适用于所有欧盟数据边界服务的持续数据传输
在某些情况下,Microsoft 将继续将数据移出欧盟数据边界以满足云服务的运营要求,其中,位于欧盟数据边界以外的人员将远程访问存储在欧盟数据边界中的数据,客户使用欧盟数据边界服务将导致数据传输出欧盟数据边界,以实现客户的预期结果。 Microsoft 确保欧盟数据边界之外的任何客户数据和假名个人数据传输都受到我们的服务协议和产品文档中详述的安全保护措施的保护。
远程访问在欧盟数据边界中存储和处理的数据
Microsoft 云服务由世界各地的专家团队构建、运营、安全和维护,为客户提供最高水平的服务质量、支持、安全性和可靠性。 此模型 (称为 Microsoft DevOps 模型) 开发人员和运营人员协同工作,以持续生成、维护和提供服务。 本部分介绍 Microsoft 如何最大程度地减少对客户数据和匿名个人数据的远程访问,并在需要进行此类访问时限制此类访问。
Microsoft 使用多层方法来保护客户数据和假名个人数据免受 Microsoft 人员的未经授权访问,该人员包括 Microsoft 及其子公司的员工以及协助 Microsoft 员工的第三方组织的合同员工。 若要访问客户数据或化名个人数据,除了将多重身份验证用作 Microsoft 标准安全要求的一部分外,Microsoft 人员还必须有一个后台检查,并具有良好的信誉。
当 Microsoft 人员需要从边界外部访问存储在欧盟数据边界内的 Microsoft 系统上的客户数据或假名化个人数据时, (根据欧洲隐私法被视为数据传输,尽管数据仍保留在欧盟数据边界的 Microsoft 数据中心基础结构内) 我们依赖于确保此类传输安全的技术, 具有受控访问,并且远程访问点上没有持久性存储。 如果需要此类数据传输,Microsoft 会使用最先进的加密来保护客户数据和匿名的静态和传输中个人数据。 有关详细信息,请参阅 加密和密钥管理概述。
Microsoft 如何保护客户数据
我们设计服务和流程,以最大程度地提高 DevOps 人员操作服务的能力,而无需访问客户数据,并采用自动化工具来识别和修复问题。 在极少数情况下,当服务中断或需要无法通过自动化工具实现的维修时,授权的 Microsoft 人员可能需要远程访问存储在欧盟数据边界中的数据,包括客户数据。 没有对客户数据的默认访问权限;仅当任务需要访问时,才向 Microsoft 人员提供访问权限。 对客户数据的访问必须出于适当的目的,必须限制为达到适当目的所需的客户数据的数量和类型,并且只有通过此级别的访问才能实现该目的。 Microsoft 使用实时 (JIT) 访问审批,这些审批仅在为实现该目的所必需的时间内授予。 Microsoft 还依赖于基于角色的访问控制 (RBAC) ,其中个人访问受到严格的要求,例如需要了解原则、强制性持续培训和一个或多个经理的监督。
有权访问客户数据的 Microsoft 人员从安全管理工作站 (SAW) 进行操作。 SAW 是功能有限的计算机,可降低恶意软件、网络钓鱼攻击、虚假网站和传递哈希 (PtH) 攻击等安全风险的风险,并启用旨在使数据难以外泄的对策。 例如,在 SAW 上工作的 Microsoft 人员在此类设备上对 Internet 的访问受到限制,并且无法访问外部或可移动媒体,因为这些功能在 SAW 实现中被阻止。 Microsoft SAW 和高风险环境计划在 2022 年、2020 年和 2019 年获得了 csoonline.com 颁发的 CSO50 奖项。
除了前面所述的控制之外,客户还可以通过启用客户密码箱为许多 Microsoft 云服务建立其他访问控制。 客户密码箱功能的实现因服务而异,但客户密码箱通常确保 Microsoft 人员在未经客户明确批准的情况下无法访问客户数据来执行服务操作。 请参阅 Office 365 中的客户密码箱、Microsoft Azure 的客户密码箱和 Power Platform 中的客户密码箱和 Dynamics 365,了解客户密码箱的实际操作示例。
Microsoft 还会记录和监视对客户数据的访问。 Microsoft 定期执行审核,以检查和确认访问管理措施是否符合策略要求,包括 Microsoft 的合同承诺。
Microsoft 如何保护系统生成的日志中的假名化个人数据
目前,为了访问存储在欧盟数据边界中的匿名个人数据,Microsoft 人员可以使用 SAW 或虚拟桌面基础结构 (VDI) 。 在使用 SAW 访问假名化个人数据时,上一部分所述的特定于 SAW 的安全措施也适用。 使用 VDI 访问欧盟数据边界中的假名化个人数据时,Microsoft 会强制实施访问限制,为数据访问提供安全环境。 与 SAW 一样,在 VDI 上允许的实用工具列表是有限的,在认证可在 VDI 上运行之前,必须经过严格的安全测试。 使用 VDI 时,通过托管在位于欧盟数据边界中的物理计算机上的虚拟机访问欧盟数据边界中的匿名个人数据,并且欧盟数据边界之外不会保留任何数据。
根据我们的标准策略,禁止在欧盟数据边界之外批量传输数据,并且 VDI 用户只能访问预先批准的 URL 目标。 此外,使用 VDI 环境的 Microsoft 人员对位于欧盟数据边界中的物理计算机没有管理访问权限。
有关用于保护客户数据和化名个人数据的技术的详细信息,请参阅以下资源:
- 使用安全的管理工作站保护高风险环境
- 使用受防护的虚拟机来帮助保护高价值资产
- Microsoft 用于保护 Azure 平台的四种操作做法
- Microsoft 365 服务工程师访问控制
- 什么是虚拟桌面基础结构 (VDI) ?
