Miten OneDrive suojaa tietosi pilvessä

Hallitset tietojasi. Kun sijoitat tiedot OneDrive-pilvitallennustilaan, pysyt tietojen omistajana. Lisätietoja tietosi omistajuudesta on ohjeaiheessa Office 365 Tietosuoja suunnittelun mukaan.

Tällä kurssilla saat tietoja OneDriven ominaisuuksista, joiden avulla voit suojata tiedostoja, valokuvia ja tietoja: OneDriven suojaaminen, turvaaminen ja palauttaminen

Miten voit suojata tietosi

Voit suojata tiedostoja seuraavilla keinoilla OneDrive:

• Luo vahva salasana.Tarkista salasanasi vahvuus.
• Lisää Microsoft-tiliisi suojaustietoja. Voit lisätä esimerkiksi puhelinnumeron, vaihtoehtoisen sähköpostiosoitteen sekä suojauskysymyksen ja -vastauksen. Jos unohdat salasanasi tai tilisi hakkeroidaan, voimme tarkistaa henkilöllisyytesi suojaustietojen avulla ja auttaa sinua pääsemään jälleen tilillesi. Siirry Suojaustiedot-sivulle.
• Kaksivaiheinen tarkistaminen. Kaksivaiheisessa tarkistamisessa tiliäsi suojataan kysymällä suojauskoodi aina, kun kirjaudut laitteesta, joka ei ole luotettu. Toinen vaihe voidaan suorittaa puhelulla, tekstiviestillä tai sovelluksella. Lisätietoja kaksivaiheisesta tarkistamisesta on ohjeaiheessa Kaksivaiheisen tarkistamisen käyttäminen Microsoft-tilisi kanssa.
• Ota salaus käyttöön mobiililaitteissa. Jos sinulla on OneDrive-mobiilisovellus, suosittelemme, että otat salauksen käyttöön iOS- tai Android-laitteissa. Tämä auttaa pitämään OneDrive-tiedostot suojattuina, jos mobiililaitteesi katoaa, varastetaan tai joku pääsee käyttämään sitä.
• Tilaa Microsoft 365. Microsoft 365 -tilaus tarjoaa kehittyneen suojauksen viruksilta ja kyberrikollisuudelta sekä tapoja palauttaa tiedostosi haitallisilta hyökkäyksiltä.

Miten OneDrive suojaa tietosi

Microsoftin insinöörit hallinnoivat OneDrivea käyttämällä Windows PowerShell-konsolia, joka edellyttää kaksiosaista todentamismenetelmää. Teemme päivittäisiä tehtäviä suorittamalla työnkulkuja, jotta voimme reagoida nopeasti uusiin tilanteisiin. Kenelläkään teknikolla ei ole pysyvää palvelun käyttöoikeutta. Kun insinöörit tarvitsevat käyttöoikeuden, heidän on pyydettävä sitä. Kelpoisuus tarkistetaan, ja jos insinöörin käyttöoikeus hyväksytään, se hyväksytään vain rajoitetuksi ajaksi.

Lisäksi OneDrive ja Office 365 panostavat vahvasti järjestelmiin, prosesseihin ja henkilöstöön vähentääkseen henkilötietomurtojen todennäköisyyttä sekä havaitakseen nopeasti ja lieventääkseen tietomurron seurauksia, jos näin tapahtuu. Tähän tilaan on tehty muun muassa seuraavat investoinnit:

Käyttöoikeuksien hallintajärjestelmät: OneDrivessa ja Office 365:ssä on “pysymätön käyttöoikeus” -käytäntö, mikä tarkoittaa sitä, että insinööreillä ei ole käyttöoikeutta palveluun, ellei sitä nimenomaisesti myönnetä vastauksena tiettyyn tapaukseen, joka edellyttää käyttöoikeuksien laajentamista. Kun käyttöoikeus myönnetään, se tehdään pienimmän käyttöoikeuden periaatteen mukaisesti: tietylle pyynnölle myönnetty käyttöoikeus sallii vain pyynnön suorittamiseen tarvittavan vähimmäismäärän toimintoja. OneDrive ja Office 365 erottavat “korotusroolit” tiukasti toisistaan. Kukin rooli sallii vain tiettyjen ennalta määritettyjen toimintojen suorittamisen. "Asiakastietojen käyttö" -rooli eroaa muista rooleista, joita käytetään yleisesti palvelun hallintaan, ja joita tutkitaan eniten ennen hyväksyntää. Yhdessä nämä sijoitukset käyttöoikeuksien hallintaan vähentävät huomattavasti todennäköisyyttä, että insinööri OneDrivessa tai Office 365:ssä käyttää asiakastietoja sopimattomasti.

