Jak usługa OneDrive chroni dane w chmurze

Kontroluj swoje dane. Po umieszczeniu danych w magazynie w chmurze usługi OneDrive pozostajesz właścicielem tych danych. Aby uzyskać więcej informacji na temat własności danych, zobacz Office 365 Prywatność według projektu.

Zapoznaj się z tym kursem szkoleniowym, aby poznać funkcje usługi OneDrive, których można użyć do ochrony plików, zdjęć i danych: Zabezpieczanie, ochrona i przywracanie usługi OneDrive

Jak zabezpieczać swoje dane

Oto kilka sposobów na zwiększenie bezpieczeństwa plików w OneDrive:

• Utwórz silne hasło.Sprawdź siłę hasła.
• Dodaj informacje zabezpieczające do swojego konta Microsoft. Możesz dodać na przykład swój numer telefonu, inny adres e-mail oraz pytanie zabezpieczające wraz z odpowiedzią. Dzięki temu, jeśli zapomnisz hasła lub jeśli Twoje konto zostanie zaatakowane przez hakerów, będziemy mogli zweryfikować Twoją tożsamość i przywrócić Ci dostęp do konta. Przejdź do strony Informacje zabezpieczające.
• Zastosuj weryfikację dwuskładnikową. Podczas logowania z niezaufanych urządzeń konieczne będzie wprowadzenie dodatkowego kodu zabezpieczającego, co zwiększa bezpieczeństwo Twojego konta. Drugi składnik można dostarczyć za pośrednictwem rozmowy telefonicznej, wiadomości tekstowej lub aplikacji. Aby uzyskać więcej informacji na temat weryfikacji dwuetapowej, zobacz Jak używać weryfikacji dwuetapowej z kontem Microsoft.
• Włącz szyfrowanie na urządzeniach przenośnych. Jeśli masz OneDriveaplikację mobilną, zalecamy włączenie szyfrowania na urządzeniach z systemem iOS lub Android. Pomaga to chronić OneDrive pliki, jeśli urządzenie przenośne zostanie zgubione, skradzione lub ktoś uzyska do niego dostęp.
• Subskrybuj platformę Microsoft 365. Subskrypcja platformy Microsoft 365 zapewnia zaawansowaną ochronę przed wirusami i cyberprzestępczością oraz sposoby odzyskiwania plików po złośliwych atakach.

Jak usługa OneDrive chroni Twoje dane

Inżynierowie firmy Microsoft administrują usługą OneDrive przy użyciu konsoli programu Windows PowerShell, która wymaga uwierzytelniania dwuskładnikowego. Wykonujemy codzienne zadania wykorzystując przepływy pracy, abyśmy mogli szybko reagować na nowe sytuacje. Żaden inżynier nie ma stałego dostępu do usługi. Gdy inżynierowie potrzebują dostępu, muszą go zażądać. Kwalifikacje są sprawdzane, a jeśli dostęp inżyniera zostanie zatwierdzony, będzie on wyłącznie na czas określony.

Ponadto usługi OneDrive i Office 365 mocno inwestują w systemy, procesy i personel, aby zmniejszyć prawdopodobieństwo naruszenia bezpieczeństwa danych osobowych oraz szybko wykrywać i eliminować konsekwencje takiego naruszenia, jeśli one wystąpią. Niektóre z naszych inwestycji w tej przestrzeni obejmują:

Systemy kontroli dostępu: usługi OneDrive i Office 365 zachowują zasady „dostępu bez stałego dostępu”, co oznacza, że inżynierowie nie mają dostępu do usługi, chyba że zostanie on jawnie udzielony w odpowiedzi na określone zdarzenie wymagające podniesienia uprawnień dostępu. Za każdym razem, gdy jest udzielany dostęp, jest on wykonywany zgodnie z zasadą najmniejszych uprawnień: uprawnienie udzielone dla określonego żądania zezwala tylko na minimalny zestaw akcji wymaganych do obsługi tego żądania. W tym celu usługi OneDrive i Office 365 zachowują ścisły podział między „rolami z podniesionymi uprawnieniami”, gdzie każda rola zezwala tylko na wykonywanie określonych wstępnie zdefiniowanych akcji. Rola „Dostęp do danych klienta” różni się od innych ról, które są częściej używane do administrowania usługą i jest weryfikowana mocniej przed jej zatwierdzeniem. Razem, te inwestycje w kontrolę dostępu znacznie zmniejszają prawdopodobieństwo, że inżynier w usłudze OneDrive lub Office 365 niepożądanie uzyska dostęp do danych klientów.

