Segurança do Office 365

Segurança do Office 365

O Office 365 é um serviço baseado em nuvem projetado para ajudar a atender às necessidades da sua organização de segurança, confiabilidade e produtividade do usuário robustas. Da mesma forma, ajuda você a economizar tempo e dinheiro, e liberar recursos valiosos. O Office 365 integra o conhecido pacote de área de trabalho do Microsoft Office com versões baseadas em nuvem dos serviços de comunicação e colaboração de última geração da Microsoft, aproveitando a Internet para ajudar os usuários a serem mais produtivos de praticamente qualquer lugar.

Ao mover sua organização para serviços em nuvem, você deve ser capaz de confiar ao provedor de serviços seus dados mais importantes, confidenciais e confidenciais. Como a segurança é fundamental para o sucesso dos negócios, a Microsoft tem políticas, controles e sistemas robustos incorporados ao Office 365 para ajudar a manter suas informações seguras. O Office 365 foi projetado com base nos princípios do Ciclo  de Vida de Desenvolvimento de Segurança, um processo obrigatório da Microsoft que incorpora requisitos de segurança em todas as fases do desenvolvimento.

Seus dados do Office 365 pertencem a você; Isso significa que você tem controle total dele. Oferecemos a você amplos controles de privacidade e visibilidade sobre onde seus dados residem e quem tem acesso a eles, bem como disponibilidade e alterações no serviço. Se terminar a sua subscrição do serviço, pode levar consigo os seus dados. As tecnologias e políticas de segurança de nível de serviço gerenciadas pela Microsoft são habilitadas por padrão, e os controles gerenciados pelo cliente permitem que você personalize seu ambiente do Office 365 para atender às necessidades de segurança de sua organização. O Office 365 é atualizado continuamente para aumentar a segurança.

Identidade segura

O Office 365 usa o Azure Active Directory (Azure AD) para gerenciar usuários e fornecer autenticação, gerenciamento de identidades e controle de acesso. Os recursos do Azure AD incluem um armazenamento baseado em nuvem para dados de diretório e um conjunto principal de serviços de identidade, como processos de logon de usuário, serviços de autenticação e serviços de federação. Esses serviços de identidade se integram facilmente às suas implantações locais do Azure AD e dão suporte total a provedores de identidade de terceiros. Você pode escolher entre três modelos de identidade principais no Office 365 ao configurar e gerenciar contas de usuário:

• Identidade na nuvem 
• Identidade sincronizada 
• Identidade federada 

O Office 365 usa a Autenticação Multifator, gerenciada a partir do Centro de administração do Office 365, para ajudar a fornecer segurança extra. O Office 365 oferece o seguinte subconjunto de recursos do Azure Multi-Factor Authentication como parte da assinatura:

• Capacidade de habilitar e impor a autenticação baseada em vários fatores para usuários finais
• Uso de um aplicativo móvel (on-line e senha de uso único) como um segundo fator de autenticação
• Uso de uma chamada telefônica como um segundo fator de autenticação
• Uso de uma mensagem SMS (Short Message Service) como um segundo fator de autenticação
• Senhas de aplicativo para clientes que não são navegadores (por exemplo, o software cliente Skype for Business)
• Saudações padrão da Microsoft durante chamadas telefônicas de autenticação

Infraestrutura segura

O Office 365 usa princípios de segurança de defesa profunda para proteger contra riscos internos e externos. A escala e a natureza global da presença da Microsoft nos permitem usar estratégias e técnicas de defesa contra ataques de rede que poucos provedores ou organizações de clientes conseguem igualar. A pedra angular de nossa estratégia é usar nossa presença global para interagir com provedores de Internet, provedores de peering públicos e privados e corporações privadas em todo o mundo, dando-nos uma presença significativa na Internet. Isso permite que a Microsoft detecte e se defenda contra ataques em uma área de superfície muito grande.

Gerenciamento de ameaças

A estratégia de gerenciamento de ameaças para o Office 365 envolve a identificação da intenção, capacidade e probabilidade de exploração bem-sucedida de uma vulnerabilidade de uma ameaça em potencial. Os controles usados para proteger contra tais explorações são baseados em padrões de segurança e melhores práticas do setor. O Office 365 fornece proteção robusta de email contra spam, vírus e malware com a Proteção do Exchange Online. O Office 365 também oferece a Proteção Avançada contra Ameaças (ATP), um serviço de filtragem de email que fornece proteção adicional contra tipos específicos de ameaças avançadas.

Mobilidade

Os usuários do Office 365 hoje em dia estão em movimento e precisam de acesso onde quer que estejam, usando uma variedade de dispositivos. Você pode usar o gerenciamento de dispositivos móveis do Microsoft Intune para gerenciar e proteger dispositivos nas plataformas Windows, Apple iOS e Android. Você pode identificar, monitorar e proteger informações confidenciais com controles de prevenção de perda de dados no gerenciamento de aplicativos móveis.

