Compartilhar via


Visão geral da arquitetura

O que são os serviços online da Microsoft?

Os serviços online da Microsoft referem-se aos serviços baseados na cloud oferecidos pela Microsoft, que incluem o Azure, o Dynamics 365 e o Microsoft 365. Cada serviço oferece soluções únicas para operações empresariais comuns e necessidades de produtividade, ao serviço de clientes em todo o mundo, desde pequenas empresas a grandes empresas e governos. Os datacenters distribuídos globalmente ligados pela infraestrutura de rede gerida independentemente da Microsoft atuam como a base para suportar serviços online, proporcionando a capacidade de manter a disponibilidade em quase todas as situações e dimensionar para uma procura massiva a nível mundial.

Todos os serviços online da Microsoft têm o mesmo objetivo de salvaguardar a infraestrutura de serviço que gerem e os dados dos seus clientes, mas cada serviço online é operado por uma unidade de negócio separada. Em muitos casos, os controlos de segurança são implementados da mesma forma em todos os serviços, mas, em alguns casos, tomam uma abordagem diferente para cumprir as suas promessas de cliente e obrigações de conformidade.

O que é o Azure?

O Microsoft Azure é uma plataforma de computação na cloud para criar, implementar e gerir aplicações através de uma rede global de datacenters geridos pela Microsoft e de terceiros. Suporta os modelos de serviço cloud Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS) e permite soluções híbridas que integram serviços cloud com os recursos no local dos clientes. O Microsoft Azure suporta muitos clientes, parceiros e organizações governamentais que abrangem uma vasta gama de produtos e serviços, geografias e indústrias. O Microsoft Azure foi concebido para cumprir os requisitos de segurança, confidencialidade e conformidade.

O que é o Dynamics 365?

O Dynamics 365 é um conjunto de aplicações empresariais online que integra as capacidades de Gestão de Relações com Os Clientes (CRM) e as respetivas extensões com as capacidades de Planeamento de Recursos Empresariais (ERP). Estas aplicações empresariais ponto a ponto ajudam os clientes a transformar relações em receitas, a ganhar clientes e a acelerar o crescimento do negócio. O Dynamics 365 é um conjunto de aplicações SaaS (Software como Serviço) criado com base na infraestrutura do Azure e disponibilizado aos clientes de todo o mundo através dos seus datacenters distribuídos globalmente.

O que é o Microsoft 365?

O Microsoft 365 é a versão baseada na nuvem do Office, Windows 10, Enterprise Mobility + Security e Conformidade. Os clientes do Microsoft 365 obtêm clientes como o Outlook e o Windows e também beneficiam de serviços que a Microsoft aloja em seu nome, como o Exchange Online, o Microsoft Teams e o SharePoint Online. Todos os componentes do serviço são atualizados regularmente como parte do modelo de subscrição, para que os nossos clientes tenham um produto "evergreen". A Microsoft gere a infraestrutura de serviço em nome dos clientes, o que significa que a Microsoft é responsável por proteger a infraestrutura que armazena os dados dos clientes.

Em termos de dimensionamento, a Microsoft utiliza atualmente perto de um milhão de máquinas para alimentar os serviços do Microsoft 365. A infraestrutura que alimenta estes serviços varia bastante em ambientes virtualizados e hardware específicos do serviço no Azure, Windows e Linux e em plataformas multi-inquilino e dedicadas. O Microsoft 365 é um negócio global e nossa infraestrutura é distribuída em datacenters em todo o mundo, permitindo que nossos clientes atendam aos requisitos de residência e soberania de dados.

Como é que os serviços online da Microsoft garantem o isolamento entre os inquilinos dos clientes?

Os serviços cloud da Microsoft baseiam-se no pressuposto de que todos os inquilinos são potencialmente hostis a todos os outros inquilinos. Para isolar adequadamente os inquilinos uns dos outros, a Microsoft implementa várias tecnologias e controlos de isolamento. Estes controlos foram concebidos para proteger contra fugas de informações ou acesso não autorizado aos dados dos clientes entre inquilinos e para impedir que as ações de um inquilino afetem negativamente o serviço de outro inquilino.

O conteúdo do cliente é logicamente isolado nos inquilinos com o ID do Microsoft Entra. A autenticação de utilizador nos serviços online da Microsoft verifica não só a identidade do utilizador, mas também a identidade do inquilino da qual faz parte a conta de utilizador, impedindo os utilizadores de acederem a dados fora do respetivo ambiente de inquilino. Para complementar o isolamento lógico do ID do Microsoft Entra, o conteúdo do cliente é sempre encriptado em inatividade e em trânsito. Os serviços individuais também podem fornecer camadas adicionais de isolamento de inquilinos, como o isolamento do SharePoint Online de dados de inquilinos em bases de dados encriptadas separadas.

Como é que os serviços online da Microsoft concebem serviços resilientes que evitam pontos únicos de falha?

