SicherheitSecurity

AnsatzApproach

Microsoft Kaizala-Dienste und-Daten werden auf der Microsoft Azure Cloud-Plattform von Office 365 & gehostet.Microsoft Kaizala services and data are hosted on Office 365 & Microsoft Azure cloud platform. Microsoft wird als Branchenführer in der Cloud-Sicherheit anerkannt.Microsoft is recognized as an industry leader in cloud security. Mit jahrzehntelanger Erfahrung bei der Erstellung von Enterprise-Software und der Ausführung von Onlinediensten wird unser Team ständig unsere Dienste und Anwendungen aktualisieren, um einen sicheren Cloud-Produktivitäts Dienst bereitzustellen, der strenge Branchenstandards erfüllt. für Compliance.Using decades of experience building enterprise software and running online services, our team is constantly learning and continuously updating our services and applications to deliver a secure cloud productivity service that meets rigorous industry standards for compliance.

Security Development Lifecycle (SDL) bezieht sich auf die Sicherheit in jeder Entwicklungsphase, von der anfänglichen Planung bis hin zum Start.Security development lifecycle (SDL) addresses security at each development phase, right from initial planning to launch. In der Entwurfsphase werden beispielsweise detaillierte Datenfluss Diagramme (DFD), Bedrohungsmodelle erstellt und sorgfältig für die verschiedenen Komponenten überprüft, um Sicherheitsrisiken zu identifizieren und zu beheben.For example – in the design phase detailed data flow diagrams (DFD), threat models are created and thoroughly reviewed for the various components to identify and address security risks. Zusätzlich zu den Peer Reviews werden Tools zur automatisierten Erkennung und Überprüfung von Sicherheitsproblemen verwendet.In addition to the peer reviews, tools are used for automated detection and verification of any security issues.

Branchenstandard-und Netzwerkprotokolle werden unterstützt, um die höchsten Sicherheitsanforderungen jeder Lösung zu erfüllen.Industry standard physical and network protocols are supported to meet the highest security needs of any solution. Diese Rechenzentren sind zertifiziert nach Branchenstandard Zertifizierungen.These data centres are certified with industry standard certifications. Weitere Informationen zur Azure-Sicherheit finden Sie auf dieser Website.More information about Azure security can be found on this website.

Sicherheit auf DienstebeneService Level Security

Auf Dienstebene wird eine mehrstufige Verteidigungsstrategie verwendet, die Ihre Daten über mehrere Sicherheitsebenen schützt, wie im folgenden Diagramm dargestellt:At the service level, we use a defense-in-depth strategy that protects your data through multiple layers of security, as depicted in the diagram below:

Eine mehrstufige Verteidigungsstrategie stellt sicher, dass in verschiedenen Schichten des Diensts Sicherheitskontrollen vorhanden sind und dass bei einem Ausfall eines Bereichs kompensierende Steuerelemente zur Wahrung der Sicherheit zur Verfügung stehen.A defense-in-depth strategy ensures that security controls are present at various layers of the service and that, should any one area fail, there are compensating controls to maintain security at all times. Die Strategie umfasst auch Taktiken, um Sicherheitsverstöße zu identifizieren, zu verhindern und zu mindern, bevor Sie auftreten.The strategy also includes tactics to detect, prevent, and mitigate security breaches before they happen. Dies umfasst kontinuierliche Verbesserungen der Sicherheitsfunktionen auf Dienstebene, einschließlich:This involves continuous improvements to service-level security features, including: - Physikalische Steuerungen, Videoüberwachung, Zugriffssteuerung, Smartcards, Brandschutz usw.Physical controls, video surveillance, access control, smart cards, fire protection etc. - Edge-Router, Firewalls, Intrusionserkennung, SchwachstellenüberprüfungEdge routers, firewalls, intrusion detection, vulnerability scanning - Zugriffssteuerung und-Überwachung, Antischadsoftware, Patch-und KonfigurationsverwaltungAccess control and monitoring, anti-malware, patch and configuration management - Secure Engineering (SDL), Zugriffssteuerung und-Überwachung, AntischadsoftwareSecure engineering (SDL), access control and monitoring, anti-malware - Kontoverwaltung, Schulung und Sensibilisierung, ScreeningAccount management, training and awareness, screening - Bedrohungs-und Sicherheitsrisikoverwaltung, Sicherheitsüberwachung und-Antwort, Zugriffssteuerung und-Überwachung, Datei-/Datenintegrität, VerschlüsselungThreat and vulnerability management, security monitoring, and response, access control and monitoring, file/data integrity, encryption

