Элементы управления изоляцией в Microsoft 365

Корпорация Майкрософт постоянно работает над тем, чтобы мультитенантная архитектура Microsoft 365 поддерживала безопасность, конфиденциальность, конфиденциальность, целостность данных, доступность и соответствовала местным и международным стандартам. Масштаб и объем услуг, предоставляемых корпорацией Майкрософт, затрудняют и непрактично управлять при значительном взаимодействии с человеком. Службы Microsoft 365 предоставляются через глобально распределенные центры обработки данных, каждый из которых высоко автоматизирован с небольшим количеством операций, требующих человеческого прикосновения или любого доступа к данным клиентов. Наши сотрудники поддерживают эти службы и центры обработки данных с помощью автоматизированных средств и высокозащищенного удаленного доступа.

Microsoft 365 состоит из нескольких служб, которые предоставляют важные бизнес-функции и способствуют общему взаимодействию. Каждая из этих служб автономна и предназначена для интеграции друг с другом. Microsoft 365 разработан на следующих принципах:

• Сервисно-ориентированная архитектура: проектирование и разработка программного обеспечения в виде взаимодействующих служб, обеспечивающих четко определенные бизнес-функции.
• Обеспечение операционной безопасности. Платформа, которая включает в себя знания, полученные с помощью различных возможностей, уникальных для корпорации Майкрософт, включая жизненный цикл разработки безопасности Майкрософт, Центр реагирования на безопасность Майкрософт и глубокое понимание ландшафта угроз кибербезопасности.

Службы Microsoft 365 работают друг с другом, но разработаны и реализованы таким образом, чтобы их можно было развертывать и эксплуатировать как автономные службы независимо друг от друга. Корпорация Майкрософт разделяет обязанности и области ответственности для Microsoft 365, чтобы уменьшить возможности несанкционированного или непреднамеренного изменения или неправильного использования активов организации. Команды Microsoft 365 определили роли как часть комплексного механизма управления доступом на основе ролей.

Изоляция клиентов

Одним из основных преимуществ облачных вычислений является концепция общей инфраструктуры для множества клиентов одновременно, что приводит к экономии за счет масштаба.

Двумя основными целями поддержания изоляции клиентов в многопользовательской среде являются:

• Предотвращение утечки данных клиента или несанкционированного доступа к ней между клиентами; И
• Предотвращение негативного влияния действий одного клиента на службу в другом клиенте.

Веб-службы Майкрософт были разработаны с учетом того, что все клиенты потенциально враждебны по отношению ко всем остальным клиентам, и мы реализовали меры безопасности, чтобы предотвратить влияние действий одного клиента на безопасность или службу другого клиента или доступ к их содержимому.

В Microsoft 365 реализовано несколько форм защиты для предотвращения компрометации служб или приложений или получения несанкционированного доступа к информации других клиентов или самих систем, в том числе:

• Логическая изоляция данных пользователей внутри каждого клиента служб Microsoft 365 достигается за счет авторизации Microsoft Entra и управления доступом на основе ролей.
• Изоляция данных на уровне хранилища для таких служб, как SharePoint Online.
• Корпорация Майкрософт использует строгие меры физической безопасности, фоновую проверку и стратегию многоуровневого шифрования для защиты конфиденциальности и целостности данных клиентов. Все центры обработки данных Microsoft 365 имеют биометрический контроль доступа, причем для большинства из них требуются отпечатки ладоней для получения физического доступа. Кроме того, все сотрудники корпорации Майкрософт, базирующиеся в США, должны успешно пройти стандартную проверку фона в рамках процесса найма. Дополнительные сведения об элементах управления, используемых для административного доступа в Microsoft 365, см. в разделе Управление учетными записями Microsoft 365.
• Microsoft 365 использует технологии на стороне службы, которые шифруют содержимое клиента при хранении и передаче, включая BitLocker, шифрование для каждого файла, безопасность транспортного уровня (TLS) и безопасность протокола Интернета (IPsec). Подробные сведения о шифровании в Microsoft 365 см. в статье Технологии шифрования данных в Microsoft 365.

Вместе перечисленные выше средства защиты обеспечивают надежные элементы управления логической изоляцией, которые обеспечивают защиту от угроз и их устранение, эквивалентные той, которая обеспечивается только физической изоляцией.

Ресурсы

• Изоляция и управление доступом в Microsoft Entra ID
• Мониторинг и тестирование границ клиента
• Изоляция и управление доступом в Microsoft 365