Как OneDrive защищает ваши данные в облаке

Вы управляете своими данными. Помещая данные в облачное хранилище OneDrive, вы остаетесь их владельцем. Дополнительные сведения о владении данными см. в разделе Office 365 конфиденциальности по дизайну.

В этом учебном курсе вы узнаете о функциях OneDrive, которые можно использовать для защиты файлов, фотографий и данных:Безопасность, защита и восстановление в OneDrive

Как защитить данные

Вот несколько вещей, которые вы можете сделать для защиты своих файлов в OneDrive:

• Создайте надежный пароль.Проверьте надежность пароля.
• Добавьте дополнительные сведения для защиты своей учетной записи Майкрософт. Вы можете добавить информацию, такую как номер телефона, альтернативный адрес электронной почты, а также секретный вопрос и ответ. Если вы вдруг забудете свой пароль или вашу учетную запись взломают, мы сможем использовать эти сведения для проверки вашей личности и поможем вам вернуть свою учетную запись и все, что с ней связано. Перейдите на страницу Сведения о безопасности.
• Используйте двухфакторную проверку. Безопасность вашей учетной записи повысится благодаря дополнительному коду безопасности, который вам потребуется вводить каждый раз, когда вы будете выполнять вход не с доверенного устройства. Второй фактор может быть сделан через телефонный звонок, текстовое сообщение или приложение. Дополнительные сведения о двухфакторной проверке подлинности см. в статье Использование двухфакторной проверки подлинности с учетной записью Майкрософт.
• Включите шифрование на мобильных устройствах. Если вы используете мобильное приложение OneDrive, рекомендуется включить шифрование на устройствах с iOS или Android. Это поможет защитить ваши файлы OneDrive, если ваше мобильное устройство потеряно, украдено или кто-то получит к нему доступ.
• Подпишитесь на Microsoft 365. Подписка На Microsoft 365 обеспечивает расширенную защиту от вирусов и киберпреступлений, а также способы восстановления файлов от вредоносных атак.

Как OneDrive защищает ваши данные

Инженеры корпорации Майкрософт администрируют OneDrive с помощью консоли Windows PowerShell, для которой требуется двухфакторная проверка подлинности. Мы выполняем повседневные задачи, запуская рабочие процессы, чтобы быстро реагировать на новые ситуации. Ни один инженер не имеет постоянного доступа к службе. Когда инженерам требуется доступ, они должны запросить его. Проводится проверка, и в случае одобрения доступ предоставляется инженеру на ограниченное время.

Кроме того, OneDrive и Office 365 активно вкладывают средства в системы, процессы и персонал, чтобы снизить вероятность нарушения безопасности личных данных, а также быстро определять и устранять их последствия. Некоторые из наших вложений в это пространство включают:

Системы управления доступом: OneDrive и Office 365 поддерживают политику "постоянного нулевого доступа". Это означает, что у инженеров отсутствует доступ к службе, если он не предоставлен им явным образом в ответ на конкретный инцидент, требующий повышения уровня доступа. Всякий раз, когда доступ предоставляется, это происходит по принципу наименьших привилегий: разрешение, предоставленное для определенного запроса, позволяет выполнять только минимальный набор действий, необходимых для обслуживания этого запроса. Для этого OneDrive и Office 365 поддерживают строгое разделение между "ролями повышения прав", а каждая роль позволяет выполнять только заранее определенные действия. Роль "Доступ к данным клиента" отличается от других ролей, которые чаще всего используются для администрирования службы и проходит тщательную проверку перед утверждением. В совокупности такие инвестиции в управление доступом значительно снижают вероятность того, что инженер в OneDrive или Office 365 неправомерно получит доступ к данным клиентов.

Системы мониторинга безопасности и автоматизация: OneDrive и Office 365 поддерживают надежные системы мониторинга безопасности в режиме реального времени. Помимо прочего, эти системы выдают предупреждения о попытках незаконного доступа к данным клиентов или незаконной передачи данных за пределы нашей службы. В соответствии с пунктами об управлении доступом, упомянутыми выше, наши системы мониторинга безопасности ведут подробные записи о сделанных запросах на повышение прав и о действиях, предпринятых для данного запроса. OneDrive и Office 365 также поддерживают инвестиции в автоматические разрешения, которые автоматически устраняют угрозы в ответ на обнаруженные проблемы, и специальные группы для реагирования на предупреждения, которые не могут быть устранены автоматически. Чтобы проверить наши системы мониторинга безопасности, OneDrive и Office 365 регулярно проводят тренировки красной команды, в ходе которых внутренняя группа тестирования на проникновение моделирует поведение злоумышленника в реальной среде. Эти тренировки непрерывно совершенствуют наши возможности мониторинга безопасности и реагирования.

