Jak OneDrive chrání vaše data v cloudu

Svá data máte pod kontrolou. Když data umístíte do cloudového úložiště OneDrive, zůstanete jejich vlastníkem. Další informace o vlastnictví vašich dat najdete v tématu Ochrana osobních údajů jako základní princip pro Office 365.

Informace o funkcích OneDrivu, které můžete používat k ochraně souborů, fotek a dat, najdete ve školicím kurzu Zabezpečení, ochrana a obnovení OneDrivu.

Jak můžete chránit svá data

Tady je několik možností, jak chránit soubory ve službě OneDrive:

• Vytvořte si silné heslo.Zkontrolujte sílu hesla.
• Přidejte si k účtu Microsoft bezpečnostní informace. Můžete přidat třeba svoje telefonní číslo, alternativní e-mailovou adresu a bezpečnostní otázku a odpověď. Kdybyste někdy zapomněli svoje heslo nebo by se vám někdo naboural do účtu, můžeme pomocí těchto bezpečnostních informací ověřit vaši identitu a umožnit vám dostat se zase do účtu. Přejděte na stránku Bezpečnostní informace.
• Používejte dvojúrovňové ověřování. Váš účet bude lépe chráněný, protože při každém přihlašování na zařízení, které není důvěryhodné, musíte zadat zvláštní bezpečnostní kód. Jako druhou úroveň je možné použít telefonní hovor, textovou zprávu nebo aplikaci. Další informace o dvoustupňovém ověření najdete v článku Jak používat dvoustupňové ověření s účtem Microsoft.
• Na svých mobilních zařízeních povolte šifrování. Pokud máte mobilní aplikaci OneDrive, doporučujeme na zařízeních s iOS a Androidem povolit šifrování. To pomáhá chránit soubory ve službě OneDrive, pokud dané mobilní zařízení ztratíte, pokud vám ho někdo ukradne nebo pokud se vám do něj někdo dostane.
• Předplaťte si Microsoft 365. Předplatné Microsoft 365 poskytuje pokročilou ochranu před viry a kyberkriminalitou a způsoby, jak obnovit soubory po škodlivých útocích.

Jak OneDrive chrání vaše data

Technici Microsoftu spravují OneDrive pomocí konzole Windows PowerShell, která vyžaduje dvojúrovňové ověřování. K plnění každodenních úkolů používáme pracovní postupy, které nám umožňují rychle reagovat na nové situace. Žádný technik nemá ke službě trvalý přístup. Když technici potřebují přístup, musí o něj požádat. Je zkontrolována jejich oprávněnost a pokud je přístup techniků schválen, je jen po omezenou dobu.

OneDrive a Office 365 navíc silně investují do systémů, procesů a pracovníků, aby snížily pravděpodobnost úniku osobních údajů a rychle detekovaly a zmírnily následky porušení zabezpečení, pokud k němu dojde. Mezi naše investice do této oblasti patří:

Systémy řízení přístupu: OneDrive a Office 365 uplatňují zásadu nulového trvalého přístupu, což znamená, že technici nemají přístup ke službě, pokud jim není explicitně udělen v reakci na konkrétní incident, který vyžaduje zvýšení přístupových oprávnění. Každý přístup se uděluje s nejnižšími oprávněními: oprávnění udělené na základě konkrétního požadavku umožňuje pouze minimální sadu akcí potřebných k vyřízení daného požadavku. K tomu platí, že OneDrive a Office 365 striktně oddělují role se zvýšenými oprávněními. Každá role umožňuje provádět pouze určité předdefinované akce. Role Přístup k zákaznickým datům se liší od ostatních rolí, které se častěji používají ke správě služby, a je před schválením důkladně prověřována. Tyto investice do řízení přístupu společně výrazně snižují pravděpodobnost, že technik na OneDrivu nebo Office 365 bude nesprávně přistupovat k zákaznickým datům.

Bezpečnostní monitorovací systémy a automatizace: OneDrive a Office 365 používají robustní systémy monitorování zabezpečení v reálném čase. Vedle jiných problémů tyto systémy upozorňují na pokusy o nelegální přístup k zákaznickým datům nebo na pokusy o nedovolené přenosy dat z naší služby. Naše systémy monitorování zabezpečení v souvislosti s výše uvedenými prvky řízení přístupu používají podrobné záznamy o žádostech o zvýšení oprávnění a o akcích provedených s danou žádostí o zvýšení oprávnění. OneDrive a Office 365 také investují do automatických řešení, které automaticky zmírňují hrozby v reakci na zjištěné problémy, a do vyhrazených týmů pro reakci na upozornění, která nejde vyřešit automaticky. OneDrive a Office 365 k ověřování našich systémů monitorování zabezpečení pravidelně provádějí simulační útočná cvičení, ve kterých interní penetrační tým simuluje chování útočníka v živém prostředí. Tato cvičení vedou k pravidelnému vylepšování našich schopností monitorování zabezpečení a reakce.

