Обзор архитектуры
Что такое microsoft веб-службы?
Microsoft веб-службы — это облачные службы, предлагаемые корпорацией Майкрософт, включая Azure, Dynamics 365 и Microsoft 365. Каждая служба предлагает уникальные решения для общих потребностей бизнеса и производительности, обслуживая клиентов по всему миру, от малого бизнеса до крупных предприятий и правительств. Глобально распределенные центры обработки данных, подключенные независимо управляемой сетевой инфраструктурой Майкрософт, выступают в качестве магистрали для поддержки веб-службы, обеспечивая возможность поддерживать доступность практически в любой ситуации и масштабироваться в соответствии с массовым спросом во всем мире.
Все веб-службы Майкрософт имеют одинаковую цель — защитить инфраструктуру служб, которой они управляют, и данные своих клиентов, но каждая веб-служба управляется отдельным бизнес-подразделением. Во многих случаях средства управления безопасностью реализуются одинаково во всех службах, но в некоторых случаях они используют другой подход к выполнению своих обещаний клиентов и обязательств по соответствию.
Что такое Azure?
Microsoft Azure — это платформа облачных вычислений для создания, развертывания приложений и управления ими через глобальную сеть управляемых центров обработки данных Майкрософт и сторонних поставщиков. Она поддерживает модели облачных служб "платформа как услуга" (PaaS) и "инфраструктура как услуга" (IaaS), а также предоставляет гибридные решения, которые интегрируют облачные службы с локальными ресурсами клиентов. Microsoft Azure поддерживает множество клиентов, партнеров и государственных организаций, которые охватывают широкий спектр продуктов и служб, географических регионов и отраслей. Microsoft Azure предназначен для удовлетворения требований к безопасности, конфиденциальности и соответствию.
Что такое Dynamics 365?
Dynamics 365 — это пакет веб-бизнес-приложений, который интегрирует возможности управления отношениями с клиентами (CRM) и его расширения с возможностями планирования ресурсов предприятия (ERP). Эти комплексные бизнес-приложения помогают клиентам превращать отношения в доход, зарабатывать клиентов и ускорять рост бизнеса. Dynamics 365 — это пакет SaaS (программное обеспечение как услуга), основанный на инфраструктуре Azure и доступный клиентам по всему миру через глобально распределенные центры обработки данных.
Что такое Microsoft 365?
Microsoft 365 — это облачная версия Office, Windows 10, Enterprise Mobility + Security и соответствие требованиям на основе подписки. Клиенты Microsoft 365 получают такие клиенты, как Outlook и Windows, а также пользуются преимуществами служб, размещенных корпорацией Майкрософт от их имени, таких как Exchange Online, Microsoft Teams и SharePoint Online. Все компоненты службы регулярно обновляются в рамках модели подписки, чтобы у наших клиентов был "вечнозеленый" продукт. Корпорация Майкрософт управляет инфраструктурой служб от имени клиентов, что означает, что корпорация Майкрософт отвечает за защиту инфраструктуры, в которую хранятся данные клиентов.
С точки зрения масштаба корпорация Майкрософт в настоящее время использует около миллиона компьютеров для работы служб Microsoft 365. Инфраструктура, на основе этих служб, широко зависит от оборудования служб и виртуализированных сред в Azure, Windows и Linux, а также на мультитенантных и выделенных платформах. Microsoft 365 — это глобальный бизнес, и наша инфраструктура распространяется в центрах обработки данных по всему миру, что позволяет нашим клиентам соответствовать требованиям к месту расположения данных и независимости.
Как microsoft веб-службы обеспечить изоляцию между клиентами?
Облачные службы Майкрософт основаны на предположении, что все клиенты потенциально враждебны по отношению ко всем остальным клиентам. Чтобы правильно изолировать клиентов друг от друга, корпорация Майкрософт реализует различные технологии и элементы управления изоляцией. Эти средства управления предназначены для защиты от утечки информации или несанкционированного доступа к данным клиента между клиентами и предотвращения негативного влияния действий одного клиента на службу для другого клиента.
Содержимое клиента логически изолировано в клиентах с помощью Microsoft Entra ID. Проверка подлинности пользователей в Microsoft веб-службы проверяет не только удостоверение пользователя, но и удостоверение клиента, в состав которой входит учетная запись пользователя, что предотвращает доступ пользователей к данным за пределами среды клиента. Чтобы дополнить логическую изоляцию Microsoft Entra ID, содержимое клиента всегда шифруется при хранении и передаче. Отдельные службы также могут предоставлять дополнительные уровни изоляции клиента, такие как изоляция данных клиента SharePoint Online в отдельных зашифрованных базах данных.
Как корпорация Майкрософт веб-службы инженерии устойчивых служб, которые позволяют избежать отдельных точек сбоя?
