In che modo OneDrive protegge i dati dell'utente nel cloud
Come proteggere i dati
Ecco qualche suggerimento per proteggere i file in OneDrive:
- Creare una password complessa. Verificare la complessità della password.
- Aggiungere informazioni di sicurezza all'account Microsoft. È possibile aggiungere informazioni come il numero di telefono, un indirizzo di posta elettronica alternativo e una domanda di sicurezza con relativa risposta. In questo modo, se si dovesse dimenticare la password o se l'account in uso dovesse essere oggetto di attacchi da parte di pirati informatici, Microsoft potrà usare le informazioni di sicurezza fornite per verificare l'identità dell'utente e consentirgli di usare di nuovo l'account. Accedi alla pagina Informazioni di sicurezza.
- Usare la verifica a due fattori. In questo modo l'account viene protetto perché viene chiesto di immettere un codice di sicurezza supplementare ogni volta che si accede da un dispositivo che non è considerato attendibile. Il secondo codice può essere ottenuto tramite una chiamata telefonica, un SMS o un app. Per altre informazioni sulla verifica in due passaggi, vedere come usare la verifica in due passaggi con il proprio account Microsoft.
- Abilitare la crittografia nei dispositivi mobili. Se hai l'app per dispositivi mobili OneDrive, è consigliabile abilitare la crittografia nei dispositivi iOS o Android. In questo modo è possibile proteggere i file di OneDrive se il dispositivo mobile viene perso, rubato o se qualcuno vi accede.
- Abbonarsi a Microsoft 365. Un abbonamento Microsoft 365 offre protezione avanzata da virus e crimini informatici e modi per recuperare i file da attacchi dannosi.
Come OneDrive protegge i dati ?
I tecnici Microsoft amministrano OneDrive usando una console Windows PowerShell che richiede l'autenticazione a due fattori. Le attività quotidiane vengono completate eseguendo flussi di lavoro per poter rispondere rapidamente a nuove situazioni. Nessun tecnico ha accesso permanente al servizio. Quando i tecnici necessitano dell'accesso, devono richiederlo. L'idoneità viene controllata e, se l'accesso del tecnico viene approvato, è solo per un periodo di tempo limitato.
Inoltre, OneDrive e Office 365 investono fortemente in sistemi, processi e personale per ridurre la probabilità di violazioni dei dati personali e per rilevare e attenuare rapidamente le conseguenze di un’eventuale violazione della sicurezza. Alcuni degli investimenti in questo spazio includono:
Sistemi di controllo di accesso: OneDrive e Office 365 mantengono un criterio di "accesso zero-standing", vale a dire che i tecnici non hanno accesso al servizio a meno che non venga concesso in modo esplicito in risposta a un evento imprevisto specifico che richieda l'elevazione dell'accesso. Ogni volta che viene concesso, l'accesso viene eseguito in base al principio dei privilegi minimi: l'autorizzazione concessa per una richiesta specifica consente solo un set minimo di azioni necessarie per gestire tale richiesta. A tale scopo, OneDrive e Office 365 mantengono una netta separazione tra i "ruoli di elevazione dei privilegi", ciascuno dei quali consente solo l'esecuzione di determinate azioni predefinite. Il ruolo "Accesso ai dati dei clienti" è distinto dagli altri ruoli usati più comunemente per amministrare il servizio e sottoposto a un esame più approfondito prima dell'approvazione. Nel loro insieme, questi investimenti nel controllo degli accessi riducono notevolmente la probabilità che un tecnico in OneDrive o Office 365 acceda in modo inappropriato ai dati dei clienti.
Sistemi di monitoraggio della sicurezza e automazione: OneDrive e Office 365 mantengono sistemi di monitoraggio della sicurezza affidabili e in tempo reale. Tra gli altri problemi, questi sistemi generano avvisi per tentativi di accesso illecito ai dati dei clienti o per tentativi di trasferimento illecito dei dati al di fuori del servizio. In relazione ai punti sul controllo di accesso indicati in precedenza, i nostri sistemi di monitoraggio della sicurezza mantengono record dettagliati delle richieste di elevazione dei privilegi effettuate e le azioni eseguite per una determinata richiesta di elevazione dei privilegi. OneDrive e Office 365 mantengono anche investimenti automatici per la risoluzione che agiscono automaticamente per mitigare le minacce in risposta ai problemi rilevati e team dedicati per rispondere agli avvisi che non possono essere risolti automaticamente. Per convalidare i sistemi di monitoraggio della sicurezza, OneDrive e Office 365 conducono regolarmente esercizi in red team in cui un team di test di penetrazione interno simula il comportamento degli utenti malintenzionati rispetto all'ambiente live. Questi esercizi comportano miglioramenti regolari delle funzionalità di monitoraggio della sicurezza e risposta.
