Entender o isolamento de rede, serviço e locatário no Microsoft 365
Os limites de violação são um princípio de segurança fundamental que informa o design de Microsoft 365. Microsoft 365 serviços são criados em infraestrutura compartilhada e são projetados para impedir que as ações de um locatário afetem a segurança ou acessem o conteúdo de outros locatários. Microsoft 365 aproveita o isolamento de rede, serviço e locatário para criar limites de violação em nossos serviços, impedindo que um limite seja comprometido em outros.
Isolamento de rede e serviço
O objetivo do isolamento de rede é restringir a capacidade de diferentes partes da infraestrutura de serviço Microsoft 365 se comunicarem entre si, exceto pelo mínimo necessário para que o serviço opere. Microsoft 365 interoperam entre si, mas são projetados e implementados para que possam ser implantados e operados como serviços autônomos e independentes. Além disso, o tráfego do cliente serviços online é isolado de nossa rede corporativa. Combinados com outros controles, como nossa implementação de Acesso Permanente Zero de privilégios mínimos, rede e isolamento de serviço, nos permitem estabelecer limites de violação entre serviços e componentes de serviço no Microsoft 365.
Em seu núcleo, o isolamento de rede Microsoft 365 é projetado para bloquear o tráfego desnecessário e não autorizado entre componentes de serviço e segmentos de rede. O isolamento de rede não se aplica apenas a impedir a autenticação indesejada de um serviço para outro. Ele também ajuda nossos serviços a se defender contra ataques não autenticados. Algumas das explorações de dia zero mais perigosas envolvem RCE (execução remota de código) não autenticada que explora caminhos de rede confidenciais entre computadores. A capacidade de estabelecer uma conexão com um destino antes da tentativa de autenticação deve ser a mais restrita possível. O forte isolamento de rede Microsoft 365 fornece proteção crítica contra esses tipos de ataques.
A infraestrutura de nuvem da Microsoft monitora e controla o tráfego de rede em limites externos, limites internos principais e em hosts que usam ACLs (listas de controle de acesso). As ACLs são o mecanismo preferencial para restringir as comunicações e são implementadas usando dispositivos de rede, como roteadores, firewalls baseados em rede e host e NSGs (Grupos de Segurança de Rede) do Azure. O tráfego de rede que não atende a uma necessidade operacional explícita é negado por padrão. Analisamos de perto todas as regras de tráfego de rede como parte da manutenção de dfds (diagramas de arquitetura e fluxo de dados). Os DFDs documentam fluxos de rede aprovados entre componentes de serviço e ajudam nossos engenheiros a visualizar padrões de tráfego de rede e restringir o tráfego desnecessário nas camadas de host, firewall e roteador da rede.
Quando os Microsoft 365 principais aumentam, o tráfego da capacidade provisionada recentemente para partes estabelecidas anteriormente do serviço é negado por padrão. As equipes devem abrir manualmente os caminhos de rede necessários para que um novo recurso de serviço funcione e analisamos de perto todas as tentativas de fazer isso para garantir que apenas os caminhos mínimos necessários sejam abertos. Nossos princípios de segurança principais estão em jogo aqui; até mesmo a capacidade provisionada no momento não é confiável para ser segura e nossas políticas de isolamento de rede são aplicadas automaticamente à medida que o serviço é dimensionado.
Isolamento de locatário
Um dos principais benefícios da computação em nuvem é a capacidade de aproveitar a infraestrutura compartilhada entre vários clientes simultaneamente, levando a economias de escala. Esse conceito é chamado de multilocação. A Microsoft trabalha continuamente para garantir que as arquiteturas multilocatário de nossos serviços de nuvem dão suporte a padrões de segurança, confidencialidade, privacidade, integridade e disponibilidade de nível empresarial. Todo o conteúdo do cliente Microsoft 365 locatários é isolado de outros locatários e dos dados de operações e sistemas usados no gerenciamento de Microsoft 365. Várias formas de proteção são implementadas em Microsoft 365 para minimizar o risco de comprometimento de qualquer Microsoft 365 serviço ou aplicativo.
Os serviços de nuvem da Microsoft foram projetados com a suposição de que todos os locatários são potencialmente agressivos para todos os outros locatários. Como resultado, implementamos medidas de segurança para impedir que as ações de um locatário afetem a segurança ou acessem o conteúdo de outro locatário. Os dois objetivos principais de manter o isolamento do locatário Microsoft 365 são:
- Impedir vazamento de conteúdo do cliente entre locatários ou acesso não autorizado.
- Impedir que as ações de um locatário afetem negativamente o serviço para outro locatário.
O isolamento lógico do conteúdo do cliente em cada locatário é incorporado a cada serviço por design e obtido por meio de Microsoft Entra ID e controle de acesso baseado em função. Especificamente, cada contêiner de locatário no Microsoft 365 é definido pela OU (Unidade Organizacional) do locatário em Microsoft Entra ID. Os locatários têm seus próprios limites de segurança e UPNs (Nomes UpNs) para evitar o vazamento de informações e o acesso não autorizado entre locatários. A autenticação de Microsoft 365 verifica não apenas a identidade do usuário, mas também a identidade do locatário da qual a conta de usuário faz parte, impedindo que os usuários acessem dados fora do ambiente de locatário. A criptografia específica do locatário no nível de serviço fornece uma camada adicional de proteção para cada locatário do cliente.
Serviços individuais podem fornecer camadas adicionais de isolamento de locatário nas camadas de dados e aplicativos do serviço. Por exemplo, o SharePoint Online fornece mecanismos de isolamento de dados no nível de armazenamento criptografando e armazenando o conteúdo do cliente em bancos de dados separados. O Exchange Online requer autenticação no nível da caixa de correio e permite a criptografia de caixas de correio com chaves de criptografia gerenciadas pelo cliente usando a Chave do Cliente.