Microsoft: seguridad y privacidad en la época de Covid

(Para Carlo mauceli)
15/02/21

Hace unos meses hablamos de la importancia de la seguridad y privacidad en el momento de COVID (v.articolo) destacando algunos aspectos éticos y sociales de las tecnologías digitales.

Intentemos ahora profundizar algunos puntos relacionados con la suite del momento, remitiendo al lector más curioso al Sitio del Trust Center donde podrá encontrar todas las insights relevantes.

Uno de los temas que tengo que afrontar cada vez con más frecuencia con nuestros clientes es el tratamiento de datos personales.

Microsoft procesa los datos personales de acuerdo con las disposiciones del Anexo relativo a la Protección de Datos Personales de los Servicios en Línea ("DPA") disponible en el enlace https://aka.ms/DPA. En particular, la DPA antes mencionada establece que Microsoft tiene la función de administrador de procesamiento de datos personales y constituye el acuerdo que vincula al administrador con el controlador de datos de conformidad con el art. 28 párrafo 3) del Reglamento General de Protección de Datos - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (GDPR).

Los términos del RGPD de Microsoft reflejan los compromisos requeridos por los procesadores en el artículo 28. El artículo 28 requiere que los procesadores se comprometan a:

  • Utilice solo administradores secundarios con el consentimiento del propietario y sea responsable de ellos.
  • Procesar datos personales exclusivamente sobre la base de las instrucciones del propietario, incluso en relación con la transferencia.
  • Asegúrese de que las personas que procesan sus datos personales respeten la confidencialidad.
  • Implementar medidas técnicas y organizativas adecuadas para garantizar un nivel adecuado de seguridad de los datos personales en función del riesgo.
  • Ayudar a los propietarios con las obligaciones relacionadas para responder a las solicitudes de las partes interesadas para ejercer sus derechos en virtud del GDPR.
  • Cumpla con los requisitos de soporte y notificación de infracciones.
  • Ayudar a los responsables del tratamiento con evaluaciones de impacto de protección de datos y asesoramiento con las autoridades competentes.
  • Eliminar o devolver los datos personales al finalizar la prestación de los servicios.
  • Apoyar al propietario con una prueba de cumplimiento del GDPR.

Cifrado de datos y uso de la red

Tomemos Teams como elemento de análisis. El uso de Teams que, recordemos, es una parte integral de la plataforma O365 y, en general, de todos los servicios en la nube de Microsoft, a saber, Azure, Dynamics 365 y el propio O365, no requiere necesariamente una VPN dedicada para conexiones remotas.

Microsoft Teams aprovecha los protocolos TLS y MTLS que proporcionan comunicaciones cifradas y autenticación de punto final a través de Internet. Teams usa ambos protocolos para crear la red de servidores confiables y para garantizar que todas las comunicaciones en esa red estén encriptadas. Toda la comunicación entre servidores ocurre en MTLS. Las comunicaciones de cliente a servidor SIP restantes o heredadas se producen a través de TLS.

TLS permite a los usuarios, a través de su software cliente, autenticar los servidores de Teams, en los centros de datos de Microsoft, a los que se conectan. En una conexión TLS, el cliente solicita un certificado válido del servidor. Para ser válido, el certificado debe haber sido emitido por una autoridad de certificación en la que también confíe el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS del certificado. Si el certificado es válido, el cliente utiliza la clave pública en el certificado para cifrar las claves de cifrado simétricas que se utilizarán para la comunicación, por lo que solo el propietario original del certificado puede utilizar su clave privada para descifrar el contenido de la comunicación. La conexión resultante es confiable y no es cuestionada por otros servidores o clientes confiables a partir de entonces.

Las conexiones de servidor a servidor se basan en TLS mutuo (MTLS) para la autenticación mutua. En una conexión MTLS, el servidor que genera un mensaje y el servidor que lo recibe intercambian certificados de una CA de confianza mutua. Los certificados prueban la identidad de cada servidor al otro. En el servicio de Teams, se sigue este procedimiento.

