Как Microsoft OneDrive защищает ваши данные на облачном диске

Россия+7 (910) 990-43-11
Обновлено: 2023-03-26

С самого начала Microsoft позаботилась о том, чтобы OneDrive имел все необходимые функции безопасности, от аутентификации до контроля и зашифрованного хранилища. И с тех пор Microsoft постоянно совершенствует средства управления безопасностью OneDrive, чтобы соответствовать самым строгим требованиям.

Как вы можете защитить свои данные

Вот что вы можете сделать, чтобы защитить свои файлы в OneDrive:

  • Создайте надежный пароль. Проверьте надёжность вашего пароля .
  • Добавьте информацию в свою учетную запись Microsoft. Вы можете добавить такую информацию, как номер телефона, дополнительный адрес электронной почты, секретный вопрос и ответ. Таким образом, если вы когда-нибудь забудете свой пароль или ваша учетная запись будет взломана, вы сможете использовать эту информацию, чтобы подтвердить вашу личность и помочь вернуть свою учётную запись.
  • Используйте двухфакторную проверку. Это помогает защитить вашу учетную запись, требуя от вас ввода дополнительного кода безопасности всякий раз, когда вы входите в систему с «ненадежного устройства». В качестве второго фактора проверки можно использовать телефонный звонок, текстовое сообщение (смс) или приложение генерации кодов. Дополнительные сведения о двухэтапной проверке см. Как использовать двухэтапную проверку с вашей учетной записью Microsoft.
  • Включите шифрование на своих мобильных устройствах. Если у вас есть мобильное приложение OneDrive, мы рекомендуем включить шифрование на устройствах iOS или Android. Это помогает защитить ваши файлы OneDrive, если ваше мобильное устройство потеряно, украдено или кто-то получит к нему доступ.
  • Подпишитесь на Microsoft 365. Подписка на Microsoft 365 обеспечивает расширенную защиту от вирусов и киберпреступлений, а также открывает дополнительные способы восстановления ваших файлов после вредоносных атак.

Как OneDrive защищает ваши данные

Инженеры Microsoft администрируют OneDrive с помощью консоли Windows PowerShell, для которой требуется двухфакторная проверка подлинности. Ни один инженер не имеет постоянного доступа к сервису. Когда инженерам нужен доступ, они должны запросить его. Приемлемость проверяется, и если доступ инженера одобрен, это только на ограниченное время.

Кроме того, OneDrive и Office 365 активно инвестируют в системы, процессы и персонал, чтобы снизить вероятность утечки персональных данных и быстро обнаружить и смягчить последствия утечки, если она всё же произойдет.

Некоторые из инвестиций в это пространство включают:

  • Системы контроля доступа: OneDrive и Office 365 поддерживают политику «нулевого постоянного доступа», это означает, что инженеры не имеют доступа к службе, если только он не предоставлен явным образом в ответ на конкретный инцидент, требующий повышения уровня доступа. Всякий раз, когда доступ предоставляется, он осуществляется в соответствии с принципом наименьших привилегий: разрешение, предоставленное для определенного запроса, допускает только минимальный набор действий, необходимых для обслуживания этого запроса.

    Для этого OneDrive и Office 365 поддерживают строгое разделение между «ролями повышения прав», при этом каждая роль позволяет выполнять только заранее определенные действия. Роль «Доступ к данным клиента» отличается от других ролей, которые чаще используются для администрирования службы, и подвергается наиболее тщательной проверке перед утверждением. В совокупности такие инвестиции в управление доступом значительно снижают вероятность того, что инженер в OneDrive или Office 365 неправомерно получит доступ к данным клиентов.

  • Системы контроля безопасности и автоматизация: OneDrive и Office 365 поддерживают надёжные системы мониторинга безопасности в режиме реального времени. Помимо прочего, эти системы выдают предупреждения о попытках незаконного доступа к данным клиентов или о попытках незаконной передачи данных за пределы сервиса. Что касается пунктов об управлении доступом, упомянутых выше, системы мониторинга безопасности ведут подробные записи о сделанных запросах на повышение прав и о действиях, предпринятых для данного запроса на повышение прав.

