Wprowadzenie
Rosnącej popularności przetwarzania w chmurze towarzyszą coraz większe obawy wielu użytkowników dotyczące kwestii bezpieczeństwa. W sytuacji, w której coraz więcej informacji jest przechowywanych w chmurze zamiast w systemach lokalnych, w których odpowiedzialność za zapewnienie bezpieczeństwa ponoszą głównie użytkownicy, zasadniczego znaczenia nabierają wymagania w dziedzinie bezpieczeństwa stawiane dostawcom tego rodzaju usług. Użytkownicy muszą mieć pewność, że należące do nich informacje są należycie chronione.
Przedsiębiorstwa i instytucje muszą mieć możliwość kontrolowania i dostosowywania zabezpieczeń używanych w ramach usług w chmurze. Najczęściej używane narzędzia biurowe, które wymagają ochrony, to między innymi:
Od informatyków wymaga się zapewnienia dostępu do usług za pośrednictwem coraz szerszej gamy urządzeń i platform z dowolnego miejsca. O ile jednak dostęp do zasobów firmowych z poziomu wielu różnych urządzeń jest bardzo korzystny dla użytkowników, o tyle zwiększanie dostępności pociąga za sobą również dodatkowe wyzwania w dziedzinie zarządzania zabezpieczeniami. Każdy punkt końcowy jest potencjalnym obszarem ataków, a tym samym kolejnym elementem, którym muszą zarządzać specjaliści ds. zabezpieczeń. Jednocześnie klienci muszą stawiać czoło stale zmieniającym się zagrożeniom pochodzącym ze wszystkich zakątków świata oraz zarządzać ryzykiem ze strony własnych użytkowników, którzy mogą przypadkowo utracić poufne dane lub narazić je na ujawnienie.
Klienci potrzebują usługi w chmurze, która zaoferuje zarówno niezawodne wbudowane funkcje zabezpieczeń, jak i całą gamę dodatkowych funkcji umożliwiających dostosowanie ich do indywidualnych wymagań.
W przypadku przedsiębiorstw, które rozszerzają zdalny dostęp, a jednocześnie chcą nadal stosować najlepsze rozwiązania w dziedzinie zabezpieczeń, dodanie powyższej kombinacji funkcji może okazać się trudne i kosztowne, jeśli usługi biurowe będą wdrażane wyłącznie w modelu lokalnym.
Zabezpieczenia w usłudze Office 365
Microsoft jest liderem branży pod względem bezpieczeństwa chmur obliczeniowych. Firma wdraża zasady i mechanizmy kontroli, które w niczym nie ustępują rozwiązaniom stosowanym w lokalnych centrach danych nawet w najbardziej zaawansowanych technicznie przedsiębiorstwach. Zabezpieczenia usługi Office 365 obejmują trzy elementy:
-
wbudowane funkcje zabezpieczeń;
-
mechanizmy zarządzania zabezpieczeniami;
-
skalowalne zabezpieczenia.
Office 365 jest usługą o podwyższonym poziomie bezpieczeństwa, wyposażoną we wbudowane funkcje zabezpieczeń. Klienci otrzymują zaawansowane wbudowane funkcje zabezpieczeń, które są owocem dwudziestoletnich doświadczeń firmy Microsoft w dziedzinie zarządzania danymi w trybie online oraz znacznych inwestycji w infrastrukturę zabezpieczeń. Dział odpowiedzialny za usługę Office 365 wdrożył procesy i technologie umożliwiające profilaktyczne rozpoznawanie i minimalizowanie zagrożeń bezpieczeństwa, zanim jeszcze narażą one klientów na ryzyko, a także stale inwestuje w udoskonalanie powyższych rozwiązań.
Office 365 oferuje mechanizmy zarządzania, za pomocą których klienci mogą dostosowywać ustawienia zabezpieczeń do własnych potrzeb. Usługa cieszy się zaufaniem małych i dużych klientów praktycznie ze wszystkich sektorów gospodarki, w tym z sektorów podlegających ścisłej regulacji — takich jak opieka zdrowotna, usługi finansowe, szkolnictwo czy administracja publiczna. Z uwagi na to, że dostawca platformy Office 365 zarządza usługami biurowymi świadczonymi na rzecz różnych branż i w różnych rejonach geograficznych, klienci mają do wyboru całą gamę funkcji, którymi mogą samodzielnie zarządzać w celu zwiększenia bezpieczeństwa swoich danych.
Usługa Office 365 obejmuje skalowalne procedury bezpieczeństwa, które zapewniają niezależną weryfikację zgodności ze standardami branżowymi. W niniejszym opracowaniu opisano trzy aspekty zabezpieczeń w usłudze Office 365.
