Несколько месяцев назад мы говорили о важности безопасности и конфиденциальности во время COVID (v.articolo) подчеркивая некоторые этические и социальные аспекты цифровых технологий.
Теперь давайте попробуем углубиться в некоторые моменты, относящиеся к текущему пакету, отсылая самого любопытного читателя на сайт центра управления безопасностью, где вы можете найти все соответствующие идеи.
Одна из тем, с которой мне все чаще приходится сталкиваться с нашими клиентами, - это обработка персональных данных.
Microsoft обрабатывает личные данные в соответствии с положениями Дополнительного соглашения о защите личных данных онлайн-служб («DPA»), доступного по ссылке https://aka.ms/DPA. В частности, вышеупомянутый DPA предусматривает, что Microsoft играет роль менеджера по обработке персональных данных, и представляет собой соглашение, которое связывает менеджера с контроллером данных в соответствии со ст. 28 параграф 3) Общего регламента по защите данных - Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. (GDPR).
Условия GDPR корпорации Майкрософт отражают обязательства, требуемые обработчиками в статье 28. Статья 28 требует, чтобы обработчики взяли на себя обязательства:
- Используйте только вторичных менеджеров с согласия владельца и нести за них ответственность.
- Обработка персональных данных исключительно на основании инструкций владельца, в том числе в отношении передачи.
- Убедитесь, что люди, обрабатывающие ваши персональные данные, соблюдают конфиденциальность.
- Принять соответствующие технические и организационные меры для обеспечения надлежащего уровня безопасности персональных данных в зависимости от риска.
- Помогите владельцам с соответствующими обязательствами отвечать на запросы заинтересованных сторон об осуществлении своих прав в соответствии с GDPR.
- Соответствовать требованиям к уведомлению о нарушениях и поддержке.
- Помогите диспетчерам с оценкой воздействия на защиту данных и советами компетентных органов.
- Удалить или вернуть личные данные по окончании оказания услуг.
- Поддержите владельца доказательством соблюдения GDPR.
Шифрование данных и использование сети
Давайте рассмотрим команды как элемент анализа. Для использования команд, которые, как мы помним, являются неотъемлемой частью платформы O365 и, в более общем плане, всех облачных служб Microsoft, а именно Azure, Dynamics 365 и самого O365, не обязательно требуется выделенная VPN для удаленных подключений.
Microsoft Teams использует протоколы TLS и MTLS, которые обеспечивают шифрованную связь и аутентификацию конечных точек через Интернет. Teams использует оба протокола для создания сети доверенных серверов и для обеспечения шифрования всего обмена данными в этой сети. Все коммуникации между серверами происходят по MTLS. Оставшаяся или устаревшая связь клиент-сервер SIP происходит через TLS.
TLS позволяет пользователям через клиентское программное обеспечение аутентифицировать серверы Teams в центрах обработки данных Microsoft, к которым они подключаются. В соединении TLS клиент запрашивает действительный сертификат с сервера. Чтобы быть действительным, сертификат должен быть выпущен центром сертификации, которому также доверяет клиент, и DNS-имя сервера должно совпадать с DNS-именем в сертификате. Если сертификат действителен, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для связи, поэтому только первоначальный владелец сертификата может использовать свой закрытый ключ для дешифрования содержимого сообщения. Полученное соединение является надежным и впоследствии не оспаривается другими доверенными серверами или клиентами.
Межсерверные соединения полагаются на взаимную аутентификацию TLS (MTLS). В соединении MTLS сервер, генерирующий сообщение, и сервер, получающий его, обмениваются сертификатами от взаимно доверенного центра сертификации. Сертификаты подтверждают идентичность каждого сервера другому. В сервисе Teams эта процедура соблюдается.
TLS и MTLS помогают предотвратить как атаки перехвата, так и атаки типа «злоумышленник в середине».
В атаке «человек посередине» злоумышленник направляет связь между двумя сетевыми объектами через компьютер злоумышленника без ведома какой-либо из сторон. Спецификация доверенных серверов TLS и Teams частично снижает риск атаки типа «злоумышленник в середине» на уровне приложений за счет использования скоординированного шифрования с помощью шифрования с открытым ключом между двумя конечными точками. Злоумышленник должен иметь действительный и доверенный сертификат с соответствующим закрытым ключом, выданный на имя службы, с которой общается клиент, для расшифровки сообщения.
В таблице указаны типы трафика:
Тип трафика |
Зашифровано |
Сервер на сервер |
МТЛС |
Клиент на сервер (например, обмен мгновенными сообщениями и присутствие) |
TLS |
Мультимедийные потоки (например, обмен аудио и видео мультимедийным контентом) |
TLS |
Обмен аудио и видео мультимедийным контентом |
SRTP / TLS |
сигнализации |
TLS |
Системы аутентификации и авторизации
«Виртуальная комната» - это собрание команд, и поэтому соблюдаются те же стандарты безопасности. Стандарты безопасности основаны на стандартах O365, платформы, неотъемлемой частью которой является Team. Неверно рассматривать безопасность продукта с точки зрения аутентификации, поскольку она определяется на уровне платформы.
Действия доступа к «виртуальной комнате» и собранию команд отслеживаются с помощью журналов, доступных администраторам, назначенным организацией.
Teams - это облачная служба, а серверы расположены в центрах обработки данных Microsoft..
Данные и метаданные
Данные, собранные в арендаторе, то есть среда, созданная при подписке организации на службы O365, доступны администраторам, назначенным администрацией, через "Центр безопасности Microsoft 365" который включает:
- Домашняя страница: краткий обзор общего состояния системы безопасности организации.
