Microsoft: keamanan dan privasi pada saat Covid

(Untuk Carlo Mauceli)
15/02/21

Beberapa bulan yang lalu kami berbicara tentang pentingnya keamanan dan privasi pada saat COVID (v.articolo) menyoroti beberapa aspek etika dan sosial dari teknologi digital.

Sekarang mari kita coba memperdalam beberapa poin yang berkaitan dengan rangkaian momen tersebut, merujuk pembaca yang paling penasaran ke Situs Pusat Kepercayaan di mana Anda dapat menemukan semua wawasan yang relevan.

Salah satu masalah yang semakin harus saya tangani dengan pelanggan kami adalah pemrosesan data pribadi.

Microsoft memproses data pribadi sesuai dengan ketentuan Adendum yang terkait dengan Perlindungan Data Pribadi Layanan Online ("DPA") yang tersedia di tautan https://aka.ms/DPA. Secara khusus, DPA yang disebutkan di atas menyatakan bahwa Microsoft memiliki peran sebagai manajer pemrosesan data pribadi dan merupakan perjanjian yang mengikat manajer ke pengontrol data sesuai dengan pasal. 28 paragraf 3) dari Peraturan Perlindungan Data Umum - Peraturan (UE) 2016/679 Parlemen dan Dewan Eropa, 27 April 2016 (GDPR).

Persyaratan GDPR Microsoft mencerminkan komitmen yang diwajibkan oleh pemroses dalam Pasal 28. Pasal 28 mewajibkan pemroses berkomitmen untuk:

  • Gunakan hanya pengelola sekunder dengan persetujuan pemilik dan bertanggung jawab atas mereka.
  • Memproses data pribadi secara eksklusif sesuai dengan instruksi pemilik, termasuk yang berkaitan dengan transfer.
  • Pastikan orang yang memproses data pribadi Anda menghormati kerahasiaan.
  • Menerapkan tindakan teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan data pribadi yang sesuai berdasarkan risiko.
  • Membantu pemilik dengan kewajiban terkait untuk membalas permintaan pihak yang berkepentingan untuk menggunakan hak mereka berdasarkan GDPR.
  • Memenuhi pemberitahuan pelanggaran dan persyaratan dukungan.
  • Membantu pengontrol dengan penilaian dampak perlindungan data dan saran dengan otoritas yang kompeten.
  • Hapus atau kembalikan data pribadi di akhir penyediaan layanan.
  • Dukung pemilik dengan bukti kepatuhan dengan GDPR.

Enkripsi Data dan Penggunaan Jaringan

Mari jadikan Teams sebagai elemen analisis. Penggunaan Teams yang, mari kita ingat, merupakan bagian integral dari platform O365, dan, secara lebih umum, dari semua layanan cloud Microsoft, yaitu Azure, Dynamics 365 dan O365 itu sendiri, tidak memerlukan VPN khusus untuk koneksi jarak jauh.

Microsoft Teams memanfaatkan protokol TLS dan MTLS yang menyediakan komunikasi terenkripsi dan otentikasi titik akhir melalui Internet. Teams menggunakan kedua protokol untuk membuat jaringan server tepercaya dan untuk memastikan bahwa semua komunikasi di jaringan itu dienkripsi. Semua komunikasi antar server terjadi di MTLS. Sisa atau komunikasi klien-ke-server SIP lama terjadi melalui TLS.

TLS memungkinkan pengguna, melalui perangkat lunak klien mereka, untuk mengautentikasi server Teams, di pusat data Microsoft, yang mereka sambungkan. Dalam koneksi TLS, klien meminta sertifikat yang valid dari server. Agar valid, sertifikat harus diterbitkan oleh Otoritas Sertifikasi yang juga dipercaya oleh klien dan nama DNS server harus cocok dengan nama DNS pada sertifikat. Jika sertifikat tersebut valid, klien menggunakan kunci publik dalam sertifikat untuk mengenkripsi kunci enkripsi simetris yang akan digunakan untuk komunikasi, jadi hanya pemilik asli sertifikat yang dapat menggunakan kunci pribadi mereka untuk mendekripsi konten komunikasi. Sambungan yang dihasilkan dapat diandalkan dan tidak diganggu oleh server atau klien tepercaya lainnya setelahnya.

Koneksi server-ke-server mengandalkan TLS bersama (MTLS) untuk otentikasi bersama. Pada koneksi MTLS, server membuat pesan dan server yang menerimanya bertukar sertifikat dari CA yang saling dipercaya. Sertifikat membuktikan identitas setiap server kepada yang lain. Dalam layanan tim, prosedur ini diikuti.

TLS dan MTLS membantu mencegah serangan intersepsi dan serangan man-in-the-middle. 

