SicherheitSecurity

AnsatzApproach

Microsoft Kaizala Dienste und Daten werden auf Office 365 & Microsoft Azure-Cloud-Plattform gehostet.Microsoft Kaizala services and data are hosted on Office 365 & Microsoft Azure cloud platform. Microsoft ist als Branchenführer im Cloud-Sicherheit erkannt.Microsoft is recognized as an industry leader in cloud security. Mit Jahrzehnte Erfahrung im Erstellen von Enterprise-Software und Ausführung von online-Diensten, unser Team ist ständig erlernen und fortlaufend aktualisiert unsere Dienste und Anwendungen, um eine sichere Produktivität Clouddienst übermitteln, die strengen Branchenstandards erfüllt für die Einhaltung der.Using decades of experience building enterprise software and running online services, our team is constantly learning and continuously updating our services and applications to deliver a secure cloud productivity service that meets rigorous industry standards for compliance.

Security Development Lifecycle (SDL) Adressen Sicherheit in jeder Entwicklungsphase rechts von der anfänglichen Planung zu starten.Security development lifecycle (SDL) addresses security at each development phase, right from initial planning to launch. Beispiel – in den Entwurf für phase Detaildaten Fluss Diagramme (DFD), Bedrohungsmodellen erstellt und für die verschiedenen Komponenten zu identifizieren und Beheben von Sicherheitsrisiken gründlich überprüft werden.For example – in the design phase detailed data flow diagrams (DFD), threat models are created and thoroughly reviewed for the various components to identify and address security risks. Zusätzlich zu den Peer-Bewertungen werden Tools für die automatische Erkennung und Überprüfung des Sicherheitsprobleme, wenn verwendet.In addition to the peer reviews, tools are used for automated detection and verification of any security issues.

Physische Industriestandard und Netzwerkprotokolle werden unterstützt, um die höchste Sicherheit erfüllen muss einer Lösung.Industry standard physical and network protocols are supported to meet the highest security needs of any solution. Diese Rechenzentren sind mit branchenüblichen standard Zertifizierungen zertifiziert.These data centres are certified with industry standard certifications. Weitere Informationen zur Sicherheit von Azure finden Sie auf dieser Website.More information about Azure security can be found on this website.

Dienst Sicherheit auf ElementebeneService Level Security

Auf Dienstebene verwenden wir eine Verteidigung Strategie, die Ihre Daten über mehrere Sicherheitsebenen schützt, wie im folgenden Diagramm dargestellt:At the service level, we use a defense-in-depth strategy that protects your data through multiple layers of security, as depicted in the diagram below:

Eine Verteidigung Strategie wird sichergestellt, dass Sicherheitssteuerelemente auf verschiedenen Ebenen des Dienstes und, vorhanden sind, sollten alle Fehler ein Bereich, es sind Steuerelemente zum Verwalten der Sicherheit jederzeit kompensieren.A defense-in-depth strategy ensures that security controls are present at various layers of the service and that, should any one area fail, there are compensating controls to maintain security at all times. Die Strategie umfasst auch Taktiken erkennen und zu verhindern, dass Abwehren von Sicherheitsrisiken, bevor sie auftreten.The strategy also includes tactics to detect, prevent, and mitigate security breaches before they happen. Dieser Schritt umfasst das kontinuierliche Verbesserungen an Servicelevel-Sicherheitsfeatures, einschließlich:This involves continuous improvements to service-level security features, including:

  • Physische Steuerelemente, video-Überwachung, Steuerung des Zugriffs, Smart-Karten Brandschutz usw..Physical controls, video surveillance, access control, smart cards, fire protection etc.
  • Edge-Router, Firewalls, unbefugten, Sicherheitsrisiko ÜberprüfungEdge routers, firewalls, intrusion detection, vulnerability scanning
  • Steuerung des Zugriffs und Überwachung, Management Anti-Malware, Patch und KonfigurationAccess control and monitoring, anti-malware, patch and configuration management
  • Sichere Engineering (SDL), Steuerung des Zugriffs und Überwachung, Anti-malwareSecure engineering (SDL), access control and monitoring, anti-malware
  • Kontenverwaltung, Schulung und Förderung des Bekanntheitsgrads, PrüfungAccount management, training and awareness, screening
  • Zugriff auf Bedrohung und Sicherheitsrisiko Management, Überwachung von Sicherheit und Antwort-Steuerelement und Überwachung, Datei/Datenintegrität VerschlüsselungThreat and vulnerability management, security monitoring, and response, access control and monitoring, file/data integrity, encryption