Wbudowane zabezpieczenia
Fizyczne systemy sprzętowe monitorowane przez 24 godziny na dobę
Dane usługi Office 365 są przechowywane w sieci centrów danych firmy Microsoft, które działają pod nadzorem oddziału Microsoft Global Foundation Services i są rozmieszczone w strategicznych punktach na całym świecie. Ośrodki te zostały zbudowane od podstaw w celu zapewnienia ochrony usług i danych przed skutkami klęsk żywiołowych i działań nieupoważnionych osób. Centra danych podlegają całodobowej kontroli dostępu na podstawie funkcji służbowej — dostęp do aplikacji i usług klientów mają wyłącznie pracownicy, którym jest on niezbędny. Fizyczna kontrola dostępu jest realizowana z wykorzystaniem wielu mechanizmów uwierzytelniania i procedur bezpieczeństwa, takich jak identyfikatory i karty inteligentne, skanery biometryczne, pracownicy ochrony na terenie placówki, ciągły monitoring wizyjny oraz uwierzytelnianie dwuskładnikowe. Ponadto centra danych są monitorowane za pomocą czujników ruchu, kamer monitoringu i alarmów przeciwwłamaniowych. Na wypadek klęski żywiołowej stosowane są również zabezpieczenia obejmujące między innymi regały chroniące sprzęt przed skutkami wstrząsów sejsmicznych (jeśli zachodzi taka potrzeba) oraz zautomatyzowane instalacje przeciwpożarowe i gaśnicze.
Izolacja danych klientów
Usługa Office 365 zawdzięcza swoją skalowalność i opłacalność między innymi zastosowaniu modelu obsługi wielu dzierżawców, w ramach którego dane należące do różnych klientów są przetwarzane za pomocą tych samych zasobów sprzętowych. Platforma Office 365 została zaprojektowana w sposób zapewniający bardzo bezpieczną obsługę wielu dzierżawców dzięki izolacji danych. Separację procesów przechowywania i przetwarzania danych należących do poszczególnych dzierżawców zapewnia struktura usługi Active Directory połączona z mechanizmami specjalnie zaprojektowanymi pod kątem budowania i zabezpieczania środowisk wielodostępnych oraz zarządzania nimi. Usługa Active Directory pozwala odizolować poszczególnych klientów poprzez zastosowanie obszarów zabezpieczeń (zwanych silosami). Dzięki temu dane poszczególnych klientów są chronione przed dostępem i naruszeniem bezpieczeństwa przez innych dzierżawców. Za dodatkową opłatą dostępna jest również wersja usługi Office 365 umożliwiająca przechowywanie danych przy użyciu dedykowanego sprzętu.
Zautomatyzowana obsługa
W ramach centrów danych firmy Microsoft dostęp do systemów informatycznych, w których są przechowywane dane klientów, podlega ścisłemu nadzorowi z wykorzystaniem procesów kontroli dostępu opartej na rolach i dostępu nadzorowanego.
Proces kontroli dostępu jest realizowany automatycznie zgodnie z zasadami rozdziału obowiązków i przyznawania minimalnych wymaganych uprawnień. Rozwiązanie takie pozwala zagwarantować, że technik ubiegający się o prawo dostępu do powyższych systemów informatycznych spełnił stosowne wymagania obejmujące między innymi badanie przeszłości zawodowej i sprawdzenie odcisków palców, zaliczenie wymaganego przeszkolenia w dziedzinie bezpieczeństwa oraz uzyskanie zgody na dostęp. Technicy składają wnioski o przyznanie praw dostępu niezbędnych do wykonania określonych zadań w ramach procesu dostępu nadzorowanego. Proces ten obejmuje określenie okresu obowiązywania uprawnień i poziomu dostępu oraz — niezależnie od powyższego — ustalenie, czy jest konieczne wyznaczenie innego technika do monitorowania wykonywanych czynności.
Bezpieczna sieć
Sieci w centrach danych usługi Office 365 są podzielone na segmenty, co pozwala fizycznie odseparować newralgiczne wewnętrzne serwery i urządzenia pamięci masowej od interfejsów udostępnianych użytkownikom. Oprócz tego stosowane są routery brzegowe, które umożliwiają wykrywanie włamań i sygnałów świadczących o istnieniu luk w zabezpieczeniach. Połączenia między urządzeniami klienckimi a usługą Office 365 są realizowane z wykorzystaniem protokołu SSL, który zapewnia ochronę programu Outlook, aplikacji Outlook Web App, programu Exchange ActiveSync oraz protokołów POP3 i IMAP. Klienci uzyskują dostęp do usług świadczonych przez internet przy użyciu połączeń, których punktem początkowym są podłączone do internetu lokalizacje użytkowników, a punktem końcowym — centrum danych firmy Microsoft. Połączenia takie są szyfrowane przy użyciu standardowo stosowanych w branży protokołów TLS i SSL. Zastosowanie powyższych protokołów pozwala nawiązać bardzo bezpieczne połączenie między klientem a serwerem, a tym samym gwarantuje poufność i integralność danych przesyłanych między komputerem a centrum danych. Klienci mogą konfigurować szyfrowanie TLS w odniesieniu do poczty przychodzącej i wychodzącej przesyłanej między usługą Office 365 a serwerami zewnętrznymi. Funkcja ta jest domyślnie włączona.
