Sicurezza di Office 365

Sicurezza di Office 365

Office 365 è un servizio basato su cloud progettato per soddisfare le esigenze dell'organizzazione in termini di sicurezza, affidabilità e produttività utente. Allo stesso modo, ti aiuta a risparmiare tempo e denaro e a liberare risorse preziose. Office 365 integra la nota suite desktop Microsoft Office con le versioni basate su cloud dei servizi di comunicazione e collaborazione Microsoft di nuova generazione, sfruttando Internet per aiutare gli utenti a essere più produttivi praticamente ovunque.

Quando si sposta l'organizzazione sui servizi cloud, è necessario poter affidare al fornitore di servizi i dati più importanti, sensibili e riservati. Poiché la sicurezza è fondamentale per il successo aziendale, Microsoft dispone di criteri, controlli e sistemi affidabili integrati in Office 365 per proteggere le informazioni. Office 365 è progettato in base ai principi del Security Development Lifecycle,  un processo obbligatorio di Microsoft che incorpora i requisiti di sicurezza in ogni fase dello sviluppo.

I dati di Office 365 appartengono all'utente; Ciò significa che ne hai il controllo completo. Ti offriamo ampi controlli sulla privacy e visibilità su dove risiedono i tuoi dati e chi vi ha accesso, nonché sulla disponibilità e sulle modifiche al servizio. Se termina l'abbonamento al servizio, puoi portare con te i tuoi dati. Le tecnologie e i criteri di sicurezza a livello di servizio gestiti da Microsoft sono abilitati per impostazione predefinita e i controlli gestiti dal cliente consentono di personalizzare l'ambiente Office 365 in base alle esigenze di sicurezza dell'organizzazione. Office 365 viene aggiornato continuamente per migliorare la sicurezza.

Protezione dell'identità

Office 365 usa Azure Active Directory (Azure AD) per gestire gli utenti e fornire l'autenticazione, la gestione delle identità e il controllo degli accessi. Le funzionalità di Azure AD includono un archivio basato sul cloud per i dati di directory e un set di servizi di identità di base, ad esempio processi di accesso utente, servizi di autenticazione e servizi di federazione. Questi servizi di identità si integrano facilmente con le distribuzioni di Azure AD locali e supportano completamente i provider di identità di terze parti. Quando si configurano e gestiscono gli account utente, è possibile scegliere tra tre modelli di identità principali in Office 365:

• Identità cloud 
• Identità sincronizzata 
• Identità federata 

Office 365 usa l'autenticazione a più fattori, gestita dall'interfaccia di amministrazione di Office 365, per garantire una maggiore sicurezza. Office 365 offre il sottoinsieme seguente di funzionalità di Azure Multi-Factor Authentication come parte dell'abbonamento:

• Possibilità di abilitare e applicare l'autenticazione a più fattori per gli utenti finali
• Utilizzo di un'app mobile (password online e monouso) come secondo fattore di autenticazione
• Utilizzo di una telefonata come secondo fattore di autenticazione
• Utilizzo di un messaggio SMS (Short Message Service) come secondo fattore di autenticazione
• Password delle applicazioni per client non browser (ad esempio, il software client Skype for Business)
• Messaggi di saluto Microsoft predefiniti durante le chiamate telefoniche di autenticazione

Infrastruttura sicura

Office 365 utilizza principi di sicurezza di difesa in profondità per la protezione dai rischi interni ed esterni. La portata e la natura globale dell'impronta Microsoft ci consentono di utilizzare strategie e tecniche per la difesa contro gli attacchi di rete che pochi provider o organizzazioni clienti possono eguagliare. La pietra angolare della nostra strategia consiste nell'utilizzare la nostra presenza globale per interagire con provider Internet, provider di peering pubblici e privati e società private in tutto il mondo, dandoci una presenza significativa su Internet. Ciò consente a Microsoft di rilevare e difendersi dagli attacchi su una superficie molto ampia.

Gestione delle minacce

La strategia di gestione delle minacce per Office 365 prevede l'identificazione dell'intento, della capacità e della probabilità di sfruttare correttamente una vulnerabilità. I controlli utilizzati per proteggersi da tali exploit si basano sugli standard e sulle best practice di sicurezza del settore. Office 365 offre un'efficace protezione e-mail da posta indesiderata, virus e malware con Exchange Online Protection. Office 365 offre anche Advanced Threat Protection (ATP), un servizio di filtraggio della posta elettronica che fornisce una protezione aggiuntiva contro tipi specifici di minacce avanzate.

Mobilità

Oggi gli utenti di Office 365 sono sempre in movimento e hanno bisogno di accedervi ovunque si trovino, utilizzando una vasta gamma di dispositivi. È possibile usare la gestione dei dispositivi mobili di Microsoft Intune per gestire e proteggere i dispositivi su piattaforme Windows, Apple iOS e Android. È possibile identificare, monitorare e proteggere le informazioni sensibili con i controlli di prevenzione della perdita di dati nella gestione delle applicazioni mobili.