- Запрещенные операции: просмотрите более подробную историю атаки, соединив точки, отображаемые в предупреждениях отдельных объектов. Вы можете точно знать, где была инициирована атака, какие устройства затронуты, каковы последствия и куда исчезла угроза.
- Оповещения - улучшайте видимость всех оповещений в среде Microsoft 365, включая оповещения от Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP и Microsoft Defender ATP. Доступно для клиентов E3 и E5.
- Центр действий: уменьшите количество предупреждений, на которые группа безопасности должна реагировать вручную, позволяя группе операций по обеспечению безопасности сосредоточиться на более сложных угрозах и других важных инициативах.
- Отчеты - просмотрите подробности и информацию, необходимую для лучшей защиты пользователей, устройств, приложений и т. Д.
- Оценка безопасности: оптимизирует общий уровень безопасности с помощью оценки безопасности Microsoft. Предоставляется сводка всех включенных функций безопасности и функций, а также предлагаются предложения по улучшению областей.
- Расширенный поиск: упреждающий поиск вредоносных программ, подозрительных файлов и активности в организации Microsoft 365.
- Классификация - защитите от потери данных, добавив метки для классификации документов, электронной почты, документов, сайтов и т. Д. Когда метка применяется (автоматически или пользователем), контент или сайт защищаются в соответствии с выбранными настройками. Например, вы можете создавать метки для шифрования файлов, добавлять индикацию содержимого и контролировать доступ пользователей к определенным сайтам.
- Политики - добавьте политики для управления устройствами, защиты от угроз и получения предупреждений о различных действиях организации.
- Разрешения: управляйте тем, кто в вашей организации имеет доступ к Центру безопасности Microsoft 365 для просмотра его содержимого и выполнения задач. Вы также можете назначить разрешения Microsoft 365 на портале Azure AD.
Также возможно определить детальный доступ к функциям «Центра безопасности и соответствия требованиям».
Глобальные администраторы, назначаемые организацией, имеют доступ к функциям «Центра безопасности и соответствия требованиям»; это одна из причин, по которой важно правильно защитить глобальных администраторов, отделить их от действий пользователей (поэтому мы не рекомендуем назначать этим администраторам лицензию на Office 365) и использовать их только при необходимости.
Где находятся серверы, на которых хранятся данные?
При подписке на услугу «Арендатор» связан с каждым Администрированием / Заказчиком, то есть логической единицей, содержащей все данные Администрирования и конфигурации.
Одним из основных преимуществ облачных вычислений является концепция общей инфраструктуры, совместно используемой множеством клиентов одновременно, что приводит к экономии за счет масштаба. Эта концепция называется мультитенантной. Microsoft гарантирует, что архитектуры многопользовательских облачных сервисов поддерживают стандарты безопасности, конфиденциальности, конфиденциальности, целостности и доступности на уровне предприятия.
Основываясь на значительных инвестициях и опыте, полученном в жизненном цикле разработки надежных вычислений и безопасности, облачные службы Microsoft были разработаны с предположением, что все клиенты потенциально враждебны по отношению ко всем другим клиентам и что они являются мерами безопасности, которые были реализованы для предотвращения действий одного. арендатор от воздействия на безопасность или обслуживание другого арендатора.
Двумя основными целями поддержания изоляции клиентов в многопользовательской среде являются:
- Предотвращение утечки или несанкционированного доступа к клиентскому контенту между арендаторами; является
- Предотвратить негативное влияние действий одного арендатора на обслуживание другого арендатора
В Office 365 реализовано несколько форм защиты для предотвращения взлома клиентами служб или приложений Office 365 или получения несанкционированного доступа к информации от других клиентов или самой системы Office 365, в том числе:
- Логическая изоляция клиентского контента в каждом клиенте для служб Office 365 достигается за счет авторизации Azure Active Directory и управления доступом на основе ролей.
- SharePoint Online предоставляет механизмы изоляции данных на уровне хранилища.
- Microsoft использует строгую физическую безопасность, фоновую проверку и стратегию многоуровневого шифрования для защиты конфиденциальности и целостности клиентского контента. Все центры обработки данных Office 365 имеют биометрические средства контроля доступа, при этом для большинства отпечатков Palm требуется физический доступ.
- Office 365 использует сервисные технологии, которые шифруют клиентский контент в состоянии покоя и при передаче, включая BitLocker, шифрование файлов, безопасность транспортного уровня (TLS) и безопасность интернет-протокола (IPsec).
Вместе перечисленные ниже средства защиты предлагают надежные средства управления логической изоляцией, которые обеспечивают защиту и смягчение угроз, эквивалентные той, которая обеспечивается только физической изоляцией.
Локализация данных
Что касается географического расположения услуг, подробности, касающиеся арендаторов в европейском географическом регионе, показаны ниже:
► OneDrive для бизнеса / SharePoint Online / Skype для бизнеса / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services / Stream / Forms:
- Ирландия
- Нидерланды
► Exchange Online / Office Online / Office Mobile / EOP / MyAnalytics:
- Austria
- Финляндия
- Ирландия
- Нидерланды
Клиенты могут просматривать информацию о расположении данных для конкретного клиента в центре администрирования Office 365 в разделе Параметры | Профиль организации | Вкладка Путь к данным.
Конечно, это еще не все. Еще многое предстоит сказать о безопасности систем Microsoft, поэтому в ближайшем будущем я расскажу об управлении безопасностью данных в облаке.