Microsoft工程师使用Windows PowerShell控制台来管理OneDrive,该控制台要求进行两个因素的身份验证。我们通过运行工作流程来执行日常任务,因此我们可以快速应对新情况。没有工程师可以长期使用该服务。工程师需要访问权限时,必须提出要求。将检查合格性,并且如果批准了工程师访问权限,则仅在有限的时间内。
此外,OneDrive和Office 365大力投资于系统,流程和人员,以减少个人数据泄露的可能性,并迅速检测和缓解发生泄露的后果。我们在这一领域的一些投资包括:
门禁系统注意:OneDrive和Office 365维护“零距离访问”策略,这意味着工程师无法访问该服务,除非为响应要求提升访问权限的特定事件而明确授予该服务。无论何时授予访问权限,都将按照最小特权的原则进行:授予特定请求的权限仅允许为该请求提供服务所需的最少操作集。为此,OneDrive和Office 365在“提升角色”之间保持严格的分隔,每个角色仅允许采取某些预定义的操作。“访问客户数据”角色与其他角色不同,其他角色通常用于管理服务,并且在批准之前会受到最严格的审查。在一起
安全监控系统和自动化:OneDrive和Office 365维护强大的实时安全监控系统。除其他问题外,这些系统还会针对非法访问客户数据或非法从我们的服务中转移数据的行为发出警报。与上述有关访问控制的要点相关,我们的安全监视系统维护已发出的海拔请求的详细记录以及针对给定海拔请求的操作。OneDrive和Office 365还维护自动解决方案投资,以响应我们检测到的问题自动采取措施缓解威胁,并拥有专门的团队来响应无法自动解决的警报。为了验证我们的安全监控系统,OneDrive和Office 365定期进行红队练习,其中内部渗透测试团队将模拟攻击者在实时环境中的行为。这些练习导致对我们的安全监控和响应功能的定期改进。
人员和流程:除了上述自动化之外,OneDrive和Office 365还维护流程和团队,负责教育更广泛的组织有关隐私和事件管理流程的信息,并负责在违规期间执行这些流程。例如,维护了详细的违反隐私的标准操作程序(SOP),并与整个组织的团队共享。该SOP详细描述了OneDrive和Office 365中的各个团队以及集中式安全事件响应团队的角色和职责。这些既涉及团队需要采取哪些措施来改善其自身的安全状况(进行安全性审查,与中央安全监控系统集成以及其他最佳实践),又涉及到在发生实际违规事件(迅速升级为安全漏洞)时团队需要采取的措施。事件响应,维护并提供将用于加快响应过程的特定数据源)。团队还定期接受数据分类,正确的个人数据处理和存储程序方面的培训。
主要的收获是,对于消费者计划和业务计划,OneDrive和Office 365都大力投资以减少个人数据泄露影响客户的可能性和后果。如果确实发生了个人数据泄露事件,我们将在确认该泄露事件后立即通知我们的客户。
在传输中受保护
当数据从客户端以及在数据中心之间转移到服务中时,将使用传输层安全性(TLS)加密对其进行保护。我们只允许安全访问。我们将不允许通过HTTP进行身份验证的连接,而是重定向到HTTPS。
休息时受到保护
物理保护:只有有限的必要人员才能访问数据中心。他们的身份已通过包括智能卡和生物识别技术在内的多种认证因素进行了验证。有本地安全人员,运动传感器和视频监视。入侵检测警报监视异常活动。
网络保护:网络和身份与Microsoft公司网络隔离。防火墙限制了未经授权的位置进入环境的流量。
应用程序安全性:构建功能的工程师遵循安全性开发生命周期。自动和手动分析有助于确定可能的漏洞。在微软安全响应中心的帮助分流进入的漏洞报告和评估缓解。通过Microsoft Cloud Bug赏金条款,全世界的人们都可以通过报告漏洞来赚钱。
内容保护:每个文件在静止时都使用唯一的AES256密钥进行加密。这些唯一密钥使用存储在Azure Key Vault中的一组主密钥进行加密。
高度可用,始终可恢复
我们的数据中心在该区域内是地理分布的,并且具有容错能力。数据被镜像到至少两个不同的Azure区域,彼此之间至少相距数百英里,这使我们能够减轻一个区域内自然灾害或损失的影响。
持续验证
我们不断监控我们的数据中心,以确保它们的健康和安全。这始于库存。库存代理执行每台计算机的状态捕获。
有了清单后,我们可以监视和修复计算机的运行状况。连续部署可确保每台计算机接收补丁程序,更新的防病毒签名以及已知的正确配置。部署逻辑可确保我们一次仅修补或轮换一定百分比的计算机。
Microsoft内部的Microsoft 365“红队”由入侵专家组成。他们寻找任何机会获得未经授权的访问。“蓝队”由专注于预防,发现和恢复的国防工程师组成。他们构建入侵检测和响应技术。为了跟上Microsoft安全团队的学习,请参阅Security Office 365(博客)。