A Microsoft concebe e cria serviços cloud para maximizar a fiabilidade e minimizar os efeitos negativos nos clientes face a falhas e desafios para operações normais. Esta estratégia começa com o design da rede que liga os nossos datacenters geograficamente distribuídos. A arquitetura de rede da Microsoft inclui interligações diretas e vários caminhos de rede. Os serviços online da Microsoft utilizam esta redundância para encaminhar automaticamente o tráfego em torno de falhas para melhorar a qualidade do serviço.

Sempre que possível, os serviços online da Microsoft são implementados em configurações ativas/ativas com monitorização automatizada do estado de funcionamento do serviço, permitindo que o serviço detete e recupere de muitas falhas e falhas comuns sem intervenção humana. Além das configurações ativas/ativas, os serviços online da Microsoft aumentam a tolerância a falhas ao garantir que o serviço é implementado em zonas de falha separadas, impedindo que uma falha numa zona afete a disponibilidade de outras zonas.

A resiliência de dados complementa a resiliência do serviço ao proteger a integridade e a disponibilidade dos dados nos serviços online da Microsoft. Os nossos serviços utilizam redundância de armazenamento local e redundância geográfica para replicar cópias dos dados dos clientes em diferentes zonas de falha. Se os dados forem corrompidos ou perdidos em uma zona de falha, eles poderão ser acessados em outra zona de falha sem perda de disponibilidade. A verificação de integridade automatizada restaura automaticamente os dados afetados por muitos tipos de danos físicos ou lógicos. A Microsoft também fornece aos clientes ferramentas para restaurar dados eliminados ou modificados acidentalmente pelo cliente em serviços como o Exchange Online e o SharePoint Online.

Como é que os serviços online da Microsoft controlam as dependências e impedem ligações de sistema externo não autorizadas?

As equipas de serviços online da Microsoft identificam componentes críticos do sistema e as respetivas dependências como parte da Gestão da Continuidade do Negócio. Além disso, a Microsoft documenta e controla todas as ligações do sistema externo para garantir que apenas as ligações autorizadas são permitidas nas configurações da firewall de rede. Os sistemas de serviços online da Microsoft, as dependências e as ligações externas estão documentados na arquitetura de segurança de informações dos serviços online da Microsoft. Tanto a arquitetura de segurança de informações como os diagramas de fluxo de dados correspondentes são revistos e atualizados anualmente no mínimo, bem como sempre que forem feitas alterações significativas ao sistema.

A arquitetura dos serviços online da Microsoft é validada regularmente e automaticamente através de ferramentas baseadas na cloud para verificar o alinhamento com os nossos princípios de segurança e testar continuamente as funcionalidades de isolamento e resiliência. A validação da arquitetura funciona para identificar automaticamente as instâncias em que o estado atual do serviço se desfasou do estado pretendido, sinalizando quaisquer desvios para revisão e mitigação. O objetivo da validação da arquitetura é garantir que as capacidades de segurança da nossa infraestrutura de serviço continuam a funcionar conforme esperado.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a arquitetura.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Declaração de Aplicabilidade
Certificado
A.6: Organização de segurança de informações
A.13.1: Gestão de segurança de rede
A.17.2: Redundâncias
6 de novembro de 2023
ISO 27017

Declaração de Aplicabilidade
Certificado
A.6: Organização de segurança de informações
A.13.1: Gestão de segurança de rede
A.17.2: Redundâncias
6 de novembro de 2023
SOC 1
SOC 2
SOC 3
BC-1: Planos de continuidade de negócio
BC-3: procedimentos BCDR
BC-4: teste BCDR
BC-5: Avaliações de risco de continuidade de negócio
BC-6: Continuidade de negócio de terceiros
BC-7: Procedimentos de continuidade de negócio do Datacenter
BC-8: Teste de continuidade de negócio do Datacenter
BC-9: Avaliação da resiliência do datacenter
DS-6: Redundância de componentes críticos
DS-7: Replicação de dados do cliente
DS-14: Restauro dos serviços ao cliente
DS-16: Segregação de dados do cliente
20 de maio de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP (Office 365) AC-4: Imposição do fluxo de informações
CP-9: Cópia de segurança do sistema de informações
PL-8: Arquitetura de segurança de informações
SC-7: Proteção de limites
SC-22: Arquitetura e aprovisionamento
31 de julho de 2023
ISO 27001/27002/27017

Declaração de Aplicabilidade
Certificação (27001/27002)
Certificação (27017)
A.6: Organização de segurança de informações
A.13.1: Gestão de segurança de rede
A.17.2: Redundâncias
Março de 2024
SOC 1 CA-37: Isolamento de inquilinos
CA-49: Políticas de cópia de segurança
CA-51: Replicação de dados
23 de janeiro de 2024
SOC 2 CA-05: Diagramas de fluxo de dados
CA-37: Isolamento de inquilinos
CA-49: Políticas de cópia de segurança
CA-51: Replicação de dados
23 de janeiro de 2024

Recursos