网络安全性概述

Microsoft 联机服务如何保护网络边界?

Microsoft 联机服务采用多种策略来保护其网络边界,包括自动检测和防止基于网络的攻击、专用防火墙设备,以及Exchange Online Protection (EOP) 进行反垃圾邮件和反恶意软件保护。 此外,Microsoft 联机服务将其生产环境划分为逻辑隔离的网段,段之间仅允许必要的通信。 使用边界点的其他网络防火墙来保护网络流量,以帮助检测、防止和缓解网络攻击。

Microsoft 联机服务如何防御 DDoS 攻击?

Microsoft 庞大的 Internet 存在使其免受许多分布式拒绝服务 (DDoS) 攻击的负面影响。 每个 Microsoft 联机服务的分布式实例以及每个服务的多个路由限制了 DDoS 攻击对系统的影响。 这种冗余提高了 Microsoft 联机服务吸收 DDoS 攻击的能力,并增加了在 DDoS 攻击影响服务可用性之前检测和缓解 DDoS 攻击的时间。

除了 Microsoft 的冗余系统体系结构外,Microsoft 还使用复杂的检测和缓解工具来响应 DDoS 攻击。 特殊用途防火墙在通过边界进入网络之前监视和丢弃不需要的流量,从而减少位于网络边界内的系统的压力。 为了进一步保护我们的云服务,Microsoft 利用部署为 Microsoft Azure 一部分的 DDoS 防御系统。 Azure DDoS 防御系统旨在抵御来自外部和其他 Azure 租户的攻击。

Microsoft 如何保护用户免受通过联机服务上传或发送的垃圾邮件和恶意软件的侵害?

Microsoft 联机服务将反恶意软件保护构建到可能成为恶意代码载体的服务中,例如 Exchange Online 和 SharePoint Online。 Exchange Online Protection (EOP) 在进入和退出系统时扫描恶意软件的所有电子邮件和电子邮件附件,以防止发送受感染的邮件和附件。 高级垃圾邮件筛选会自动应用于入站和出站邮件,以帮助防止客户组织接收和发送垃圾邮件。 这一层保护可防范利用未经请求或未经授权的电子邮件的攻击,例如钓鱼攻击。 SharePoint Online 使用相同的病毒检测引擎选择性地扫描上传的恶意软件文件。 如果文件标记为受感染,将阻止用户下载或同步该文件以保护客户端终结点。 同样,Azure 会将上传到 Azure 存储的文件相关的哈希与已知恶意软件的哈希进行比较。 找到匹配项时,会在 Microsoft Defender for Cloud 中引发警报,其中会决定警报的合法性以及如何解决警报。

定期审核 Microsoft 联机服务是否符合外部法规和认证。 有关与网络安全相关的控制措施的验证,请参阅下表。

Azure 和 Dynamics 365

外部审核 Section 最新报告日期
SOC 1
SOC 2
SOC 3
VM-1:安全事件日志记录
VM-3:入侵检测和监视
VM-4:恶意事件调查
VM-6:漏洞扫描
VM-7:网络设备配置
VM-8:渗透测试
VM-9:网络设备安全事件日志记录
VM-13:网络设备漏洞缓解
2023 年 11 月 17 日

Microsoft 365

外部审核 Section 最新报告日期
FedRAMP (Office 365) SC-5:拒绝服务保护
SC-7:边界保护
SI-2:缺陷修正
SI-3:恶意代码防护
SI-8:垃圾邮件防护
2023 年 7 月 31 日
SOC 1 CA-27:漏洞扫描 2024 年 1 月 23 日
SOC 2 CA-27:漏洞扫描
CA-45:反恶意软件
2024 年 1 月 23 日