di responsabilità per Microsoft 365 per ridurre le opportunità di modifica non autorizzata o non intenzionale o di uso improprio delle risorse dell'organizzazione. I team di Microsoft 365 hanno ruoli definiti come parte di un meccanismo completo di controllo degli accessi in base al ruolo.

Isolamento dei tenant

Uno dei principali vantaggi del cloud computing è il concetto di un'infrastruttura comune e condivisa da numerosi clienti contemporaneamente, con conseguenti economie di scala.

I due obiettivi principali del mantenimento dell'isolamento dei tenant in un ambiente multitenant sono:

• Impedire la perdita o l'accesso non autorizzato ai dati dei clienti tra i tenant; E
• Impedire che le azioni di un tenant influiscano negativamente sul servizio di un altro tenant.

I servizi online Microsoft sono stati progettati con il presupposto che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant e sono state implementate misure di sicurezza per impedire che le azioni di un tenant influiscano sulla sicurezza o sul servizio di un altro tenant o sull'accesso al contenuto.

In Microsoft 365 sono state implementate più forme di protezione per impedire la compromissione di servizi o applicazioni o l'accesso non autorizzato alle informazioni di altri tenant o sistemi stessi, tra cui:

• L'isolamento logico dei dati dei clienti all'interno di ciascun tenant per i servizi Microsoft 365 è ottenuto grazie all'autorizzazione Microsoft Entra e al controllo degli accessi basato sui ruoli.
• Isolamento dei dati a livello di archiviazione per servizi come SharePoint Online.
• Per proteggere la riservatezza e l'integrità dei dati dei clienti, Microsoft si avvale di una rigorosa sicurezza fisica, di un controllo dei precedenti e di una strategia di crittografia a più livelli. Tutti i data center di Microsoft 365 dispongono di controlli biometrici per l'accesso, la maggior parte dei quali richiede l'impronta del palmo della mano per ottenere l'accesso fisico. Inoltre, tutti i dipendenti Microsoft con sede negli Stati Uniti sono tenuti a completare correttamente un controllo dei precedenti standard come parte del processo di assunzione. Per ulteriori informazioni sui controlli utilizzati per l'accesso amministrativo in Microsoft 365, vedi Gestione account Microsoft 365.
• Microsoft 365 usa tecnologie lato servizio che crittografano il contenuto dei clienti sia inattivo che in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPSec (Internet Protocol Security). Per informazioni specifiche sulla crittografia in Microsoft 365, vedi Tecnologie di crittografia dei dati in Microsoft 365.

Insieme, le protezioni sopra elencate offrono controlli di isolamento logico affidabili che forniscono protezione dalle minacce e mitigazione equivalenti a quelli forniti solo dall'isolamento fisico.

Risorse

• Isolamento e controllo di accesso in Microsoft Entra ID
• Monitoraggio e test dei limiti del tenant
• Isolamento e controllo di accesso in Microsoft 365