Wir weiterhin in Systemautomation investieren, mit deren ungewöhnliche und verdächtige Verhalten zu identifizieren und Abwehren von Sicherheitsrisiken schnell Antworten auf.We continue to invest in systems automation that helps identify abnormal and suspicious behavior and respond quickly to mitigate security risk. Wir werden ebenfalls kontinuierlich entwickelt, ein hoch effizientes System automatisierte Patch-Bereitstellung, die generiert und Lösungen für Probleme, die durch die Überwachung Systeme bereitgestellt – alle ohne Eingreifen.We are also continuously evolving a highly effective system of automated patch deployment that generates and deploys solutions to problems identified by the monitoring systems—all without human intervention. Dies kann erheblich verbessert die Sicherheit und Flexibilität des Diensts.This greatly enhances the security and agility of the service. Wir führen Sie regelmäßig Penetration-Tests, um zur fortlaufenden Verbesserung des Verfahrens zur Reaktion auf Vorfälle zu aktivieren.We regularly conduct penetration tests to enable continuous improvement of incident response procedures. Diese interne Tests helfen unsere Sicherheitsexperten Erstellen einer methodisch, wiederholbare und optimierte schrittweise Antworten auf Besprechungsanfragen und Automatisierung.These internal tests help our security experts create a methodical, repeatable, and optimized stepwise response process and automation.

Anti-Malware, Patchen und KonfigurationsverwaltungAnti-malware, Patching, and Configuration Management

Die Verwendung von Anti-Malware-Software ist ein principal Mechanismus für den Schutz Ihrer Anlagen von Schadsoftware.The use of anti-malware software is a principal mechanism for protection of your assets from malicious software. Die Software erkennt und verhindert, dass die Einführung von Viren und Würmer in die Dienst-Systeme.The software detects and prevents the introduction of computer viruses and worms into the service systems. Außerdem isoliert infizierte Systeme und verhindert, dass weitere Schäden bis Maßnahmen ergriffen werden.It also quarantines infected systems and prevents further damage until remediation steps are taken. Anti-Malware-Software bietet einen und Sache Steuerung Schadsoftware.Anti-malware software provides both preventive and detective control over malicious software.

Unsere standard geplante konfigurationsanforderungen für Server, Netzwerkgeräten und andere Microsoft-Programme sind dokumentiert, in dem die Standards für die Verwendung des standard-Pakets beschreiben.Our standard baseline configuration requirements for servers, network devices, and other Microsoft applications are documented where the standards outline the use of a standard package. Diese Pakete werden getestet und mit Sicherheitssteuerelemente konfiguriert.These packages are pretested and configured with security controls.

Änderungen, wie Updates, Updates und Patches, die in der produktionsumgebung vorgenommen führen Sie die gleichen standard Änderungsmanagementprozesses.Changes, such as updates, hotfixes, and patches made to the production environment, follow the same standard change management process. Patches werden innerhalb des Zeitraums angegeben, die von der ausstellenden Unternehmen implementiert.Patches are implemented within the time frame specified by the issuing company. Änderungen werden sowohl geprüft und ausgewertet, indem unsere Teams überprüfen und dem Change Advisory Board für Anwendungsmöglichkeiten, Risiken und Ausführen von Pulls vor, die implementiertChanges are both reviewed and evaluated by our review teams and the Change Advisory Board for applicability, risk, and resource assignment prior to being implemented

Schutz vor SicherheitsrisikenProtection from Security Threats

Die allgemeine im Internet Bedrohung wurde aus traditionell opportunistischen Bedrohungen für beständigen und zielgerichteten Angreifer auch enthalten weiterentwickelt.The overall cyber threat landscape has evolved from traditional opportunistic threats to also include persistent and determined adversaries. Wir brauchen Sie mit einem Verteidigung Ansatz behandeln kontinuierlich mit der Bedrohungen von allgemeinen "Hacktivists" bis hin zu Internetkriminelle, Akteure gesinnte Nation zu übergeben.We equip you with a defense-in-depth approach to address the continuum of threats ranging from common “hacktivists” to cyber criminals to nation-state actors.