客户发起的数据传输
转移客户作为服务功能的一部分启动
欧盟数据边界不应干扰或限制客户在使用我们的服务时想要的服务结果。 因此,如果客户管理员或用户在启动从欧盟数据边界外传输数据的服务中执行操作,Microsoft 不会限制此类客户发起的传输发生;这样做会扰乱客户的正常业务运营。 在欧盟数据边界之外进行用户启动的数据传输可能有多种原因,例如:
- 用户在欧盟数据边界之外访问存储在欧盟数据边界内的数据或与服务交互。
- 用户选择与位于欧盟数据边界之外的其他用户通信。 示例包括发送电子邮件或短信、启动 Teams 聊天或语音通信,例如公用电话交换网络 (PSTN) 呼叫、语音邮件、跨异地会议等。
- 用户配置服务以将数据移出欧盟数据边界。
- 用户选择将欧盟数据边界服务与其他 Microsoft 或第三方产品/服务或连接体验组合在一起,但需遵守与适用于欧盟数据边界服务 (不同的条款,例如,利用通过 Microsoft 365 应用程序提供的可选必应支持的体验,或使用可用的连接器将数据从欧盟数据边界服务内部同步到用户可能拥有的与提供商以外的提供商的帐户Microsoft) 。
- 客户管理员选择将欧盟数据边界服务连接到 Microsoft 或第三方提供的其他服务,其中其他服务受适用于欧盟数据边界服务 (条款的约束,例如,配置欧盟数据边界服务以向必应发送查询,或在欧盟数据边界服务与托管在 Microsoft 以外的提供商的服务之间建立连接客户还具有帐户) 。
- 用户从欧盟数据边界服务 (Teams 应用商店中提供的应用商店获取和使用应用,例如,) ,其中应用受适用于欧盟数据边界服务的条款(例如来自应用提供商的最终用户许可协议)的约束。
- 组织请求或订阅专业安全服务,其中 Microsoft 代表 (执行远程 安全操作中心 容量,并作为组织安全组) 的一部分执行取证分析。
在全球范围内履行 GDPR 数据主体权利请求
例如,Microsoft 已实施系统,使我们的客户能够根据 GDPR (一般数据保护条例 (DSR) () 响应数据主体权利 (请求) 客户认为合适时删除个人数据,并且这些系统可供全球客户使用。 为了使我们的客户能够保持 GDPR 合规性,必须全局处理包含用户标识符的 DSR 信号,以确保根据请求删除或导出与数据主体相关的所有数据。 当我们的客户确定数据删除是适当的,以响应数据主体要求删除其个人数据时,必须与该数据主体相关的所有个人数据,并从欧盟数据边界内外的所有 Microsoft 数据存储中查找和删除。 同样,当客户管理员提交导出请求时,Microsoft 必须导出到客户管理员指定的存储位置,即使不在欧盟数据边界之外,也会导出有关该数据主体的所有个人数据。 有关详细信息,请参阅 GDPR:数据主体请求 (DSR) 。
专业服务数据
当客户在与 Microsoft 合作以获取支持或付费咨询服务的过程中向 Microsoft 提供数据时,该数据即为专业服务数据,如 Microsoft 产品和服务数据保护附录 (DPA) 定义。 专业服务数据当前存储在基于 美国 的 Microsoft 数据中心。
Microsoft 人员在支持参与期间访问专业服务数据仅限于使用安全和身份验证控制(包括双重身份验证和虚拟化环境)(如有必要)的已批准的支持管理系统。 其他 Microsoft 人员只能通过提供必要的业务理由和经理批准来访问与特定活动相关的专业服务数据。 传输中的数据和静态数据均加密。
客户参与提供所购买服务的团队可以访问在付费咨询参与期间提供、获取和处理的专业服务数据。 目前正在进行中,以允许欧盟客户指定应在欧盟数据边界中存储和处理其专业服务数据。
保护客户
为了防范全球网络安全威胁,Microsoft 必须在全球范围内运行安全操作。 为此,Microsoft 传输 (,详见 安全运营) 欧盟数据边界之外有限的假名化个人数据,在极少数情况下传输有限的客户数据。 恶意参与者在全球运营,使用协调的隐身和逃避检测,发起地理分布式攻击。 通过跨地理边界分析上下文威胁数据,Microsoft 安全服务可以通过提供高质量、自动化的安全检测、保护和响应来保护客户。