Suojauksen valvontajärjestelmät ja automaatio: OneDrive ja Office 365 ylläpitävät tehokkaita ja reaaliaikaisia suojauksen valvontajärjestelmiä. Nämä järjestelmät ilmoittavat muun muassa yrityksistä käyttää asiakastietoja luvattomasti tai yrityksistä siirtää tietoja luvattomasti pois palvelustamme. Edellä mainittuihin käyttöoikeuksien hallintaa koskeviin kohtiin liittyen suojausvalvontajärjestelmämme ylläpitävät yksityiskohtaisia tietoja tehdyistä korotuspyynnöistä ja tietylle korotuspyynnölle suoritetuista toimista. OneDrive ja Office 365 ylläpitävät myös automaattisia ratkaisuinvestointeja, jotka automaattisesti lieventävät uhkia liittyen havaitsemiimme ongelmiin, ja tiimit, jotka vastaavat hälytyksiin, joita ei voida ratkaista automaattisesti. Vahvistaaksemme suojausvalvontajärjestelmiämme OneDrive ja Office 365 suorittavat säännöllisesti harjoituksia, joissa sisäinen hyökkäystestaustiimi simuloi hyökkääjän käyttäytymistä reaaliaikaisessa ympäristössä. Nämä harjoitukset johtavat säännöllisiin parannuksiin suojauksen valvontaan ja reagointiominaisuuksiin.

Henkilöstö ja prosessit: Edellä kuvatun automaation lisäksi OneDrive ja Office 365 ylläpitää prosesseja ja tiimejä, jotka vastaavat sekä laajemman organisaation tietosuojan ja tapahtumien hallintaprosessien opettamisesta että näiden prosessien suorittamisesta rikkomuksen aikana. Esimerkiksi yksityiskohtainen tietosuojarikkomuksen standardin mukainen käyttömenettely (Standard Operating Procedure, SOP) ylläpidetään ja jaetaan koko organisaation tiimien kanssa. Tässä SOP:ssä kuvataan yksityiskohtaisesti sekä OneDriven että Office 365:n yksittäisten tiimien sekä keskitettyjen suojaustapauksen vastaustiimien roolit ja vastuut. Nämä kattavat sen, mitä tiimien on tehtävä parantaakseen omaa suojaustilannettaan (suorittaa suojaustarkistuksen, integroida keskitetyn suojauksen valvontajärjestelmiin ja muita parhaita käytäntöjä), ja mitä tiimien on tehtävä todellisen rikkomuksen tapauksessa (nopea eskalointi tapauksiin vastaamisessa, ylläpitää ja tarjota erityisiä tietolähteitä, joita käytetään vastausprosessin nopeuttamiseen). Tiimejä koulutetaan myös säännöllisesti tietojen luokittelusta sekä henkilötietojen oikeasta käsittelystä ja tallennustavoista.

Pääasia on, että OneDrivessa ja Office 365:ssä (sekä kuluttaja- että yritysversioissa) panostetaan vahvasti asiakkaisiimme vaikuttavien henkilökohtaisten tietomurtojen todennäköisyyden ja seurauksien pienentämiseen. Jos henkilötietomurto tapahtuu, olemme sitoutuneet ilmoittamaan asiakkaillemme nopeasti, kun kyseinen tietomurto on vahvistettu. 

Suojattu siirrossa ja paikallaan

Suojattu siirron aikana

Kun tietoja siirretään palveluun asiakkailta ja palvelinkeskusten välillä, ne suojataan TLS (Transport Layer Security) -salauksella. Sallimme vain suojatun käytön. Todennetut yhteydet HTTP:n kautta eivät ole sallittuja, vaan ne ohjataan HTTPS:ään.

