Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Online Services являются одними из крупнейших корпоративных и потребительских облачных служб, предлагаемых во всем мире, и они продолжают быстро расти в своей клиентской базе, продуктах и функциях. Клиенты обращаются к корпорации Майкрософт не только за ее облачными предложениями мирового уровня, но и потому, что они доверяют нам защищать свою самую конфиденциальную информацию от постоянно развивающегося ландшафта киберугры. Корпорация Майкрософт уделяет первостепенное внимание обеспечению безопасности данных клиентов и нашей инфраструктуры, если мы хотим сохранить доверие клиентов.
Защита системы такого масштаба и сложности невозможна, если безопасность является забвение, она эффективна только в том случае, если безопасность интегрирована в процессе первоначального проектирования. Для этого требуется надежная система обнаружения угроз с оперативными ответами как от автоматизированных систем, так и от высококвалифицированных инженеров. Непрерывная оценка и проверка этих систем имеют важное значение для обеспечения сохранения безопасных конфигураций и выявления ранее неизвестных уязвимостей.
Основные принципы безопасности
Следующие принципы лежат в основе нашей платформы защиты microsoft Online Services от угроз, обнаружения любых угроз и реагирования на них, непрерывной оценки состояния безопасности и улучшения служб на основе результатов этих оценок.
- Конфиденциальность данных. Клиенты владеют своими данными, а корпорация Майкрософт является хранителем. Веб-службы Майкрософт предназначены для работы без доступа инженеров к данным клиента, если они явно не запрашивают их.
- Предположим, что нарушение. Персонал и службы рассматриваются так, как будто компромисс является реальной возможностью.
- Минимальные привилегии. Доступ к ресурсам и разрешения на них ограничены только тем, что необходимо для выполнения необходимых задач.
- Границы нарушения. Удостоверения и инфраструктура на одной границе изолированы от ресурсов в других границах. Компрометация одной границы не должна привести к компрометации другой.
- Интегрированная безопасность Service Fabric. Приоритеты и требования к безопасности встроены в структуру новых функций и возможностей, обеспечивая масштабирование надежного состояния безопасности с каждой службой.
- Автоматизация и автоматизация. Корпорация Майкрософт сосредоточена на разработке устойчивых продуктов и архитектур, которые могут интеллектуально и автоматически обеспечивать безопасность служб, предоставляя инженерам Майкрософт возможность безопасно управлять реагированием на угрозы безопасности в большом масштабе.
- Адаптивная безопасность. Возможности безопасности Майкрософт адаптируются к моделям машинного обучения, обычному тестированию на проникновение и автоматизированным оценкам.
Защита
Управление доступом.
По умолчанию персонал, отвечающий за разработку и обслуживание Microsoft Online Services, имеет нулевой постоянный доступ (ZSA) к инфраструктуре служб. Хотя корпорация Майкрософт стремится нанимать только лучших инженеров и требуется тщательная проверка данных, корпорация Майкрософт не предполагает, что они по умолчанию доверяют операционным службам. Кроме того, когда инженеры получают разрешение на привилегированный доступ, им предоставляется доступ только на ограниченный срок для выполнения только действий, необходимых для определенного область инфраструктуры службы. Корпорация Майкрософт называет эти политики JIT и JIT(JIT) и Just-Enough-Access (JEA).
Несанкционированные пользователи и скомпрометированные учетные записи являются реальной возможностью в любой организации, и наши системы управления доступом предназначены для защиты от этих угроз.
Дополнительные сведения об управлении доступом см. в статье Общие сведения об управлении удостоверениями и доступом.
Шифрование
Хотя элементы управления доступом обеспечивают жизненно важную роль в защите служб Microsoft Online Services, шифрование используется на протяжении всего жизненного цикла данных для дальнейшей защиты конфиденциальности и конфиденциальности для клиентов Майкрософт.
Данные, передаваемые между клиентскими компьютерами, серверами Microsoft Online Services и серверами сторонних служб, шифруются с помощью TLS 1.2. Мы регулярно проверяем используемые шифры и протоколы, добавляя улучшенные протоколы при наличии и удаляя более слабые по мере необходимости.
Неактивное содержимое клиента на серверах Майкрософт шифруется на уровне тома с помощью BitLocker. Шифрование на уровне приложения можно дополнительно применять с помощью ключей, управляемых корпорацией Майкрософт или клиентом. Доступ к ключам, управляемым Корпорацией Майкрософт, возможен только при наличии авторизации и утверждения в процессе JIT и JEA.
Дополнительные сведения о шифровании см. в статье Общие сведения о шифровании и управлении ключами.
Изоляция сети
В соответствии с принципом минимальных привилегий корпорация Майкрософт ограничивает обмен данными между различными частями инфраструктуры служб только тем, что необходимо для работы. Весь сетевой трафик запрещен по умолчанию, при этом разрешена только явно определенная связь с законной операцией. Это ограничение устанавливает границы нарушения во всей инфраструктуре. Команды, которые хотят добавить новые сетевые пути для размещения новой функции в своей службе, должны оценить и утвердить запрос, прежде чем его можно будет открыть.
Дополнительные сведения о сетевой изоляции см. в разделах Элементы управления изоляцией Microsoft 365 и элементы управления изоляцией Azure.
Ответ & обнаружения
Мониторинг безопасности
Мониторинг безопасности в большом масштабе корпорации Майкрософт возможен только путем создания высокоточного оповещения с помощью автоматизированных облачных решений. Журналы аудита из каждой службы и данные телеметрии, собранные из всей основной инфраструктуры, отправляются в собственное централизованное решение для обработки и оповещений практически в реальном времени.
Обнаруженные угрозы устраняются с помощью автоматически активируемых действий, когда это возможно. Если автоматизированные решения не увенчаются успехом или не в состоянии устранить проблему, инженеры майкрософт по телефону немедленно принимают меры для устранения угрозы.
Дополнительные сведения о мониторинге безопасности см. в статье Обзор ведения журнала и мониторинга аудита.
Оценка
Автоматизированные оценки
Независимо от того, как разработана система, состояние безопасности может ухудшаться из-за преднамеренного и непреднамеренного смещения конфигурации с течением времени. Автоматизированные средства постоянно оценивают системы Microsoft Online Services для выявления отсутствующих исправлений, неправильных настроек и известных уязвимостей приложений.
Наша архитектура также часто проверяется, выявляя такие экземпляры, как неиспользуемые открытые порты и учетные записи с постоянным административным доступом. Все службы, которые отклоняются от предопределенного требуемого состояния, автоматически возвращаются в выравнивание.
Дополнительные сведения об управлении уязвимостями см. в статье Общие сведения об управлении уязвимостями.
Моделирование атак и тестирование на проникновение
Основной задачей Корпорации Майкрософт является предотвращение атак, которые могут проникать в нашу защиту. В microsoft Online Services есть специализированные группы экспертов по безопасности, которые постоянно проводят имитацию атак для выявления ранее неизвестных уязвимостей и предоставления постоянного потока многофункциональных данных для улучшения возможностей мониторинга безопасности. Эти имитированные атаки принимают форму частых автоматизированных небольших атак и глубоких погружений на основе экспертов. На основе этих действий корпорация Майкрософт оценивает возможность обнаружения, реагирования и вытеснения злоумышленников.
Дополнительные сведения о тестировании на проникновение см. в статье Моделирование атак в Microsoft 365.
Ресурсы
За кадром: защита инфраструктуры, на основе которой работает служба Microsoft 365