Introducción a la arquitectura
¿Qué son los servicios en línea de Microsoft?
Microsoft servicios en línea hacer referencia a las distintas ofertas de servicio basadas en la nube de Microsoft, como Azure, Dynamics 365 y Microsoft 365. Cada servicio ofrece soluciones únicas a las necesidades comunes de productividad y funcionamiento empresarial, que atienden a clientes de todo el mundo, desde pequeñas empresas hasta grandes empresas y gobiernos. Los centros de datos distribuidos globalmente conectados por la infraestructura de red administrada independientemente de Microsoft actúan como la columna vertebral para admitir servicios en línea, lo que proporciona la capacidad de mantener la disponibilidad en casi todas las situaciones y escalar a una demanda mundial masiva.
Todos los servicios en línea de Microsoft tienen el mismo objetivo de proteger la infraestructura de servicio que administran y los datos de sus clientes, pero cada servicio en línea está operado por una unidad de negocio independiente. En muchos casos, los controles de seguridad se implementan de la misma manera en todos los servicios, pero en algunos casos, adoptan un enfoque diferente para cumplir las promesas y obligaciones de cumplimiento de sus clientes.
¿Qué es Azure?
Microsoft Azure es una plataforma informática en la nube para compilar, implementar y administrar aplicaciones a través de una red global de centros de datos administrados de Microsoft y de terceros. Admite los modelos de servicio en la nube plataforma como servicio (PaaS) e infraestructura como servicio (IaaS), y permite soluciones híbridas que integran servicios en la nube con los recursos locales de los clientes. Microsoft Azure admite muchos clientes, asociados y organizaciones gubernamentales que abarcan una amplia gama de productos y servicios, zonas geográficas e industrias. Microsoft Azure está diseñado para cumplir sus requisitos de seguridad, confidencialidad y cumplimiento.
¿Qué es Dynamics 365?
Dynamics 365 es un conjunto de aplicaciones empresariales en línea que integra las funcionalidades de Customer Relationship Management (CRM) y sus extensiones con las funcionalidades de Planeamiento de recursos empresariales (ERP). Estas aplicaciones empresariales integrales ayudan a los clientes a convertir las relaciones en ingresos, ganar clientes y acelerar el crecimiento empresarial. Dynamics 365 es un conjunto de software como servicio (SaaS) basado en la infraestructura de Azure y está disponible para clientes de todo el mundo a través de sus centros de datos distribuidos globalmente.
¿Qué es Microsoft 365?
Microsoft 365 es la versión basada en suscripciones y con tecnología en la nube de Office, Windows 365, Enterprise Mobility + Security y cumplimiento. Los clientes de Microsoft 365 obtienen clientes como Outlook y Windows, y también se benefician de los servicios que Microsoft hospeda en su nombre, como Exchange Online, Microsoft Teams y SharePoint Online. Todos los componentes del servicio se actualizan periódicamente como parte del modelo de suscripción, de modo que nuestros clientes tengan un producto "evergreen". Microsoft administra la infraestructura de servicio en nombre de los clientes, lo que significa que Microsoft es responsable de proteger la infraestructura que almacena los datos de los clientes.
En términos de escala, Microsoft usa actualmente cerca de un millón de máquinas para alimentar los servicios de Microsoft 365. La infraestructura que alimenta estos servicios varía ampliamente entre hardware específico del servicio y entornos virtualizados en Azure, Windows y Linux, y plataformas multiinquilino y dedicadas. Microsoft 365 es un negocio global y nuestra infraestructura se distribuye en centros de datos de todo el mundo, lo que permite a nuestros clientes cumplir los requisitos de soberanía y residencia de datos.
¿Cómo garantiza Microsoft servicios en línea el aislamiento entre los inquilinos del cliente?
Los servicios en la nube de Microsoft se basan en la suposición de que todos los inquilinos son potencialmente hostiles a todos los demás inquilinos. Para aislar correctamente los inquilinos entre sí, Microsoft implementa diversas tecnologías y controles de aislamiento. Estos controles están diseñados para protegerse contra la pérdida de información o el acceso no autorizado a los datos del cliente entre inquilinos y para evitar que las acciones de un inquilino afecten negativamente al servicio para otro inquilino.
El contenido del cliente está aislado lógicamente dentro de los inquilinos mediante Microsoft Entra ID. La autenticación de usuario en Microsoft servicios en línea comprueba no solo la identidad de usuario, sino también la identidad de inquilino de la que forma parte la cuenta de usuario, lo que impide que los usuarios accedan a datos fuera de su entorno de inquilino. Para complementar el aislamiento lógico de Microsoft Entra ID, el contenido del cliente siempre se cifra en reposo y en tránsito. Los servicios individuales también pueden proporcionar capas adicionales de aislamiento de inquilino, como el aislamiento de SharePoint Online de datos de inquilino en bases de datos cifradas independientes.
¿Cómo diseña Microsoft servicios en línea servicios resistentes que evitan puntos únicos de error?