Suojattu paikallaan

Fyysinen suojaus: Vain rajallinen määrä välttämättömiä työntekijöitä saa käyttöoikeuden palvelinkeskuksiin. Heidän käyttäjätietonsa on vahvistettu useilla todennustekijöillä, kuten älykorteilla ja biometriikalla. Paikalla on tietoturvavalvojia, liiketunnistimia ja videovalvonta. Tunkeutumisen havaitsemisilmoitukset valvovat epätavallista toimintaa.

Verkon suojaus: Verkot ja käyttäjätiedot on eristetty Microsoftin yritysverkosta. Palomuurit rajoittavat liikennettä ympäristöön luvattomista sijainneista.

Sovellusten suojaus: Ominaisuuksia kehittävät insinöörit noudattavat tietoturvakehityksen elinkaarta. Automaattiset ja manuaaliset analyysit auttavat tunnistamaan mahdollisia haavoittuvuuksia. Microsoft Security Response Center auttaa jäljittämään saapuvia haavoittuvuusraportteja ja arvioimaan lievennyksiä. Microsoft cloud bug bounty -ehtojen avulla ihmiset ympäri maailmaa voivat ansaita rahaa raportoimalla haavoittuvuuksista.

Sisällön suojaus: Jokainen tiedosto on salattu paikallaan yksilöllisellä AES256-avaimella. Nämä yksilölliset avaimet on salattu perusavainjoukolla, joka on tallennettu Azure Key Vaultiin.

Hyvin käytettävissä, aina palautettavissa

Palvelinkeskuksemme ovat alueella maantieteellisesti hajautettuja ja vikasietoisia. Tiedot peilataan vähintään kahteen eri Azure-alueeseen, jotka ovat vähintään usean sadan mailin päässä toisistaan, joten voimme lieventää luonnonkatastrofin tai menetyksen vaikutusta alueella.

Jatkuvasti vahvistettu

Valvomme jatkuvasti palvelinkeskuksiamme, jotta ne pysyvät kunnossa ja turvassa. Tämä alkaa inventaariosta. Varastoagentti suorittaa kunkin koneen tilan sieppauksen.

Inventaarion jälkeen voimme valvoa ja korjata koneiden kuntoa. Jatkuva käyttöönotto varmistaa, että jokainen kone saa korjaustiedostot, päivitetyt virustentorjunta-allekirjoitukset ja tunnetun hyvän määrityksen tallennettuna. Käyttöönottologiikka varmistaa, että korjaamme tai vaihdamme vain tietyn prosenttiosuuden koneista kerrallaan.

Microsoftin Microsoft 365 Red Team koostuu tunkeutumisasiantuntijoista. He etsivät mahdollisuutta luvattomaan käyttöön. "Sininen tiimi" koostuu puolustusinsinööreistä, jotka keskittyvät estämiseen, havaitsemiseen ja palauttamiseen. He rakentavat tunkeutumisen tunnistus- ja vastaustekniikoita. Lisätietoja Microsoftin suojaustiimien oppimisesta on artikkelissa Suojaus-Office 365 (blogi)..

OneDriven lisäsuojausominaisuudet

Pilvitallennuspalveluna OneDrivessa on monia muita suojausominaisuuksia. Näitä ovat esimerkiksi seuraavat:

