了解 Microsoft 365 中的网络、服务和租户隔离
泄露边界是告知 Microsoft 365 设计消息的关键安全原则。 Microsoft 365 服务建立在共享基础结构上,旨在防止某个租户的操作影响安全性或访问其他租户的内容。 Microsoft 365 利用网络、服务和租户隔离在我们的服务中创建泄露边界,防止某个边界的入侵导致其他边界遭到入侵。
网络和服务隔离
网络隔离的目标是限制 Microsoft 365 服务基础结构的不同部分相互通信的能力,但要达到服务运行所需的最低水平。 Microsoft 365 服务可互操作,但经过设计和实施,可以作为自主、独立的服务进行部署和操作。 此外,联机服务中的客户流量与我们的企业网络隔离。 结合其他控制措施(例如我们的最低权限、网络和服务隔离的零长期访问实施),我们可以在 Microsoft 365 内的服务和服务组件之间建立泄露边界。
其核心是,Microsoft 365 中的网络隔离旨在阻止服务组件和网段之间不必要的和未经授权的流量。 网络隔离不仅仅是为了防止从一项服务到另一项服务时进行不需要的身份验证。 它还能帮助我们的服务防御未经身份验证的攻击。 一些最危险的零时差漏洞涉及未经身份验证的远程代码执行 (RCE),它们会利用计算机之间的敏感网络路径。 必须尽可能限制在尝试身份验证之前与目标建立连接的能力。 Microsoft 365 中的强网络隔离提供针对此类攻击的关键保护。
Microsoft 云基础结构使用访问控制列表 (ACL) 监视和控制外部边界、关键内部边界和主机上的网络流量。 ACL 是限制通信的首选机制,并使用路由器、基于网络和主机的防火墙以及 Azure 网络安全组 (NSG) 等网络设备来实施。 默认情况下,不满足明确操作需求的网络流量会被拒绝。 在维护体系结构和数据流关系图 (DFD) 的过程中,我们会仔细检查所有网络流量规则。 DFD 记录服务组件之间已批准的网络流,并帮助我们的工程师可视化网络流量模式并限制网络的主机、防火墙和路由器层的不必要流量。
当核心 Microsoft 365 服务增长时,默认情况下会拒绝从新配置的容量到服务的先前建立的服务部分的流量。 Teams 必须手动打开运行新服务功能所必需的网络路径,我们会仔细审查此操作的任何尝试,以确保仅打开所需的最少路径。 我们的关键安全原则此时将发挥作用;即使是新配置的容量也不可信,无法保证安全,我们的网络隔离策略会在服务扩展时自动应用。
租户隔离
云计算的主要优势之一是能够同时在众多客户之间利用共享基础结构,从而实现规模经济。 这个概念被称为多租户。 Microsoft 不断努力确保我们云服务的多租户体系结构支持企业级的安全性、机密性、隐私性、完整性和可用性标准。 Microsoft 365 租户中的所有客户内容与其他租户,以及 Microsoft 365 管理中使用的操作和系统数据隔离。 在整个 Microsoft 365 中实施了多种形式的保护,以最大限度地降低任何 Microsoft 365 服务或应用程序遭到入侵的风险。
Microsoft 云服务的设计假设所有租户都可能对所有其他租户怀有恶意。 因此,我们实施了各项安全措施,以防止某个租户的行为影响安全性或访问其他租户的内容。 在 Microsoft 365 中维护租户隔离的两个主要目标是:
- 防止跨租户泄露或未经授权访问客户内容。
- 防止某个租户的行为对其他租户的服务产生不利影响。
每个租户中客户内容的逻辑隔离由设计内置于每个服务中,并通过 Microsoft Entra ID 和基于角色的访问控制实现。 具体而言,Microsoft 365 中的每个租户容器由租户的组织单位 (MICROSOFT Entra ID 中的 OU) 定义。 租户有自己的安全边界和用户主体名称 (UPN),以防止租户之间的信息泄漏和未经授权的访问。 Microsoft 365 中的用户身份验证不仅会验证用户身份,还会验证用户帐户所属的租户身份,从而防止用户访问其租户环境之外的数据。 服务级别的特定于租户的加密为每个客户租户提供额外的保护层。
单个服务可以在服务的数据层和应用层提供额外的租户隔离层。 例如,SharePoint Online 通过在单独的数据库中加密和存储客户内容,在存储级别提供数据隔离机制。 Exchange Online 要求在邮箱级别进行身份验证,并允许使用客户密钥,通过客户管理的加密密钥对邮箱进行加密。