מיקרוסופט: אבטחה ופרטיות בזמן קוביד

(של קרלו מאקלי)
15/02/21

לפני כמה חודשים דיברנו על החשיבות של אבטחה ופרטיות בזמן COVID (v.articolo) המדגיש כמה היבטים אתיים וחברתיים של טכנולוגיות דיגיטליות.

עכשיו בואו ננסה להעמיק כמה נקודות הנוגעות לחבילת הרגע, תוך הפניית הקורא הסקרן ביותר לאתר מרכז האמון בו תוכלו למצוא את כל התובנות הרלוונטיות.

אחד הנושאים איתי ויותר אני נאלץ להתמודד עם לקוחותינו הוא עיבוד נתונים אישיים.

מיקרוסופט מעבדת נתונים אישיים בהתאם להוראות התוספת הנוגעת להגנה על נתונים אישיים של שירותים מקוונים ("DPA") הזמינים בקישור. https://aka.ms/DPA. בפרט, ה- DPA הנ"ל קובע כי למיקרוסופט יש את התפקיד של מנהל עיבוד נתונים אישיים ומהווה את ההסכם המחייב את המנהל לבקר הנתונים על פי סעיף. 28 סעיף 3) לתקנה הכללית להגנת נתונים - תקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה, מיום 27 באפריל 2016 (GDPR).

תנאי ה- GDPR של מיקרוסופט משקפים את ההתחייבויות הנדרשות על ידי מעבדים בסעיף 28. סעיף 28 מחייב שמעבדים מתחייבים:

  • השתמש רק במנהלים משניים בהסכמת הבעלים והיה אחראי עליהם.
  • עיבוד נתונים אישיים באופן בלעדי על פי הוראות הבעלים, לרבות בכל הנוגע להעברה.
  • ודא שהאנשים שמעבדים את הנתונים האישיים שלך מכבדים סודיות.
  • יישום אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמה נאותה של אבטחת נתונים אישיים על בסיס סיכון.
  • עזור לבעלים עם ההתחייבויות הנלוות להשיב לבקשות הצדדים המעוניינים לממש את זכויותיהם במסגרת ה- GDPR.
  • לעמוד בדרישות ההודעה על הפרות ותמיכה.
  • עזור לבקרים עם הערכות השפעה על הגנת נתונים וייעוץ מול רשויות מוסמכות.
  • מחק או החזיר נתונים אישיים בתום מתן השירותים.
  • תמוך בבעלים בהוכחת עמידה ב- GDPR.

הצפנת נתונים ושימוש ברשת

בואו ניקח צוותים כאלמנט של ניתוח. השימוש ב- Teams, שזכור לנו, הוא חלק בלתי נפרד מפלטפורמת O365, ובאופן כללי יותר, מכל שירותי הענן של מיקרוסופט, כלומר Azure, Dynamics 365 ו- O365 עצמה, אינו מחייב בהכרח VPN ייעודי לחיבורים מרוחקים.

צוותי מיקרוסופט ממנפים את פרוטוקולי TLS ו- MTLS המספקים תקשורת מוצפנת ואימות נקודות קצה דרך האינטרנט. צוותים משתמשים בשני הפרוטוקולים כדי ליצור את רשת השרתים המהימנים ולהבטיח שכל התקשורת ברשת מוצפנת. כל התקשורת בין השרתים מתרחשת ב- MTLS. תקשורת SIP בין לקוח לשרת שנותרה או מדור קודם מתרחשת באמצעות TLS.

TLS מאפשרת למשתמשים באמצעות תוכנת הלקוח שלהם לאמת את שרתי Teams במרכזי הנתונים של מיקרוסופט אליהם הם מתחברים. בחיבור TLS הלקוח מבקש אישור תקף מהשרת. כדי להיות תקף, האישור חייב להיות מונפק על ידי רשות אישורים שגם הלקוח מהימן עליו ושם ה- DNS של השרת חייב להתאים לשם ה- DNS בתעודה. אם האישור תקף, הלקוח משתמש במפתח הציבורי בתעודה כדי להצפין את מפתחות ההצפנה הסימטריים שישמשו לתקשורת, כך שרק הבעלים המקורי של האישור יכול להשתמש במפתח הפרטי שלהם כדי לפענח את תוכן התקשורת. החיבור שנוצר הוא אמין ולא מתווכחים על ידי שרתים או לקוחות מהימנים אחרים לאחר מכן.

חיבורי שרת לשרת מסתמכים על TLS הדדי (MTLS) לצורך אימות הדדי. בחיבור MTLS, השרת המייצר הודעה והשרת המקבל אותה מחליפים אישורים ממערכת אישור מהימנה הדדית. אישורים מוכיחים את זהותו של כל שרת לשני. בשירות Teams מקפידים על הליך זה.