Microsoft diseña y compila servicios en la nube para maximizar la confiabilidad y minimizar los efectos negativos en los clientes frente a errores y desafíos en las operaciones normales. Esta estrategia comienza con el diseño de la red que conecta nuestros centros de datos distribuidos geográficamente. La arquitectura de red de Microsoft incluye interconexiones directas y varias rutas de acceso de red. Microsoft servicios en línea usar esta redundancia para enrutar automáticamente el tráfico en torno a errores para mejorar la calidad del servicio.
Siempre que sea posible, Microsoft servicios en línea se implementa en configuraciones activas o activas con supervisión automatizada del estado del servicio, lo que permite al servicio detectar y recuperarse de muchos errores y errores comunes sin intervención humana. Además de las configuraciones activas o activas, Microsoft servicios en línea aumentar la tolerancia a errores asegurándose de que el servicio se implementa en zonas de error independientes, lo que impide que un error en una zona afecte a la disponibilidad de otras zonas.
La resistencia de datos complementa la resistencia del servicio al proteger la integridad y la disponibilidad de los datos en Microsoft servicios en línea. Nuestros servicios usan redundancia de almacenamiento local y redundancia geográfica para replicar copias de datos de clientes en diferentes zonas de error. Si los datos están dañados o perdidos en una zona de error, se puede acceder a ellos en otra zona de error sin pérdida de disponibilidad. La comprobación de integridad automatizada restaura automáticamente los datos afectados por muchos tipos de daños físicos o lógicos. Microsoft también proporciona a los clientes herramientas para restaurar los datos eliminados o modificados accidentalmente por el cliente en servicios como Exchange Online y SharePoint Online.
¿Cómo hace Microsoft servicios en línea realizar un seguimiento de las dependencias y evitar conexiones externas no autorizadas del sistema?
Los equipos de Microsoft servicios en línea identifican los componentes críticos del sistema y sus dependencias como parte de la administración de continuidad empresarial. Además, Microsoft documenta y realiza un seguimiento de todas las conexiones del sistema externo para asegurarse de que solo se permiten conexiones autorizadas en las configuraciones de firewall de red. Los sistemas, dependencias y conexiones externas de Microsoft servicios en línea se documentan en la arquitectura de seguridad de la información de Microsoft servicios en línea. Tanto la arquitectura de seguridad de la información como los diagramas de flujo de datos correspondientes se revisan y actualizan anualmente como mínimo, así como siempre que se realizan cambios significativos en el sistema.
La arquitectura de Microsoft servicios en línea se valida de forma periódica y automática mediante herramientas basadas en la nube para comprobar la alineación con nuestros principios de seguridad y probar continuamente las características de aislamiento y resistencia. La validación de arquitectura funciona para identificar automáticamente las instancias en las que el estado actual del servicio se ha desviado del estado deseado, marcando las desviaciones para la revisión y mitigación. El objetivo de la validación de la arquitectura es garantizar que las funcionalidades de seguridad de nuestra infraestructura de servicio sigan funcionando según lo previsto.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para obtener información sobre la validación de controles relacionados con la arquitectura.
Azure y Dynamics 365
Auditorías externas | Section | Fecha del informe más reciente |
---|---|---|
ISO 27001 Declaración de aplicabilidad Certificado |
A.6: Organización de la seguridad de la información A.13.1: Administración de seguridad de red A.17.2: Redundancias |
8 de abril de 2024 |
ISO 27017 Declaración de aplicabilidad Certificado |
A.6: Organización de la seguridad de la información A.13.1: Administración de seguridad de red A.17.2: Redundancias |
8 de abril de 2024 |
SOC 1 SOC 2 SOC 3 |
BC-1: Planes de continuidad empresarial BC-3: procedimientos BCDR BC-4: pruebas de BCDR BC-5: Evaluaciones de riesgos de continuidad empresarial BC-6: Continuidad empresarial de terceros BC-7: Procedimientos de continuidad empresarial del centro de datos BC-8: Pruebas de continuidad empresarial del centro de datos BC-9: Evaluación de resistencia del centro de datos DS-6: redundancia de componentes críticos DS-7: replicación de datos de clientes DS-14: Restauración de los servicios al cliente DS-16: segregación de datos del cliente |
20 de mayo de 2024 |
Microsoft 365
Auditorías externas | Section | Fecha del informe más reciente |
---|---|---|
FedRAMP | AC-4: Aplicación del flujo de información CP-9: Copia de seguridad del sistema de información PL-8: Arquitectura de seguridad de la información SC-7: Protección de límites SC-22: Arquitectura y aprovisionamiento |
21 de agosto de 2024 |
ISO 27001/27017 Declaración de aplicabilidad Certificación (27001) Certificación (27017) |
A.6: Organización de la seguridad de la información A.13.1: Administración de seguridad de red A.17.2: Redundancias |
Marzo de 2024 |
SOC 1 | CA-37: Aislamiento de inquilino CA-49: Directivas de copia de seguridad CA-51: Replicación de datos |
1 de agosto de 2024 |
SOC 2 | CA-05: Diagramas de flujo de datos CA-37: Aislamiento de inquilino CA-49: Directivas de copia de seguridad CA-51: Replicación de datos |
23 de enero de 2024 |