TLS y MTLS ayudan a prevenir tanto los ataques de interceptación como los ataques de intermediario. 

En un ataque man-in-the-middle, el atacante dirige las comunicaciones entre dos entidades de la red a través de la computadora del atacante sin el conocimiento de ninguna de las partes. La especificación TLS y Teams de servidores confiables mitiga el riesgo de un ataque de intermediario parcialmente en la capa de aplicación mediante el uso de cifrado coordinado, a través de cifrado de clave pública entre los dos puntos finales. Un atacante tendría que tener un certificado válido y confiable con la clave privada correspondiente y emitido a nombre del servicio con el que se comunica el cliente para descifrar la comunicación.

La tabla muestra los tipos de tráfico:

Tipo de trafico

 Cifrado por

Servidor a servidor

 MTL

Cliente a servidor (por ejemplo, mensajería instantánea y presencia)

 TLS

Flujos multimedia (por ejemplo, uso compartido de audio y video de contenido multimedia)

 TLS

Uso compartido de audio y video de contenido multimedia

SRTP / TLS
señalización

TLS

Sistemas de autenticación y autorización

La “sala virtual” es una reunión de Teams y, como tal, respeta los mismos estándares de seguridad. Los estándares de seguridad se basan en los de O365, que es la plataforma de la que Team es parte integral. Es incorrecto considerar la seguridad del producto desde el punto de vista de la autenticación, ya que se define a nivel de plataforma.

Las actividades de acceso de la "sala virtual" y la reunión de Teams se controlan a través de registros accesibles por los usuarios administrativos designados por la organización.

Teams es un servicio en la nube y los servidores están ubicados en los centros de datos de Microsoft..

Datos y metadatos

Los datos recopilados dentro del inquilino, que es el entorno creado cuando una organización se suscribe a los servicios de O365, son accesibles por los Administradores designados por la Administración, a través del "Centro de seguridad de Microsoft 365" que incluye:

  • Inicio: una vista de un vistazo del estado de seguridad general de la organización.
  • Operaciones no permitidas: vea el historial más amplio de un ataque conectando los puntos que se muestran en las alertas de entidades individuales. Puede saber exactamente dónde se inició un ataque, qué dispositivos se ven afectados, cuáles son los efectos y adónde fue la amenaza.
  • Alertas: tenga una mayor visibilidad de todas las alertas en el entorno de Microsoft 365, incluidas las alertas de Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP y Microsoft Defender ATP. Disponible para clientes E3 y E5.
  • Centro de acción: reduzca el volumen de alertas a las que el equipo de seguridad debe responder manualmente, lo que permite que el equipo de operaciones de seguridad se concentre en amenazas más sofisticadas y otras iniciativas de alto valor.
  • Informes: vea los detalles y la información que necesita para proteger mejor a sus usuarios, dispositivos, aplicaciones y más.
  • Secure Score: optimiza el nivel de seguridad general con Microsoft Secure Score. Se proporciona un resumen de todas las características y funcionalidades de seguridad que se han habilitado y hay sugerencias disponibles para mejorar áreas.
  • Búsqueda avanzada: búsqueda proactiva de malware, archivos sospechosos y actividad en la organización de Microsoft 365.
  • Clasificación: proteja la pérdida de datos agregando etiquetas para clasificar documentos, correos electrónicos, documentos, sitios y más. Cuando se aplica una etiqueta (automáticamente o por el usuario), el contenido o el sitio se protege de acuerdo con la configuración seleccionada. Por ejemplo, puede crear etiquetas para cifrar archivos, agregar indicaciones de contenido y controlar el acceso de los usuarios a sitios específicos.
  • Políticas: agregue políticas para administrar dispositivos, proteger contra amenazas y recibir alertas sobre diversas actividades de la organización.
  • Permisos: administre quién en su organización tiene acceso al Centro de seguridad de Microsoft 365 para ver su contenido y realizar tareas. También puede asignar permisos de Microsoft 365 en el portal de Azure AD.

