Panoramica dell'architettura
Che cosa sono Microsoft Servizi online?
Microsoft Servizi online fare riferimento alle varie offerte di servizi basate sul cloud di Microsoft, tra cui Azure, Dynamics 365 e Microsoft 365. Ogni servizio offre soluzioni uniche per le comuni esigenze aziendali e di produttività, al servizio dei clienti di tutto il mondo, dalle piccole imprese alle grandi imprese e ai governi. I data center distribuiti a livello globale connessi dall'infrastruttura di rete gestita in modo indipendente di Microsoft fungono da backbone per supportare Servizi online, offrendo la possibilità di sostenere la disponibilità in quasi tutte le situazioni e di ridimensionare la domanda su vasta scala a livello mondiale.
Tutti i Servizi online Microsoft hanno lo stesso obiettivo di salvaguardare l'infrastruttura di servizio gestita e i dati dei clienti, ma ogni servizio online è gestito da una business unit separata. In molti casi, i controlli di sicurezza vengono implementati nello stesso modo in tutti i servizi, ma in alcuni casi hanno un approccio diverso per soddisfare le promesse dei clienti e gli obblighi di conformità.
Che cos'è Azure?
Microsoft Azure è una piattaforma di cloud computing per la creazione, la distribuzione e la gestione di applicazioni tramite una rete globale di data center gestiti da Microsoft e di terze parti. Supporta i modelli di servizio cloud PaaS (Platform as a Service) e IaaS (Infrastructure as a Service) e consente soluzioni ibride che integrano i servizi cloud con le risorse locali dei clienti. Microsoft Azure supporta molti clienti, partner e organizzazioni governative che si estendono su un'ampia gamma di prodotti e servizi, aree geografiche e settori. Microsoft Azure è progettato per soddisfare i requisiti di sicurezza, riservatezza e conformità.
Che cos'è Dynamics 365?
Dynamics 365 è una suite di applicazioni aziendali online che integra le funzionalità crm (Customer Relationship Management) e le relative estensioni con le funzionalità di pianificazione delle risorse aziendali (ERP). Queste applicazioni di business end-to-end consentono ai clienti di trasformare le relazioni in ricavi, guadagnare clienti e accelerare la crescita aziendale. Dynamics 365 è una suite SaaS (Software as a Service) basata sull'infrastruttura di Azure e resa disponibile ai clienti di tutto il mondo attraverso i data center distribuiti a livello globale.
Che cos'è Microsoft 365?
Microsoft 365 è la versione di Office, Windows 365, Enterprise Mobility + Security e conformità basata sul cloud basata su sottoscrizione. I clienti di Microsoft 365 ottengono client come Outlook e Windows e traggono vantaggio anche dai servizi ospitati da Microsoft per loro conto, ad esempio Exchange Online, Microsoft Teams e SharePoint Online. Tutti i componenti del servizio vengono aggiornati regolarmente come parte del modello di sottoscrizione, in modo che i clienti abbiano un prodotto "sempreverdi". Microsoft gestisce l'infrastruttura del servizio per conto dei clienti, il che significa che Microsoft è responsabile della protezione dell'infrastruttura che archivia i dati dei clienti.
In termini di scalabilità, Microsoft attualmente usa quasi un milione di computer per alimentare i servizi di Microsoft 365. L'infrastruttura che alimenta questi servizi varia notevolmente tra hardware specifico del servizio e ambienti virtualizzati in Azure, Windows e Linux e piattaforme multi-tenant e dedicate. Microsoft 365 è un'azienda globale e la nostra infrastruttura è distribuita in data center in tutto il mondo, il che consente ai clienti di soddisfare i requisiti di residenza e sovranità dei dati.
In che modo Microsoft Servizi online garantire l'isolamento tra i tenant dei clienti?
I servizi cloud di Microsoft si basano sul presupposto che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant. Per isolare correttamente i tenant l'uno dall'altro, Microsoft implementa varie tecnologie e controlli di isolamento. Questi controlli sono progettati per proteggersi dalla perdita di informazioni o dall'accesso non autorizzato ai dati dei clienti tra tenant e per impedire che le azioni di un tenant influiscano negativamente sul servizio per un altro tenant.
Il contenuto del cliente è isolato logicamente all'interno dei tenant usando Microsoft Entra ID. L'autenticazione utente in Microsoft Servizi online verifica non solo l'identità dell'utente, ma anche l'identità del tenant di cui fa parte l'account utente, impedendo agli utenti di accedere ai dati all'esterno dell'ambiente tenant. Per integrare l'isolamento logico di Microsoft Entra ID, il contenuto del cliente viene sempre crittografato inattivi e in transito. I singoli servizi possono anche fornire livelli aggiuntivi di isolamento del tenant, ad esempio l'isolamento di SharePoint Online dei dati del tenant in database crittografati separati.
In che modo Microsoft Servizi online progettare servizi resilienti che evitano singoli punti di errore?