    OneDrive и Office 365 также поддерживают инвестиции в автоматическое разрешение, которые автоматически действуют для смягчения угроз в ответ на обнаруженные проблемы, и специальные группы для реагирования на предупреждения, которые не могут быть устранены автоматически.

    Чтобы контролировать системы мониторинга безопасности, OneDrive и Office 365 регулярно проводят учения красной команды, в ходе которых внутренняя группа тестирования на проникновение моделирует поведение злоумышленника в реальной среде. Эти учения приводят к регулярному совершенствованию возможностей мониторинга безопасности и реагирования.

  • Персонал и процессы: В дополнение к автоматизации, описанной выше, OneDrive и Office 365 поддерживают процессы и группы, ответственные как за информирование более широкой организации о процессах конфиденциальности и управления инцидентами, так и за выполнение этих процессов во время нарушения.

    Например, поддерживается подробная стандартная операционная процедура (СОП) по нарушению конфиденциальности, которая предоставляется командам по всей организации. В этой СОП подробно описаны роли и обязанности как отдельных групп в OneDrive и Office 365, так и централизованных групп реагирования на инциденты безопасности. Они охватывают как то, что командам необходимо сделать для улучшения собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие передовые методы), так и то, что командам необходимо будет сделать в случае фактического нарушения (быстрая эскалация реагирования на инциденты, обслуживание и предоставление определенных источников данных, которые будут использоваться для ускорения процесса реагирования).

    Команды также регулярно проходят обучение по классификации данных и правильным процедурам обработки и хранения персональных данных.

Главный вывод заключается в том, что OneDrive и Office 365, как для потребительских, так и для бизнес-планов, активно инвестируют в снижение вероятности и последствий утечки персональных данных, влияющих на пользователей.

Защита путей передачи и в состоянии покоя

Защита данных при передаче

Когда данные передаются в службу от клиентов и между центрами обработки данных, они защищаются с помощью шифрования на транспортном уровне (TLS). Система разрешает только безопасный доступ. Соединения через HTTP запрещены, вместо этого все соединения перенаправляются на HTTPS.

Защита данных при хранении

  • Физическая защита: только ограниченное число основных сотрудников может получить доступ к центрам обработки данных. Их личности проверяются с помощью нескольких факторов аутентификации, включая смарт-карты и биометрические данные. На территории есть сотрудники службы безопасности, датчики движения и видеонаблюдение. Оповещения об обнаружении вторжений отслеживают аномальную активность.
  • Защита сети: сети и удостоверения изолированы от корпоративной сети Microsoft. Брандмауэры ограничивают трафик в среду из неавторизованных мест.
  • Безопасность приложений: инженеры, создающие функции, следуют жизненному циклу разработки безопасности. Автоматизированный и ручной анализ помогает выявить возможные уязвимости. Microsoft Security Response Center помогает сортировать входящие отчеты об уязвимостях и оценивать меры по их устранению. Благодаря условиям Microsoft Cloud Bug Bounty люди по всему миру могут зарабатывать деньги, сообщая об уязвимостях.
  • Защита контента: каждый файл в состоянии покоя шифруется уникальным ключом AES256. Эти уникальные ключи зашифрованы набором главных ключей, которые хранятся в Azure Key Vault.

Высокая доступность и возможность восстановления

Дата-центры OneDrive геораспределены в пределах региона и отказоустойчивы. Данные зеркалируются, как минимум, в два разных региона Azure, которые находятся на расстоянии не менее нескольких сотен километров друг от друга, что позволяет смягчить последствия стихийного бедствия в регионе.

Постоянно проверяется

Центры обработки данных OneDrive находятся под постоянным контролем, чтобы поддерживать их работоспособность и безопасность. Это начинается с инвентаря. Агент инвентаризации выполняет захват состояния каждой машины.

После инвентаризации выполняется отслеживание и исправление состояния машин. Непрерывное развертывание гарантирует, что каждая машина получает исправления, обновленные антивирусные сигнатуры и сохраненную заведомо исправную конфигурацию. Логика развертывания гарантирует, что будет исправлен или заменён только определенный процент машин за раз.