Szyfrowanie danych
Dane klientów występują w ramach usługi Office 365 w dwóch stanach:
-
w spoczynku (na nośnikach pamięci masowej),
-
w ruchu (między centrum danych a urządzeniem klienta za pośrednictwem sieci).
Podczas przechowywania na dysku cała zawartość wiadomości e-mail jest szyfrowana przy użyciu mechanizmu AES (Advanced Encryption Standard) oferowanego przez funkcję BitLocker. Ochrona obejmuje wszystkie dyski w serwerach skrzynek pocztowych, w tym znajdujące się na nich pliki baz danych skrzynek pocztowych, pliki dzienników transakcji skrzynek pocztowych, pliki indeksów wyszukiwanej zawartości, pliki baz danych używanych do transportu, pliki dzienników transakcji transportu oraz dzienniki śledzenia dysków systemowych i wiadomości systemu operacyjnego umieszczone w pliku stronicowania.
Usługa Office 365 umożliwia również transport i przechowywanie wiadomości szyfrowanych techniką S/MIME oraz wiadomości szyfrowanych po stronie klienta za pomocą rozwiązań szyfrujących innych firm, takich jak PGP (Pretty Good Privacy).
Najlepsze rozwiązania firmy Microsoft w dziedzinie bezpieczeństwa
Zapewnienie bezpieczeństwa usługi Office 365 jest procesem ciągłym. Zabezpieczenia są stale obsługiwane, udoskonalane i weryfikowane przez doświadczonych i znakomicie wyszkolonych pracowników. Ponadto Microsoft dba o aktualność technologii stosowanych w oprogramowaniu i sprzęcie oraz stale je dopracowuje z wykorzystaniem niezawodnych procesów projektowania, budowania, eksploatacji i obsługi technicznej. Aby utrzymać bezpieczeństwo usługi Office 365 na najwyższym poziomie w branży, Microsoft stosuje między innymi procesy zarządzania cyklem projektowania zabezpieczeń, ograniczania ruchu oraz zapobiegania włamaniom, wykrywania włamań i minimalizowania ich skutków.
Cykl projektowania zabezpieczeń
Microsoft rozpoczyna pracę nad zabezpieczeniami, zanim jeszcze opinia publiczna dowie się o powstaniu danej aplikacji lub usługi. Stosowany przez Microsoft cykl projektowania zabezpieczeń (Security Development Lifecycle — SDL) to kompleksowy proces zapewnienia bezpieczeństwa, który wyznacza sposób realizacji poszczególnych etapów projektowania, opracowywania i wdrażania oprogramowania i usług firmy — w tym usługi Office 365. Metodyka SDL — obejmująca między innymi określanie wymagań związanych z projektem, analizowanie obszaru ataków i modelowanie zagrożeń — umożliwia firmie Microsoft przewidywanie, rozpoznawanie i minimalizowanie luk w zabezpieczeniach i zagrożeń przed udostępnieniem usługi oraz na wszystkich etapach jej eksploatacji. Ponadto Microsoft aktualizuje proces SDL z wykorzystaniem najnowszych danych i najlepszych rozwiązań, aby od samego początku zapewnić maksymalny poziom bezpieczeństwa nowych usług i programów związanych z Office 365.
Ograniczanie ruchu w celu zapobiegania atakom typu “odmowa usługi”
Usługa Exchange Online umożliwia monitorowanie parametrów użytkowania pod kątem zgodności z przyjętymi założeniami i dostosowywanie pracy systemu do normalnych skoków natężenia ruchu w sposób niewpływający na jakość obsługi użytkowników. Jeśli parametry ruchu generowanego przez danego użytkownika przekroczą wartości typowe, ruch jest ograniczany do czasu przywrócenia parametrów standardowych. Niezależnie od tego, czy nadmierny ruch jest spowodowany zachowaniem użytkowników czy umyślnymi atakami (takimi jak ataki typu “odmowa usługi”), oprogramowanie Exchange reaguje automatycznie, aby zapobiec zakłóceniom w pracy innych użytkowników. Oprócz tego do monitorowania i ograniczania ruchu w ramach usługi Office 365 wykorzystywana jest powszechnie dostępna platforma wykrywania ataków typu “odmowa usługi” dostarczona przez inną firmę.
