Microsoft: безопасность и конфиденциальность во времена Covid

Несколько месяцев назад мы говорили о важности безопасности и конфиденциальности во время COVID (v.articolo) подчеркивая некоторые этические и социальные аспекты цифровых технологий.

Теперь давайте попробуем углубиться в некоторые моменты, относящиеся к текущему пакету, отсылая самого любопытного читателя на сайт центра управления безопасностью, где вы можете найти все соответствующие идеи.

Одна из тем, с которой мне все чаще приходится сталкиваться с нашими клиентами, - это обработка персональных данных.

Microsoft обрабатывает личные данные в соответствии с положениями Дополнительного соглашения о защите личных данных онлайн-служб («DPA»), доступного по ссылке https://aka.ms/DPA. В частности, вышеупомянутый DPA предусматривает, что Microsoft играет роль менеджера по обработке персональных данных, и представляет собой соглашение, которое связывает менеджера с контроллером данных в соответствии со ст. 28 параграф 3) Общего регламента по защите данных - Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. (GDPR).

Условия GDPR корпорации Майкрософт отражают обязательства, требуемые обработчиками в статье 28. Статья 28 требует, чтобы обработчики взяли на себя обязательства:

• Используйте только вторичных менеджеров с согласия владельца и нести за них ответственность.
• Обработка персональных данных исключительно на основании инструкций владельца, в том числе в отношении передачи.
• Убедитесь, что люди, обрабатывающие ваши персональные данные, соблюдают конфиденциальность.
• Принять соответствующие технические и организационные меры для обеспечения надлежащего уровня безопасности персональных данных в зависимости от риска.
• Помогите владельцам с соответствующими обязательствами отвечать на запросы заинтересованных сторон об осуществлении своих прав в соответствии с GDPR.
• Соответствовать требованиям к уведомлению о нарушениях и поддержке.
• Помогите диспетчерам с оценкой воздействия на защиту данных и советами компетентных органов.
• Удалить или вернуть личные данные по окончании оказания услуг.
• Поддержите владельца доказательством соблюдения GDPR.

Шифрование данных и использование сети

Давайте рассмотрим команды как элемент анализа. Для использования команд, которые, как мы помним, являются неотъемлемой частью платформы O365 и, в более общем плане, всех облачных служб Microsoft, а именно Azure, Dynamics 365 и самого O365, не обязательно требуется выделенная VPN для удаленных подключений.

Microsoft Teams использует протоколы TLS и MTLS, которые обеспечивают шифрованную связь и аутентификацию конечных точек через Интернет. Teams использует оба протокола для создания сети доверенных серверов и для обеспечения шифрования всего обмена данными в этой сети. Все коммуникации между серверами происходят по MTLS. Оставшаяся или устаревшая связь клиент-сервер SIP происходит через TLS.

TLS позволяет пользователям через клиентское программное обеспечение аутентифицировать серверы Teams в центрах обработки данных Microsoft, к которым они подключаются. В соединении TLS клиент запрашивает действительный сертификат с сервера. Чтобы быть действительным, сертификат должен быть выпущен центром сертификации, которому также доверяет клиент, и DNS-имя сервера должно совпадать с DNS-именем в сертификате. Если сертификат действителен, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для связи, поэтому только первоначальный владелец сертификата может использовать свой закрытый ключ для дешифрования содержимого сообщения. Полученное соединение является надежным и впоследствии не оспаривается другими доверенными серверами или клиентами.

Межсерверные соединения полагаются на взаимную аутентификацию TLS (MTLS). В соединении MTLS сервер, генерирующий сообщение, и сервер, получающий его, обмениваются сертификатами от взаимно доверенного центра сертификации. Сертификаты подтверждают идентичность каждого сервера другому. В сервисе Teams эта процедура соблюдается.

TLS и MTLS помогают предотвратить как атаки перехвата, так и атаки типа «злоумышленник в середине». 

В атаке «человек посередине» злоумышленник направляет связь между двумя сетевыми объектами через компьютер злоумышленника без ведома какой-либо из сторон. Спецификация доверенных серверов TLS и Teams частично снижает риск атаки типа «злоумышленник в середине» на уровне приложений за счет использования скоординированного шифрования с помощью шифрования с открытым ключом между двумя конечными точками. Злоумышленник должен иметь действительный и доверенный сертификат с соответствующим закрытым ключом, выданный на имя службы, с которой общается клиент, для расшифровки сообщения.

В таблице указаны типы трафика:

Системы аутентификации и авторизации

«Виртуальная комната» - это собрание команд, и поэтому соблюдаются те же стандарты безопасности. Стандарты безопасности основаны на стандартах O365, платформы, неотъемлемой частью которой является Team. Неверно рассматривать безопасность продукта с точки зрения аутентификации, поскольку она определяется на уровне платформы.

Действия доступа к «виртуальной комнате» и собранию команд отслеживаются с помощью журналов, доступных администраторам, назначенным организацией.

Teams - это облачная служба, а серверы расположены в центрах обработки данных Microsoft..