Unsere Strategie für die Office 365 ist bei einer Strategie für die dynamische mit vier Säulen Gedanken basieren.Our Office 365 security strategy is founded upon a dynamic strategy with four pillars of thought. Die Einstellung Verbreitung wir unsere Verteidigung effektiver vorgenommen und jemals weiterentwickelt wird im Allgemeinen als "Wird davon ausgegangen Verletzung" bezeichnet und wird davon ausgegangen, dass eine Verletzung bereits in der Umgebung passiert ist und einfach nicht bekannt ist.The mindset shift we made to make our defenses more effective and ever evolving is commonly referred to as “Assume Breach” and assumes that a breach has already happened in the environment and is simply not known. Mit dieser Einstellung die Sicherheitsteams kontinuierlich versuchen, die Erkennung von und zur Abwehr von Sicherheitsrisiken, die nicht in großem Maß bekannt sind.With this mindset, the security teams are continuously attempting to detect and mitigate security threats that are not widely known. Eine Gruppe von Übungen wird künstlich weitergegeben ein Sicherheitsrisiko darstellen und haben eine andere Gruppe reagieren und die Bedrohung zu mindern.One set of exercises is to artificially propagate a security threat and have another group respond and mitigate the threat. Die Hauptaufgabe des späteren ist Office 365 ausfallsichere vornehmen, sodass die neuen Sicherheitslücken schnell erkannt und verringert werden.The primary goal of these exercises is to make Office 365 resilient so the new vulnerabilities are quickly detected and mitigated.

SecurityThreat.PNG

Der erste Säule einer Sicherheitsstrategie wird als "Verhindert, dass Verletzung." bezeichnetThe first pillar of the security strategy is referred to as “Prevent Breach.” Unsere Investitionen in diese Säule umfasst kontinuierliche Verbesserungen an integrierte Sicherheitsfeatures.Our investment in this pillar involves continuous improvements to built-in security features.

  • Dazu gehören Ports scannen und-Wartung, Umkreisnetzwerk Sicherheitsrisiken, Betriebssystem-Patches, Ebene Isolation/Verletzung Netzwerkgrenzen, DDoS-Erkennung und Prevention, Just-in-Time-Access, Livewebsite Durchdringungstests und mehrstufige Authentifizierung für den Zugriff.These include port scanning and remediation, perimeter vulnerability scanning, operating system patches, network level Isolation/breach boundaries, DDoS detection and prevention, just-in-time access, live site penetration testing, and multi-factor authentication for service access.
  • Der zweite Säule wird als "Erkennen Verletzung." bezeichnetThe second pillar is referred to as “Detect Breach.” In diesem Säule sind unsere System und Sicherheit Warnungen gesammelte und über eine große interne Analysesystem korreliert.In this pillar, our system and security alerts are harvested and correlated via a massive internal analysis system. Die Signale analysieren Warnungen, die internen System als auch externe Signale (beispielsweise von Kundenanfragen bald) sind.The signals analyze alerts that are internal to the system as well as external signals (for example coming from customer incidents). Basierend auf dem Computer lernen, können wir schnell integrieren neue Muster Trigger Benachrichtigungen als auch automatisch im System auslösen Benachrichtigungen auf Bildschirmdarstellung auftreten.Based on machine learning, we can quickly incorporate new patterns to trigger alerts, as well as automatically trigger alerts on anomalies in the system.
  • Die dritte Säule wird als "Reagieren auf Verletzung." bezeichnetThe third pillar is referred to as “Respond to Breach.” Diese Säule wird verwendet, um die Effekte zu verringern, wenn eine Komponente gefährdet ist.This pillar is used to mitigate the effects if a component is compromised. Ein Prozess sorgfältig Vorfällen, Standardverfahren bei einem Vorfall, Möglichkeit zum Zugriff auf vertrauliche Daten und die Kennung Tools zum Identifizieren der beteiligten umgehend beenden oder verweigert wird sichergestellt, dass die Minderung erfolgreich angezeigt werden kann.A diligent incident response process, standard operating procedures in case of an incident, ability to deny or stop access to sensitive data and identification tools to promptly identify involved parties helps ensure that the mitigation is successful.
  • Die vierte Säule genannt wird "Wiederherstellen von Verletzung," die enthält die Standardverfahren, um den Dienst in Vorgänge zurück.The fourth pillar is referred to as “Recover from Breach,” which includes the standard operating procedures to return the service to operations. Der Säule bietet die Möglichkeit, die Sicherheitsprinzipale in der Umgebung ändern, automatisch aktualisieren die betroffenen Systeme und überwacht den Status der Bereitstellung zum Identifizieren alle Bildschirmdarstellung auftreten.The pillar includes the ability to change the security principals in the environment, automatically update the affected systems, and audit the state of the deployment to identify any anomalies.