También es posible definir el acceso granular a las funciones del "Centro de seguridad y cumplimiento".

Los administradores globales, designados por la organización, tienen acceso a las funciones del "Centro de seguridad y cumplimiento"; Esta es una de las razones por las que es importante proteger adecuadamente a los administradores globales, desvincularlos de las actividades de los usuarios (por lo tanto, recomendamos no asignar una licencia de Office 365 a estos administradores) y usarlos solo cuando sea necesario.

¿Dónde están ubicados los servidores que almacenan los datos?

Al suscribirse al servicio se asocia un "Arrendatario" para cada Administración / Cliente, que es la unidad lógica que contiene todos los datos y configuraciones de la Administración.

Uno de los principales beneficios de la computación en la nube es el concepto de una infraestructura común compartida entre muchos clientes al mismo tiempo, lo que genera economías de escala. Este concepto se denomina multiinquilino. Microsoft garantiza que las arquitecturas de servicios en la nube de múltiples inquilinos admitan los estándares de seguridad, confidencialidad, privacidad, integridad y disponibilidad a nivel empresarial.

Sobre la base de las inversiones significativas y la experiencia obtenida del ciclo de vida de desarrollo de seguridad y computación confiable, los servicios en la nube de Microsoft se han diseñado asumiendo que todos los inquilinos son potencialmente hostiles a todos los demás inquilinos y que se han implementado medidas de seguridad para evitar las acciones de uno. inquilino de afectar la seguridad o el servicio de otro inquilino.

Los dos objetivos principales para mantener el aislamiento de los inquilinos en un entorno de múltiples inquilinos son:

  • Evitar fugas o acceso no autorizado al contenido del cliente entre inquilinos; es
  • Evitar que las acciones de un inquilino afecten negativamente el servicio de otro inquilino

Office 365 ha implementado múltiples formas de protección para evitar que los clientes comprometan los servicios o aplicaciones de Office 365 u obtengan acceso no autorizado a información de otros inquilinos o del propio sistema de Office 365, que incluyen:

  • El aislamiento lógico del contenido del cliente dentro de cada inquilino para los servicios de Office 365 se logra mediante la autorización de Azure Active Directory y el control de acceso basado en roles.
  • SharePoint Online proporciona mecanismos de aislamiento de datos a nivel de almacenamiento.
  • Microsoft utiliza una estricta seguridad física, investigación de antecedentes y una estrategia de cifrado de varias capas para proteger la confidencialidad y la integridad del contenido del cliente. Todos los centros de datos de Office 365 tienen controles de acceso biométricos, y la mayoría de las impresiones de Palm requieren acceso físico.
  • Office 365 usa tecnologías del lado del servicio que cifran el contenido del cliente en reposo y en tránsito, incluido BitLocker, cifrado de archivos, seguridad de la capa de transporte (TLS) y seguridad del protocolo de Internet (IPsec).

Juntas, las protecciones que se enumeran a continuación ofrecen controles de aislamiento lógicos sólidos que brindan protección y mitigación de amenazas equivalentes a las proporcionadas por el aislamiento físico solo.

Localización de datos

En cuanto a la geolocalización de los servicios, a continuación se muestran los datos relativos a los inquilinos en el área geográfica europea:

► OneDrive para empresas / SharePoint Online / Skype para empresas / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services / Stream / Forms:

  • Irlanda
  • Países Bajos

► Exchange Online / Office Online / Office Mobile / EOP / MyAnalytics:

  • Austria
  • Finlandia
  • Irlanda
  • Países Bajos

Los clientes pueden ver información sobre la ubicación de los datos específicos del inquilino en el centro de administración de Office 365 en Configuración | Perfil de la organización | Pestaña de ruta de datos.

Por supuesto que no termina ahí. Todavía hay mucho que decir sobre la seguridad de los sistemas de Microsoft, por lo que pronto hablaré sobre la gestión de la seguridad de los datos en la nube.

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia