Как SharePoint и OneDrive защищают облачные данные

  • Статья

Вы управляете своими данными. Когда вы помещаете данные в SharePoint и OneDrive для Microsoft 365, вы остаетесь их владельцем. Дополнительные сведения о владении данными см. в статье Конфиденциальность Microsoft 365 по дизайну.

Как мы обрабатываем ваши данные

Инженеры Майкрософт администрируют SharePoint и OneDrive с помощью консоли PowerShell, которая требует двухфакторной проверки подлинности. Мы выполняем повседневные задачи, выполняя рабочие процессы, чтобы быстро реагировать на новые ситуации. Для возврата в службу требуется проверка кода и утверждение управления.

Ни у инженера нет постоянного доступа к службе. Когда инженерам требуется доступ, они должны запросить его. Проверяется право доступа, и если доступ инженера утвержден, он предоставляется только в течение ограниченного времени. В редких случаях, когда инженерам Майкрософт требуется доступ к содержимому (например, если вы отправляете запрос в службу поддержки, так как пользователь не может получить доступ к важному файлу, который, по нашему мнению, поврежден), инженеры должны проверка в определенном рабочем процессе, требующего бизнес-обоснования и утверждения руководителем. Создается событие аудита, которое можно просмотреть в Центр администрирования Microsoft 365. Вы также можете включить функцию ,которая называется "Защищенное хранилище", поэтому необходимо утвердить запрос. Инженер получает доступ только к соответствующему файлу. Сведения о том, как включить или отключить защищенное хранилище клиента, а также утвердить и отклонить запросы, см. в статье Запросы на блокировку клиентов Microsoft Purview.

Как защитить данные

Одна из наиболее важных вещей, которые можно сделать для защиты данных, — требовать двухфакторную проверку подлинности для удостоверений в Microsoft 365. Это предотвращает использование учетных данных без второго фактора и снижает влияние скомпрометированных паролей. Второй фактор можно сделать с помощью телефонного звонка, текстового сообщения или приложения. При развертывании двухфакторной проверки подлинности начните с глобальных администраторов, а затем других администраторов и администраторов семейства веб-сайтов. Сведения о том, как это сделать, см. в статье Настройка многофакторной проверки подлинности для пользователей Microsoft 365.

Мы рекомендуем повысить уровень безопасности.

Защищено при передаче и хранении

Защищено при передаче

При передаче данных в службу от клиентов и между центрами обработки данных она защищена с помощью лучшего в своем классе шифрования. Дополнительные сведения см . в статье Шифрование данных в OneDrive и SharePoint. Мы разрешаем только безопасный доступ. Мы не будем устанавливать подключения с проверкой подлинности по протоколу HTTP, а перенаправляемся на HTTPS.

Защищено при хранении

Физическая защита. Доступ к центрам обработки данных может получить только ограниченное число основных сотрудников. Их удостоверения проверяются с помощью нескольких факторов проверки подлинности, включая смарт-карты и биометрические данные. Есть локальные сотрудники службы безопасности, датчики движения и видеонаблюдение. Оповещения об обнаружении вторжений отслеживают аномальные действия.

Защита сети. Сети и удостоверения изолированы от корпоративной сети Майкрософт. Мы администрируем службу с выделенными доменами Active Directory, у нас есть отдельные домены для тестирования и рабочей среды, а рабочий домен разделен на несколько изолированных доменов для обеспечения надежности и безопасности. Дополнительные сведения о встроенной физической и логической безопасности в Microsoft 365 см. в статье Встроенная безопасность из Microsoft 365.

Безопасность приложений. Инженеры, создающие функции, следуют жизненному циклу разработки безопасности. Автоматизированный и ручной анализ помогает выявить возможные уязвимости. Центр безопасности Майкрософт (Центр реагирования на вопросы безопасности Майкрософт) помогает рассматривать входящие отчеты об уязвимостях и оценивать способы устранения рисков. Благодаря Microsoft Cloud Bug Bounty люди по всему миру могут зарабатывать деньги, сообщая об уязвимостях. Дополнительные сведения об этом см. в статье Microsoft Cloud Bug Bounty Terms.

Защита содержимого. Данные шифруются на уровне диска с помощью шифрования BitLocker, а на уровне файла — с помощью ключей. Дополнительные сведения см . в статье Шифрование данных в OneDrive и SharePoint. Сведения об использовании ключа клиента для предоставления ключей, используемых для шифрования неактивных данных в Microsoft 365, и управления ими, см. в статье Часто задаваемые вопросы о шифровании служб с помощью ключа клиента Microsoft Purview.