Risposta agli incidenti

Il processo di Office 365 per la gestione di un'incidente di sicurezza è conforme all'approccio prescritto dal National Institute of Standards and Technology (NIST). La risposta agli incidenti di sicurezza di Microsoft include diversi team dedicati che collaborano per prevenire, monitorare, rilevare e rispondere agli incidenti di sicurezza. I team di sicurezza di Office 365 adottano lo stesso approccio agli incidenti di sicurezza, che include le fasi di gestione della risposta NIST 800-61:

• Preparazione: la preparazione organizzativa necessaria per rispondere a un'incidente, inclusi strumenti, processi, competenze e idoneità.
• Rilevamento e analisi: il rilevamento di un'incidente di sicurezza in un'ambiente di produzione e l'analisi di tutti gli eventi per confermare l'autenticità dell'incidente di sicurezza.
• Contenimento, eliminazione e correzione: le azioni necessarie e appropriate per contenere l'incidente di sicurezza in base all'analisi eseguita nella fase precedente. In questa fase potrebbe essere necessaria anche un'analisi aggiuntiva per risolvere completamente l'incidente di sicurezza.
• Attività post-incidente: l'analisi eseguita dopo la correzione di un'incidente di sicurezza. Le azioni operative eseguite durante il processo vengono esaminate per determinare se è necessario apportare modifiche nelle fasi di preparazione o rilevamento e analisi.

Sicurezza fisica

I dati dei clienti di Office 365 vengono archiviati in data center Microsoft geograficamente distribuiti e protetti da livelli di sicurezza di difesa in profondità. I data center Microsoft sono progettati da zero per proteggere i servizi e i dati da danni causati da calamità naturali, minacce ambientali o accesso non autorizzato. Office 365 è progettato per garantire high availability e viene eseguito in data center con ridondanza geografica con funzionalità di failover automatico.

L'accesso al data center è limitato 24 ore su 24 dalla funzione lavorativa e monitorato utilizzando sensori di movimento, videosorveglianza e allarmi di violazione della sicurezza. I controlli degli accessi fisici includono recinzioni perimetrali, ingressi sicuri, addetti alla sicurezza in loco, videosorveglianza continua e reti di comunicazione in tempo reale. Più processi di autenticazione e sicurezza, tra cui badge e smart card, scanner biometrici e autenticazione a due fattori, proteggono dall'ingresso non autorizzato. I sistemi automatizzati di prevenzione e spegnimento degli incendi e le scaffalature sismicamente rinforzate proteggono dai disastri naturali.

Crittografia dei dati

Office 365 usa tecnologie lato servizio che crittografano i dati dei clienti inattivi e in transito. Per i dati inattivi dei clienti, Office 365 utilizza la crittografia a livello di volume e a livello di file. Per i dati dei clienti in transito, Office 365 utilizza più tecnologie di crittografia per le comunicazioni tra data center e tra client e server, ad esempio TLS (Transport Layer Security) e IPsec (Internet Protocol Security). Office 365 include anche funzionalità di crittografia gestite dal cliente. I dati dei clienti archiviati in Office 365 sono protetti in tutte le configurazioni. La convalida dei criteri di crittografia Microsoft e la relativa applicazione vengono verificati in modo indipendente tramite più revisori di terze parti.

Mantenere la sicurezza in un'architettura multi-tenant

La multitenancy è uno dei principali vantaggi del cloud computing. Si tratta della possibilità di condividere contemporaneamente un'infrastruttura comune tra numerosi clienti, con conseguenti economie di scala. Microsoft lavora continuamente per garantire che l'architettura multi-tenant di Office 365 supporti standard di sicurezza, riservatezza, privacy, integrità e disponibilità di livello aziendale. Sulla base della significativa esperienza acquisita da Trustworthy Computing e dal Security Development Lifecycle, i servizi cloud Microsoft, incluso Office 365, sono stati progettati partendo dal presupposto che tutti i tenant sono potenzialmente ostili a tutti gli altri tenant. Pertanto, in Office 365 sono state implementate diverse forme di protezione per impedire ai clienti di compromettere i servizi o le applicazioni di Office 365 o di ottenere l'accesso non autorizzato alle informazioni di altri tenant o al sistema Office 365 stesso.

Modalità di accesso ai dati da parte di Microsoft

Microsoft automatizza la maggior parte delle operazioni di Office 365 limitando intenzionalmente il proprio accesso al contenuto del cliente. Questo ci permette di gestire Office 365 su larga scala e di affrontare i rischi di minacce interne al contenuto dei clienti, come un fattore malevole o lo spear-phishing di un ingegnere Microsoft. Per impostazione predefinita, gli ingegneri Microsoft non dispongono di privilegi amministrativi permanenti né di accesso permanente al contenuto dei clienti in Office 365. Un tecnico Microsoft può avere un accesso limitato, controllato e protetto al contenuto di un cliente per un periodo di tempo limitato, ma solo quando necessario per le operazioni di servizio e solo se approvato da un membro dell'alta dirigenza di Microsoft (e, per i clienti che dispongono di una licenza per la funzionalità Customer Lockbox, dal cliente).

Modalità di accesso ai dati

Oltre ai controlli implementati da Microsoft, Office 365 consente di gestire i propri dati in modo molto simile a come si gestiscono i dati negli ambienti locali. L'amministratore globale ha accesso a tutte le funzionalità delle interfacce di amministrazione e può creare o modificare utenti, eseguire attività amministrative e assegnare ruoli di amministratore ad altri utenti. È inoltre possibile controllare il modo in cui gli utenti accedono alle informazioni da dispositivi o posizioni specifiche o da una combinazione di entrambi.