Общие сведения об изоляции сетей, служб и клиентов в Microsoft 365

  • 6 мин

Границы нарушения безопасности — это ключевой принцип безопасности, лежащий в основе Microsoft 365. Службы Microsoft 365 созданы на основе общей инфраструктуры и предназначены для предотвращения влияния действий одного клиента на безопасность или доступ к содержимому других клиентов. Microsoft 365 использует изоляцию сети, служб и клиентов для создания границ нарушения безопасности в службах, предотвращая компрометации остальных границ при компрометации одной границы.

Изоляция сети и служб

Цель изоляции сети — ограничить возможность взаимодействия между различными частями инфраструктуры служб Microsoft 365, за исключением минимально необходимого взаимодействия для работы службы. Службы Microsoft 365 взаимодействуют друг с другом, но разработаны и реализованы таким образом, чтобы их можно было развернуть и использовать как автономные независимые службы. Кроме того, трафик клиентов в веб-службах изолирован от корпоративной сети. В сочетании с другими средствами контроля, такими как реализация отсутствия постоянного доступа с наименьшими привилегиями, изоляция сети и служб позволяет нам установить границы нарушения безопасности между службами и компонентами служб в Microsoft 365.

По сути, изоляция сети в Microsoft 365 предназначена для блокировки ненужного и несанкционированного трафика между компонентами службы и сегментами сети. Изоляция сети — это не только предотвращение нежелательной проверки подлинности между службами. Она также помогает нашим службам защититься от атак без проверки подлинности. Некоторые из самых опасных уязвимостей нулевого дня включают удаленное выполнение кода (RCE) без проверки подлинности, которое использует конфиденциальные сетевые пути между компьютерами. Возможность установить соединение с целевым объектом перед попыткой проверки подлинности должна быть максимально ограничена. Надежная изоляция сети в Microsoft 365 обеспечивает критически важную защиту от таких типов атак.

Облачная инфраструктура Майкрософт отслеживает и контролирует сетевой трафик на внешних границах, ключевых внутренних границах и в узлах с помощью списков управления доступом (ACL). ACL — это предпочтительный механизм ограничения взаимодействия, который реализуется с помощью сетевых устройств, таких как маршрутизаторы, сетевые и узловые брандмауэры, а также группы безопасности сети Azure (NSG). Сетевой трафик, который не выполняет явные операционные потребности, по умолчанию запрещен. Мы внимательно анализируем все правила сетевого трафика в рамках обслуживания архитектуры и схем потоков данных (DFD). DFD документируют утвержденные сетевые потоки между компонентами служб и помогают нашим инженерам визуализировать шаблоны сетевого трафика, а также ограничивать ненужный трафик на уровнях узла, брандмауэра и маршрутизатора сети.

При развитии основных служб Microsoft 365 трафик из новой подготовленной емкости в ранее созданные части службы запрещен по умолчанию. Команды должны вручную открыть сетевые пути, необходимые для работы новой функции службы, и мы внимательно анализируем все такие попытки, чтобы гарантировать открытие только минимально необходимых путей. Здесь используются наши основные принципы безопасности: даже новые подготовленные емкости не считаются надежными и наши политики сетевой изоляции автоматически применяются по мере масштабирования службы.

Изоляция клиента

Одно из основных преимуществ облачных вычислений — возможность одновременного использования общей инфраструктуры множеством клиентов, что обеспечивает экономию на масштабе. Эта концепция называется мультитенантной. Корпорация Майкрософт постоянно работает над тем, чтобы мультитенантные архитектуры облачных служб поддерживали корпоративные стандарты безопасности, конфиденциальности, целостности и доступности. Весь контент пользователей в клиентах Microsoft 365 изолирован от других клиентов, а также от операций и системных данных, используемых при управлении Microsoft 365. В Microsoft 365 реализовано несколько форм защиты, чтобы свести к минимуму риск компрометации любой службы или приложения Microsoft 365.

Облачные службы (Майкрософт) были разработаны с учетом предположения, что все клиенты потенциально являются враждебными для всех остальных клиентов. В результате мы реализовали меры безопасности для предотвращения влияния действий одного клиента на безопасность или доступность содержимого другого клиента. Две основные цели обеспечения изоляции клиентов в Microsoft 365:

  • Предотвращение утечки или несанкционированного доступа к контенту пользователей в клиентах.
  • Предотвращение негативного влияния действий одного клиента на службу в другом клиенте.

Логическая изоляция содержимого клиента в каждом клиенте встроена в каждую службу по проектированию и достигается за счет управления доступом на основе ролей и идентификатора Microsoft Entra. В частности, каждый контейнер клиента в Microsoft 365 определяется организационным подразделением клиента в идентификаторе Microsoft Entra. Клиенты имеют собственные границы безопасности и имена участников-пользователей (UPN), чтобы предотвращать утечку информации и несанкционированный доступ между клиентами. Проверка подлинности пользователей в Microsoft 365 проверяет не только удостоверение пользователя, но и удостоверение клиента, частью которого является учетная запись пользователя, что запрещает пользователям доступ к данным за пределами среды клиента. Шифрование для конкретного клиента на уровне службы обеспечивает дополнительный уровень защиты для каждого клиента пользователя.

Отдельные службы могут предоставлять дополнительные уровни изоляции клиента на уровнях данных и приложений службы. Например, SharePoint Online предоставляет механизмы изоляции данных на уровне хранилища путем шифрования и хранения контента пользователя в отдельных базах данных. Exchange Online требует проверки подлинности на уровне почтового ящика и позволяет шифровать почтовые ящики управляемыми клиентом ключами шифрования с использованием ключа клиента.

Подробнее