Netzwerk-, Dienst- und Mandantenisolation in Microsoft 365 verstehen

Abgeschlossen

Grenzen für Sicherheitsverletzungen sind ein wichtiges Sicherheitsprinzip, das dem Entwurf von Microsoft 365 zugrunde liegt. Microsoft 365-Dienste basieren auf einer freigegebenen Infrastruktur und sollen verhindern, dass sich Aktionen eines Mandanten auf die Sicherheit anderer Mandanten auswirken oder auf die Inhalte anderer Mandanten zugreifen. Microsoft 365 nutzt Netzwerk-, Dienst- und Mandantenisolation, um Grenzen für Sicherheitsverletzungen in unseren Diensten zu erstellen und so zu verhindern, dass die Kompromittierung einer Grenze zur Kompromittierung anderer führt.

Netzwerk- und Dienstisolation

Das Ziel der Netzwerkisolation besteht darin, die Kommunikationsfähigkeit verschiedener Teile der Microsoft 365-Dienstinfrastruktur auf das Minimum zu beschränken, das für den Betrieb des Diensts erforderlich ist. Microsoft 365-Dienste arbeiten miteinander zusammen, sind aber so konzipiert und implementiert, dass sie als autonome, unabhängige Dienste bereitgestellt und betrieben werden können. Darüber hinaus wird der Kundendatenverkehr in Onlinediensten von unserem Unternehmensnetzwerk isoliert. In Kombination mit anderen Kontrollen, z. B. unserer Zero Standing Access-Implementierung der niedrigsten Berechtigung, Netzwerk- und Dienstisolation, ist es uns möglich, Grenzen für Sicherheitsverletzungen zwischen Diensten und Dienstkomponenten innerhalb von Microsoft 365 festzulegen.

Im Kern ist die Netzwerkisolation in Microsoft 365 dafür vorgesehen, unnötigen und nicht autorisierten Datenverkehr zwischen Dienstkomponenten und Netzwerksegmenten zu blockieren. Bei der Netzwerkisolation geht es nicht nur darum, die unerwünschte Authentifizierung von einem Dienst an einen anderen zu verhindern. Außerdem hilft sie unseren Diensten, sich vor nicht authentifizierten Angriffen zu schützen. Einige der gefährlichsten Zero-Day-Exploits umfassen nicht authentifizierte Remotecodeausführung (RCE), die sensible Netzwerkpfade zwischen Computern ausnutzt. Die Möglichkeit zur Herstellung einer Verbindung mit einem Ziel, bevor die Authentifizierung versucht wird, muss so eingeschränkt wie möglich sein. Die starke Netzwerkisolation in Microsoft 365 bietet kritischen Schutz gegen diese Art von Angriffen.

Die Microsoft Cloud-Infrastruktur überwacht und steuert den Netzwerkverkehr an externen Grenzen, wichtigen internen Grenzen und auf Hosts mithilfe von Zugriffssteuerungslisten (Access Control Lists, ACLs). ACLs sind der bevorzugte Mechanismus zur Einschränkung der Kommunikation und werden mithilfe von Netzwerkgeräten wie Routern, netzwerkbasierten und hostbasierten Firewalls und Azure Network Security Groups (NSGs) implementiert. Netzwerkverkehr, der keine explizite betriebliche Notwendigkeit erfüllt, wird standardmäßig verweigert. Wir überprüfen alle Netzwerkdatenverkehrsregeln im Rahmen der Pflege unserer Architektur- und Datenflussdiagramme (DFDs) sehr genau. DFDs dokumentieren den genehmigten Netzwerkdatenstrom zwischen Dienstkomponenten und helfen unseren Ingenieuren, Netzwerkverkehrsmuster visuell darzustellen und unnötigen Datenverkehr auf Host-, Firewall- und Routerebene des Netzwerks einzuschränken.