此跨界分析的结果会提供多个保护方案,包括向客户发出恶意活动、攻击或企图违规的警报。
拥有强大的安全保护措施有利于我们的客户和计算生态系统,并支持客户数据、假名化个人数据和关键基础结构的安全性方面的监管义务。 根据 GDPR 和欧盟基本权利宪章,Microsoft 的方法通过促进隐私、数据保护和安全性来提供价值。
对从欧盟传输的有限客户数据和化名个人数据的访问仅限于 Microsoft 安全人员,使用仅限于安全目的,包括检测、调查、缓解和响应安全事件。 传输的客户数据和化名个人数据通过加密和访问限制进行保护。 本文前面介绍了有关 访问在欧盟数据边界中存储和处理的数据 的详细信息。
Microsoft 通过使用跨界信号提供的面向客户的功能示例包括:
- 为了提供针对复杂的现代安全威胁的保护,Microsoft 依靠其高级分析功能(包括人工智能)来分析聚合安全相关数据(包括活动日志),以防范、检测、调查、响应和修正这些攻击。 有限的客户数据和全局合并的假名化个人数据用于创建统计摘要,以减少误报结果,提高有效性,并创建独特的机器学习模型,以便近乎实时地对已知和未知威胁进行高级检测。 全局模型允许我们微调并启用特定操作的自定义模型。 如果没有这种跨全球数据的集中式分析功能,这些服务的效率将大幅下降,我们无法保护客户,也无法提供一致的用户体验。
- 借助超大规模云,无需事先了解特定攻击,即可对与安全相关的系统生成的日志进行各种持续分析。 在许多情况下,全局系统生成的日志使 Microsoft 或其客户能够阻止以前未知的攻击,而在其他情况下,Microsoft 和客户可以使用系统生成的日志来识别最初未检测到但以后可以根据新的威胁情报发现的威胁。
- 在短时间内,通过识别从多个地理区域登录到单个帐户的被入侵企业用户, () 称为“不可能的旅行”攻击。 为了防止这些类型的方案,Microsoft 安全产品 (,安全运营和威胁情报团队) 跨地理位置集中处理和存储Microsoft Entra身份验证系统生成的日志等数据。
- 通过聚合来自不同位置的多个恶意访问数据存储的信号来检测企业的数据外泄,恶意参与者使用这种技术在检测雷达下飞行, (称为“低速”攻击) 。
为了尽量减少这项工作对隐私的影响,Microsoft 的安全威胁猎手团队会限制对系统生成的日志和服务配置信息的持续传输,这些日志和服务配置信息是检测和调查恶意活动或违规的早期指标所必需的。 这些假名化数据主要合并并存储在美国但可能包括全球其他数据中心区域,以便如前所述进行威胁检测工作。 根据 DPA 的条款和适用的合同承诺传输和保护假名个人数据。 在由于安全调查而访问或传输客户数据的极少数情况下,可以通过提升的批准和控制措施来完成此操作,如本文前面的 Microsoft 如何保护客户数据 部分所述
安全操作
Microsoft 安全运营使用一系列内部服务来监视、调查和响应客户日常运营所依赖的平台面临的威胁。 为这些操作处理的跨地域边界假名个人数据或有限的客户数据有助于阻止针对云基础结构和 Microsoft 联机服务的恶意尝试。
出于安全目的处理的假名个人数据将传输到全球任何 Azure 区域。 这使 Microsoft 的安全运营部门(如 Microsoft 安全响应中心 (MSRC) )能够以高效且有效的方式提供每年 365 天每天 24 小时的安全服务,以响应全球威胁。 这些数据用于监视、调查和响应 Microsoft 平台、产品和服务中的安全事件,保护客户和 Microsoft 免受其安全和隐私的威胁。 例如,当确定某个 IP 地址或电话号码用于欺诈活动时,会全局发布该地址或电话号码,以阻止来自使用它的任何工作负载的访问。
- 安全分析师访问来自全球位置的聚合数据,因为 MSRC 有一个后续操作模型,具有分布式专业知识和技能,可为安全调查提供持续监视和响应,包括但不限于以下情况:客户在其租户或订阅中识别出恶意活动,并联系 Microsoft 支持部门帮助解决事件。
- MSRC 明确指示 (客户租户、订阅或资源中的泄露) ,并在客户批准后通知客户、帮助调查和响应事件。