Dalam serangan man-in-the-middle, penyerang mengarahkan komunikasi antara dua entitas jaringan melalui komputer penyerang tanpa sepengetahuan salah satu pihak. Spesifikasi TLS dan Tim dari server tepercaya mengurangi risiko serangan man-in-the-middle sebagian pada lapisan aplikasi dengan menggunakan enkripsi terkoordinasi, melalui enkripsi kunci publik antara dua titik akhir. Penyerang harus memiliki sertifikat yang valid dan tepercaya dengan kunci pribadi yang sesuai dan dikeluarkan atas nama layanan yang berkomunikasi dengan klien untuk mendekripsi komunikasi.

Tabel menunjukkan jenis lalu lintas:

Jenis lalu lintas

 Dienkripsi oleh

Server ke server

 ekstensi MTLS

Klien ke server (misalnya, perpesanan instan dan kehadiran)

 TLS

Aliran multimedia (misalnya, audio dan video berbagi konten multimedia)

 TLS

Berbagi audio dan video konten multimedia

SRTP / TLS
Pelaporan

TLS

Sistem Otentikasi dan Otorisasi

"Ruang virtual" adalah pertemuan Teams dan karenanya menghormati standar keamanan yang sama. Standar keamanan didasarkan pada O365 yang merupakan platform di mana Tim merupakan bagian yang tidak terpisahkan. Salah untuk mempertimbangkan keamanan produk dari sudut pandang otentikasi karena ini didefinisikan di tingkat platform.

Aktivitas akses "ruang virtual" dan rapat Teams dilacak melalui log yang dapat diakses oleh pengguna administratif yang ditunjuk oleh organisasi.

Teams adalah layanan Cloud dan server berada di pusat data Microsoft.

Data dan Metadata

Data yang dikumpulkan dalam penyewa, yaitu lingkungan yang dibuat saat organisasi berlangganan layanan O365, dapat diakses oleh Administrator yang ditunjuk oleh Administrasi, melalui "Pusat Keamanan Microsoft 365" yang mana termasuk:

  • Beranda: Pandangan sekilas tentang kesehatan keamanan organisasi secara keseluruhan.
  • Operasi yang Dilarang: Lihat riwayat serangan yang lebih luas dengan menghubungkan titik-titik yang ditampilkan pada peringatan entitas individu. Anda dapat mengetahui dengan tepat di mana serangan dimulai, perangkat mana yang terpengaruh, apa efeknya, dan ke mana perginya ancaman.
  • Peringatan - memiliki visibilitas yang lebih baik ke semua peringatan di lingkungan Microsoft 365, termasuk peringatan dari Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP, dan Microsoft Defender ATP. Tersedia untuk pelanggan E3 dan E5.
  • Pusat Tindakan: Kurangi volume peringatan yang harus direspons secara manual oleh tim keamanan, memungkinkan tim operasi keamanan untuk fokus pada ancaman yang lebih canggih dan inisiatif bernilai tinggi lainnya.
  • Laporan - Lihat detail dan informasi yang Anda butuhkan untuk melindungi pengguna, perangkat, aplikasi, dan lainnya dengan lebih baik.
  • Skor Aman: Mengoptimalkan tingkat keamanan secara keseluruhan dengan Skor Aman Microsoft. Ringkasan semua fitur dan fungsi keamanan yang telah diaktifkan disediakan dan saran tersedia untuk meningkatkan area.
  • Perburuan tingkat lanjut: Pencarian proaktif untuk malware, file mencurigakan, dan aktivitas di organisasi Microsoft 365.
  • Klasifikasi - Lindungi kehilangan data dengan menambahkan label untuk mengklasifikasikan dokumen, email, dokumen, situs, dan lainnya. Ketika label diterapkan (secara otomatis atau oleh pengguna), konten atau situs diproteksi sesuai dengan pengaturan yang dipilih. Misalnya, Anda dapat membuat label untuk mengenkripsi file, menambahkan indikasi konten, dan mengontrol akses pengguna ke situs tertentu.
  • Kebijakan - Tambahkan kebijakan untuk mengelola perangkat, melindungi dari ancaman, dan menerima peringatan tentang berbagai aktivitas organisasi.
  • Izin: Kelola siapa di organisasi Anda yang memiliki akses ke Pusat Keamanan Microsoft 365 untuk melihat kontennya dan melakukan tugas. Anda juga dapat menetapkan izin Microsoft 365 di portal Azure AD.

Anda juga dapat menentukan akses granular ke fungsi "Pusat Keamanan & Kepatuhan".

Administrator global, yang ditunjuk oleh organisasi, memiliki akses ke fungsi "Pusat Keamanan & Kepatuhan"; ini adalah salah satu alasan mengapa penting untuk melindungi administrator global dengan benar, memisahkan mereka dari aktivitas pengguna (oleh karena itu, kami menyarankan untuk tidak menetapkan lisensi Office 365 kepada administrator ini) dan menggunakannya hanya jika diperlukan.