Wenn die wichtigsten Microsoft 365-Dienste wachsen, wird der Datenverkehr von neu bereitgestellten Kapazitäten in zuvor eingerichtete Teile des Diensts standardmäßig verweigert. Teams müssen manuell Netzwerkpfade öffnen, die erforderlich sind, damit ein neues Dienstfeature ausgeführt werden kann, und wir werden alle entsprechenden Versuche sorgfältig prüfen, um sicherzustellen, dass nur die minimal erforderlichen Pfade geöffnet werden. Unsere wichtigsten Sicherheitsgrundsätze kommen hier zum Tragen. Auch die neu bereitgestellte Kapazität wird nicht als sicher eingestuft, und unsere Netzwerkisolations-Richtlinien werden automatisch angewendet, wenn der Dienst wächst.

Mandantenisolierung

Einer der Hauptvorteile von Cloud Computing ist die Möglichkeit, freigegebene Infrastrukturen durch mehrere Kunden gleichzeitig zu nutzen, was zu Skaleneffekten führt. Dieses Konzept wird als Mehrmandantenfähigkeit bezeichnet. Microsoft arbeitet kontinuierlich daran, sicherzustellen, dass die mehrmandantenfähigen Architekturen unserer Clouddienste Sicherheits-, Vertraulichkeits-, Datenschutz-, Integritäts- und Verfügbarkeitsstandards auf Unternehmensebene unterstützen. Alle Kundeninhalte in Microsoft 365-Mandanten werden von anderen Mandanten und von Vorgängen und Systemdaten isoliert, die für die Verwaltung von Microsoft 365 verwendet werden. In Microsoft 365 werden mehrere Schutzformen implementiert, die das Risiko einer Gefährdung eines Microsoft 365-Diensts oder einer zugehörigen Anwendung minimieren.

Microsoft Cloud Services wurden unter der Voraussetzung entworfen, dass alle Mandanten potenziell feindselig gegenüber allen anderen Mandanten sind. Demzufolge haben wir Sicherheitsmaßnahmen implementiert, um zu verhindern, dass sich Aktionen eines Mandanten auf die Sicherheit auswirken oder auf den Inhalt eines anderen Mandanten zugreifen. Die beiden Hauptziele der Mandantenisolation in Microsoft 365 sind:

• Verhindern eines Datenlecks oder nicht autorisierten Zugriffs auf Kundeninhalte über Mandanten hinweg.
• Verhindern, dass sich Aktionen eines Mandanten negativ auf den Dienst für einen anderen Mandanten auswirken.

Die logische Isolation von Kundeninhalten innerhalb jedes Mandanten ist entwurfsbedingt in jeden Dienst integriert und wird durch Microsoft Entra ID und rollenbasierte Zugriffssteuerung erreicht. Insbesondere wird jeder Mandantencontainer in Microsoft 365 von der Organisationseinheit (OE) des Mandanten in Microsoft Entra ID definiert. Mandanten verfügen über eigene Sicherheitsbegrenzungen und UPNs (User Principal Names), um Datenlecks und unbefugte Zugriffe zwischen Mandanten zu verhindern. Die Benutzerauthentifizierung in Microsoft 365 überprüft nicht nur die Benutzeridentität, sondern auch die Mandantenidentität, der das Benutzerkonto angehört, wodurch verhindert wird, dass Benutzer auf Daten außerhalb Ihrer Mandantenumgebung zugreifen. Die mandantenspezifische Verschlüsselung auf Dienstebene bietet eine zusätzliche Schutzebene für jeden Kundenmandanten.

Einzelne Dienste stellen möglicherweise zusätzliche Ebenen der Mandantenisolation in den Daten- und Anwendungsebenen des Diensts bereit. SharePoint Online bietet z. B. Datenisolationsmechanismen auf Speicherebene durch Verschlüsseln und Speichern von Kundeninhalten in separaten Datenbanken. Exchange Online erfordert Authentifizierung auf Postfachebene und ermöglicht die Verschlüsselung von Postfächern mit vom Kunden verwalteten Verschlüsselungsschlüsseln mit Kundenschlüssel.

Weitere Informationen

• Mandantenisolation in Office 365
• Verschlüsselung in der Microsoft-Cloud
• Administrative Zugriffssteuerungen in Microsoft 365
• Sehen Sie sich an, wie wir die Microsoft 365-Plattform schützen