Zapobieganie włamaniom, wykrywanie włamań i minimalizowanie ich skutków
Zapobieganie włamaniom, wykrywanie włamań i minimalizowanie ich skutków to elementy strategii obronnej, której celem jest przewidywanie naruszeń zabezpieczeń i podejmowanie z odpowiednim wyprzedzeniem działań zapobiegawczych. Wymaga to doskonalenia wbudowanych funkcji zabezpieczeń, w tym skanowania portów i podejmowania działań naprawczych, skanowania luk w zabezpieczeniach na granicy sieci, instalowania najnowszego oprogramowania zabezpieczającego w systemach operacyjnych, wykrywania ataków typu DDoS (rozproszona odmowa usługi) i zapobiegania im oraz stosowania uwierzytelniania wieloskładnikowego w zakresie dostępu do usługi. Z punktu widzenia kadr i procesów zapobieganie naruszeniom wymaga przeprowadzania inspekcji wszystkich prób dostępu i działań podejmowanych przez operatorów i administratorów, wyeliminowania stałych uprawnień administratorów w ramach usługi, stosowania mechanizmów umożliwiających podwyższanie uprawnień techników w celu rozwiązywania problemów z usługą wyłącznie w niezbędnym zakresie i tylko na czas wykonywania niezbędnych czynności oraz odseparowania środowiska poczty e-mail pracowników od środowiska produkcyjnego. Pracownicy, którzy nie przeszli pomyślnie badania przeszłości zawodowej, automatycznie tracą możliwość uzyskania wysokiego poziomu uprawnień, a sam proces sprawdzania przeszłości pracowników podlega surowej kontroli i wymaga ręcznego zatwierdzenia.
Zapobieganie naruszeniom wymaga również automatycznego usuwania zbędnych kont w sytuacji, w której pracownik odchodzi z firmy, przechodzi do innej grupy bądź nie korzysta z konta przed jego wygaśnięciem. Wszędzie tam, gdzie jest to możliwe, działania wykonywane przez pracowników są zastępowane zautomatyzowanymi procesami realizowanymi przez odpowiednie narzędzia. Dotyczy to, na przykład, rutynowych czynności, takich jak wdrażanie i debugowanie, zbieranie informacji diagnostycznych czy ponowne uruchamianie usług. Dział odpowiedzialny za usługę Office 365 stale inwestuje w mechanizmy automatyzacji systemów, które pozwalają rozpoznawać niewłaściwe i podejrzane zachowania oraz szybko podejmować działania mające na celu zminimalizowanie zagrożeń bezpieczeństwa. Ponadto Microsoft rozwija skuteczny system automatycznego instalowania poprawek, który umożliwia generowanie i wdrażanie rozwiązań dotyczących problemów rozpoznanych przez systemy monitorowania bez udziału pracowników, co zdecydowanie zwiększa bezpieczeństwo i elastyczność usługi. W ramach usługi Office 365 wykonywane są też testy penetracyjne, które służą doskonaleniu procedur reagowania na zdarzenia. Na podstawie wewnętrznych testów specjaliści ds. zabezpieczeń usługi Office 365 mogą tworzyć metodyczny, powtarzalny i zoptymalizowany proces wieloetapowego reagowania oraz związane z nim mechanizmy automatyzacji.
Zarządzanie przez klienta
Usługa Office 365 łączy dobrze znany pakiet Microsoft Office z działającymi w chmurze wersjami najnowszej generacji usług komunikacji i współpracy: Microsoft Exchange Online, Microsoft SharePoint Online i Microsoft Lync Online. Każda z tych usług oferuje indywidualne funkcje zabezpieczeń, którymi klienci mogą samodzielnie zarządzać. Dostępne opcje zarządzania umożliwiają klientom przestrzeganie obowiązujących wymogów prawnych, przyznawanie poszczególnym użytkownikom w firmie lub instytucji określonych praw dostępu do usług i zawartości, konfigurowanie ochrony przed złośliwym oprogramowaniem i spamem oraz szyfrowanie danych za pomocą własnego klucza.
Zaawansowane szyfrowanie
Istotnym atutem usługi Office 365 jest możliwość udostępnienia klientom inteligentnych opcji szyfrowania jako dodatkowego środka bezpieczeństwa. Usługa Office 365 oferuje taką możliwość za pośrednictwem usługi zarządzania prawami (Rights Management Service — RMS). Dzięki usłudze RMS użytkownicy mogą elastycznie decydować o tym, które elementy chcą szyfrować, niezależnie od własnej lokalizacji oraz lokalizacji zawartości. Kolejną unikatową cechą usługi RMS jest możliwość analizowania zawartości pod kątem zapewnienia inteligentnej ochrony. Użytkownik może zaszyfrować dany element zawartości i zastosować do niego inteligentne mechanizmy kontroli, na przykład, poprzez wskazanie osób, które mogą uzyskiwać dostęp do zawartości, oraz określenie dozwolonego rodzaju dostępu.
W ten sposób użytkownik może, na przykład, zezwolić niewielkiej grupie osób na wyświetlanie zawartości, ale bez możliwości jej edycji czy przekazywania innym osobom. Ponadto Office 365 umożliwia szyfrowanie poczty e-mail na potrzeby użytkowników niefederacyjnych dzięki opcji udostępniania usług szyfrowania ad hoc w odniesieniu do dowolnego adresata.Wersja Office Professional Plus oferuje dodatkowo zaawansowane zabezpieczenia z macierzystą obsługą mechanizmu zręczności kryptograficznej dzięki integracji z interfejsami CNG (Cryptographic Next Generation) systemu Windows. Dzięki temu administratorzy mogą określać algorytmy kryptograficzne służące do szyfrowania i podpisywania dokumentów.