Di mana lokasi server yang menyimpan data?

Saat berlangganan layanan, "Penyewa" dikaitkan untuk setiap Administrasi / Pelanggan, yaitu unit logis yang berisi semua data dan konfigurasi Administrasi.

Salah satu manfaat utama komputasi awan adalah konsep infrastruktur umum yang digunakan bersama di antara banyak pelanggan pada saat yang sama, yang mengarah ke skala ekonomi. Konsep ini disebut multi-tenant. Microsoft memastikan bahwa arsitektur layanan cloud multi-tenant mendukung standar keamanan, kerahasiaan, privasi, integritas, dan ketersediaan tingkat perusahaan.

Berdasarkan investasi signifikan dan pengalaman yang diperoleh dari komputasi andal dan siklus pengembangan keamanan, layanan cloud Microsoft telah dirancang dengan asumsi bahwa semua penyewa berpotensi memusuhi semua penyewa lain dan bahwa mereka adalah Tindakan keamanan telah diterapkan untuk mencegah tindakan salah satu penyewa. penyewa dari mempengaruhi keamanan atau layanan penyewa lain.

Dua tujuan utama untuk mempertahankan isolasi penyewa di lingkungan multi-penyewa adalah:

  • Mencegah kebocoran atau akses tidak sah ke konten pelanggan di antara penyewa; aku s
  • Cegah tindakan satu penyewa agar tidak berdampak negatif pada layanan penyewa lain

Office 365 telah menerapkan berbagai bentuk perlindungan untuk mencegah pelanggan dari mengorbankan layanan atau aplikasi Office 365 atau mendapatkan akses tidak sah ke informasi dari penyewa lain atau sistem Office 365 itu sendiri, termasuk:

  • Isolasi logis konten pelanggan dalam setiap penyewa untuk layanan Office 365 dicapai melalui otorisasi Azure Active Directory dan kontrol akses berbasis peran.
  • SharePoint Online menyediakan mekanisme isolasi data di tingkat penyimpanan.
  • Microsoft menggunakan keamanan fisik yang ketat, penyaringan latar belakang, dan strategi enkripsi berlapis untuk melindungi kerahasiaan dan integritas konten pelanggan. Semua pusat data Office 365 memiliki kontrol akses biometrik, dengan sebagian besar cetakan telapak tangan memerlukan akses fisik.
  • Office 365 menggunakan teknologi sisi layanan yang mengenkripsi konten pelanggan saat istirahat dan saat transit, termasuk BitLocker, enkripsi file, Transport Layer Security (TLS), dan Internet Protocol Security (IPsec).

Bersama-sama, perlindungan yang tercantum di bawah ini menawarkan kontrol isolasi logis yang kuat yang memberikan perlindungan ancaman dan mitigasi yang setara dengan yang disediakan oleh isolasi fisik saja.

Lokalisasi data

Berkenaan dengan geo-lokasi layanan, detail yang berkaitan dengan penyewa di wilayah geografis Eropa ditunjukkan di bawah ini:

► OneDrive for Business / SharePoint Online / Skype for Business / Azure Active Directory / Microsoft Teams / Planner / Yammer / Layanan OneNote / Aliran / Formulir:

  • Irlandia
  • Belanda

► Exchange Online / Office Online / Office Mobile / EOP / MyAnalytics:

  • Austria
  • Finlandia
  • Irlandia
  • Belanda

Pelanggan bisa melihat informasi tentang lokasi data khusus penyewa di pusat admin Office 365 di bawah pengaturan | Profil organisasi | Tab jalur data.

Tentu saja tidak berakhir di situ. Masih banyak yang bisa dibicarakan tentang keamanan sistem Microsoft, jadi saya akan segera berbicara tentang mengelola keamanan data di cloud.

peristiwa

Klik pada hari yang disorot dengan warna merah dan cari tahu apa yang ada di buktinya.
Kisah kehidupan militer
Kirimkan cerita Anda
Penghormatan (jatuh tempo) kepada infanteri "Roma" ke-80 yang mengambil cuti dengan hormat

Ya, kita kini sudah terbiasa menyaksikan penutupan barak dan bahkan mungkin sedikit mengubur sejarah panjang departemen-departemen tersebut, sebuah fenomena yang tidak menghapuskan kenangan. Itu juga menyentuh...

Baca ceritanya
"Il Signor Parolini" (bagian kesembilan)

Ayam panggang, seperti yang diharapkan, telah memenuhi reputasinya, mengkonsolidasikan, jika diperlukan, penguasaan kuliner yang tak terbantahkan dari Gastone, kepala ...

Baca ceritanya