Подсистема защиты от вредоносных программ Microsoft 365 сканирует документы во время отправки на наличие содержимого, соответствующего подписи av (обновляется ежечасно). Дополнительные сведения см. в разделе Обнаружение вирусов в SharePoint. Для более расширенной защиты используйте Microsoft 365 Advanced Threat Protection (ATP). ATP анализирует содержимое, к которому предоставлен общий доступ, и применяет аналитику угроз и анализ для выявления сложных угроз. Дополнительные сведения см. в статье Microsoft 365 Advanced Threat Protection.

Чтобы ограничить риск загрузки содержимого на ненадежные устройства, выполните следующие действия.

Чтобы управлять неактивным содержимым, выполните приведенные далее действия.

Высокий, всегда восстанавливаемый

Наши центры обработки данных географически распределены в пределах региона и отказоустойчивы. Данные зеркально отображаются по крайней мере в двух центрах обработки данных для устранения последствий стихийного бедствия или сбоя службы. Дополнительные сведения см. в разделе Где хранятся данные клиента Microsoft 365.

Резервные копии метаданных хранятся в течение 14 дней и могут быть восстановлены в любой момент времени в течение пяти минут.

В случае атаки программы-шантажиста можно использовать журнал версий (включение и настройка управления версиями для списка или библиотеки) для отката, а корзину или корзину семейства веб-сайтов — для восстановления (восстановление удаленных элементов из корзины семейства веб-сайтов). Если элемент удаляется из корзины семейства веб-сайтов, вы можете обратиться в службу поддержки в течение 14 дней, чтобы получить доступ к резервной копии. Сведения о новой функции восстановления файлов, которая позволяет пользователям восстановить весь OneDrive до любой точки за последние 30 дней, см. в статье Восстановление OneDrive.

Непрерывная проверка

Мы постоянно отслеживаем наши центры обработки данных, чтобы обеспечить их работоспособность и безопасность. Это начинается с инвентаризации. Агент инвентаризации сканирует каждую подсеть в поисках соседей. Для каждого компьютера выполняется запись состояния.

После инвентаризации можно отслеживать и исправлять работоспособность компьютеров. Программа установки исправлений для системы безопасности применяет исправления, обновляет антивирусные сигнатуры и гарантирует, что у нас сохранена известная хорошая конфигурация. У нас есть логика для конкретных ролей, которая гарантирует, что мы исправляем или поворачиваем только определенный процент компьютеров за раз.

У нас есть автоматизированный рабочий процесс для определения компьютеров, которые не соответствуют политикам, и их очереди на замену.

"Красная команда" Microsoft 365 в Корпорации Майкрософт состоит из специалистов по вторжению. Они ищут любую возможность получить несанкционированный доступ. "Синяя команда" состоит из инженеров обороны, которые сосредоточены на предотвращении, обнаружении и восстановлении. Они создают технологии обнаружения вторжений и реагирования на них. Сведения о безопасности, конфиденциальности и соответствии требованиям см. в блоге по безопасности, конфиденциальности и соответствию требованиям.

Чтобы отслеживать и отслеживать действия в подписке На Microsoft 365:

  • Если у вас есть локальный центр управления безопасностью или SIEM, вы можете отслеживать действия с помощью API действий управления. Дополнительные сведения см. в статье Общие сведения об API управления Microsoft 365. Здесь будут показаны действия из SharePoint, Exchange, идентификатора Microsoft Entra, защиты от потери данных и многого другого. Если у вас нет локального центра управления безопасностью или SIEM, можно использовать Cloud App Security. Cloud App Security использует API действий управления. Дополнительные сведения см. в статье Обзор Cloud App Security Microsoft 365. С помощью Cloud App Security можно отчеты, поиск и оповещение о действиях.

  • Используйте Защита Microsoft Entra ID. При этом машинное обучение применяется для обнаружения подозрительного поведения учетной записи, например при одновременном входе одного пользователя в разных частях мира. Вы можете настроить защиту идентификации, чтобы заблокировать эти входы. Дополнительные сведения см. в разделе Защита Microsoft Entra ID.

  • Используйте оценку безопасности, чтобы оценить профиль безопасности вашей подписки на основе известных хороших базовых показателей и определить возможности для повышения защиты. Дополнительные сведения см. в статье Оценка безопасности Майкрософт.

Аудит и соответствие требованиям

Соответствие нормативным требованиям имеет основополагающее значение для Microsoft 365. Мы следим за тем, чтобы служба соответствовала нормативным и нормативным стандартам. Мы также поможем вам выполнить ваши обязательства по аудиту и соответствию требованиям. Портал service Trust Portal — это единый магазин для получения сведений о соответствии и доверии для корпоративных служб Майкрософт. Портал содержит отчеты, технические документы, оценки уязвимостей и руководства по соответствию. Дополнительные сведения о портале service Trust Portal см. в статье Начало работы с порталом microsoft Service Trust Portal.

Чтобы соответствовать нормативным требованиям, выполните следующие действия.