Microsoft progetta e crea servizi cloud per ottimizzare l'affidabilità e ridurre al minimo gli effetti negativi sui clienti di fronte a errori e sfide alle normali operazioni. Questa strategia inizia con la progettazione della rete che connette i data center distribuiti geograficamente. L'architettura di rete di Microsoft include interconnessioni dirette e percorsi di rete multipli. Microsoft Servizi online usare questa ridondanza per instradare automaticamente il traffico intorno agli errori per migliorare la qualità del servizio.
Laddove possibile, Microsoft Servizi online vengono distribuiti in configurazioni attive/attive con monitoraggio automatizzato dell'integrità del servizio, consentendo al servizio di rilevare e ripristinare da molti errori e errori comuni senza intervento umano. Oltre alle configurazioni attive/attive, Microsoft Servizi online aumentare la tolleranza di errore assicurando che il servizio venga distribuito in zone di errore separate, impedendo che un errore in una zona influisca sulla disponibilità di altre zone.
La resilienza dei dati integra la resilienza del servizio proteggendo l'integrità e la disponibilità dei dati in Microsoft Servizi online. I servizi usano ridondanza dell'archiviazione locale e ridondanza geografica per replicare copie dei dati dei clienti in zone di errore diverse. Se i dati sono danneggiati o vanno persi in una zona di errore, è possibile accedervi in un'altra zona di errore senza perdita di disponibilità. Il controllo automatico dell'integrità ripristina automaticamente i dati interessati da molti tipi di danneggiamento fisico o logico. Microsoft fornisce inoltre ai clienti strumenti per ripristinare i dati eliminati o modificati accidentalmente dal cliente in servizi come Exchange Online e SharePoint Online.
In che modo Microsoft Servizi online tenere traccia delle dipendenze e impedire connessioni di sistema esterne non autorizzate?
I team di Microsoft Servizi online identificano i componenti di sistema critici e le relative dipendenze come parte della gestione della continuità aziendale. Inoltre, Microsoft documenta e tiene traccia di tutte le connessioni di sistema esterne per garantire che solo le connessioni autorizzate siano consentite nelle configurazioni del firewall di rete. I sistemi, le dipendenze e le connessioni esterne di Microsoft Servizi online sono documentati nell'architettura di sicurezza delle informazioni di Microsoft Servizi online. Sia l'architettura di sicurezza delle informazioni che i diagrammi del flusso di dati corrispondenti vengono esaminati e aggiornati ogni anno come minimo, nonché ogni volta che vengono apportate modifiche significative al sistema.
L'architettura di Microsoft Servizi online viene convalidata regolarmente e automaticamente usando strumenti basati sul cloud per verificare l'allineamento con i principi di sicurezza e testare continuamente le funzionalità di isolamento e resilienza. La convalida dell'architettura consente di identificare automaticamente le istanze in cui lo stato corrente del servizio si è allontanato dallo stato desiderato, contrassegnando eventuali deviazioni per la revisione e la mitigazione. L'obiettivo della convalida dell'architettura è garantire che le funzionalità di sicurezza dell'infrastruttura di servizio continuino a funzionare come previsto.
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati all'architettura, vedere la tabella seguente.
Azure e Dynamics 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
|
ISO 27001 Dichiarazione di applicabilità Certificato |
A.6: Organizzazione della sicurezza delle informazioni A.13.1: Gestione della sicurezza di rete A.17.2: Ridondanze |
8 aprile 2024 |
|
ISO 27017 Dichiarazione di applicabilità Certificato |
A.6: Organizzazione della sicurezza delle informazioni A.13.1: Gestione della sicurezza di rete A.17.2: Ridondanze |
8 aprile 2024 |
|
SOC 1 SOC 2 SOC 3 |
BC-1: Piani di continuità aziendale BC-3: procedure BCDR BC-4: test BCDR BC-5: Valutazioni dei rischi di continuità aziendale BC-6: continuità aziendale di terze parti BC-7: Procedure di continuità aziendale del data center BC-8: Test di continuità aziendale del data center BC-9: Valutazione della resilienza del data center DS-6: ridondanza dei componenti critici DS-7: replica dei dati dei clienti DS-14: Ripristino dei servizi ai clienti DS-16: separazione dei dati dei clienti |
20 maggio 2024 |
Microsoft 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| FedRAMP | AC-4: Imposizione del flusso di informazioni CP-9: Backup del sistema informativo PL-8: Architettura di sicurezza delle informazioni SC-7: Protezione dei limiti SC-22: Architettura e provisioning |
21 agosto 2024 |
|
ISO 27001/27017 Dichiarazione di applicabilità Certificazione (27001) Certificazione (27017) |
A.6: Organizzazione della sicurezza delle informazioni A.13.1: Gestione della sicurezza di rete A.17.2: Ridondanze |
Marzo 2024 |
| SOC 1 | CA-37: Isolamento del tenant CA-49: Criteri di backup CA-51: Replica dei dati |
1 agosto 2024 |
| SOC 2 | CA-05: Diagrammi di flusso di dati CA-37: Isolamento del tenant CA-49: Criteri di backup CA-51: Replica dei dati |
23 gennaio 2024 |