Partager via


Vue d’ensemble de l’architecture

Que sont les services en ligne Microsoft ?

Microsoft services en ligne faire référence aux différentes offres de services basés sur le cloud de Microsoft, notamment Azure, Dynamics 365 et Microsoft 365. Chaque service offre des solutions uniques aux besoins courants en matière d’exploitation et de productivité de l’entreprise, au service de clients du monde entier, des petites entreprises aux grandes entreprises et aux gouvernements. Les centres de données distribués à l’échelle mondiale connectés par l’infrastructure réseau gérée indépendamment de Microsoft jouent le rôle d’épine dorsale pour prendre en charge services en ligne, offrant la possibilité de maintenir la disponibilité dans presque toutes les situations et de s’adapter à la demande mondiale massive.

Tous les services en ligne Microsoft ont le même objectif de protéger l’infrastructure de service qu’ils gèrent et les données de leurs clients, mais chaque service en ligne est géré par une unité commerciale distincte. Dans de nombreux cas, les contrôles de sécurité sont implémentés de la même façon sur tous les services, mais dans certains cas, ils ont une approche différente pour respecter les promesses et les obligations de conformité des clients.

Qu’est-ce qu’Azure ?

Microsoft Azure est une plateforme de cloud computing qui permet de créer, déployer et gérer des applications via un réseau mondial de centres de données gérés par Microsoft et des tiers. Il prend en charge les modèles de service cloud PaaS (Platform as a Service) et IaaS (Infrastructure as a Service), et permet des solutions hybrides qui intègrent des services cloud aux ressources locales des clients. Microsoft Azure prend en charge de nombreux clients, partenaires et organisations gouvernementales qui couvrent un large éventail de produits et services, zones géographiques et industries. Microsoft Azure est conçu pour répondre à leurs exigences en matière de sécurité, de confidentialité et de conformité.

Qu’est-ce que Dynamics 365 ?

Dynamics 365 est une suite d’applications métier en ligne qui intègre les fonctionnalités de gestion de la relation client (CRM) et ses extensions aux fonctionnalités de planification des ressources d’entreprise (ERP). Ces applications métier de bout en bout aident les clients à transformer les relations en revenus, à gagner des clients et à accélérer la croissance de l’entreprise. Dynamics 365 est une suite SaaS (Software as a Service) basée sur l’infrastructure d’Azure et mise à la disposition des clients du monde entier via leurs centres de données distribués à l’échelle mondiale.

Qu’est-ce que Microsoft 365 ?

Microsoft 365 est la version cloud basée sur un abonnement d’Office, Windows 365, Enterprise Mobility + Security et Conformité. Les clients Microsoft 365 obtiennent des clients tels qu’Outlook et Windows, et ils bénéficient également des services que Microsoft héberge en leur nom, tels que Exchange Online, Microsoft Teams et SharePoint Online. Tous les composants du service sont régulièrement mis à jour dans le cadre du modèle d’abonnement, afin que nos clients disposent d’un produit « persistant ». Microsoft gère l’infrastructure de service pour le compte des clients, ce qui signifie que Microsoft est responsable de la sécurisation de l’infrastructure qui stocke les données client.

En termes de mise à l’échelle, Microsoft utilise actuellement près d’un million de machines pour alimenter les services Microsoft 365. L’infrastructure alimentant ces services varie considérablement entre le matériel spécifique au service et les environnements virtualisés dans Azure, Windows et Linux, ainsi que sur les plateformes multilocataires et dédiées. Microsoft 365 est une entreprise internationale et notre infrastructure est distribuée dans des centres de données dans le monde entier, ce qui permet à nos clients de répondre aux exigences de résidence et de souveraineté.

Comment Microsoft services en ligne assurer l’isolation entre les locataires clients ?

Les services cloud de Microsoft reposent sur l’hypothèse que tous les locataires sont potentiellement hostiles à tous les autres locataires. Pour isoler correctement les locataires les uns des autres, Microsoft implémente diverses technologies et contrôles d’isolation. Ces contrôles sont conçus pour protéger contre les fuites d’informations ou les accès non autorisés aux données client entre les locataires et pour empêcher les actions d’un locataire d’affecter le service pour un autre locataire.

Le contenu client est isolé logiquement au sein des locataires à l’aide de Microsoft Entra ID. L’authentification utilisateur dans Microsoft services en ligne vérifie non seulement l’identité de l’utilisateur, mais également l’identité de locataire dont fait partie le compte d’utilisateur, ce qui empêche les utilisateurs d’accéder aux données en dehors de leur environnement client. Pour compléter l’isolation logique des Microsoft Entra ID, le contenu client est toujours chiffré au repos et en transit. Les services individuels peuvent également fournir des couches supplémentaires d’isolation des locataires, telles que l’isolation SharePoint Online des données client dans des bases de données chiffrées distinctes.

Comment Microsoft services en ligne-il concevoir des services résilients qui évitent les points de défaillance uniques ?