Resposta a incidentes

O processo do Office 365 para gerenciar um incidente de segurança está em conformidade com a abordagem prescrita pelo Instituto Nacional de Padrões e Tecnologia (NIST). A resposta a incidentes de segurança da Microsoft inclui várias equipes dedicadas que trabalham juntas para prevenir, monitorar, detectar e responder a incidentes de segurança. As equipes de segurança do Office 365 adotam a mesma abordagem para incidentes de segurança, o que inclui as fases de gerenciamento de resposta do NIST 800-61:

• Preparação - a preparação organizacional necessária para responder a um incidente, incluindo ferramentas, processos, competências e prontidão.
• Detecção e análise - a detecção de um incidente de segurança em um ambiente de produção e a análise de todos os eventos para confirmar a autenticidade do incidente de segurança.
• Contenção, erradicação e correção - as ações necessárias e apropriadas para conter o incidente de segurança com base na análise feita na fase anterior. Nessa fase, também pode ser necessária uma análise adicional para corrigir totalmente o incidente de segurança.
• Atividade pós-incidente - a análise realizada após a correção de um incidente de segurança. As ações operacionais realizadas durante o processo são revisadas para determinar se alguma alteração precisa ser feita nas fases de Preparação ou Detecção e Análise.

Segurança física

Os dados do cliente do Office 365 são armazenados em data centers da Microsoft distribuídos geograficamente e protegidos por camadas de segurança de defesa profunda. Os data centers da Microsoft são desenvolvidos do zero para proteger serviços e dados contra danos causados por desastres naturais, ameaças ambientais ou acesso não autorizado. O Office 365 foi projetado para alta disponibilidade e é executado em datacenters com redundância geográfica com recurso de failover automático.

O acesso ao datacenter é restrito 24 horas por dia por função de trabalho e monitorado usando sensores de movimento, videovigilância e alarmes de violação de segurança. Os controles de acesso físico incluem cercas de perímetro, entradas seguras, agentes de segurança no local, vigilância contínua por vídeo e redes de comunicação em tempo real. Vários processos de autenticação e segurança, incluindo crachás e cartões inteligentes, scanners biométricos e autenticação de dois fatores, protegem contra entrada não autorizada. Sistemas automatizados de prevenção e extinção de incêndios e racks com suporte sísmico protegem contra desastres naturais.

Criptografia de dados

O Office 365 usa tecnologias do lado do serviço que criptografam os dados do cliente em repouso e em trânsito. Para dados de clientes em repouso, o Office 365 usa criptografia em nível de volume e de arquivo. Para dados de clientes em trânsito, o Office 365 usa várias tecnologias de criptografia para comunicações entre data centers e entre clientes e servidores, como TLS (Transport Layer Security) e IPsec (Internet Protocol Security). O Office 365 também inclui recursos de criptografia gerenciados pelo cliente. Os dados do cliente armazenados no Office 365 são protegidos em todas as configurações. A validação da política criptográfica da Microsoft e sua aplicação são verificadas de forma independente por meio de vários auditores terceirizados.

Mantendo a segurança em uma arquitetura multilocatário

O multi-tenancy é um dos principais benefícios da computação em nuvem. Essa é a capacidade de compartilhar infraestrutura comum com vários clientes simultaneamente, gerando economia de escala. A Microsoft trabalha continuamente para garantir que a arquitetura multilocatário do Office 365 ofereça suporte a padrões de segurança, confidencialidade, privacidade, integridade e disponibilidade de nível empresarial. Com base na experiência significativa coletada da Computação Confiável e do Ciclo de Vida de Desenvolvimento de Segurança, os serviços em nuvem da Microsoft, incluindo o Office 365, foram projetados com a suposição de que todos os locatários são potencialmente hostis a todos os outros locatários. Assim, várias formas de proteção foram implementadas em todo o Office 365 para evitar que os clientes comprometam serviços ou aplicativos do Office 365 ou obtenham acesso não autorizado às informações de outros locatários ou do próprio sistema Office 365.

Como a Microsoft acessa seus dados

A Microsoft automatiza a maioria das operações do Office 365 e, ao mesmo tempo, limita intencionalmente seu próprio acesso ao conteúdo do cliente. Isso nos permite gerenciar o Office 365 em escala e lidar com os riscos de ameaças internas ao conteúdo do cliente, como um fator mal-intencionado ou o spear-phishing de um engenheiro da Microsoft. Por padrão, os engenheiros da Microsoft não têm privilégios administrativos permanentes nem acesso permanente ao conteúdo do cliente no Office 365. Um engenheiro da Microsoft pode ter acesso limitado, auditado e seguro ao conteúdo de um cliente por um período limitado de tempo, mas somente quando necessário para operações de serviço e somente quando aprovado por um membro da gerência sênior da Microsoft (e, para clientes licenciados para o recurso Customer Lockbox, pelo cliente).

Como você acessa seus dados

Além dos controles implementados pela Microsoft, o Office 365 permite gerenciar seus próprios dados da mesma forma que gerencia os dados em ambientes locais. O administrador global tem acesso a todos os recursos nos centros de administração e pode criar ou editar usuários, executar tarefas administrativas e atribuir funções de administrador a outras pessoas. Você também pode controlar como os usuários acessam informações de dispositivos específicos ou locais específicos ou uma combinação de ambos.