Dostęp dla użytkowników
Dane i usługi platformy Office 365 są chronione na poziomie centrum danych, sieci, systemów logicznych, pamięci masowej oraz protokołu transportowego. Niezwykle istotne jest również zapewnienie klientom kontroli nad tym, kto uzyskuje dostęp do danych i w jaki sposób ich używa. Office 365 wykorzystuje w tym celu usługę Windows Azure Active Directory jako bazową platformę zarządzania tożsamością. W rezultacie klienci korzystający z usługi mają do dyspozycji opcje silnego uwierzytelniania oraz mogą precyzyjnie określać, w jaki sposób informatycy i użytkownicy uzyskują dostęp do usługi. Oprócz tego Office 365 umożliwia integrację z lokalną usługą Active Directory lub innymi magazynami katalogów i systemami zarządzania tożsamością — takimi jak usługi federacyjne Active Directory (AD FS) czy systemy STS innych firm — w celu zapewnienia bezpiecznego, opartego na tokenach, uwierzytelniania dostępu do usług.
Zasady bezpieczeństwa dotyczące tożsamości federacyjnych i logowania jednokrotnego po stronie klienta
Administratorzy mogą tworzyć powiązania federacyjne między lokalną usługą Active Directory lub innymi magazynami katalogów a usługą Windows Azure Active Directory (wykorzystywaną jako platforma zarządzania tożsamością na potrzeby usługi Office 365). Po skonfigurowaniu federacji wszyscy użytkownicy usługi Office 365, których tożsamości są oparte na domenie federacyjnej, mogą korzystać z dotychczasowych firmowych identyfikatorów logowania do uwierzytelniania w usłudze Office 365. Federacja umożliwia bezpieczne uwierzytelnianie przy użyciu tokenów, a także pozwala administratorom na tworzenie dodatkowych mechanizmów uwierzytelniania, takich jak:
-
uwierzytelnianie dwuskładnikowe;
-
kontrola dostępu oparta na klientach — zapewniająca firmom i instytucjom kontrolę nad dostępem użytkowników do informacji z określonych urządzeń i/lub lokalizacji (co pozwala, na przykład, ograniczyć dostęp z powszechnie dostępnych komputerów lub otwartych publicznych sieci Wi-Fi);
-
kontrola dostępu oparta na rolach — podobna do procedury kontroli dostępu do centrów danych firmy Microsoft opisanej wcześniej w punkcie “Automatyzacja obsługi”.
Dzięki federacji systemów obsługi wiadomości błyskawicznych użytkownicy usługi Lync Online mogą porozumiewać się w ten sposób w bardzo bezpiecznym środowisku z użytkownikami w innych firmach korzystających z usługi Lync Online, lokalnego programu Lync Server 2010, a nawet publicznej sieci WB opartej na programie Skype. Wszelkie informacje przesyłane w ramach federacji między systemami wiadomości błyskawicznych są szyfrowane za pomocą serwerów dostępowych proxy. Ponadto usługa Lync Online umożliwia administratorom zapisywanie rozmów prowadzonych przy użyciu wiadomości błyskawicznych.
Uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe zwiększa bezpieczeństwo w środowiskach opartych na chmurze i obejmujących wiele urządzeń. Microsoft zapewnia własne rozwiązanie do uwierzytelniania dwuskładnikowego z opcją przesyłania haseł na telefon, a także obsługuje rozwiązania oferowane przez inne firmy. Rozwiązanie firmy Microsoft do uwierzytelniania dwuskładnikowego z wykorzystaniem telefonów umożliwia użytkownikom odbieranie kodów PIN przesyłanych w formie wiadomości SMS. Kod PIN pełni w takim przypadku rolę drugiego hasła wpisywanego w celu zalogowania się do usług.
Zapewnienie zgodności z przepisami
Usługa Office 365 oferuje całą gamę funkcji umożliwiających zapewnienie zgodności z przepisami,
w tym funkcje zapobiegania utracie danych, mechanizmy zbierania elektronicznych materiałów dowodowych oraz funkcje inspekcji i raportowania. Wszystkie powyższe elementy są objęte jednolitym interfejsem użytkownika i nie wpływają na wydajność pracy, co zdecydowanie przyspiesza ich upowszechnianie.