Wir investieren weiterhin in die Systemautomatisierung, um anormale und verdächtige Verhaltensweisen zu identifizieren und schnell auf Sicherheitsrisiken zu reagieren.We continue to invest in systems automation that helps identify abnormal and suspicious behavior and respond quickly to mitigate security risk. Außerdem entwickeln wir ein hoch effektives System automatisierter Patch-Bereitstellung, das Lösungen für Probleme generiert und bereitstellt, die von den Überwachungssystemen identifiziert werden – und das alles ohne menschliches Zutun.We are also continuously evolving a highly effective system of automated patch deployment that generates and deploys solutions to problems identified by the monitoring systems—all without human intervention. Dadurch werden die Sicherheit und die Agilität des Diensts erheblich verbessert.This greatly enhances the security and agility of the service. Wir führen regelmäßig Penetrationstests durch, um eine kontinuierliche Verbesserung der Vorfälle zu ermöglichen.We regularly conduct penetration tests to enable continuous improvement of incident response procedures. Diese internen Tests unterstützen unsere Sicherheitsexperten bei der Erstellung eines methodischen, wiederholbaren und optimierten schrittweisen Reaktionsprozesses und der Automatisierung.These internal tests help our security experts create a methodical, repeatable, and optimized stepwise response process and automation.

Antischadsoftware, Patching und KonfigurationsverwaltungAnti-malware, Patching, and Configuration Management

Die Verwendung von Antischadsoftware ist ein Hauptmechanismus für den Schutz Ihrer Ressourcen vor Schadsoftware.The use of anti-malware software is a principal mechanism for protection of your assets from malicious software. Die Software erkennt und verhindert die Einführung von Computerviren und Würmern in die Dienst Systeme.The software detects and prevents the introduction of computer viruses and worms into the service systems. Außerdem werden infizierte Systeme in Quarantäne verschoben und weitere Schäden verhindert, bis korrekturschritte ausgeführt werden.It also quarantines infected systems and prevents further damage until remediation steps are taken. Antischadsoftware bietet sowohl eine vorbeugende als auch eine Kriminal Kontrolle über Schadsoftware.Anti-malware software provides both preventive and detective control over malicious software.

Unsere standardmäßigen Basis Konfigurationsanforderungen für Server, Netzwerkgeräte und andere Microsoft-Anwendungen werden dokumentiert, wenn in den Standards die Verwendung eines Standardpakets erläutert wird.Our standard baseline configuration requirements for servers, network devices, and other Microsoft applications are documented where the standards outline the use of a standard package. Diese Pakete werden mit Sicherheitskontrollen vorgetestet und konfiguriert.These packages are pretested and configured with security controls.

Änderungen wie Updates, Hotfixes und Patches, die für die Produktionsumgebung vorgenommen wurden, entsprechen dem standardmäßigen Change Management-Prozess.Changes, such as updates, hotfixes, and patches made to the production environment, follow the same standard change management process. Patches werden innerhalb des vom ausstellenden Unternehmen angegebenen Zeitrahmens implementiert.Patches are implemented within the time frame specified by the issuing company. Änderungen werden sowohl von unseren Review Teams als auch vom Change Advisory Board für Anwendbarkeit, Risiko und Ressourcenzuweisung vor der Implementierung überprüft und ausgewertet.Changes are both reviewed and evaluated by our review teams and the Change Advisory Board for applicability, risk, and resource assignment prior to being implemented

Schutz vor SicherheitsbedrohungenProtection from Security Threats

Die gesamte Cyber-Bedrohungslandschaft hat sich von herkömmlichen opportunistischen Bedrohungen entwickelt, um auch persistente und entschlossene Gegner einzubeziehen.The overall cyber threat landscape has evolved from traditional opportunistic threats to also include persistent and determined adversaries. Wir rüsten Sie mit einem Tiefenverteidigungsansatz aus, um das Kontinuum der Bedrohungen zu bewältigen, die von gängigen "Hacktivisten" zu Cyber-Kriminellen bis hin zu nationalstaatlichen Akteuren reichen.We equip you with a defense-in-depth approach to address the continuum of threats ranging from common “hacktivists” to cyber criminals to nation-state actors.