Geringste Rechte Steuerung des ZugriffsLeast Privilege Access Control

Kein Microsoft-Supportmitarbeiter hat eine ständige-Zugriff in der produktionsumgebung.No Microsoft engineer has a standing access to the production environment. Die regulären Bereitstellung, Verwaltung und Wartung Aufgaben werden mittels Automatisierung behandelt.The regular deployment, management and maintenance tasks are handled through automation. Dadurch wird die Möglichkeit, eine Rouge Microsoft individuellen erste Zugriff auf Kundendaten angehalten.This stops any possibility of a rouge Microsoft individual getting access to customer data.

Wir durchführen regulären Sicherheitslücke, Risiken und andere Bedrohung Bewertung für alle gehosteten Komponenten einschließlich Betriebssysteme, Infrastruktur, Datenbanken, Webdiensten, Netzwerkgeräten, installiert ist und ausgeführt Applications zusammen mit der Konfiguration auf allen Systemkomponenten Informationen identifiziert.We conduct regular vulnerability, risk and other threat assessments for all hosted components including operating systems, infrastructure, databases, web services, network devices, installed and running applications along with configuration on all identified information system components. Eine regelmäßige Überwachung vorhandene Berechtigungen für die Benutzer und Dienstkonten wird durchgeführt, um die geringsten Berechtigung Zugriffsrichtlinie entsprechen.A regular audit of existing permissions to the users and service accounts is conducted to adhere to least privilege access policy.

Datenverschlüsselung im RuhezustandData Encryption at Rest

Server-Side-Verschlüsselung aller Ressourcen ist mit verwalteten Service-Schlüssel aktiviert.Server side encryption of all resources is enabled with service managed keys. Verschlüsselung im Ruhezustand schützt Daten für den Fall, dass Angreifer die Hände auf einem Datenträger abzurufen.Encryption at rest protects data in case attackers get their hands on physical media. Folgenden Azure Verschlüsselung-Entschlüsselung Features werden aktiviert, um sicherzustellen, dass datenverschlüsselung im Ruhezustand:Following Azure encryption-decryption features are enabled to ensure data encryption at rest:

  • Verschlüsselung der Azure-Speicher-Dienst (SSE) für Azure Blob-Speicher.Azure Storage Service Encryption (SSE) for Azure Blob Storages. Alle Daten werden mit 256-Bit-AES-Verschlüsselung, eines der stärksten Block-Chiffre verschlüsselt.All data is encrypted using 256bit AES encryption, one of the strongest block ciphers available. Verschlüsselung von klassischen Speicherkonten daher, die alle Speicher auf Ressource verschoben werden, verwaltete speichern.Encryption of classic storage accounts hence all the storages are moved to resource managed storages.

  • Transparente datenverschlüsselung (TDE) wird verwendet, um in Echtzeit e/a-Verschlüsselung und Entschlüsselung der Daten- und Protokolldateien Dateien bereitstellen datenverschlüsselung auf Rest-ausführen.Transparent Data Encryption (TDE) is used to perform real-time I/O encryption and decryption of the data and log files to provide data encryption at-rest. Darüber hinaus kann TDE Verschlüsselung in Übertragung für gespiegelte oder mittels Protokollversand Daten bereitstellen.In addition, TDE can provide encryption in-transit for mirrored or log-shipped data. Alle Replikate von Daten sind auch für die Verschlüsselung aktiviert.All replicas of data are also enabled for encryption.

Kryptografie und VerschlüsselungCryptography and encryption

Kryptografie verwendet datenverschlüsselung, Verwaltung von kryptografischen Schlüssel und sichere Generierung von Zufallszahlen.Cryptography uses data encryption, cryptographic key management, and secure random number generation. Nur Microsoft Kryptografie Board genehmigt Kryptografie verwendeten Algorithmen.Only Microsoft Crypto Board approved cryptography algorithms are used. Wir sind nur FIPS 140-2(Federal Information Processing Standard) kompatible Hashalgorithmen verwenden.We are using only FIPS 140-2(Federal Information Processing Standard) compliant hashing algorithms. Keines der gesperrten Hashalgorithmus, gesperrten symmetrischen Block Herstellungsbetrieb, gesperrten zufällige Funktionen, asymmetrische Algorithmen oder kryptografischen primitive dienen, und regelmäßige Überprüfung des Quellcodes um zukünftige proofing sicherzustellen erfolgt.None of the banned hashing algorithm, banned symmetric block cyphers, banned random functions, asymmetric algorithms or crypto primitives are used, and regular scanning of source code is done to ensure future proofing.

