Informazioni su rete, servizi e isolamento dei tenant in Microsoft 365

  • 6 minuti

I limiti di violazione sono un principio di sicurezza chiave che informa la progettazione di Microsoft 365. I servizi Microsoft 365 sono basati su un'infrastruttura condivisa e sono progettati per impedire che le azioni di un tenant influiscano sulla sicurezza o accedano al contenuto di altri tenant. Microsoft 365 sfrutta l'isolamento di rete, servizio e tenant per creare limiti di violazione nei nostri servizi, impedendo che la compromissione di un confine porti a compromessi in altri.

Isolamento di rete e servizi

L'obiettivo dell'isolamento della rete è limitare la capacità di diverse parti dell'infrastruttura del servizio Microsoft 365 di comunicare tra loro, tranne per il minimo necessario per il funzionamento del servizio. I servizi Microsoft 365 interagiscono tra loro ma sono progettati e implementati in modo da poter essere distribuiti e gestiti come servizi autonomi e indipendenti. Inoltre, il traffico dei clienti nei servizi online è isolato dalla nostra rete aziendale. In combinazione con altri controlli, come la nostra implementazione Zero Standing Access di privilegi minimi, rete e isolamento dei servizi, ci consente di stabilire limiti di violazione tra servizi e componenti del servizio all'interno di Microsoft 365.

Fondamentalmente, l'isolamento della rete in Microsoft 365 è progettato per bloccare il traffico non necessario e non autorizzato tra i componenti del servizio e i segmenti di rete. L'isolamento della rete non riguarda solo la prevenzione dell'autenticazione indesiderata da un servizio all'altro. Aiuta anche i nostri servizi a difendersi da attacchi non autenticati. Alcuni degli exploit zero-day più pericolosi comportano l'esecuzione di codice remoto (RCE) non autenticato che sfrutta percorsi di rete sensibili tra le macchine. La capacità di stabilire una connessione con una destinazione prima di tentare l'autenticazione deve essere il più limitata possibile. Il forte isolamento della rete in Microsoft 365 fornisce una protezione critica contro questi tipi di attacchi.

L'infrastruttura cloud Microsoft monitora e controlla il traffico di rete ai confini esterni, ai confini interni chiave e sugli host usando gli elenchi di controllo di accesso (ACL). Gli ACL sono il meccanismo preferito per limitare le comunicazioni e vengono implementati usando dispositivi di rete come router, firewall di rete e basati su host e gruppi di sicurezza di rete di Azure (NSG). Il traffico di rete che non soddisfa un'esigenza operativa esplicita viene negato per impostazione predefinita. Esaminiamo attentamente tutte le regole del traffico di rete come parte della manutenzione della nostra architettura e dei diagrammi di flusso dei dati (DFD). I DFD documentano i flussi di rete approvati tra i componenti del servizio e aiutano i nostri tecnici a visualizzare i modelli di traffico di rete e a limitare il traffico non necessario a livello di host, firewall e router della rete.

Quando i servizi principali di Microsoft 365 crescono, il traffico dalla capacità appena assegnata a parti del servizio stabilite in precedenza viene negato per impostazione predefinita. I team devono aprire manualmente i percorsi di rete necessari per il funzionamento di una nuova funzionalità del servizio e esaminiamo attentamente qualsiasi tentativo in tal senso per garantire che vengano aperti solo i percorsi minimi richiesti. I nostri principi chiave di sicurezza sono in gioco qui; anche la capacità appena assegnata non è considerata sicura e le nostre policy di isolamento della rete vengono applicate automaticamente man mano che il servizio si ridimensiona.

Isolamento dei tenant

Uno dei principali vantaggi del cloud computing è la capacità di sfruttare l'infrastruttura condivisa tra numerosi clienti contemporaneamente, portando a economie di scala. Questo concetto è chiamato multi-tenancy. Microsoft lavora continuamente per garantire che le architetture multi-tenant dei nostri servizi cloud supportino gli standard di sicurezza, riservatezza, privacy, integrità e disponibilità a livello aziendale. Il contenuto dei clienti nei tenant Microsoft 365 è isolato sia dagli altri tenant che dai dati operativi e di sistema usati nella gestione dei Microsoft 365. Molteplici forme di protezione sono implementate in Microsoft 365 per ridurre al minimo il rischio di compromissione di qualsiasi servizio o applicazione Microsoft 365.

I servizi cloud Microsoft sono stati progettati partendo dal presupposto che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant. Di conseguenza, abbiamo implementato misure di sicurezza per impedire che le azioni di un tenant influiscano sulla sicurezza nonché impedire l’accesso al contenuto di un altro tenant. I due obiettivi principali del mantenimento dell'isolamento del tenant in Microsoft 365 sono:

  • Prevenzione della perdita o dell'accesso non autorizzato ai contenuti dei clienti tra tenant.
  • Impedire che le azioni di un tenant influiscano negativamente sul servizio per un altro tenant.

L'isolamento logico del contenuto del cliente all'interno di ogni tenant viene integrato in ogni servizio in base alla progettazione e ottenuto tramite l'ID Microsoft Entra e il controllo degli accessi in base al ruolo. In particolare, ogni contenitore tenant in Microsoft 365 è definito dall'unità organizzativa (OU) del tenant in Microsoft Entra ID. I tenant hanno i propri limiti di sicurezza e nomi dell'entità utente (UPN) per impedire la fuga di informazioni e l'accesso non autorizzato tra i tenant. L'autenticazione dell'utente in Microsoft 365 verifica non solo l'identità dell'utente, ma anche l'identità del tenant di cui fa parte l'account utente, impedendo agli utenti di accedere ai dati al di fuori dell'ambiente del tenant. La crittografia specifica del tenant a livello di servizio fornisce un ulteriore livello di protezione per ogni tenant del cliente.

I singoli servizi possono fornire livelli aggiuntivi di isolamento del tenant a livello di dati e applicazioni del servizio. Ad esempio, SharePoint Online fornisce meccanismi di isolamento dei dati a livello di archiviazione crittografando e archiviando il contenuto del cliente in database separati. Exchange Online richiede l'autenticazione a livello di cassetta postale e consente la crittografia delle cassette postali con chiavi di crittografia gestite dal cliente utilizzando Customer Key.

Ulteriori informazioni