Microsoft: sicurezza e privacy ai tempi del Covid

(di Carlo Mauceli)
15/02/21

Qualche mese fa abbiamo parlato dell'importanza della sicurezza e della privacy al tempo del COVID (v.articolo) mettendo in evidenza alcuni aspetti etici e sociali delle tecnologie digitali.

Proviamo ora ad approfondire alcuni punti relativi alla suite del momento, rimandando il lettore più curioso al Trust Center Site dove si possono trovare tutti gli approfondimenti del caso.

Uno degli argomenti che sempre più spesso devo affrontare coi i nostri clienti è il trattamento dei dati personali.

Microsoft tratta i dati personali secondo quanto previsto nell’Addendum relativo alla Protezione dei Dati Personali dei Servizi Online (“DPA”) disponibile al link https://aka.ms/DPA. In particolare, il suddetto DPA prevede che Microsoft ha il ruolo di Responsabile del trattamento dei dati personali e costituisce l’accordo che vincola il responsabile al titolare del trattamento ai sensi dell’art. 28 comma 3) del Regolamento Generale sulla protezione dei dati-Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (GDPR).

Le condizioni del GDPR di Microsoft riflettono gli impegni richiesti dai responsabili nell'Articolo 28. L'Articolo 28 richiede che i responsabili si impegnino a:

  • Usare esclusivamente responsabili secondari con il consenso del titolare e esserne responsabili.
  • Trattare i dati personali esclusivamente in base alle istruzioni del titolare, anche in merito al trasferimento.
  • Assicurarsi che le persone che trattano i dati personali rispettino la riservatezza.
  • Implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza dei dati personali idoneo in base al rischio.
  • Aiutare i titolari con i relativi obblighi di risposta alle richieste degli interessati a esercitare i propri diritti del GDPR.
  • Soddisfare i requisiti di assistenza e notifica delle violazioni.
  • Aiutare i titolari con le valutazioni dell'impatto della protezione dei dati e con la consulenza con le autorità competenti.
  • Eliminare o restituire i dati personali alla fine della fornitura dei servizi.
  • Supportare il titolare con la prova della conformità al GDPR.

Crittografia dei Dati e Utilizzo della Rete

Prendiamo Teams come elemento di analisi. L’utilizzo di Teams che, ricordiamolo, è parte integrante della piattaforma O365, e, più in generale, di tutti i servizi cloud di Microsoft, ossia Azure, Dynamics 365 e O365 stesso, non richiede necessariamente una VPN dedicata per i collegamenti remoti.

Microsoft Teams sfrutta i protocolli TLS e MTLS che forniscono comunicazioni crittografate e autenticazione degli endpoint su Internet. Teams utilizza entrambi i protocolli per creare la rete di server affidabili e per garantire che tutte le comunicazioni su quella rete siano crittografate. Tutte le comunicazioni tra server si verificano su MTLS. Le comunicazioni SIP rimanenti o legacy da client a server si verificano su TLS.

TLS consente agli utenti, tramite il proprio software client, di autenticare i server Teams, nei datacenter Microsoft, a cui si connettono. In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una Certification Authority che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.

Le connessioni tra server si basano su TLS reciproco (MTLS) per l'autenticazione reciproca. Su una connessione MTLS, il server che genera un messaggio e il server che lo riceve si scambiano i certificati da una CA reciprocamente attendibile. I certificati dimostrano l'identità di ciascun server all'altro. Nel servizio Teams, questa procedura è seguita.

TLS e MTLS consentono di impedire sia gli attacchi di intercettazione sia gli attacchi man-in-the-middle. 

In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.

La tabella mostra le tipologie di traffico:

Tipo di traffico

Crittografato da

Da server a server

MTLS

Da client a server (ad esempio, messaggistica istantanea e presenza)

TLS

Flussi multimediali (ad esempio, condivisione audio e video di contenuti multimediali)

TLS

Condivisione audio e video di contenuti multimediali

SRTP/TLS

Segnalazione

TLS

Sistemi di Autenticazione e Autorizzazione

La “stanza virtuale” è un meeting di Teams e come tale rispetta i medesimi standard di sicurezza. Gli standard di sicurezza si rifanno a quelli di O365 che è la piattaforma di cui Team è parte integrante. È sbagliato considerare la sicurezza del prodotto dal punto di vista dell’autenticazione in quanto questa viene definita a livello di piattaforma.

Le attività di accesso della “stanza virtuale” e Teams meeting sono tracciate attraverso logs accessibili da utenti amministratori preposti dall’organizzazione.

Teams è un servizio Cloud ed i server sono dislocati nei datacenter di Microsoft.

Dati e Metadati

I dati raccolti all’interno del tenant, ossia dell’ambiente creato all’atto della sottoscrizione dei servizi O365 da parte di un’organizzazione, sono accessibili dagli Amministratori preposti dall’Amministrazione, tramite il “Centro sicurezza Microsoft 365” che include:

  • Home: visualizzazione a colpo d'occhio dell'integrità generale della sicurezza dell'organizzazione.
  • Operazioni non consentite: vedere la storia più ampia di un attacco collegando i punti visualizzati sui singoli avvisi sulle entità. È possibile sapere esattamente dove è stato avviato un attacco, quali dispositivi sono interessati, quali sono gli effetti e dove la minaccia è andata.
  • Avvisi – avere una maggiore visibilità in tutti gli avvisi nell'ambiente Microsoft 365, compresi gli avvisi provenienti da Microsoft cloud app Security, Office 365 ATP, Azure ad, Azure ATP e Microsoft Defender ATP. Disponibile per i clienti E3 ed E5.
  • Centro azioni: ridurre il volume degli avvisi a cui il team di sicurezza deve rispondere manualmente, consentendo al team di operazioni di sicurezza di concentrarsi su minacce più sofisticate e altre iniziative di alto valore.
  • Report : consente di visualizzare i dettagli e le informazioni necessari per proteggere meglio gli utenti, i dispositivi, le app e altro ancora.
  • Secure Score: consente di ottimizzare il livello di sicurezza complessivo con Microsoft Secure Score. Viene fornito un riepilogo di tutte le caratteristiche e funzionalità di sicurezza che sono state abilitate e sono disponibili suggerimenti per migliorare le aree.
  • Caccia avanzata: ricerca proattiva di malware, file sospetti e attività nell'organizzazione Microsoft 365.
  • Classificazione: consente di proteggere la perdita di dati aggiungendo etichette per classificare documenti, messaggi di posta elettronica, documenti, siti e altro. Quando viene applicata un'etichetta (automaticamente o dall'utente), il contenuto o il sito è protetto in base alle impostazioni selezionate. Ad esempio, è possibile creare le etichette per crittografare i file, aggiungere l'indicazione del contenuto e controllare l'accesso degli utenti a siti specifici.
  • Criteri: consente di aggiungere criteri per gestire i dispositivi, proteggere dalle minacce e ricevere avvisi su varie attività dell'organizzazione.
  • Autorizzazioni: consente di gestire chi nell'organizzazione ha accesso al Centro sicurezza Microsoft 365 per visualizzarne il contenuto ed eseguire attività. È inoltre possibile assegnare autorizzazioni di Microsoft 365 nel portale di Azure AD.

È inoltre possibile definire accessi granulari alle funzionalità del “Security & Compliance Center”.

Gli amministratori globali, preposti dall’organizzazione, hanno accesso alle funzionalità del “Security & Compliance Center”; questo è uno dei motivi per cui è importante proteggere in modo adeguato gli amministratori globali, disaccoppiarli dalle attività dell’utente (si consiglia quindi di non assegnare una licenza Office 365 a questi amministratori) e utilizzarli solo quando è necessario.

Dove si trovano i server che conservano i dati?

Alla sottoscrizione del servizio, per ciascuna Amministrazione/Cliente viene associato un “Tenant” ovvero l’unità logica che contiene tutti i dati e le configurazioni dell’Amministrazione.

Uno dei vantaggi principali del cloud computing è il concetto di un'infrastruttura comune condivisa tra i numerosi clienti contemporaneamente, che porta a economie di scala. Questo concetto è denominato multi-tenant. Microsoft garantisce che le architetture multi-tenant dei servizi cloud supportino la sicurezza a livello aziendale, la riservatezza, la privacy, l'integrità e gli standard di disponibilità.

In base ai significativi investimenti e all'esperienza ottenuti dall' elaborazione affidabile e dal ciclo di vita dello sviluppo della sicurezza, i servizi cloud Microsoft sono stati concepiti con l'ipotesi che tutti i tenant siano potenzialmente ostili a tutti gli altri tenant e che siano state implementate misure di sicurezza per impedire che le azioni di un tenant influiscano sulla sicurezza o sul servizio di un altro tenant.

I due obiettivi principali per mantenere l'isolamento del tenant in un ambiente multi-tenant sono:

  • Impedire la fuoriuscita o l'accesso non autorizzato al contenuto dei clienti tra i tenant; e
  • Impedire alle azioni di un tenant di influenzare negativamente il servizio di un altro tenant

In Office 365 sono state implementate più forme di protezione per impedire ai clienti di compromettere i servizi o le applicazioni di Office 365 o di ottenere un accesso non autorizzato alle informazioni di altri tenant o del sistema Office 365 stesso, tra cui:

  • L'isolamento logico del contenuto dei clienti all'interno di ogni tenant per i servizi di Office 365 viene ottenuto tramite l'autorizzazione di Azure Active Directory e il controllo di accesso basato sui ruoli.
  • SharePoint Online fornisce meccanismi di isolamento dei dati a livello di archiviazione.
  • Microsoft utilizza la sicurezza fisica rigorosa, lo screening di sfondo e una strategia di crittografia a più livelli per proteggere la riservatezza e l'integrità del contenuto dei clienti. Tutti i datacenter di Office 365 dispongono di controlli di accesso biometrici, con la maggior parte delle stampe Palm che richiedono l'accesso fisico.
  • Office 365 utilizza tecnologie sul fianco del servizio che crittografano il contenuto dei clienti a riposo e in transito, tra cui BitLocker, crittografia per file, TLS (Transport Layer Security) e IPsec (Internet Protocol Security).

Insieme, le protezioni elencate di seguito offrono robusti controlli di isolamento logico che forniscono protezione dalle minacce e una mitigazione equivalente a quella fornita solo dall'isolamento fisico.

Localizzazione dei dati

In merito alla geo localizzazione dei servizi, di seguito riportiamo il dettaglio relativo ai tenant dell’area geografica Europa:

► OneDrive for Business/SharePoint Online/Skype for Business/ Azure Active Directory/ Microsoft Teams/ Planner/ Yammer/ OneNote Services/ Stream/ Forms:

  • Irlanda
  • Paesi Bassi

► Exchange Online/ Office Online/ Office Mobile/ EOP/ MyAnalytics:

  • Austria
  • Finlandia
  • Irlanda
  • Paesi Bassi

I clienti possono visualizzare informazioni sulla posizione di dati specifici del tenant nell'interfaccia di amministrazione di Office 365 in Impostazioni | Profilo organizzazione | Scheda percorso dati.

Naturalmente non finisce qui. C'è ancora molto da dire in merito alla sicurezza dei sistemi Microsoft per cui prossimamente vi parlerò di gestione in sicurezza dei dati nel cloud.