Элементы управления изоляцией в Microsoft 365

Корпорация Майкрософт постоянно работает над тем, чтобы мультитенантная архитектура Microsoft 365 поддерживала корпоративные стандарты безопасности, конфиденциальности, конфиденциальности, целостности, локальных, международных стандартов и стандартов доступности. Масштаб и область служб, предоставляемых корпорацией Майкрософт, затрудняют управление Microsoft 365 при значительном взаимодействии с человеком. Службы Microsoft 365 предоставляются через глобально распределенные центры обработки данных, каждый из которых высоко автоматизирован с небольшим количеством операций, требующих сенсорного ввода или доступа к содержимому клиента. Наши сотрудники поддерживают эти службы и центры обработки данных с помощью автоматизированных средств и высокозащищенного удаленного доступа.

Microsoft 365 состоит из нескольких служб, которые предоставляют важные бизнес-функции и способствуют работе с Microsoft 365. Каждая из этих служб является автономной и предназначена для интеграции друг с другом. Microsoft 365 разработан на следующих принципах:

• Сервисно-ориентированная архитектура: проектирование и разработка программного обеспечения в виде взаимодействующих служб, обеспечивающих четко определенные бизнес-функции.
• Обеспечение операционной безопасности. Платформа, которая включает в себя знания, полученные с помощью различных возможностей, уникальных для корпорации Майкрософт, включая жизненный цикл разработки безопасности Майкрософт, Центр реагирования на безопасность Майкрософт и глубокое понимание ландшафта угроз кибербезопасности.

Службы Microsoft 365 работают друг с другом, но разработаны и реализованы таким образом, чтобы их можно было развертывать и эксплуатировать как автономные службы независимо друг от друга. Корпорация Майкрософт разделяет обязанности и области ответственности за Microsoft 365, чтобы сократить возможности несанкционированного или непреднамеренного изменения или неправильного использования ресурсов организации. Команды Microsoft 365 определили роли как часть комплексного механизма управления доступом на основе ролей.

Изоляция клиентов

Одним из основных преимуществ облачных вычислений является концепция общей, общей инфраструктуры для многочисленных клиентов одновременно, что приводит к экономии масштаба. Корпорация Майкрософт постоянно работает над тем, чтобы мультитенантные архитектуры облачных служб поддерживали корпоративные стандарты безопасности, конфиденциальности, целостности и доступности.

Облачные службы Майкрософт были разработаны с учетом того, что все клиенты потенциально враждебны по отношению ко всем другим клиентам, и мы реализовали меры безопасности, чтобы предотвратить влияние действий одного клиента на безопасность или службу другого клиента или доступ к содержимому другого клиента.

Две основные цели поддержания изоляции клиента в мультитенантной среде:

• Предотвращение утечки или несанкционированного доступа к содержимому клиента между клиентами; И
• Предотвращение негативного влияния действий одного клиента на службу для другого клиента

В Microsoft 365 реализовано несколько форм защиты, чтобы предотвратить компрометации служб или приложений Microsoft 365 или получения несанкционированного доступа к информации других клиентов или самой системы Microsoft 365, в том числе:

• Логическая изоляция содержимого клиента в каждом клиенте для служб Microsoft 365 достигается за счет Microsoft Entra авторизации и управления доступом на основе ролей.
• SharePoint Online предоставляет механизмы изоляции данных на уровне хранилища.
• Корпорация Майкрософт использует строгие меры физической безопасности, фоновую проверку и многоуровневую стратегию шифрования для защиты конфиденциальности и целостности пользовательского контента. Все центры обработки данных Microsoft 365 имеют биометрические элементы управления доступом, при этом для получения физического доступа большинство из них требуют отпечатков на ладонях. Кроме того, все сотрудники корпорации Майкрософт, базирующиеся в США, должны успешно пройти стандартную фоновую проверка в рамках процесса найма. Дополнительные сведения об элементах управления, используемых для административного доступа в Microsoft 365, см. в статье Управление учетными записями Microsoft 365.
• Microsoft 365 использует технологии на стороне службы, которые шифруют содержимое клиента при хранении и передаче, включая BitLocker, шифрование для каждого файла, безопасность транспортного уровня (TLS) и безопасность протокола Интернета (IPsec). Дополнительные сведения о шифровании в Microsoft 365 см. в статье Технологии шифрования данных в Microsoft 365.

Вместе перечисленные выше средства защиты обеспечивают надежные элементы управления логической изоляцией, которые обеспечивают защиту от угроз и их устранение, эквивалентные той, которая обеспечивается только физической изоляцией.

Ресурсы

• Изоляция и управление доступом в идентификаторе Microsoft Entra
• Мониторинг и тестирование границ клиента
• Изоляция и управление доступом в Microsoft 365