Unsere Office 365-Sicherheitsstrategie basiert auf einer dynamischen Strategie mit vier Gedanken Säulen.Our Office 365 security strategy is founded upon a dynamic strategy with four pillars of thought. Die Mentalitäts Verlagerung, die wir vorgenommen haben, um unsere Verteidigung effektiver und immer weiter entwickelnder zu machen, wird gemeinhin als "Übernehmen einer Verletzung" bezeichnet und geht davon aus, dass in der Umgebung bereits eine Verletzung geschehen ist und einfach nicht bekannt ist.The mindset shift we made to make our defenses more effective and ever evolving is commonly referred to as “Assume Breach” and assumes that a breach has already happened in the environment and is simply not known. Mit dieser Denkweise versuchen die Sicherheitsteams ständig, Sicherheitsbedrohungen zu identifizieren und zu verringern, die nicht weithin bekannt sind.With this mindset, the security teams are continuously attempting to detect and mitigate security threats that are not widely known. Eine Reihe von Übungen besteht darin, eine Sicherheitsbedrohung künstlich zu propagieren und eine andere Gruppe zu beantworten und die Bedrohung zu mindern.One set of exercises is to artificially propagate a security threat and have another group respond and mitigate the threat. Das primäre Ziel dieser Übungen besteht darin, Office 365 als belastbar zu machen, damit die neuen Sicherheitsanfälligkeiten schnell erkannt und abgemildert werden.The primary goal of these exercises is to make Office 365 resilient so the new vulnerabilities are quickly detected and mitigated.

SecurityThreat. PNG

Die erste Säule der Sicherheitsstrategie wird als "verHinderung von Verstößen" bezeichnet.The first pillar of the security strategy is referred to as “Prevent Breach.” Unsere Investition in diese Säule beinhaltet kontinuierliche Verbesserung der integrierten Sicherheitsfunktionen.Our investment in this pillar involves continuous improvements to built-in security features. - Hierzu gehört die Portüberprüfung und-Korrektur, die Überwachung von Grenz Wert Angriffen, Betriebssystem-Patches, Isolierungs-und Verletzungs Grenzen auf Netzwerkebene, DDoS-Erkennung und-Vermeidung, Just-in-Time-Zugriff, Live Site Penetrationstests und mehrstufige Authentifizierung für Dienst Zugriff.These include port scanning and remediation, perimeter vulnerability scanning, operating system patches, network level Isolation/breach boundaries, DDoS detection and prevention, just-in-time access, live site penetration testing, and multi-factor authentication for service access. - Die zweite Säule wird als "Entdeckungs Verletzung" bezeichnet.The second pillar is referred to as “Detect Breach.” In dieser Säule werden unsere System-und Sicherheitswarnungen über ein massives internes Analysesystem geerntet und korreliert.In this pillar, our system and security alerts are harvested and correlated via a massive internal analysis system. Die Signale analysieren Warnungen, die im systemintern sind, sowie externe Signale (beispielsweise aus Kunden Vorfällen).The signals analyze alerts that are internal to the system as well as external signals (for example coming from customer incidents). Basierend auf dem maschinellen lernen können wir schnell neue Muster einbinden, um Warnungen auszulösen, sowie Warnungen zu Anomalien im System automatisch auslösen.Based on machine learning, we can quickly incorporate new patterns to trigger alerts, as well as automatically trigger alerts on anomalies in the system. - Die dritte Säule wird als "Antwort auf einen Verstoß" bezeichnet.The third pillar is referred to as “Respond to Breach.” Diese Säule wird verwendet, um die Auswirkungen zu verringern, wenn eine Komponente kompromittiert wird.This pillar is used to mitigate the effects if a component is compromised. Ein sorgfältiger Vorfall Reaktionsprozess, standardmäßige Betriebsverfahren bei einem Vorfall, die Möglichkeit, den Zugriff auf vertrauliche Daten zu verweigern oder zu beenden und Identifizierungs Tools zur sofortigen Identifizierung beteiligter Personen zu unterstützen, stellt sicher, dass die Minderung erfolgreich ist.A diligent incident response process, standard operating procedures in case of an incident, ability to deny or stop access to sensitive data and identification tools to promptly identify involved parties helps ensure that the mitigation is successful. - Die vierte Säule wird als "Recover from Bresche" bezeichnet, die die Standardbetriebsverfahren enthält, um den Dienst an Operationen zurückzugeben.The fourth pillar is referred to as “Recover from Breach,” which includes the standard operating procedures to return the service to operations. Die Säule beinhaltet die Möglichkeit, die Sicherheitsprinzipale in der Umgebung zu ändern, die betroffenen Systeme automatisch zu aktualisieren und den Status der Bereitstellung zu überwachen, um Anomalien zu identifizieren.The pillar includes the ability to change the security principals in the environment, automatically update the affected systems, and audit the state of the deployment to identify any anomalies.