Personale e processi: Oltre all'automazione descritta in precedenza, OneDrive e Office 365 gestiscono i processi e i team responsabili di formare l'intera organizzazione sui processi di gestione della privacy e degli eventi imprevisti e di eseguire tali processi durante una violazione. Ad esempio, una procedura operativa standard (SOP) dettagliata per la violazione della privacy viene mantenuta e condivisa con i team di tutta l'organizzazione. Questa SOP descrive in dettaglio i ruoli e le responsabilità dei singoli team all'interno di OneDrive e Office 365 e dei team centralizzati di risposta agli incidenti di sicurezza. Questi aspetti riguardano sia le azioni che i team devono eseguire per migliorare la propria postura di sicurezza (condurre revisioni della sicurezza, integrare i sistemi di monitoraggio della sicurezza centrale e altre procedure consigliate) sia le operazioni che i team devono eseguire in caso di violazione effettiva (escalation rapida alla risposta agli incidenti, gestire e fornire origini dati specifiche che verranno usate per accelerare il processo di risposta). I team vengono inoltre regolarmente sottoposti a training sulla classificazione dei dati e sulle procedure di gestione e archiviazione corrette per i dati personali.
L'aspetto più importante è che OneDrive e Office 365, sia per i piani consumer che per quelli aziendali, investono fortemente nella riduzione delle probabilità e delle conseguenze di violazioni dei dati personali che influiscono sui clienti. Se si verifica una violazione dei dati personali, Microsoft si impegna a notificare rapidamente ai clienti una volta confermata la violazione.
Protezione dei dati in transito e inattivi
Protezione dei dati in transito
Quando i dati transitano nel servizio dai client e tra i data center, vengono protetti con la crittografia TLS (Transport Layer Security). È consentito solo l'accesso sicuro. Non verranno consentite connessioni autenticate tramite HTTP, ma verrà invece eseguito il reindirizzamento a HTTPS.
Protezione dei dati inattivi
Protezione fisica: solo un numero limitato di membri essenziali del personale può accedere ai data center. Le rispettive identità vengono verificate con più fattori di autenticazione, tra cui smart card e dati biometrici. Sono presenti responsabili della sicurezza locali, sensori di movimento e videosorveglianza. Gli avvisi di rilevamento delle intrusioni monitorano le attività anomale.
Protezione della rete: le reti e le identità sono isolate dalla rete aziendale Microsoft. I firewall limitano il traffico nell'ambiente proveniente da posizioni non autorizzate.
Sicurezza delle applicazioni: i tecnici che creano le funzionalità si attengono al Security Development Lifecycle. Le analisi automatizzate e manuali consentono di identificare le possibili vulnerabilità. Il Microsoft Security Response Center consente di esaminare i report sulle vulnerabilità in ingresso e valutare le mitigazioni. Tramite le condizioni del programma Microsoft Cloud Bug Bounty, le persone di tutto il mondo possono guadagnare denaro segnalando vulnerabilità.
Protezione del contenuto: ogni file è crittografato quando i dati sono inattivi con una chiave AES256 univoca. Queste chiavi univoche vengono crittografate con un set di chiavi master archiviate in Azure Key Vault.
Disponibilità elevata, sempre ripristinabile
I nostri data center sono a tolleranza di errore e distribuiti all'interno dell'area geografica. I dati vengono sottoposti a mirroring in almeno due diverse aree geografiche di Azure, distanti almeno centinaia di chilometri l'una dall'altra, consentendo di ridurre l'impatto di una calamità naturale o di una perdita all'interno di un'area geografica.
Convalida continua
Monitoriamo costantemente i nostri data center per mantenerli integri e sicuri. Questa operazione inizia con l'inventario. Un agente di inventario esegue un'acquisizione dello stato di ogni computer.