Данные и метаданные

Данные, собранные в арендаторе, то есть среда, созданная при подписке организации на службы O365, доступны администраторам, назначенным администрацией, через "Центр безопасности Microsoft 365" который включает:

• Домашняя страница: краткий обзор общего состояния системы безопасности организации.
• Запрещенные операции: просмотрите более подробную историю атаки, соединив точки, отображаемые в предупреждениях отдельных объектов. Вы можете точно знать, где была инициирована атака, какие устройства затронуты, каковы последствия и куда исчезла угроза.
• Оповещения - улучшайте видимость всех оповещений в среде Microsoft 365, включая оповещения от Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP и Microsoft Defender ATP. Доступно для клиентов E3 и E5.
• Центр действий: уменьшите количество предупреждений, на которые группа безопасности должна реагировать вручную, позволяя группе операций по обеспечению безопасности сосредоточиться на более сложных угрозах и других важных инициативах.
• Отчеты - просмотрите подробности и информацию, необходимую для лучшей защиты пользователей, устройств, приложений и т. Д.
• Оценка безопасности: оптимизирует общий уровень безопасности с помощью оценки безопасности Microsoft. Предоставляется сводка всех включенных функций безопасности и функций, а также предлагаются предложения по улучшению областей.
• Расширенный поиск: упреждающий поиск вредоносных программ, подозрительных файлов и активности в организации Microsoft 365.
• Классификация - защитите от потери данных, добавив метки для классификации документов, электронной почты, документов, сайтов и т. Д. Когда метка применяется (автоматически или пользователем), контент или сайт защищаются в соответствии с выбранными настройками. Например, вы можете создавать метки для шифрования файлов, добавлять индикацию содержимого и контролировать доступ пользователей к определенным сайтам.
• Политики - добавьте политики для управления устройствами, защиты от угроз и получения предупреждений о различных действиях организации.
• Разрешения: управляйте тем, кто в вашей организации имеет доступ к Центру безопасности Microsoft 365 для просмотра его содержимого и выполнения задач. Вы также можете назначить разрешения Microsoft 365 на портале Azure AD.

Также возможно определить детальный доступ к функциям «Центра безопасности и соответствия требованиям».

Глобальные администраторы, назначаемые организацией, имеют доступ к функциям «Центра безопасности и соответствия требованиям»; это одна из причин, по которой важно правильно защитить глобальных администраторов, отделить их от действий пользователей (поэтому мы не рекомендуем назначать этим администраторам лицензию на Office 365) и использовать их только при необходимости.

Где находятся серверы, на которых хранятся данные?

При подписке на услугу «Арендатор» связан с каждым Администрированием / Заказчиком, то есть логической единицей, содержащей все данные Администрирования и конфигурации.

Одним из основных преимуществ облачных вычислений является концепция общей инфраструктуры, совместно используемой множеством клиентов одновременно, что приводит к экономии за счет масштаба. Эта концепция называется мультитенантной. Microsoft гарантирует, что архитектуры многопользовательских облачных сервисов поддерживают стандарты безопасности, конфиденциальности, конфиденциальности, целостности и доступности на уровне предприятия.

Основываясь на значительных инвестициях и опыте, полученном в жизненном цикле разработки надежных вычислений и безопасности, облачные службы Microsoft были разработаны с предположением, что все клиенты потенциально враждебны по отношению ко всем другим клиентам и что они являются мерами безопасности, которые были реализованы для предотвращения действий одного. арендатор от воздействия на безопасность или обслуживание другого арендатора.

Двумя основными целями поддержания изоляции клиентов в многопользовательской среде являются:

• Предотвращение утечки или несанкционированного доступа к клиентскому контенту между арендаторами; является
• Предотвратить негативное влияние действий одного арендатора на обслуживание другого арендатора

В Office 365 реализовано несколько форм защиты для предотвращения взлома клиентами служб или приложений Office 365 или получения несанкционированного доступа к информации от других клиентов или самой системы Office 365, в том числе:

• Логическая изоляция клиентского контента в каждом клиенте для служб Office 365 достигается за счет авторизации Azure Active Directory и управления доступом на основе ролей.
• SharePoint Online предоставляет механизмы изоляции данных на уровне хранилища.
• Microsoft использует строгую физическую безопасность, фоновую проверку и стратегию многоуровневого шифрования для защиты конфиденциальности и целостности клиентского контента. Все центры обработки данных Office 365 имеют биометрические средства контроля доступа, при этом для большинства отпечатков Palm требуется физический доступ.
• Office 365 использует сервисные технологии, которые шифруют клиентский контент в состоянии покоя и при передаче, включая BitLocker, шифрование файлов, безопасность транспортного уровня (TLS) и безопасность интернет-протокола (IPsec).

Вместе перечисленные ниже средства защиты предлагают надежные средства управления логической изоляцией, которые обеспечивают защиту и смягчение угроз, эквивалентные той, которая обеспечивается только физической изоляцией.

Локализация данных

Что касается географического расположения услуг, подробности, касающиеся арендаторов в европейском географическом регионе, показаны ниже:

► OneDrive для бизнеса / SharePoint Online / Skype для бизнеса / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services / Stream / Forms:

• Ирландия
• Нидерланды

► Exchange Online / Office Online / Office Mobile / EOP / MyAnalytics:

• Austria
• Финляндия
• Ирландия
• Нидерланды

Клиенты могут просматривать информацию о расположении данных для конкретного клиента в центре администрирования Office 365 в разделе Параметры | Профиль организации | Вкладка Путь к данным.

Конечно, это еще не все. Еще многое предстоит сказать о безопасности систем Microsoft, поэтому в ближайшем будущем я расскажу об управлении безопасностью данных в облаке.