Systemy monitorowania zabezpieczeń i automatyzacja: Usługa OneDrive i Office 365 obsługują niezawodne systemy monitorowania bezpieczeństwa w czasie rzeczywistym. Te systemy zgłaszają między innymi alerty dotyczące nielegalnych prób uzyskania dostępu do danych klientów lub prób nielegalnych transferów danych poza naszą usługę. Odnosząc się do punktów o kontroli dostępu powyżej, nasze systemy monitorowania zabezpieczeń przechowują szczegółowe rekordy żądań podniesienia uprawnień oraz akcje wykonywane dla danego żądania podniesienia uprawnień. Usługi OneDrive i Office 365 obsługują również inwestycje w zautomatyzowane rozwiązania, które automatycznie działają w celu ograniczenia zagrożeń w odpowiedzi na wykryte problemy oraz dedykowane zespoły do reagowania na alerty, których nie można rozwiązać automatycznie. Aby zweryfikować nasze systemy monitorowania zabezpieczeń, usługi OneDrive i Office 365 regularnie przeprowadzają ćwiczenia zespołu czerwonego, w których wewnętrzny zespół testów penetracyjnych symuluje zachowanie osoby atakującej w środowisku aktywnym. Te ćwiczenia prowadzą do regularnych ulepszeń naszych funkcji monitorowania zabezpieczeń i możliwości reakcji.

Personel i procesy: Oprócz opisanej powyżej automatyzacji usługa OneDrive i Office 365 utrzymują procesy i zespoły odpowiedzialne zarówno za informowanie szerszej organizacji o procesach ochrony prywatności i zarządzania zdarzeniami, jak i za realizację tych procesów podczas naruszenia. Na przykład szczegółowa procedura operacyjna standardowego naruszenia prywatności (SOP) jest obsługiwana i udostępniana zespołom w całej organizacji. Ta procedura SOP szczegółowo opisuje role i obowiązki poszczególnych zespołów w usłudze OneDrive i usłudze Office 365 oraz scentralizowanych zespołów reagowania na zdarzenia związane z zabezpieczeniami. Obejmują one zarówno to, co zespoły muszą zrobić w celu poprawy własnego stanu zabezpieczeń (przeprowadzanie przeglądów zabezpieczeń, integracja z centralnymi systemami monitorowania zabezpieczeń i inne najlepsze rozwiązania), jak i to, co zespoły muszą zrobić w przypadku rzeczywistego naruszenia zabezpieczeń (szybka eskalacja do zespołu reagowania na zdarzenia, obsługa i dostarczanie określonych źródeł danych, które będą używane do przyspieszenia procesu reagowania). Zespoły są również regularnie trenowane pod kątem klasyfikacji danych oraz prawidłowych procedur obsługi i przechowywania danych osobowych.

Głównym wnioskiem jest to, że usługi OneDrive i Office 365, zarówno dla klientów indywidualnych, jak i dla firm, mocno inwestują w zmniejszanie prawdopodobieństwa i konsekwencji naruszenia danych osobowych, które ma wpływ na naszych klientów. Jeśli wystąpi naruszenie danych osobowych, zobowiązujemy się do szybkiego powiadamiania naszych klientów po potwierdzeniu tego naruszenia. 

Chronione podczas przesyłania i magazynowania

Chronione podczas przesyłania

Dane przesyłane do usługi od klientów i między centrami danych są chronione przy użyciu szyfrowania TLS (Transport Layer Security). Zezwalamy tylko na bezpieczny dostęp. Nie zezwolimy na uwierzytelnione połączenia za pośrednictwem protokołu HTTP, ale przekierujemy je do protokołu HTTPS.