- 在调查过程中,如果发现影响客户的隐私事件,MSRC 将按照严格的协议进行进一步调查,以支持对影响隐私事件的通知和响应。
- 在 Microsoft 内部安全团队之间共享威胁情报和调查详细信息,以便进行敏捷响应和修正。
本文前面介绍了有关 访问在欧盟数据边界中存储和处理的数据 的详细信息。
安全威胁情报
Microsoft 威胁情报 服务监视、调查和响应客户环境面临的威胁。 为安全调查收集的数据可能包括系统生成的日志中的假名化个人数据和有限的客户数据。 此数据用于帮助阻止针对客户的云基础结构的恶意尝试,并及时向组织提供威胁情报和入侵指示,帮助他们提高保护级别。
对于检测到 国家/地区威胁 或其他恶意行为证据(由高级参与者)进行的威胁调查,Microsoft 团队收集威胁情报,例如 Microsoft 威胁情报中心 (MSTIC) ,提醒客户注意的活动。 MSTIC 可以通过从各种 Microsoft 产品和服务收集的全局合并系统生成的日志和诊断数据,以及 MSTIC 人员的专家分析来识别恶意活动。
出于安全目的,地理位置分散的分析师团队访问全球统一的系统生成的日志对于及时识别攻击或漏洞(提供不间断的调查)至关重要。 MSTIC 分析师拥有特定的攻击者知识和技能,这些知识和技能不能简单地在其他区域复制,因为他们可能具有特定的区域攻击者专业知识。 因此,MSTIC 分析操作必须跨越地缘政治边界,为客户提供最高水平的专业知识。 有关访问控制的其他信息,请参阅本文前面的远程访问 在欧盟数据边界中存储和处理的数据 。
为客户提供最佳威胁情报需要 MSTIC 利用全球信号来应对以下场景:
- 用于实现国家情报目标的恶意国家活动。
- 恶意国家/地区活动,在破坏性、不可恢复的攻击中使用商品恶意软件和策略,或用于掩盖攻击者的身份 (假标志) 并提供合理的可否认性。 非法金融敲诈计划中使用的恶意犯罪活动 (例如,针对民用关键资源或基础设施的勒索软件攻击) 。
预览版/试用版中的服务
欧盟数据边界中仅包括正式版的付费 Microsoft 服务。 不包括预览版或作为免费试用版提供的服务。
已弃用的服务
截至 2022 年 12 月 31 日,Microsoft 宣布弃用的服务不包括在欧盟数据边界中。 Microsoft 云服务遵循 现代生命周期策略,在大多数情况下,当我们宣布某个服务已弃用时,我们还推荐了欧盟数据边界范围内的替代产品/服务或后续产品/服务。 例如,Microsoft Stream (经典) 是 Microsoft 365 的企业视频服务,由 SharePoint) 上的 Stream (取代。 虽然Stream (经典) 的具体弃用日期尚未公布,但已告知客户Stream (经典) 将于 2024 年弃用。 迁移指南和公共预览版工具可帮助客户迁移到位于欧盟数据边界的 SharePoint) 上的流 (。
本地软件和客户端应用程序
存储在本地软件和客户端应用程序中的数据不包括在欧盟数据边界中,因为 Microsoft 不会控制客户本地环境中发生的情况。 使用本地软件和客户端应用程序生成的诊断数据也不包括在欧盟数据边界中。
目录数据
Microsoft 可能会从Microsoft Entra (复制有限的Microsoft Entra目录数据,包括欧盟数据边界外部) 用户名和电子邮件地址,以提供服务。
网络传输
为了降低路由延迟并保持路由复原能力,Microsoft 使用可变网络路径,这些路径偶尔会导致客户流量路由到欧盟数据边界之外。 这可能包括代理服务器的负载均衡。
服务和平台质量与管理
Microsoft 人员可能需要全局整合系统生成日志中的一些假名化个人数据,以确保服务高效运行,并计算和监视服务的实时全局质量指标。 有限数量的化名个人数据(如对象 ID 或主要唯一 ID (PUID) )可以包含在这些传输中,并用于解决各种服务可操作性和管理问题。 示例包括计算受服务影响事件影响的用户数,以确定其普及性和严重性,或者计算每月活动用户 (MAU) 和每日活跃用户 (DAU) ,以确保基于此数据的计费计算是完整和准确的。 出于 MAU 和 DAU 计算目的传输的假名化个人数据仅在编译聚合分析所需的时间范围内保留在欧盟数据边界之外。