TLS ו- MTLS מסייעים במניעת התקפות יירוט והתקפות בין אדם לאמצע. 

בהתקפה של איש באמצע, התוקף מפנה תקשורת בין שתי ישויות רשת דרך מחשב התוקף ללא ידיעת אף אחד מהצדדים. המפרט TLS ו- Teams של שרתים מהימנים מקטין את הסיכון להתקפה של אדם באמצע באופן חלקי על שכבת היישום באמצעות הצפנה מתואמת, באמצעות הצפנת מפתח ציבורי בין שתי נקודות הקצה. תוקף יצטרך לקבל אישור תקף ומהימן עם המפתח הפרטי המתאים ויונפק על שם השירות שהלקוח מתקשר איתו כדי לפענח את התקשורת.

הטבלה מציגה את סוגי התעבורה:

סוג התנועה

מוצפן על ידי

שרת לשרת

סיומת MTLS

לקוח לשרת (למשל, הודעות מיידיות ונוכחות)

TLS

זרמי מולטימדיה (למשל, שיתוף שמע ווידאו בתוכן מולטימדיה)

TLS

שיתוף שמע ווידאו של תכני מולטימדיה

SRTP / TLS

דיווח

TLS

מערכות אימות ואישור

"החדר הווירטואלי" הוא פגישת צוותים וככזה מכבד את אותם תקני אבטחה. תקני האבטחה מבוססים על אלה של O365 שהיא הפלטפורמה ש- Team הוא חלק בלתי נפרד ממנה. אין זה נכון להתחשב באבטחת מוצרים מנקודת מבט של אימות, שכן הדבר מוגדר ברמת הפלטפורמה.

מעקב אחר פעילויות הגישה של "החדר הווירטואלי" ופגישת Teams דרך יומנים נגישים על ידי משתמשים אדמיניסטרטיביים שמונו על ידי הארגון.

Teams הוא שירות ענן והשרתים ממוקמים במרכזי הנתונים של מיקרוסופט.

נתונים ומטא נתונים

הנתונים שנאספים בתוך הדייר, כלומר הסביבה שנוצרת כאשר ארגון מנוי על שירותי O365, נגישים על ידי המנהלים שמונו על ידי המינהל, באמצעות "מרכז האבטחה של מיקרוסופט 365" שכולל:

  • בית: מבט במבט חטוף על בריאות האבטחה הכוללת של הארגון.
  • פעולות אסורות: ראה היסטוריה רחבה יותר של התקפה על ידי חיבור הנקודות המוצגות בהתראות ישויות בודדות. אתה יכול לדעת היכן בדיוק התחילה התקפה, אילו מכשירים מושפעים, מהן ההשפעות, ולאן נעלם האיום.
  • התראות - יש חשיפה רבה יותר לכל ההתראות בסביבת Microsoft 365, כולל התראות מ- Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP ו- Microsoft Defender ATP. זמין ללקוחות E3 ו- E5.
  • מרכז פעולה: צמצם את נפח ההתראות שצוות האבטחה צריך להגיב עליהן באופן ידני, ומאפשר לצוות פעולות האבטחה להתמקד באיומים מתוחכמים יותר וביוזמות אחרות בעלות ערך רב.
  • דוחות - צפו בפרטים ובמידע הדרוש לכם בכדי להגן טוב יותר על המשתמשים, המכשירים, האפליקציות שלכם ועוד.
  • ציון מאובטח: מייעל את רמת האבטחה הכוללת באמצעות Microsoft Secure Score. ניתן סיכום של כל תכונות האבטחה והפונקציות שהופעלו והמלצות זמינות לשיפור האזורים.
  • ציד מתקדם: חיפוש יזום אחר תוכנות זדוניות, קבצים חשודים ופעילות בארגון Microsoft 365.
  • סיווג - הגן על אובדן נתונים על ידי הוספת תוויות לסיווג מסמכים, מיילים, מסמכים, אתרים ועוד. כאשר תווית מוחלת (באופן אוטומטי או על ידי המשתמש), התוכן או האתר מוגנים בהתאם להגדרות שנבחרו. לדוגמה, באפשרותך ליצור תוויות להצפנת קבצים, להוסיף אינדיקציה לתוכן ולשלוט בגישה של משתמשים לאתרים ספציפיים.
  • מדיניות - הוסף מדיניות לניהול מכשירים, הגנה מפני איומים וקבלת התראות על פעילויות ארגוניות שונות.
  • הרשאות: נהל למי בארגון שלך יש גישה למרכז האבטחה של Microsoft 365 כדי להציג את התוכן שלו ולבצע משימות. ניתן גם להקצות הרשאות של Microsoft 365 בפורטל AD של תכלת הרקיע.