Chronione w spoczynku

Ochrona fizyczna: dostęp do centrów danych może uzyskać tylko ograniczona liczba niezbędnych pracowników. Ich tożsamości są weryfikowane przy użyciu wielu czynników uwierzytelniania, w tym kart inteligentnych i danych biometrycznych. Obecni są również pracownicy lokalni ds. zabezpieczeń, czujniki ruchu i nadzór wideo. Alerty wykrywania nieautoryzowanego dostępu monitorują nietypowe działania.

Ochrona sieci: sieci i tożsamości są odizolowane od firmowej sieci firmy Microsoft. Zapory ograniczają ruch do środowiska z nieautoryzowanych lokalizacji.

Zabezpieczenia aplikacji: inżynierowie tworzący funkcje postępują zgodnie z cyklem projektowania zabezpieczeń. Zautomatyzowane i ręczne analizy pomagają identyfikować możliwe luki w zabezpieczeniach. Centrum zabezpieczeń firmy Microsoft pomaga klasyfikować przychodzące raporty o lukach w zabezpieczeniach i oceniać środki łagodzące. Dzięki warunkom nagród za błędy w chmurze firmy Microsoft ludzie na całym świecie mogą zarabiać, zgłaszając luki w zabezpieczeniach.

Ochrona zawartości: każdy plik jest szyfrowany w spoczynku za pomocą unikatowego klucza AES256. Te unikatowe klucze są szyfrowane przy użyciu zestawu kluczy głównych przechowywanych w usłudze Azure Key Vault.

Wysoko dostępne, zawsze możliwe do odzyskania

Nasze centra danych są rozproszone geograficznie w obrębie regionu i odporne na uszkodzenia. Dane są dublowane w co najmniej dwóch różnych regionach świadczenia usługi Azure, które znajdują się co najmniej kilkaset kilometrów od siebie, co pozwala nam ograniczyć wpływ klęski żywiołowej lub utraty zasobów w regionie.

Ciągła weryfikacja

Stale monitorujemy nasze centra danych, aby zapewnić ich dobrą kondycję i bezpieczeństwo. Zaczyna się to od spisu ewidencyjnego. Agent ewidencji wykonuje przechwytywanie stanu każdej maszyny.

Po utworzeniu spisu możemy monitorować i korygować kondycję maszyn. Ciągłe wdrażanie zapewnia, że każda maszyna otrzymuje poprawki, zaktualizowane sygnatury antywirusowe i zapisaną znaną, dobrą konfigurację. Logika wdrażania zapewnia stosowanie poprawek lub rotację tylko określonego procentu maszyn jednocześnie.

"Czerwony zespół" platformy Microsoft 365 składa się ze specjalistów ds. włamań. Szukają możliwości uzyskania nieautoryzowanego dostępu. „Niebieski zespół" składa się z inżynierów ds. obrony, którzy koncentrują się na zapobieganiu, wykrywaniu i odzyskiwaniu. Tworzą oni technologie wykrywania nieautoryzowanego dostępu i reagowania na nie. Aby być na bieżąco z naukami zespołów zabezpieczeń firmy Microsoft, zobacz Office 365 zabezpieczeń (blog).

Dodatkowe OneDrive funkcje zabezpieczeń

Usługa OneDrive, jako usługa magazynu w chmurze , ma wiele innych funkcji zabezpieczeń. Należą do nich:

• Skanowanie antywirusowe podczas pobierania pod kątem znanych zagrożeń – aparat ochrony przed złośliwym oprogramowaniem w usłudze Windows Defender skanuje dokumenty w czasie pobierania pod kątem zawartości zgodnej z podpisem AV (aktualizowanym co godzinę).
• Monitorowanie podejrzanych działań – aby zapobiec nieautoryzowanemu dostępowi do konta, OneDrive monitoruje podejrzane próby logowania i blokuje je. Ponadto wyślemy Ci powiadomienie e-mail w przypadku wykrycia nietypowej aktywności, takiej jak próba zalogowania się z nowego urządzenia lub lokalizacji.
• Wykrywanie oprogramowania wymuszającego okup i odzyskiwanie — jako subskrybent platformy Microsoft 365 otrzymasz alert, jeśli usługa OneDrive wykryje złośliwy atak lub oprogramowanie wymuszające okup. Możesz łatwo odzyskać pliki do punktu w czasie, zanim zostaną dotknięte problemem, do 30 dni po ataku. Możesz również przywrócić całą usługę OneDrive do 30 dni po złośliwym ataku lub innych typach utraty danych, takich jak uszkodzenie pliku lub przypadkowe usunięcie i edytowanie.
• Historia wersji dla wszystkich typów plików – w przypadku niechcianych zmian lub przypadkowego usunięcia możesz przywrócić usunięte pliki z kosza usługi OneDrive lub przywrócić poprzednią wersję pliku w usłudze OneDrive.
• Chronione hasłem & wygasających linków udostępniania — jako subskrybent platformy Microsoft 365 możesz zabezpieczyć swoje pliki udostępnione, wymagając hasła dostępu do nich lub ustawiając datę wygaśnięcia linku do udostępniania.
• Powiadomienie o masowym usunięciu plików i odzyskiwanie — jeśli przypadkowo lub celowo usuniesz dużą liczbę plików w kopii zapasowej w chmurze usługi OneDrive, otrzymasz alert i przekażemy Ci instrukcje odzyskiwania tych plików.

Magazyn osobisty

Magazyn osobisty usługi OneDrive to obszar chroniony w usłudze OneDrive, do którego można uzyskać dostęp tylko przy użyciu silnej metody uwierzytelniania lub drugiego kroku weryfikacji tożsamości, takiego jak odcisk palca, twarz, numer PIN lub kod wysłany do Ciebie za pośrednictwem poczty e-mail lub SMS. ¹ Zablokowane pliki w magazynie osobistym mają dodatkową warstwę zabezpieczeń, dzięki czemu są one bardziej zabezpieczone na wypadek, gdyby ktoś uzyskał dostęp do Twojego konta lub Twojego urządzenia. Magazyn osobisty jest dostępny na komputerze, w witrynie OneDrive.com oraz w OneDrive aplikacji mobilnej i zawiera następujące funkcje:

• Skanuj bezpośrednio do magazynu osobistego — za pomocą aplikacji mobilnej OneDrive możesz robić zdjęcia lub nagrywać filmy bezpośrednio do magazynu osobistego, dzięki czemu nie będą one mniej bezpieczne — na przykład z aparatu. ² Możesz również skanować ważne dokumenty podróży, identyfikacji, pojazdu, domu i ubezpieczenia bezpośrednio do swojego magazynu osobistego. Będziesz mieć dostęp do tych zdjęć i dokumentów, gdziekolwiek jesteś, na różnych urządzeniach.
• Szyfrowanie funkcją BitLocker – na komputerach z systemem Windows 10, OneDrive synchronizuj pliki magazynu osobistego z obszarem zaszyfrowanym za pomocą funkcji BitLocker na lokalnym dysku twardym.
• Automatyczne blokowanie – magazyn osobisty na komputerze, urządzeniu lub w trybie online ponownie automatycznie się blokuje po krótkim okresie braku aktywności. Po zablokowaniu wszystkie używane pliki również będą blokować i wymagać ponownego uwierzytelnienia w celu uzyskania dostępu. ³

Razem, te środki pomagają chronić zablokowane pliki magazynu osobistego nawet wtedy, gdy komputer z systemem Windows 10 lub urządzenie przenośne zostanie zgubione, skradzione lub ktoś uzyska do niego dostęp.

¹ Weryfikacja twarzy i linii papilarnych wymaga specjalistycznego sprzętu, w tym urządzenia z obsługą Windows Hello, czytnika linii papilarnych, podświetlanego czujnika podczerwieni lub innych czujników biometrycznych i urządzeń zdolnych.
² Aplikacja OneDrive w systemach Android i iOS wymaga systemu Android 6.0 lub nowszego albo systemu iOS 12.0 lub nowszego.
³ Interwał automatycznego blokowania zależy od urządzenia i może zostać ustawiony przez użytkownika.