Zapobieganie utracie danych
Złośliwe oprogramowanie i ukierunkowane ataki mogą spowodować naruszenie bezpieczeństwa danych, ale w praktyce o wiele większym zagrożeniem dla większości klientów są błędy popełniane przez użytkowników. W ramach usługi Exchange Online dostępna jest technologia zapobiegania utracie danych, która umożliwia rozpoznawanie, monitorowanie i ochronę poufnych danych, a także pomaga użytkownikom zrozumieć ryzyko związane z danymi i skutecznie nimi zarządzać. Funkcja zapobiegania utracie danych umożliwia, na przykład, profilaktyczne rozpoznawanie poufnych danych zawartych w wiadomościach e-mail (takich jak numery PESEL czy numery kart kredytowych) i ostrzeganie użytkowników za pomocą “wskazówek dotyczących zasad”, zanim wyślą daną wiadomość. Administratorzy mają też do dyspozycji całą gamę opcji zarządzania, za pomocą których mogą dostosowywać przyjęty w firmie poziom ograniczeń. Pozwala to, na przykład, ostrzegać użytkowników przed wysłaniem poufnych danych (przy czym wysłanie takich danych może wymagać uzyskania odpowiedniej zgody) lub całkowicie zablokować możliwość ich wysłania. Funkcje zapobiegania utracie danych umożliwiają skanowanie wiadomości e-mail i załączników, a także zapewniają administratorom dostęp do kompleksowych raportów zawierających informacje o tym, kto wysyła jakie dane.
Zasady inspekcji i przechowywania danych
Dostępne w usłudze Office 365 zasady inspekcji umożliwiają klientom rejestrowanie zdarzeń obejmujących między innymi wyświetlanie, edycję i usuwanie zawartości (takiej jak wiadomości e-mail, dokumenty, listy zadań, listy problemów, grupy dyskusyjne czy kalendarze). Włączenie funkcji inspekcji w ramach zasad zarządzania informacjami umożliwia administratorom wyświetlanie danych inspekcji i tworzenie podsumowań dotyczących aktualnego wykorzystania zawartości. Na podstawie powyższych raportów administratorzy mogą ustalać sposób korzystania z informacji w danej firmie, zarządzać zgodnością i analizować obszary budzące obawy.
Zbieranie elektronicznych materiałów dowodowych
Obsługę nowego, łatwego w użyciu Centrum zbierania elektronicznych materiałów dowodowych można zlecić wyspecjalizowanym użytkownikom — takim jak specjaliści ds. zgodności lub pracownicy działu kadr. Dzięki temu czynności związane ze zbieraniem elektronicznych materiałów dowodowych mogą być wykonywane bez dodatkowego obciążania działu informatycznego. Za pomocą narzędzi do zbierania elektronicznych materiałów dowodowych klienci mogą pobierać zawartość z usług Exchange Online, SharePoint Online i Lync Online, a nawet z udziałów plików. Zintegrowane z usługą Office 365 funkcje zbierania elektronicznych materiałów dowodowych pozwalają ujednolicić proces przeszukiwania i zachowywania wiadomości e-mail, dokumentów i skrzynek pocztowych witryn. W ten sposób klienci mogą precyzyjnie określać, jakie informacje chcą wyszukiwać i zachowywać. Ponadto klienci mają możliwość wyszukiwania tylko i wyłącznie wymaganych informacji, co może przyczynić się do obniżenia kosztów zbierania materiałów dowodowych. Jednocześnie proces zbierania elektronicznych materiałów dowodowych nie nakłada na użytkownika dodatkowych obowiązków związanych z wyszukiwaniem i zachowywaniem danych, ponieważ wszystkie te czynności są wykonywane w tle.
Przeciwdziałanie wyciekom danych
Usługa Office 365 obejmuje funkcje zapewnienia zgodności przeznaczone dla klientów mających do czynienia z wyciekiem danych, umożliwiające, na przykład, klientowi z sektora administracji publicznej samodzielne usunięcie przesłanych do usługi Office 365 danych niejawnych. Specjaliści ds. zgodności i bezpieczeństwa, mający odpowiednie uprawnienia w systemie kontroli dostępu opartej na rolach, mogą wyszukiwać odpowiednie wiadomości lub dokumenty za pomocą funkcji zbierania elektronicznych materiałów dowodowych, a następnie trwale je usuwać. Dyski twarde wykorzystywane do przechowywania takich danych nie są używane ponownie do innych celów, naprawiane ani przenoszone w inny sposób poza chronione fizycznie Centrum danych usługi Office 365. Dyski wycofane z użytku w ramach infrastruktury Office 365 są niszczone.
Ochrona przed złośliwym oprogramowaniem i spamem
W ramach usługi klienci mają do dyspozycji opcje umożliwiające konfigurowanie funkcji ochrony przed złośliwym oprogramowaniem i spamem. Ponadto mogą korzystać z samodzielnie wykupionych usług ochrony przed złośliwym oprogramowaniem; w takim przypadku dane wysyłane do usługi Office 365 lub odbierane z tej usługi są kierowane do serwisu innego dostawcy. Platforma Office 365 korzysta z wielu aparatów skanujących w celu zapewnienia ochrony wiadomości przychodzących, wychodzących i wewnętrznych przed złośliwym oprogramowaniem rozpowszechnianym za pośrednictwem poczty.