Персонал и процессы: В дополнение к описанной выше автоматизации OneDrive и Office 365 поддерживать процессы и команды, ответственные как за обучение более широкой организации процессам управления конфиденциальностью и инцидентами, так и за выполнение этих процессов во время нарушения безопасности. Например, подробная стандартная рабочая процедура (SOP) по нарушению конфиденциальности поддерживается и предоставляется командам по всей организации. Эта SOP подробно описывает роли и обязанности как отдельных команд в OneDrive и Office 365, так и централизованных команд реагирования на инциденты безопасности. Сюда входит то, что командам необходимо сделать для улучшения собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие передовые методы), а также то, что командам необходимо будет сделать в случае фактического нарушения (быстрая эскалация реагирования на инциденты, обслуживание и предоставление определенных источников данных, которые будут использоваться для ускорения процесса реагирования). Команды также регулярно проходят обучение по классификации данных и правильным процедурам обработки и хранения персональных данных.

Главный вывод заключается в том, что OneDrive и Office 365, как для потребительских, так и для бизнес-планов, активно инвестируют в снижение вероятности и последствий утечки персональных данных, влияющих на наших клиентов. Если утечка персональных данных все же произойдет, мы обязуемся быстро уведомить наших клиентов, как только это подтвердится. 

Защищено при передаче и хранении

Защищено при передаче

При передаче данных в службу от клиентов и между центрами обработки данных, они защищаются с помощью шифрования протокола TLS. Разрешается только безопасный доступ. Мы не разрешаем подключения с проверкой подлинности по протоколу HTTP, а перенаправляем их на HTTPS.

Защищено при хранении

Физическая защита. Только ограниченное число основных сотрудников может получить доступ к центрам обработки данных. Их удостоверения проверяются с помощью нескольких коэффициентов проверки подлинности, включая смарт-карточки и биометрические данные. На территории есть сотрудники службы безопасности, датчики движения и видеонаблюдение. Оповещения об обнаружении вторжений отслеживают аномальные действия.

Защита сети. Сети и удостоверения изолированы от корпоративной сети корпорации Майкрософт. Брандмауэры ограничивают трафик в среду из несанкционированных расположений.

Безопасность приложений. Инженеры, создающие функции, следуют жизненному циклу разработки защищенных приложений. Автоматический и ручной анализ помогают выявить возможные уязвимости. Центр реагирования на вопросы безопасности Майкрософт помогает рассматривать входящие отчеты об уязвимостях и оценивать способы устранения рисков. С помощью условий microsoft Cloud Bug Bounty пользователи по всему миру могут зарабатывать деньги, сообщая об уязвимостях.

Защита содержимого. Каждый файл шифруется при хранении с помощью уникального ключа AES256. Эти уникальные ключи шифруются набором главных ключей, которые хранятся в Azure Key Vault.

Высокая доступность, возможность восстановления

Наши центр обработки данных распределены по региону и отказоустойчивы. Данные зеркально отражаются как минимум в двух разных региона Azure, которые находятся на расстоянии не менее нескольких сотен миль друг от друга, что позволяет нам смягчить последствия стихийного бедствия или потери в регионе.

Постоянная проверка

Мы постоянно отслеживаем работу наших центров обработки данных, чтобы поддерживать их работоспособность и безопасность. Это начинается с данных инвентаризации. Агент инвентаризации выполняет захват состояния каждого компьютера.

После инвентаризации мы можем отслеживать и исправлять состояние компьютеров. Непрерывное развертывание гарантирует, что каждый компьютер получит исправления, обновленные антивирусные подписи и сохраненную заведомо исправную конфигурацию. Логика развертывания обеспечивает исправление или замену только определенного процента компьютеров за раз.