Корпорация Майкрософт разрабатывает и создает облачные службы для повышения надежности и минимизации негативных последствий для клиентов в условиях сбоев и проблем с нормальной работой. Эта стратегия начинается с проектирования сети, соединяющей наши географически распределенные центры обработки данных. Сетевая архитектура Майкрософт включает прямые подключения и несколько сетевых путей. Корпорация Майкрософт веб-службы использовать эту избыточность для автоматической маршрутизации трафика вокруг сбоев для улучшения качества обслуживания.
По возможности microsoft веб-службы развертываются в конфигурациях "активный-активный" с автоматизированным мониторингом работоспособности служб, что позволяет службе обнаруживать и восстанавливаться после многих распространенных ошибок и сбоев без вмешательства человека. Помимо конфигураций "активный-активный", Корпорация Майкрософт веб-службы повысить отказоустойчивость, обеспечивая развертывание службы в отдельных зонах сбоя, предотвращая сбой в одной зоне от влияния на доступность других зон.
Устойчивость данных дополняет устойчивость службы, защищая целостность и доступность данных в Microsoft веб-службы. Наши службы используют избыточность локального хранилища и геоизбыточность для репликации копий данных клиентов в различные зоны сбоя. Если данные повреждены или потеряны в одной зоне сбоя, доступ к ним можно получить в другой зоне сбоя без потери доступности. Автоматическая проверка целостности автоматически восстанавливает данные, затронутые различными видами физического или логического повреждения. Корпорация Майкрософт также предоставляет клиентам средства для восстановления данных, случайно удаленных или измененных клиентом, в таких службах, как Exchange Online и SharePoint Online.
Как Корпорация Майкрософт веб-службы отслеживать зависимости и предотвращать несанкционированные подключения к внешней системе?
Команды microsoft веб-службы определяют критически важные компоненты системы и их зависимости в рамках управления непрерывностью бизнес-процессов. Кроме того, корпорация Майкрософт документирует и отслеживает все подключения к внешней системе, чтобы гарантировать, что в конфигурациях брандмауэра сети разрешены только авторизованные подключения. Системы, зависимости и внешние подключения Microsoft веб-службы описаны в архитектуре информационной безопасности Microsoft веб-службы. Как архитектура информационной безопасности, так и соответствующие схемы потока данных проверяются и обновляются как минимум раз в год, а также при внесении значительных изменений в систему.
Архитектура Microsoft веб-службы проверяется регулярно и автоматически с помощью облачных средств для проверки соответствия нашим принципам безопасности и непрерывного тестирования функций изоляции и устойчивости. Проверка архитектуры позволяет автоматически определять экземпляры, в которых текущее состояние службы отклоняется от нужного состояния, помечая любые отклонения для проверки и устранения рисков. Цель проверки архитектуры — обеспечить, чтобы возможности безопасности нашей инфраструктуры служб продолжали функционировать должным образом.
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с архитектурой, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| ISO 27001/27002 Заявление о применимости Сертификат |
A.6. Организация информационной безопасности A.13.1. Управление безопасностью сети A.17.2: Избыточность |
6 ноября 2023 г. |
| ISO 27017 Заявление о применимости Сертификат |
A.6. Организация информационной безопасности A.13.1. Управление безопасностью сети A.17.2: Избыточность |
6 ноября 2023 г. |
| SOC 1; SOC 2; SOC 3 |
BC-1: планы непрерывности бизнес-процессов BC-3: процедуры BCDR BC-4: тестирование BCDR BC-5: оценки рисков непрерывности бизнес-процессов BC-6: обеспечение непрерывности бизнес-процессов сторонних производителей BC-7: процедуры непрерывности бизнес-процессов центра обработки данных BC-8: тестирование непрерывности бизнес-процессов в центре обработки данных BC-9: оценка устойчивости центра обработки данных DS-6: избыточность критически важных компонентов DS-7: репликация данных клиента DS-14: восстановление обслуживания клиентов DS-16: разделение данных клиентов |
17 ноября 2023 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP (Office 365) | AC-4: принудительное применение потока информации CP-9: резервное копирование информационной системы PL-8: архитектура информационной безопасности SC-7: защита границ SC-22: архитектура и подготовка |
31 июля 2023 г. |
| ISO 27001/27002/27017 Заявление о применимости Сертификация (27001/27002) Сертификация (27017) |
A.6. Организация информационной безопасности A.13.1. Управление безопасностью сети A.17.2: Избыточность |
Март 2024 г. |
| SOC 1; | CA-37: изоляция клиента CA-49: политики резервного копирования CA-51: репликация данных |
23 января 2024 г. |
| SOC 2; | CA-05: схемы потоков данных CA-37: изоляция клиента CA-49: политики резервного копирования CA-51: репликация данных |
23 января 2024 г. |
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по