Descripción del aislamiento de red, servicio y espacio empresarial en Microsoft 365
Los límites de infracción son un principio de seguridad clave que forma parte del diseño de Microsoft 365. Los servicios de Microsoft 365 se basan en la infraestructura compartida y están diseñados para evitar que las acciones de un inquilino afecten a la seguridad o accedan al contenido de otros inquilinos. Microsoft 365 aprovecha el aislamiento de red, el servicio e el inquilino para crear límites de infracción en nuestros servicios, lo que evita que un riesgo de un límite produzca un riesgo en otros.
Aislamiento de red y de servicio
El objetivo del aislamiento de red es restringir la capacidad de las distintas partes de la infraestructura de servicio de Microsoft 365 de comunicarse entre sí, excepto el mínimo necesario para que el servicio funcione. Lo servicios de Microsoft 365 interactúan entre sí, pero están diseñados e implementados para que puedan implementarse y operar como servicios autónomos e independientes. Además, el tráfico de clientes en servicios en línea está aislado de nuestra red corporativa. En combinación con otros controles, como nuestra implementación de acceso permanente cero de privilegios mínimos, red y aislamiento de servicio, nos permiten establecer límites de infracción entre los servicios y los componentes de servicio dentro de Microsoft 365.
En esencia, el aislamiento de red en Microsoft 365 está diseñado para bloquear el tráfico innecesario y no autorizado entre los componentes de servicio y los segmentos de red. El aislamiento de red no solo consiste en evitar la autenticación no deseada de un servicio a otro. También ayuda a nuestros servicios a defenderse contra ataques no autenticados. Algunas de las vulnerabilidades de seguridad de día cero más peligrosas implican la ejecución remota de código (RCE) no autenticada que aprovecha las rutas de acceso de red confidenciales entre máquinas. La capacidad de establecer una conexión con un destino antes de intentar la autenticación debe estar lo más restringida posible. El fuerte aislamiento de red en Microsoft 365 proporciona protección crítica contra estos tipos de ataques.
La infraestructura de Microsoft Cloud supervisa y controla el tráfico de red en límites externos, límites internos clave y en hosts que usan listas de control de acceso (ACL). Las ACL son el mecanismo preferido para restringir las comunicaciones y se implementan mediante dispositivos de red como enrutadores, firewalls basados en redes y host, y grupos de seguridad de red (NSG) de Azure. El tráfico de red que no satisface una necesidad operativa explícita se deniega de forma predeterminada. Examinamos detenidamente todas las reglas de tráfico de red como parte del mantenimiento de nuestra arquitectura y diagramas de flujo de datos (DFD). Los DFD documentan los flujos de red aprobados entre componentes de servicio y ayudan a nuestros ingenieros a visualizar patrones de tráfico de red y restringir el tráfico innecesario en las capas de host, firewall y enrutador de la red.
Cuando aumentan los servicios principales de Microsoft 365, el tráfico de la capacidad recién aprovisionada a partes establecidas anteriormente del servicio se deniega de forma predeterminada. Los equipos deben abrir manualmente las rutas de acceso de red necesarias para que funcione una nueva característica de servicio y analizamos detenidamente todos los intentos de hacerlo para garantizar que solo se abran las rutas de acceso mínimas necesarias. Aquí se ponen en juego nuestros principios clave de seguridad; incluso la capacidad recién aprovisionada no es de confianza para ser segura, y nuestras directivas de aislamiento de red se aplican automáticamente a medida que se escala el servicio.
Aislamiento de inquilinos
Una de las principales ventajas de la informática en la nube es la capacidad de aprovechar la infraestructura compartida entre numerosos clientes simultáneamente, lo que conduce a economías de escala. Este concepto se denomina multiinquilino. Microsoft trabaja continuamente para garantizar que las arquitecturas multiinquilino de nuestros servicios en la nube admitan estándares de seguridad, confidencialidad, privacidad, integridad y disponibilidad de nivel empresarial. Todo el contenido de cliente en los inquilinos de Microsoft 365 está aislado de otros inquilinos y de los datos de operaciones y sistemas usados en la administración de Microsoft 365. Se implementan varias formas de protección en todo Microsoft 365 para minimizar el riesgo de poner en peligro cualquier servicio o aplicación de Microsoft 365.
Los servicios en la nube de Microsoft se diseñaron a partir del supuesto de que todos los inquilinos son potencialmente vulnerables a todos los demás inquilinos. Como resultado, hemos implementado medidas de seguridad para evitar que las acciones de un inquilino afecten a la seguridad o accedan al contenido de otro inquilino. Los dos objetivos principales de mantener el aislamiento de inquilinos en Microsoft 365 son:
- Evitar la pérdida de contenido del cliente en todos los inquilinos o el acceso no autorizado al mismo.
- Impedir que las acciones de un inquilino afecten negativamente al servicio de otro inquilino.
El aislamiento lógico del contenido del cliente dentro de cada inquilino se integra en cada servicio por diseño y se logra mediante Microsoft Entra ID y control de acceso basado en rol. En concreto, cada contenedor de inquilinos de Microsoft 365 se define mediante la unidad organizativa (OU) del inquilino en Microsoft Entra ID. Los inquilinos tienen sus propios límites de seguridad y nombres principales de usuario (UPN) para evitar la pérdida de información y el acceso no autorizado entre inquilinos. La autenticación de usuario en Microsoft 365 comprueba no solo la identidad del usuario, sino también la identidad de inquilino de la que forma parte la cuenta de usuario, lo que impide que los usuarios accedan a datos fuera de su entorno de inquilino. El cifrado específico del inquilino en el nivel de servicio proporciona una capa adicional de protección para cada inquilino del cliente.
Los servicios individuales pueden proporcionar capas adicionales de aislamiento del inquilino en los niveles de datos y aplicación del servicio. Por ejemplo, SharePoint Online proporciona mecanismos de aislamiento de datos en el nivel de almacenamiento mediante el cifrado y el almacenamiento de contenido del cliente en bases de datos independientes. Exchange Online requiere autenticación en el nivel de buzón de correo y permite el cifrado de buzones de correo con claves de cifrado administradas por el cliente mediante la clave de cliente.