«Красная команда» Microsoft 365 в Microsoft состоит из специалистов по вторжению. Они ищут любую возможность получить несанкционированный доступ. «Синяя команда» состоит из оборонных инженеров, которые сосредоточены на предотвращении, обнаружении и восстановлении. Они создают технологии обнаружения вторжений и реагирования на них.

Дополнительные функции безопасности OneDrive

В качестве облачного хранилища OneDrive имеет множество других функций безопасности:

  • Сканирование вирусов при загрузке на наличие известных угроз. Модуль защиты от вредоносных программ Защитника Windows сканирует документы во время загрузки на наличие содержимого, соответствующего антивирусной сигнатуре (обновляется ежечасно).
  • Мониторинг подозрительных действий. Чтобы предотвратить несанкционированный доступ к вашей учетной записи, OneDrive отслеживает и блокирует подозрительные попытки входа. Кроме того, вам будет отправлено уведомление по электронной почте, если будет обнаружена необычная активность, например, попытку входа с нового устройства или из другого места.
  • Обнаружение и восстановление после атаки программ-вымогателей. Будучи подписчиком Microsoft 365, вы будете получать оповещения, если OneDrive обнаружит программу-шантажист или вредоносную атаку. Вы сможете легко восстановить свои файлы на момент времени до того, как они были затронуты, до 30 дней после атаки. Вы также можете восстановить весь OneDrive в течение 30 дней после злонамеренной атаки или других типов потери данных, таких как повреждение файла или случайное удаление и редактирование.
  • История версий для всех типов файлов. В случае нежелательных изменений или случайных удалений вы можете восстановить удаленные файлы из корзины OneDrive или восстановить предыдущую версию файла в OneDrive.
  • Защищенные паролем ссылки для общего доступа с истекающим сроком действия. Будучи подписчиком Microsoft 365, вы можете повысить безопасность своих общих файлов, запросив пароль для доступа к ним или установив дату истечения срока действия для ссылки общего доступа.
  • Уведомление о массовом удалении файлов и восстановлении. Если вы случайно или намеренно удалили большое количество файлов из облачной резервной копии OneDrive, вы получите предупреждение и инструкции по восстановлению этих файлов.

Личное хранилище в OneDrive

Персональное хранилище OneDrive – это защищённая область в OneDrive, к которой вы можете получить доступ только с помощью надежного метода аутентификации или второго этапа проверки личности, например, отпечатка пальца, лица, PIN-кода или кода, отправленного вам по электронной почте или SMS.

Ваши заблокированные файлы в «Личном хранилище» имеют дополнительный уровень безопасности, обеспечивающий их более надёжную защиту на случай, если кто-то получит доступ к вашей учётной записи или вашему устройству.

«Личное хранилище» доступно на вашем ПК, на сайте OneDrive и в мобильном приложении OneDrive, а также включает следующие функции:

  • Сканирование непосредственно в личное хранилище. Вы можете использовать мобильное приложение OneDrive, чтобы делать снимки или снимать видео непосредственно в личное хранилище, не сохраняя их в менее безопасных областях вашего устройства, таких как фотопленка.

    Вы также можете сканировать важные проездные документы, документы, удостоверяющие личность, транспортное средство, дом и страховые документы прямо в личное хранилище. И у вас будет доступ к этим фотографиям и документам, где бы вы ни находились, на всех ваших устройствах.

  • Шифрование BitLocker. На ПК с Windows 10 и 11 OneDrive синхронизирует файлы «Личного хранилища» с зашифрованной с помощью BitLocker областью локального жёсткого диска.
  • Автоматическая блокировка – «Личное хранилище» автоматически повторно блокируется на вашем ПК, устройстве или в сети после короткого периода бездействия. После блокировки любые файлы, которые вы использовали, также будут заблокированы, и для доступа к ним потребуется повторная аутентификация.

В совокупности эти меры помогают защитить ваши файлы в «Личном хранилище», даже если ваш ПК или мобильное устройство с Windows будут утеряны, украдены или кто-то получит к нему доступ.


5.0/1