Zugriffssteuerung für die geRingste BerechtigungLeast Privilege Access Control

Kein Microsoft-Techniker hat einen ständigen Zugriff auf die Produktionsumgebung.No Microsoft engineer has a standing access to the production environment. Die regulären Bereitstellungs-, Verwaltungs-und Wartungsaufgaben werden über Automatisierung durchgeführt.The regular deployment, management and maintenance tasks are handled through automation. Dadurch wird verhindert, dass ein Microsoft-Benutzer mit Rouge Zugriff auf Kundendaten hat.This stops any possibility of a rouge Microsoft individual getting access to customer data.

Für alle gehosteten Komponenten, einschließlich Betriebssystemen, Infrastruktur, Datenbanken, Webdiensten, Netzwerkgeräten, installierten und laufenden Anwendungen sowie der Konfiguration für alle, führen wir regelmäßige Gefährdungs-, Risiko-und andere Bedrohungsbewertungen durch. identifizierte Komponenten des Informationssystems.We conduct regular vulnerability, risk and other threat assessments for all hosted components including operating systems, infrastructure, databases, web services, network devices, installed and running applications along with configuration on all identified information system components. Eine regelmäßige Überprüfung vorhandener Berechtigungen für die Benutzer und Dienstkonten wird durchgeführt, um die Richtlinie mit den geringsten Rechten zu befolgen.A regular audit of existing permissions to the users and service accounts is conducted to adhere to least privilege access policy.

Datenverschlüsselung im RuhezustandData Encryption at Rest

Die Server seitige Verschlüsselung aller Ressourcen wird mit Dienst verwalteten Schlüsseln aktiviert.Server side encryption of all resources is enabled with service managed keys. Bei Rest-Verschlüsselung werden Daten geschützt, falls Angreifer physische Medien abrufen.Encryption at rest protects data in case attackers get their hands on physical media. Folgende Azure-Verschlüsselungsfunktionen sind aktiviert, um die Datenverschlüsselung in Ruhe sicherzustellen:Following Azure encryption-decryption features are enabled to ensure data encryption at rest:

  • Azure Storage Service Encryption (SSE) für Azure-BLOB-Speicher.Azure Storage Service Encryption (SSE) for Azure Blob Storages. Alle Daten werden mit der 256bit AES-Verschlüsselung verschlüsselt, eine der stärksten Blockchiffren, die verfügbar sind.All data is encrypted using 256bit AES encryption, one of the strongest block ciphers available. Verschlüsselung von klassischen Speicherkonten daher werden alle Speicher in Ressourcen verwaltete Speicher verschoben.Encryption of classic storage accounts hence all the storages are moved to resource managed storages.

  • Die transparente Datenverschlüsselung (transparent Data Encryption, DSA) wird verwendet, um die Echtzeit-e/A-Verschlüsselung und-Entschlüsselung der Daten-und Protokolldateien durchzuführen, um die Datenverschlüsselung zu gewährleisten.Transparent Data Encryption (TDE) is used to perform real-time I/O encryption and decryption of the data and log files to provide data encryption at-rest. Außerdem kann die DSA-Verschlüsselung in Transit für gespiegelte oder vom Protokoll versendete Daten bereitgestellt werden.In addition, TDE can provide encryption in-transit for mirrored or log-shipped data. Alle Replikate von Daten sind auch für die Verschlüsselung aktiviert.All replicas of data are also enabled for encryption.

Kryptografie und VerschlüsselungCryptography and encryption

Kryptografie verwendet Datenverschlüsselung, Kryptografieschlüssel und sichere Zufallszahlengenerierung.Cryptography uses data encryption, cryptographic key management, and secure random number generation. Es werden nur Microsoft Crypto Board Approved Cryptography Algorithms verwendet.Only Microsoft Crypto Board approved cryptography algorithms are used. Wir verwenden nur FIPS 140-2 (Federal Information Processing Standard)-kompatible Hashalgorithmen.We are using only FIPS 140-2(Federal Information Processing Standard) compliant hashing algorithms. Keines der verbotenen Hashalgorithmen, gesperrte symmetrische Block-Cyphers, verbotene Zufallsfunktionen, asymmetrische oder kryptographische primitive werden verwendet, und das regelmäßige Überprüfen des Quellcodes wird durchgeführt, um eine spätere Korrektur sicherzustellen.None of the banned hashing algorithm, banned symmetric block cyphers, banned random functions, asymmetric algorithms or crypto primitives are used, and regular scanning of source code is done to ensure future proofing.

