了解 Microsoft 365 中的網路、服務和租用戶隔離
安全性缺口界限是一項重要的安全性原則,用於 Microsoft 365 的安全性設計。 Microsoft 365 服務奠基於共用基礎結構,設計旨在防止一個租用戶的動作影響其他租用戶的安全性或存取其內容。 Microsoft 365 利用網路、服務和租用戶隔離,在我們的服務中建立入侵界限,防止一個界限的缺口導致其他界限缺口。
網路與服務隔離
網路隔離的目標是限制 Microsoft 365 服務基礎結構不同部分彼此通訊的能力,但服務運作所需的最低需求除外。 Microsoft 365 服務彼此相互操作,但經過設計和實作,因此可以部署和運作為獨立的獨立服務。 此外,線上服務的客戶流量會隔離在公司網路之外。 結合其他控制項,例如最低權限、網路和服務隔離的無常設存取實作,可讓我們在 Microsoft 365 中的服務和服務元件之間建立缺口界限。
Microsoft 365 的網路隔離,核心設計是用於封鎖服務元件和網路區段之間不必要和未經授權的流量。 網路隔離不只是防止從一個服務到另一個服務間進行不想要的驗證, 也可以協助我們的服務抵禦未經驗證的攻擊。 某些最危險的零時差攻擊涉及未經驗證的遠端執行程式碼 (RCE),這些遠端程式碼執行 (RCE) 會利用電腦之間的敏感性網路路徑。 必須盡可能限制在嘗試驗證之前與目標建立連線的能力。 Microsoft 365 中的強式網路隔離可提供重要保護,抵禦這些類型攻擊。
Microsoft 雲端基礎結構會使用存取控制清單 (ACL) 監視和控制外部界限、主要內部界限和主機上的網路流量。 ACL 是限制通訊的偏好機制,是使用網路裝置 (例如路由器、網路和主機型防火牆) 以及 Azure 網路安全性群組 (NSG) 來實施。 不符合明確操作需求的網路流量預設會遭到拒絕。 我們會密切注意所有網路流量規則,以維護架構和資料流程圖 (DFD)。 DFD 會記錄服務元件之間核准的網路流量,協助我們的工程師以視覺化方式呈現網路流量模式,並限制網路主機、防火牆和路由器層上不必要的流量。
當核心 Microsoft 365 服務規模擴展時,從新提供的容量到先前建立之服務部分的流量預設會遭到拒絕。 Teams 必須手動開啟新服務功能運作所需的網路路徑,而且我們會密切檢查任何試圖開啟路徑的動作,以確保只開啟最低要求的路徑。 我們的重要安全性原則在此產生作用:即使是對新佈建的容量也不信任其安全,而且我們的網路隔離原則會隨著服務規模自動調整。
租用戶隔離
雲端運算的主要優點之一,就是能夠同時跨多個客戶運用共用基礎結構,得以擴展規模而使效益增加。 這個概念稱為多重租用。 Microsoft 持續努力,以確保雲端服務的多租使用者架構支援企業級安全性、機密性、隱私權、完整性和可用性標準。 我們會確保所有 Microsoft 365 租用戶中的客戶內容與其他租用戶以及用於管理 Microsoft 365 的作業和系統資料隔離。 Microsoft 365 會執行多種保護形式,以將任何 Microsoft 365 服務或應用程式遭到入侵的風險降至最低。
Microsoft 雲端服務的設計目的是假設所有租用戶對所有其他租用戶都可能有害。 因此,我們實作安全性措施,以防止一個租用戶的動作影響安全性或存取另一個租用戶的內容。 在 Microsoft 365 中維持租用戶隔離的兩個主要目標是:
- 防止跨租用戶的客戶內容外泄或未經授權存取。
- 防止一個租用戶的動作對另一個租用戶的服務造成負面影響。
每個租使用者內的客戶內容邏輯隔離是根據設計內建到每個服務中,並透過 Microsoft Entra ID 和角色型訪問控制來達成。 具體而言,Microsoft 365 中的每個租使用者容器都是由租用戶的組織單位 (OU) 在 Microsoft Entra ID 中定義。 租用戶有自己的安全性界限和使用者主體名稱 (UPN),以防止租用戶之間的資訊外泄和未經授權的存取。 Microsoft 365 中的使用者驗證不僅會驗證使用者身分識別,還會驗證使用者帳戶的租用戶身分識別,防止使用者存取租用戶環境外部的資料。 服務層級的租用戶特定加密會針對每個客戶租用戶提供額外的保護層級。
個別服務可能會為服務的資料和應用程式層提供額外的租用戶隔離層。 例如,SharePoint Online 在儲存層級提供資料隔離機制,將客戶內容加密並儲存於不同的資料庫中。 Exchange Online 需要在信箱層級進行驗證,並允許使用客戶管理的加密金鑰來加密信箱。