Każda otrzymana wiadomość jest analizowana i oznaczana określonym poziomem ufności filtru spamu (SCL). Wiadomości z wysoką wartością SCL są usuwane na poziomie bramy, a wiadomości z niską wartością — dostarczane do skrzynek pocztowych użytkowników. Wiadomości, w przypadku których poziom SCL nie jest jednoznaczny, trafiają do folderu “Wiadomości — śmieci” na komputerze użytkownika, skąd są następnie automatycznie usuwane po upływie 30 dni. Administratorzy mogą zarządzać ochroną przed złośliwym oprogramowaniem i spamem w Centrum administracyjnym usługi Office 365, w którym są między innymi dostępne opcje dotyczące wiadomości — śmieci oraz ogólnofirmowe listy bezpiecznych i zablokowanych nadawców. Poszczególni użytkownicy mogą również zarządzać bezpiecznymi i zablokowanymi nadawcami z poziomu skrzynek odbiorczych w programie Microsoft Outlook lub aplikacji Microsoft Outlook Web App.
Mechanizmy kontroli zawartości i wykrywania złośliwego oprogramowania za pomocą wielu aparatów skanujących pozwalają również wyeliminować dokumenty zawierające złośliwy kod. Usługa Office 365 blokuje przekazywanie i pobieranie określonych typów plików, które mogą zawierać tego rodzaju kod, na podstawie rozszerzeń nazw plików. Ponadto w ramach platformy Office 365 zastosowano filtr inteligentny wiadomości błyskawicznych, który pozwala chronić usługę i sieci klientów przed złośliwym oprogramowaniem i spamem przesyłanym za pośrednictwem tego kanału. Firma Microsoft opracowała powyższy filtr na podstawie wieloletnich doświadczeń w dziedzinie obsługi bezpiecznych globalnych systemów przesyłania wiadomości błyskawicznych.
Zapewnienie i niezależna weryfikacja zgodności
Zabezpieczenia usługi Office 365 mają formę skalowalnego procesu, który można szybko dostosowywać do trendów w dziedzinie bezpieczeństwa oraz specyficznych potrzeb danej branży. Microsoft przeprowadza regularne przeglądy zarządzania ryzykiem oraz tworzy i utrzymuje strukturę mechanizmów bezpieczeństwa spełniającą wymogi najnowszych standardów. Wewnętrzne przeglądy i zewnętrzne inspekcje przeprowadzane przez zaufane instytucje są nieodłącznym elementem cyklu życia usługi Office 365, a ścisła współpraca z innymi zespołami firmy Microsoft umożliwia kompleksowe podejście do kwestii ochrony aplikacji w chmurze.
Obsługa globalnej infrastruktury opartej na chmurze pociąga za sobą konieczność wypełniania zobowiązań dotyczących zgodności z przepisami oraz przechodzenia kontroli przeprowadzanych przez podmioty zewnętrzne. Wymagania, których przestrzeganie podlega kontroli, wynikają z uregulowań państwowych i branżowych, zasad wewnętrznych oraz najlepszych rozwiązań stosowanych w branży. Dział odpowiedzialny za usługę Office 365 stale analizuje i uwzględnia oczekiwania dotyczące zgodności. Dzięki temu usługa przeszła pomyślnie niezależną weryfikację obejmującą między innymi kontrolę zgodności z normami ISO 27001 i SSAE16 SOC 1 (typ II) i umożliwia przesyłanie danych poza terytorium Unii Europejskiej w ramach programu U.S.-EU Safe Harbor z uwzględnieniem standardowych klauzul umownych UE. Ponadto dostawca usługi jest gotowy do podpisania z każdym klientem umowy HIPAA BAA, otrzymał od federalnej agencji rządu Stanów Zjednoczonych upoważnienie do prowadzenia działalności zgodnie z ustawą FISMA oraz przedstawił informacje o stosowanych środkach bezpieczeństwa w publicznym rejestrze organizacji Cloud Security Alliance. Dodatkową zaletą usługi Office 365 jest dostępność mechanizmów kontroli wprowadzonych w celu spełnienia wymogów powyższych standardów także w odniesieniu do klientów, którzy niekoniecznie podlegają określonym przepisom czy wymogom.
Norma ISO 27001
Usługa Office 365 powstała zgodnie z wymaganiami normy ISO 27001 i jest pierwszą liczącą się usługą biurową dla firm oferowaną w chmurze publicznej, w ramach której wdrożono cały zestaw rygorystycznych globalnych standardów obejmujących ochronę fizyczną i logiczną, procesy oraz mechanizmy zarządzania.