Dopo aver creato un inventario, è possibile monitorare e correggere l'integrità dei computer. La distribuzione continua garantisce che ogni computer riceva patch, firme antivirus aggiornate e una configurazione valida nota salvata. La logica di distribuzione garantisce l’applicazione di una patch o la rotazione solo di una determinata percentuale di computer alla volta.
Il "Red Team" di Microsoft 365 all'interno di Microsoft è composto da esperti di intrusioni che indagano su qualsiasi opportunità volta a ottenere l'accesso non autorizzato. Il "Blue Team" è costituito da tecnici esperti in difesa che si concentrano su prevenzione, rilevamento e ripristino e creano tecnologie di rilevamento e risposta alle intrusioni. Per tenersi al passo con le conoscenze dei team di sicurezza di Microsoft, vedi il blog sulla sicurezza di Office 365.
Funzionalità di sicurezza di OneDrive aggiuntive
Come servizio di archiviazione cloud, OneDrive offre molte altre funzionalità di sicurezza. Queste includono:
- Analisi di virus durante il download per rilevare minacce note: il motore anti-malware Windows Defender analizza i documenti in fase di download per individuare contenuti corrispondenti a una firma AV (aggiornata ogni ora).
- Monitoraggio attività sospette: per impedire l'accesso non autorizzato all'account, OneDrive monitora e blocca i tentativi di accesso sospetti. Inoltre, ti invieremo una notifica tramite posta elettronica se rileviamo attività insolite, ad esempio un tentativo di accesso da un nuovo dispositivo o da una nuova posizione.
- Rilevamento e ripristino di ransomware: gli abbonati a Microsoft 365 riceveranno un avviso se OneDrive rileva un ransomware o un attacco dannoso. Sarà possibile ripristinare facilmente i file fino a un punto nel tempo precedente all’attacco, fino a 30 giorni dopo. È anche possibile ripristinare l'intero OneDrive fino a 30 giorni dopo un attacco dannoso o altri tipi di perdita di dati, ad esempio il danneggiamento dei file o eliminazioni e modifiche accidentali.
- Cronologia delle versioni per tutti i tipi di file: in caso di modifiche indesiderate o eliminazioni accidentali, è possibile ripristinare i file eliminati dal Cestino di OneDrive o ripristinare una versione precedente di un file in OneDrive.
- Collegamenti di condivisione protetti da password e in scadenza: gli abbonati a Microsoft 365 possono aumentare la sicurezza dei file condivisi richiedendo una password per accedervi o impostando una data di scadenza sul collegamento di condivisione.
- Notifica e ripristino di eliminazione di massa dei file: se elimini accidentalmente o intenzionalmente un numero elevato di file nel backup nel cloud OneDrive, ti avviseremo e ti forniremo i passaggi per recuperare tali file.
Vault personale
Il Vault personale di OneDrive è un'area protetta in OneDrive a cui è possibile accedere solo con un metodo di autenticazione sicuro o con una seconda fase di verifica dell'identità, ad esempio impronta digitale, volto, PIN o un codice inviato tramite posta elettronica o SMS. I file bloccati nel Vault personale hanno un ulteriore livello di sicurezza, che li protegge nel caso in cui qualcuno ottenga l'accesso all'account o al dispositivo. Il Vault personale è disponibile nel PC, in OneDrive.com e nell'app per dispositivi mobili OneDrive e include anche le funzionalità seguenti:
- Digitalizzazione diretta in Vault personale: è possibile usare l'app per dispositivi mobili OneDrive per scattare foto o registrare video direttamente nel Vault personale, mantenendoli lontani dalle aree meno sicure del dispositivo, ad esempio il rullino della fotocamera. È anche possibile digitalizzare documenti importanti di viaggio, identificazione, veicoli, casa e assicurazione direttamente nel Vault personale. Potrai accedere a queste foto e documenti ovunque tu vada, in tutti i tuoi dispositivi.
- Crittografia BitLocker: nei PC Windows 10, OneDrive sincronizza i file del Vault personale con un'area crittografata con BitLocker del disco rigido locale.
- Blocco automatico: il Vault personale si blocca automaticamente sul PC, sul dispositivo o online dopo un breve periodo di inattività. Dopo il blocco, anche tutti i file in uso si bloccheranno e sarà necessario ripetere l’autenticazione per accedervi.