ניתן גם להגדיר גישה גרעינית לפונקציות של "מרכז האבטחה והתאימות".

למנהלים גלובליים שמונו על ידי הארגון יש גישה לתפקידי "מרכז האבטחה והתאימות"; זו אחת הסיבות מדוע חשוב להגן בצורה נאותה על מנהלי מערכת גלובליים, לנתק אותם מפעילויות משתמש (לכן אנו ממליצים לא להקצות רישיון Office 365 למנהלים אלה) ולהשתמש בהם רק במידת הצורך.

היכן נמצאים השרתים המאחסנים את הנתונים?

בעת ההרשמה לשירות, משויך "דייר" לכל מנהל / לקוח, כלומר היחידה הלוגית המכילה את כל נתוני הניהול והתצורות.

אחד היתרונות העיקריים של מחשוב ענן הוא הרעיון של תשתית משותפת המשותפת ללקוחות רבים במקביל, מה שמוביל לחסכונות בקנה מידה. מושג זה נקרא רב דיירים. מיקרוסופט מבטיחה כי ארכיטקטורות שירותי ענן מרובת דיירים תומכות בתקני אבטחה, סודיות, פרטיות, שלמות וזמינות ברמת הארגון.

בהתבסס על ההשקעות והניסיון המשמעותיים שנצברו ממחזור חיים אמין ופיתוח אבטחה, תוכננו שירותי הענן של מיקרוסופט מתוך הנחה שכל הדיירים עשויים להיות עוינים כלפי כל הדיירים האחרים וכי הם אמצעי אבטחה יושמו כדי למנוע פעולות של אחד. הדייר משפיע על האבטחה או השירות של דייר אחר.

שתי המטרות העיקריות לשמירה על בידוד הדיירים בסביבה מרובת דיירים הן:

  • למנוע דליפה או גישה לא מורשית לתוכן לקוחות בין דיירים; הוא
  • למנוע מפעולות של דייר אחד להשפיע לרעה על שירות של דייר אחר

Office 365 יישמה מספר צורות הגנה כדי למנוע מלקוחות להתפשר על שירותי Office 365 או על יישומים או לקבל גישה בלתי מורשית למידע מדיירים אחרים או ממערכת Office 365 עצמה, כולל:

  • בידוד לוגי של תוכן לקוחות בכל דייר עבור שירותי Office 365 מושג באמצעות הרשאת Active Directory של Azure ובקרת גישה מבוססת תפקידים.
  • SharePoint Online מספק מנגנוני בידוד נתונים ברמת האחסון.
  • מיקרוסופט משתמשת באבטחה פיזית מחמירה, בסינון רקע ובאסטרטגיית הצפנה רב שכבתית כדי להגן על סודיות ותקינות תוכן הלקוחות. בכל מרכזי הנתונים של Office 365 יש בקרות גישה ביומטריות, כאשר רוב הדפסי הדקל דורשים גישה פיזית.
  • Office 365 משתמש בטכנולוגיות בצד השירות שמצפינות תוכן לקוחות בזמן מנוחה ובמעבר, כולל BitLocker, הצפנת קבצים, Transport Layer Security (TLS), ו- Internet Protocol Security (IPsec).

יחד, ההגנות המפורטות להלן מציעות בקרות בידוד לוגיות חזקות המספקות הגנה על האיום והפחתה המקבילים לזו הניתנת על ידי בידוד פיזי בלבד.

לוקליזציה של נתונים

באשר למיקום הגיאוגרפי של השירותים, הפרטים הנוגעים לדיירים באזור הגיאוגרפי האירופי מוצגים להלן:

► OneDrive for Business / SharePoint Online / Skype for Business / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services / Stream / Forms:

  • אירלנד
  • הולנד

► החלף מקוון / Office Online / Office Mobile / EOP / MyAnalytics:

  • אוסטריה
  • פינלנדיה
  • אירלנד
  • הולנד

לקוחות יכולים להציג מידע אודות מיקום הנתונים הספציפיים לדייר במרכז הניהול של Office 365 תחת הגדרות | פרופיל ארגון | הכרטיסייה נתיב נתונים.

כמובן שזה לא נגמר שם. יש עדיין הרבה מה לומר על אבטחת מערכות מיקרוסופט ולכן בקרוב אדבר על ניהול אבטחת נתונים בענן.