Microsoft conçoit et crée des services cloud pour optimiser la fiabilité et minimiser les effets négatifs sur les clients en cas de pannes et de défis liés aux opérations normales. Cette stratégie commence par la conception du réseau qui connecte nos centres de données distribués géographiquement. L’architecture réseau de Microsoft comprend des interconnexions directes et plusieurs chemins réseau. Microsoft services en ligne utiliser cette redondance pour acheminer automatiquement le trafic autour des défaillances afin d’améliorer la qualité du service.

Dans la mesure du possible, microsoft services en ligne sont déployés dans des configurations actives/actives avec surveillance automatisée de l’intégrité du service, ce qui permet au service de détecter et de récupérer de nombreuses erreurs et défaillances courantes sans intervention humaine. En plus des configurations actives/actives, Microsoft services en ligne augmenter la tolérance de panne en veillant à ce que le service soit déployé dans des zones d’erreur distinctes, ce qui empêche une erreur dans une zone d’affecter la disponibilité d’autres zones.

La résilience des données complète la résilience du service en protégeant l’intégrité et la disponibilité des données dans Microsoft services en ligne. Nos services utilisent la redondance du stockage local et la géoredondance pour répliquer des copies des données client dans différentes zones d’erreur. Si des données sont endommagées ou perdues dans une zone de défaillance, elles peuvent être accessibles dans une autre zone de défaillance sans perte de disponibilité. La vérification d’intégrité automatisée restaure automatiquement les données affectées par de nombreux types d’altération physique ou logique. Microsoft fournit également aux clients des outils pour restaurer des données supprimées ou modifiées accidentellement par le client dans des services tels que Exchange Online et SharePoint Online.

Comment Microsoft services en ligne suivre les dépendances et empêcher les connexions système externes non autorisées ?

Les équipes microsoft services en ligne identifient les composants système critiques et leurs dépendances dans le cadre de la gestion de la continuité d’activité. En outre, Microsoft documente et effectue le suivi de toutes les connexions système externes pour s’assurer que seules les connexions autorisées sont autorisées dans les configurations de pare-feu réseau. Les systèmes services en ligne Microsoft, les dépendances et les connexions externes sont documentés dans l’architecture de sécurité des informations de Microsoft services en ligne. L’architecture de sécurité des informations et les diagrammes de flux de données correspondants sont examinés et mis à jour chaque année au minimum, ainsi que chaque fois que des modifications importantes sont apportées au système.

L’architecture microsoft services en ligne est validée régulièrement et automatiquement à l’aide d’outils cloud pour vérifier l’alignement avec nos principes de sécurité et tester en permanence les fonctionnalités d’isolation et de résilience. La validation architecturale permet d’identifier automatiquement les instances où l’état actuel du service a dérivé de l’état souhaité, en signalant tout écart à des fins de révision et d’atténuation. L’objectif de la validation de l’architecture est de garantir que les fonctionnalités de sécurité de notre infrastructure de service continuent de fonctionner comme prévu.

Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à l’architecture.

Azure et Dynamics 365

Audits externes Section Date du dernier rapport
ISO 27001

Déclaration d’applicabilité
Certificat
A.6 : Organisation de la sécurité des informations
A.13.1 : Gestion de la sécurité réseau
A.17.2 : Redondances
8 avril 2024
ISO 27017

Déclaration d’applicabilité
Certificat
A.6 : Organisation de la sécurité des informations
A.13.1 : Gestion de la sécurité réseau
A.17.2 : Redondances
8 avril 2024
SOC 1
SOC 2
SOC 3
BC-1 : Plans de continuité d’activité
BC-3 : procédures BCDR
BC-4 : test BCDR
BC-5 : Évaluations des risques de continuité d’activité
BC-6 : Continuité des activités tierces
BC-7 : Procédures de continuité d’activité des centres de données
BC-8 : Test de continuité d’activité des centres de données
BC-9 : Évaluation de la résilience des centres de données
DS-6 : Redondance des composants critiques
DS-7 : Réplication des données client
DS-14 : Restauration des services clients
DS-16 : Séparation des données client
20 mai 2024

Microsoft 365

Audits externes Section Date du dernier rapport
FedRAMP AC-4 : Application des flux d’informations
CP-9 : Sauvegarde du système d’information
PL-8 : Architecture de sécurité des informations
SC-7 : Protection des limites
SC-22 : Architecture et approvisionnement
21 août 2024
ISO 27001/27017

Déclaration d’applicabilité
Certification (27001)
Certification (27017)
A.6 : Organisation de la sécurité des informations
A.13.1 : Gestion de la sécurité réseau
A.17.2 : Redondances
Mars 2024
SOC 1 CA-37 : Isolation du locataire
CA-49 : Stratégies de sauvegarde
CA-51 : Réplication des données
1er août 2024
SOC 2 CA-05 : Diagrammes de flux de données
CA-37 : Isolation du locataire
CA-49 : Stratégies de sauvegarde
CA-51 : Réplication des données
23 janvier 2024

Ressources