Personál a procesy: OneDrive a Office 365 kromě automatizace popsané výše využívají procesy a týmy zodpovědné za informování širší organizace o procesech ochrany osobních údajů a řízení incidentů a za realizaci těchto procesů při porušení zabezpečení. Například podrobný postup SOP (Standard Operating Procedure) při porušení ochrany osobních údajů platí pro týmy v celé organizaci. Tento SOP podrobně popisuje role a zodpovědnosti jednotlivých týmů v rámci OneDrivu a Office 365 a týmů pro centralizované reakce na incidenty zabezpečení. To zahrnuje, co týmy potřebují k vylepšení vlastního stavu zabezpečení (provádění kontrol zabezpečení, integrace s centrálními systémy monitorování zabezpečení a další osvědčené postupy), a také to, co by týmy potřebovaly v případě skutečného porušení zabezpečení (rychlá eskalace na reakci na incident, provozování a poskytování konkrétních zdrojů dat, které se použijí k urychlení procesu reakce). Týmy se také pravidelně školí ohledně klasifikaci dat a správných postupů zpracování a ukládání osobních údajů.

To hlavní ale je, že plány OneDrive a Office 365 pro spotřebitele i firmy výrazně investují do snížení pravděpodobnosti a následků porušení zabezpečení osobních údajů, které mají dopad na naše zákazníky. Pokud dojde k porušení zabezpečení osobních údajů, zavazujeme se rychle informovat naše zákazníky, jakmile se toto porušení zabezpečení potvrdí. 

Chráněno při přenosu a v klidovém stavu

Chráněno při přenosu

Když se data přenášejí do služby od zákazníků a mezi datovými centry, jsou chráněna šifrováním TLS (Transport Layer Security). Povolujeme jen zabezpečený přístup. Nepovolujeme ověřená připojení přes protokol HTTP, ale přesměrováváme je na protokol HTTPS.

Chráněno v klidovém stavu

Fyzická ochrana: Přístup k datacentrům může získat pouze omezený počet nezbytných pracovníků. Jejich identity se ověřují několika faktory ověřování, včetně čipových karet a biometriky. Používáme místní bezpečnostní pracovníky, pohybové senzory a video dohled. Upozornění detekce neoprávněných vniknutí monitorují neobvyklou aktivitu.

Ochrana sítě: Sítě a identity jsou izolované od podnikové sítě Microsoftu. Brány firewall omezují provoz do prostředí z neautorizovaných umístění.

Zabezpečení aplikací: Technici, kteří vytvářejí funkce, dodržují životní cyklus vývoje zabezpečení. Automatizované a ruční analýzy pomáhají identifikovat možná ohrožení zabezpečení. Microsoft Security Response Center pomáhá třídit příchozí hlášení o ohroženích zabezpečení a vyhodnocovat zmírnění rizik. Prostřednictvím podmínek Microsoft Cloud Bug Bounty Podmínek můžou lidé po celém světě vydělávat peníze nahlašováním ohrožení zabezpečení.

Ochrana obsahu: Každý soubor se při nečinnosti šifruje jedinečným klíčem AES256. Tyto jedinečné klíče se šifrují pomocí sady hlavních klíčů, které jsou uložené v trezoru Azure Key Vault.

Vysoká dostupnost, možnost obnovení kdykoli

Naše datacentra jsou geograficky distribuovaná v rámci oblasti a odolná proti chybám. Data se zrcadlí alespoň do dvou různých oblastí Azure, které jsou od sebe vzdáleny nejméně několik set kilometrů, což nám umožňuje zmírnit dopad přírodní katastrofy nebo ztráty v rámci oblasti.

Průběžné ověřování

Datacentra neustále monitorujeme, aby byla v pořádku a zabezpečená. Začíná to inventářem. Inventarizační agent zachycuje stav každého počítače.

Po sestavení inventáře můžeme monitorovat a napravovat stav počítačů. Průběžné nasazování zajišťuje, že každý počítač obdrží opravy, aktualizované antivirové signatury a známou dobrou uloženou konfiguraci. Logika nasazení zajišťuje, že budeme opravovat nebo rotovat jen určité procento počítačů najednou.

"Červený tým" Microsoft 365 se v Microsoftu skládá ze specialistů na neoprávněná vniknutí. Hledají jakoukoli příležitost získat neoprávněný přístup. „Modrý tým“ sestává z obranných techniků, kteří se zaměřují na prevenci, detekci a obnovení. Vytvářejí technologie pro detekci vniknutí a reakce. Pokud chcete držet krok se zkušenostmi bezpečnostních týmů Microsoftu, přečtěte si téma Zabezpečení Office 365 (blog).