• Virustarkistus latauksen yhteydessä tunnettujen uhkien varalta - Windows Defenderin haittaohjelmien torjuntamoduuli tarkistaa tiedostojen lataushetkellä, että sisältö vastaa AV-allekirjoitusta (päivitetään tunneittain).
• Epäilyttävän toiminnan valvonta – Estääkseen tilisi luvattoman käytön, OneDrive valvoo ja estää epäilyttäviä kirjautumisyrityksiä. Lisäksi lähetämme sinulle sähköposti-ilmoituksen, jos havaitsemme epätavallista toimintaa, kuten yrityksen kirjautua sisään uudesta laitteesta tai sijainnista.
• Kiristysohjelmien tunnistaminen ja palauttaminen – Microsoft 365 -tilaajana saat ilmoituksen, jos OneDrive havaitsee kiristyshaittaohjelman tai haitallisen hyökkäyksen. Voit helposti palauttaa tiedostosi tiettyyn ajankohtaan ennen niiden vaikutusta, jopa 30 päivän kuluttua hyökkäyksestä. Voit myös palauttaa koko OneDriven enintään 30 päivää haittaohjelmahyökkäyksen tai muuntyyppisen tietojen menettämisen, kuten tiedostojen vioittumisen tai tahattoman poistamisen ja muokkauksen, jälkeen.
• Kaikkien tiedostotyyppien versiohistoria - Jos kyseessä on ei-toivottu muokkaus tai vahingossa tehty poisto, voit palauttaa poistetut tiedostot OneDriven roskakorista tai palauttaa tiedoston aiemman version OneDrivessa.
• Salasanasuojatut & vanhenevat jakamislinkit – Microsoft 365 -tilaajana voit pitää jaetut tiedostosi paremmin suojattuina vaatimalla salasanan, jotta voit käyttää niitä, tai määrittämällä vanhentumispäivän jakamislinkissä.
• Joukkotiedostojen poistoilmoitus ja palautus – Jos poistat vahingossa tai tarkoituksellisesti suuren määrän tiedostoja OneDrive-pilvipalvelusta, ilmoitamme sinulle ja annamme sinulle ohjeet näiden tiedostojen palauttamiseen.

Henkilökohtainen säilö

OneDriven Oma säilö on OneDriven suojattu alue, jota voit käyttää vain vahvalla todennusmenetelmällä tai todennusmenetelmällä, esimerkiksi sormenjäljellä, kasvoilla, PIN-koodilla tai sähköpostitse tai tekstiviestillä lähetetyllä koodilla. ¹ Henkilökohtaisen säilön lukituissa tiedostoissa on ylimääräinen suojauskerros, joka pitää ne paremmin suojattuina siltä varalta, että joku pääsee käyttämään tiliäsi tai laitettasi. Henkilökohtainen säilö on käytettävissä tietokoneessa, OneDrive.comissa ja OneDrive -mobiilisovelluksessa, ja se sisältää myös seuraavat ominaisuudet:

• Skannaa suoraan Omaan säilöön – OneDrive-mobiilisovelluksen avulla voit ottaa kuvia tai kuvata videoita suoraan Omaan säilöön ja pitää ne poissa laitteesi vähemmän turvallisilta alueilta, kuten kameran kuvat. ² Voit myös skannata tärkeitä matkustus-, henkilöllisyys-, ajoneuvo-, koti- ja vakuutusasiakirjoja suoraan Omaan säilöösi. Ja voit myös käyttää näitä valokuvia ja tiedostoja missä tahansa ja eri laitteillasi.
• BitLocker-salaus - Windows 10 -tietokoneissa OneDrive synkronoi henkilökohtaisen säilön tiedostot paikallisen kiintolevyn BitLocker-salattuun alueeseen.
• Automaattinen lukitus - Henkilökohtainen säilö lukittuu automaattisesti tietokoneessa, laitteessa tai verkossa lyhyen käyttämättömyyden jälkeen. Kun tiedosto on lukittu, myös käyttämäsi tiedostot lukitaan ja niiden käyttö edellyttää uudelleentodennusta. ³

Yhdessä nämä toimenpiteet auttavat pitämään lukitut henkilökohtaisen säilön tiedostot suojattuina, vaikka Windows 10 -tietokoneesi tai mobiililaitteesi katoaa, varastetaan tai joku pääsee käyttämään sitä.

¹ Kasvojen ja sormenjäljen tarkistaminen edellyttää erikoislaitteita, kuten Windows Hello tukevaa laitetta, sormenjälkilukijaa, valaistua infrapunatunnistinta tai muita biometrisiä tunnistimia ja laitteita.
² Androidin ja iOS:n OneDrive-sovellus edellyttää joko Android 6.0:aa tai uudempaa tai iOS 12.0:aa tai uudempaa.
³ Automaattinen lukitusväli vaihtelee laitteen mukaan, ja käyttäjä voi määrittää sen.