Sicherer ZugriffSecure Access

Die gesamte Kommunikation über HTTPS-Protokoll nur, aktiviert Kaizala die sicheren Kommunikation über das öffentliche Internet sichergestellt wird.Kaizala enables all communications over HTTPS protocol only, which ensures secure communication over the public Internet. TLS 1.2 ist aktiviert, und alle anderen Versionen von TLS/SSL sind deaktiviert.TLS 1.2 is enabled, and all other versions of TLS/SSL are disabled. (erhältlich über Juni-Version).(available from June release). TLS-Konfiguration erfüllen und sicherheitsanforderungen von Microsoft.TLS configuration meet or exceed Microsoft security requirements. Es unterstützt keine schwachen Schlüssel und Signaturalgorithmus nur SHA256withRSA verwendet.It doesn’t support weak key, and uses SHA256withRSA signature algorithm only.

Nur folgende Verschlüsselungsanbieter-Suites aktiviert sind:Only following cipher suites are enabled:

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp384r1 (EQ.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp384r1 (eq. FS 7680 Bits RSA)7680 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (EQ.TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. FS 3072 Bits RSA)3072 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (EQ.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (eq. FS 7680 Bits RSA)7680 bits RSA) FS
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (EQ.TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. FS 3072 Bits RSA)3072 bits RSA) FS
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0X9D)TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)
  • TLS_RSA_WITH_AES_128_GCM_SHA256 (0X9C MACHINE_CHECK_EXCEPTION)TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)
  • TLS_RSA_WITH_AES_256_CBC_SHA256 (0X3D)TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)
  • TLS_RSA_WITH_AES_128_CBC_SHA256 (0X3C)TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)
  • TLS_RSA_WITH_AES_256_CBC_SHA (0X35)TLS_RSA_WITH_AES_256_CBC_SHA (0x35)
  • TLS_RSA_WITH_AES_128_CBC_SHA (0X2F)TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (0XA)TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

TLS-Konfiguration ist mit setupTLS configuration is setup with

  • Unsichere erneute Aushandlung muss deaktiviert werden.Insecure renegotiation must be disabled.
  • TLS-Komprimierung muss deaktiviert werden.TLS compression must be disabled.

TLS-Sitzung Ticket Wiederaufnahme ist für schnellere Verbindungen aktiviert.TLS session ticket resumption is enabled for faster connectivity. Token Authentifizierung wird für die Authentifizierung und Autorisierung Benutzerzugriff verwendet.Token based Authentication is used for authenticating and authorizing user access.

Geheimen Speicherung und VerwaltungSecret Storage and Management

Das grundlegende Ziel des Secrets Management ist, um die Daten der Kunden zu schützen, die wir in einer Weise konsistent mit der höchsten Prinzipien in dieser Branche betreuen und, nutzen Sie automatisierte Prozesse zur Reduzierung von human Zugriff auf Kundendaten, die uns helfen in diesem alles daran erfolgreich.The fundamental mission of Secrets Management is to protect the data of the customers we serve in a manner consistent with the highest ideals within our industry and, to take advantage of automated processes to reduce human access to customer data, which will help us succeed in that endeavour.

Alle HBI Daten wie Service-Schlüssel, Kennwörter, Schlüssel, Zertifikate, und andere sicherungsfähigen, die erforderlich sind, um den Dienst ausgeführt werden im Schlüssel sicheren Ort, ohne alle human Zugriff darauf gespeichert sind.All the HBI data like service keys, passwords, keys, certificates, and other securable that are needed to operate the service are stored in secure key vault to without any human access to it. Nur erforderlichen Service-Komponenten, die Zugriff auf den Dienst, der hochverfügbar und zuverlässige Weise behalten eine erfordern haben Zugriff.Only required service components which require access to keep the service running in highly available and reliable manner have access.

Kaizala zur Sicherstellung geheimen Management verwendet definierten geheimen Exchange-Prozess, mithilfe der Unterstützung für einmaliges Anmelden geheimen und bietet geheimen Zugriff zu beschränken, um die Steuerung des Zugriffs.To ensure secret management, Kaizala uses defined secret exchange process, uses secure secret store support, and provides access control to restrict secret access. Wir geheimen Schlüssels, um Freigaben oder andere externe Kommunikation oder Speichern der Datei nicht kopieren und/oder keine Ressourcen außerhalb von sicheren Dienstinfrastruktur Office-Umgebung erstellen.We do not copy secret to file shares or any other external communication or storages and/or do not create any resources outside of secure Office Services Infrastructure environment. Darüber hinaus auditing Layer.It also provides auditing layer. Zentralisierte Secrets Verwaltungsprogramme bieten Konsistenz, Isolation, Redundanz und Betriebsausfälle ablaufende geheime vermeiden.Centralized secrets management tools designed to provide consistency, isolation, redundancy and help avoid downtime due to expiring secrets.