Další funkce zabezpečení OneDrive

Jako služba cloudového úložiště má OneDrive mnoho dalších funkcí zabezpečení. Mezi ně patří:

• Kontroly stahovaných souborů na přítomnost virů a známých hrozeb – Antimalwarový modul programu Windows Defender kontroluje stahované dokumenty, jestli se jejich obsah neshoduje s antivirovými signaturami (které se aktualizují každou hodinu).
• Monitorování podezřelých aktivit – Abychom zabránili neoprávněnému přístupu k vašemu účtu, OneDrive monitoruje podezřelé pokusy o přihlášení a blokuje je. Také vám pošleme e-mailové oznámení, pokud zjistíme neobvyklou aktivitu, například pokus o přihlášení z nového zařízení nebo místa.
• Detekce ransomwaru a obnovení – jako předplatitel Microsoft 365 dostanete upozornění, když OneDrive zjistí ransomware nebo škodlivý útok. Soubory budete moct snadno obnovit k určitému bodu v čase před tím, než byly napadeny, a to až do 30 dnů po útoku. Můžete také obnovit celý OneDrive, a to až 30 dnů po škodlivém útoku nebo jiném typu ztráty dat, jako jsou poškození souborů nebo nechtěná odstranění a úpravy.
• Historie verzí pro všechny typy souborů – V případě nechtěných úprav nebo náhodných odstranění můžete obnovit odstraněné soubory z koše OneDrivu nebo obnovit předchozí verzi souboru na OneDrivu.
• Odkazy pro sdílení chráněné heslem & s končící platností – Jako předplatitel Microsoft 365 můžete své sdílené soubory lépe zabezpečit tak, že pro přístup k nim budete vyžadovat heslo nebo nastavíte datum vypršení platnosti odkazu pro sdílení.
• Upozornění na hromadné odstranění souborů a obnovení – Pokud omylem nebo záměrně odstraníte velký počet souborů v cloudové záloze OneDrive, upozorníme vás a povíme vám, jak tyto soubory obnovit.

Osobní trezor

Osobní trezor OneDrivu je chráněná oblast OneDrivu, ke které se dostanete pouze se silnou metodou ověření nebo s dvoustupňovým ověřením identity, jako je otisk prstu, obličej, PIN nebo kód, který vám pošleme e-mailem nebo zprávou SMS. ¹ Vaše uzamčené soubory v osobním trezoru mají další vrstvu zabezpečení, což by je mělo udržet v bezpečí v případě, že by někdo získal přístup k vašemu účtu nebo zařízení. Osobní trezor je k dispozici na počítači, na OneDrive.com a v mobilní aplikaci OneDrive a obsahuje také následující funkce:

• Skenování přímo do osobního trezoru – Pomocí mobilní aplikace OneDrive můžete fotit nebo natáčet videa přímo do osobního trezoru a vyhnout se tak ukládání obsahu na méně bezpečných oblastech vašeho zařízení – třeba složce Z fotoaparátu. ² Důležité dokumenty týkající se cestování, identifikace, vozidla, domácnosti a pojištění můžete také naskenovat přímo do osobního trezoru. A k těmto fotkám a dokumentům budete mít přístup, ať jste kdekoli, ve všech svých zařízeních.
• Šifrování přes BitLocker - Na počítačích s Windows 10 synchronizuje OneDrive soubory osobního trezoru s oblastí zašifrovanou nástrojem BitLocker na místním pevném disku.
• Automatické zamykání – Osobní trezor se po krátké době nečinnosti na počítači, zařízení nebo online automaticky znovu uzamkne. Po uzamčení se všechny soubory, které jste používali, také uzamknou a pro přístup se bude vyžadovat opětovné ověření. ³

Společně tato opatření pomáhají chránit uzamčené soubory v osobním trezoru i v případě, že dojde ke ztrátě či odcizení vašeho počítače s Windows 10 nebo mobilního zařízení nebo že se vám do něj někdo dostane.

¹ Ověření obličeje a otisku prstu vyžaduje specializovaný hardware, včetně zařízení s podporou Windows Hello, čtečky otisků prstů, infračerveného snímače s osvětlením nebo jiných biometrických senzorů a kompatibilních zařízení.
² Aplikace OneDrive v systémech Android a iOS vyžaduje buď Android 6.0 a vyšší, nebo iOS 12.0 a vyšší.
³ Interval automatického zamykání se liší podle zařízení a může jej nastavit uživatel.