"Красная команда" Microsoft 365 в Корпорации Майкрософт состоит из специалистов по вторжению. Они ищут любую возможность получить несанкционированный доступ. "Синяя команда" состоит из инженеров по защите, которые сосредоточены на предотвращении, обнаружении и восстановлении. Они создают технологии обнаружения вторжений и реагирования на них. Чтобы не отставать от знаний, которые специалисты по безопасности корпорации Майкрософт, см. статью Office 365 безопасности (блог).

Дополнительные функции безопасности OneDrive

Как служба облачного хранилища , OneDrive имеет множество других функций безопасности. Они включают:

• Сканирование вирусов при загрузке на наличие известных угроз. Подсистема защиты от вредоносных программ Защитника Windows сканирует документы во время загрузки на наличие содержимого, соответствующего антивирусной сигнатуре (обновляется ежечасно).
• Отслеживание подозрительных действий. Чтобы предотвратить несанкционированный доступ к вашей учетной записи, OneDrive отслеживает и блокирует подозрительные попытки входа. Кроме того, мы отправим вам уведомление по электронной почте, если обнаружим необычные действия, например попытку входа с нового устройства или из другого местонахождения.
• Обнаружение и восстановление программ-шантажистов . Как подписчик Microsoft 365, вы получите оповещение, если OneDrive обнаружит программу-шантажист или вредоносную атаку. Вы сможете легко восстановить файлы до точки во времени, прежде чем они были затронуты, до 30 дней после атаки. Вы также можете восстановить все хранилище OneDrive в течение 30 дней после вредоносной атаки или других типов потери данных, таких как повреждения файлов или их случайное удаление и изменение.
• Журнал версий для всех типов файлов. В случае нежелательных изменений или случайных удалений вы можете восстановить удаленные файлы из корзины OneDrive или восстановить предыдущую версию файла в OneDrive.
• Защищено паролем & каналах общего доступа с истекающим сроком действия . Как подписчик Microsoft 365, вы можете обеспечить более высокий уровень безопасности общих файлов, задав пароль для доступа к ним или задав дату окончания срока действия в ссылке общего доступа.
• Уведомление о массовом удалении и восстановлении файлов . Если вы случайно или намеренно удалили большое количество файлов в облачной резервной копии OneDrive, мы оповещаем вас и предоставим вам шаги по восстановлению этих файлов.

Личное хранилище

OneDrive Personal Vault — это защищенная область в OneDrive, доступ к которой можно получить только с помощью метода строгой проверки подлинности или второго этапа проверки личности, например отпечатка пальца, лица, ПИН-кода или кода, отправленного вам по электронной почте или SMS. ¹ Ваши заблокированные файлы в Личном хранилище имеют дополнительный уровень безопасности, обеспечивая более высокий уровень защиты в случае, если кто-то получит доступ к вашей учетной записи или вашему устройству. Личный сейф доступен на компьютере, сайте OneDrive.com и в мобильном приложении OneDrive. Он также включает следующие функции:

• Сканирование непосредственно в Личном хранилище . Вы можете использовать мобильное приложение OneDrive, чтобы сфотографировать или снять видео непосредственно в Личном хранилище, не закрывая их менее безопасные области устройства, например с камеры. ² Вы также можете сканировать важные документы для путешествий, идентификации, транспортного средства, дома и страхования непосредственно в личном хранилище. У вас будет доступ к этим фотографиям и документам из любого места и с любого устройства.
• Шифрование-BitLocker. На компьютерах с Windows 10 OneDrive синхронизирует файлы личного хранилища с областью локального жесткого диска, зашифрованной BitLocker.
• Автоматическая блокировка. Личный сейф автоматически блокируется на компьютере, устройстве или в сети после короткого периода бездействия. После блокировки все файлы, которые вы использовали, также будут блокироваться и требовать повторной проверки подлинности для доступа. ³

Все эти меры помогают защитить заблокированные файлы личного сейфа, даже если ваш компьютер с Windows 10 или мобильное устройство потеряны, украдены или кто-то получил к ним доступ.

¹ Для проверки распознавания лиц и отпечатков пальцев требуется специализированное оборудование, включая устройство с поддержкой Windows Hello, сканер отпечатков пальцев, освещенный датчик IR или другие биометрические датчики и устройства с поддержкой.
² Для работы приложения OneDrive с Android и iOS требуется Android версии 6.0 или более поздней или iOS версии 12.0 или более поздней.
³ Интервал автоматической блокировки зависит от устройства и может быть задан пользователем.