Ustawa FISMA
Dostawca usługi Office 365 uzyskał od kilku agencji federalnych zezwolenie średniego poziomu na prowadzenie działalności zgodnie z ustawą federalną dotyczącą zarządzania bezpieczeństwem informacji (Federal Information Security Management Act — FISMA). Prowadzenie działalności w ramach tej ustawy wymaga zachowania jawności i częstego przekazywania klientom reprezentującym władze federalne Stanów Zjednoczonych sprawozdań dotyczących bezpieczeństwa. Microsoft stosuje wyspecjalizowane procesy przewidziane powyższą ustawą w całej infrastrukturze, dzięki czemu może również udoskonalać program bezpieczeństwa i zgodności usług online realizowany na rzecz klientów niepodlegających wymogom ustawy FISMA.
Umowa HIPAA BAA
Dział odpowiedzialny za usługę Office 365 jest pierwszym dużym dostawcą usługi biurowej dla firm oferowanej w chmurze publicznej, który proponuje wszystkim klientom zawarcie umowy HIPAA BAA. HIPAA to ustawa obowiązująca w Stanach Zjednoczonych, która dotyczy podmiotów z sektora opieki zdrowotnej. Ustawa określa zasady wykorzystywania, ujawniania i zabezpieczania chronionych informacji zdrowotnych oraz nakłada na objęte nią podmioty wymóg podpisywania umów partnerstwa biznesowego (Business Associate Agreement — BAA) z dostawcami mającymi dostęp do powyższych informacji.
Standardowe klauzule umowne UE
Dział odpowiedzialny za usługę Office 365 jest pierwszym dużym dostawcą usługi biurowej dla firm oferowanej w chmurze publicznej, który podpisuje ze wszystkimi klientami określone przez Unię Europejską standardowe klauzule umowne dotyczące przekazywania danych za granicę. Office 365 jest jedną z nielicznych usług w chmurze, które uzyskały powszechną aprobatę europejskich urzędów ochrony danych (w tym urzędów działających na terenie Bawarii, Danii, Francji, Hiszpanii, Irlandii, Luksemburga i Malty) w zakresie podejścia do standardowych klauzul umownych UE.
Cloud Security Alliance
Usługa Office 365 spełnia wymagania dotyczące zgodności i zarządzania ryzykiem określone w dokumencie Cloud Control Matrix (CCM) organizacji Cloud Security Alliance (CSA). Dokument CCM jest publikowany przez organizację non profit zrzeszającą najlepszych specjalistów z branży, która skupia się na pomaganiu klientom w podejmowaniu właściwych decyzji w związku z migracją do chmury. W dokumencie wyjaśniono szczegółowo pojęcia i zasady dotyczące bezpieczeństwa i prywatności dopasowane do zaleceń CSA w 13 dziedzinach. Dostawca usługi Office 365 opublikował szczegółowe omówienie funkcji usługi zgodnie z wymaganiami dokumentu CCM, które obrazuje, w jaki sposób funkcje te spełniają powyższe wymogi. Dzięki temu klienci otrzymują wyczerpujące informacje pozwalające ocenić różne oferty dostępne obecnie na rynku.
Podsumowanie
Współczesne przedsiębiorstwa potrzebują usług biurowych, które umożliwią użytkownikom wydajniejszą pracę z dowolnego miejsca, a jednocześnie pozwolą zachować wysoki poziom bezpieczeństwa w obliczu stale zmieniających się zagrożeń. Usługa Office 365 spełnia jednocześnie oba wymagania i oferuje bardzo bezpieczną platformę do pracy biurowej udostępnianą w chmurze. Informacje na temat bezpieczeństwa, prywatności, zgodności, jawności i ciągłości działania usługi Office 365 można uzyskać w Centrum zaufania usługi Office 365. Zabezpieczenia są nieodłącznym elementem platformy Office 365 na wszystkich poziomach — od procesów projektowania aplikacji po fizyczne centra danych i dostęp użytkowników. Coraz mniej firm potrafi obecnie utrzymać równie wysoki poziom bezpieczeństwa w systemach lokalnych bez ponoszenia niewspółmiernych kosztów.
Co ważne, aplikacje Office 365 są wyposażone zarówno we wbudowane funkcje bezpieczeństwa, upraszczające ochronę danych, jak i w narzędzia umożliwiające administratorom elastyczne konfigurowanie i integrowanie zabezpieczeń oraz zarządzanie nimi w sposób zgodny z indywidualnymi potrzebami biznesowymi danej firmy. Firmy decydujące się na skorzystanie z usługi Office 365 zyskują partnera, który rozumie potrzeby związane z bezpieczeństwem działalności gospodarczej, a także cieszy się zaufaniem małych i dużych przedsiębiorstw reprezentujących niemal wszystkie branże i części świata.
Nazwa Microsoft jest zastrzeżonym znakiem towarowym lub znakiem towarowym spółki Microsoft Corporation w Stanach Zjednoczonych i/lub innych krajach.
Nazwy rzeczywistych przedsiębiorstw i produktów wymienione w niniejszym dokumencie mogą być znakami towarowymi odpowiednich podmiotów.
Tekst pochodzi ze strony: http://office365guru.pl/zabezpieczenia-w-office-365/