Sicherer ZugriffSecure Access

Kaizala aktiviert alle Kommunikation über HTTPS-Protokoll, das eine sichere Kommunikation über das öffentliche Internet sicherstellt.Kaizala enables all communications over HTTPS protocol only, which ensures secure communication over the public Internet. TLS 1,2 ist aktiviert, und alle anderen Versionen von TLS/SSL sind deaktiviert.TLS 1.2 is enabled, and all other versions of TLS/SSL are disabled. (ab Juni verfügbar).(available from June release). Die TLS-Konfiguration erfüllt oder überschreitet die Microsoft-Sicherheitsanforderungen.TLS configuration meet or exceed Microsoft security requirements. Sie unterstützt keinen schwach Schlüssel und verwendet nur SHA256withRSA-Signaturalgorithmus.It doesn’t support weak key, and uses SHA256withRSA signature algorithm only.

Nur die folgenden Verschlüsselungs Pakete sind aktiviert:Only following cipher suites are enabled:

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp384r1 (EQ.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp384r1 (eq. 7680 Bits RSA) FS7680 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (EQ.TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 Bits RSA) FS3072 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (EQ.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (eq. 7680 Bits RSA) FS7680 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (EQ.TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 Bits RSA) FS3072 bits RSA) FS
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)
  • TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9C)TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)
  • TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3D)TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)
  • TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3C)TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)
  • TLS_RSA_WITH_AES_256_CBC_SHA (0x35)TLS_RSA_WITH_AES_256_CBC_SHA (0x35)
  • TLS_RSA_WITH_AES_128_CBC_SHA (0x2F)TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

Die TLS-Konfiguration wird mitTLS configuration is setup with

  • Unsichere erneute Aushandlung muss deaktiviert sein.Insecure renegotiation must be disabled.
  • TLS-Komprimierung muss deaktiviert sein.TLS compression must be disabled.

Die Wiederaufnahme des TLS-Sitzungstickets ist für schnellere Konnektivität aktiviert.TLS session ticket resumption is enabled for faster connectivity. Die Token-basierte Authentifizierung wird für die Authentifizierung und Autorisierung des Benutzerzugriffs verwendet.Token based Authentication is used for authenticating and authorizing user access.

GeHeimer Speicher und VerwaltungSecret Storage and Management

Die grundlegende Aufgabe von Secrets Management besteht darin, die Daten der Kunden zu schützen, die wir in einer Weise erfüllen, die mit den höchsten idealen in unserer Branche konsistent ist, und um automatisierte Prozesse zu nutzen, um den menschlichen Zugriff auf Kundendaten zu reduzieren, was uns helfen wird erfolgreich sein.The fundamental mission of Secrets Management is to protect the data of the customers we serve in a manner consistent with the highest ideals within our industry and, to take advantage of automated processes to reduce human access to customer data, which will help us succeed in that endeavour.

Alle HBI-Daten wie Dienstschlüssel, Kennwörter, Schlüssel, Zertifikate und andere sicherungsfähige Elemente, die zum Betrieb des Diensts benötigt werden, werden in Secure Key Vault gespeichert, ohne dass ein Benutzer Zugriff darauf hat.All the HBI data like service keys, passwords, keys, certificates, and other securable that are needed to operate the service are stored in secure key vault to without any human access to it. Nur erforderliche Dienstkomponenten, die Zugriff benötigen, um den Dienst auf Hochverfügbarkeit und zuverlässige Weise zu halten, haben Zugriff.Only required service components which require access to keep the service running in highly available and reliable manner have access.

Zur Sicherstellung der geheimen Verwaltung verwendet Kaizala definierten geheimen Exchange-Prozess, verwendet den Secure Secret Store-Support und bietet Zugriffssteuerung zur Einschränkung des geheimen Zugriffs.To ensure secret management, Kaizala uses defined secret exchange process, uses secure secret store support, and provides access control to restrict secret access. Wir kopieren keine vertraulichen Daten in Dateifreigaben oder andere externe Kommunikationen oder Speicher und/oder schaffen keine Ressourcen außerhalb der Infrastrukturumgebung der Secure Office-Dienste.We do not copy secret to file shares or any other external communication or storages and/or do not create any resources outside of secure Office Services Infrastructure environment. Außerdem wird die Überwachungsebene bereitgestellt.It also provides auditing layer. Zentrale Secrets-Verwaltungstools, die Konsistenz, Isolierung, Redundanz und Ausfallzeiten aufgrund von ablaufenden geheimen Schlüsseln vermeiden.Centralized secrets management tools designed to provide consistency, isolation, redundancy and help avoid downtime due to expiring secrets.