Zabezpieczenia usługi Office 365

Zabezpieczenia usługi Office 365

Office 365 to usługa oparta na chmurze, która spełnia potrzeby organizacji w zakresie solidnych zabezpieczeń, niezawodności i produktywności użytkowników. Pomaga również zaoszczędzić czas i pieniądze oraz uwolnić cenne zasoby. Pakiet Office 365 integruje dobrze znany pakiet klasyczny pakietu Microsoft Office z opartymi na chmurze wersjami usług komunikacji i współpracy nowej generacji firmy Microsoft, wykorzystując Internet do zwiększenia produktywności użytkowników z praktycznie dowolnego miejsca.

Przenosząc organizację do usług w chmurze, musisz mieć możliwość powierzenia dostawcy usług najważniejszych, najbardziej wrażliwych i poufnych danych. Ponieważ bezpieczeństwo ma kluczowe znaczenie dla sukcesu biznesowego, firma Microsoft ma solidne zasady, mechanizmy kontroli i systemy wbudowane w usługę Office 365, które pomagają zapewnić bezpieczeństwo Twoich informacji. Usługa Office 365 została zaprojektowana w oparciu o zasady cyklu tworzenia zabezpieczeń, obowiązkowego procesu firmy Microsoft, który osadza wymagania dotyczące zabezpieczeń w każdej fazie programowania. 

Dane pakietu Office 365 należą do Ciebie. Oznacza to, że masz nad nim pełną kontrolę. Zapewniamy rozbudowane mechanizmy kontroli prywatności i wgląd w to, gdzie przechowywane są Twoje dane i kto ma do nich dostęp, a także w dostępności i zmianach w usłudze. Jeśli zakończysz subskrypcję usługi, możesz zabrać ze sobą swoje dane. Technologie i zasady zabezpieczeń na poziomie usług zarządzane przez firmę Microsoft są domyślnie włączone, a mechanizmy kontroli zarządzane przez klienta umożliwiają dostosowanie środowiska Office 365 do potrzeb organizacji w zakresie zabezpieczeń. Usługa Office 365 jest stale aktualizowana w celu zwiększenia bezpieczeństwa.

Bezpieczna tożsamość

Usługa Office 365 używa usługi Azure Active Directory (Azure AD) do zarządzania użytkownikami oraz do uwierzytelniania, zarządzania tożsamościami i kontroli dostępu. Możliwości usługi Azure AD obejmują oparty na chmurze magazyn danych katalogowych i podstawowy zestaw usług tożsamości, takich jak procesy logowania użytkowników, usługi uwierzytelniania i usługi federacyjne. Te usługi tożsamości łatwo integrują się z lokalnymi wdrożeniami usługi Azure AD i w pełni obsługują dostawców tożsamości innych firm. Podczas konfigurowania kont użytkowników i zarządzania nimi możesz wybrać jeden z trzech głównych modeli tożsamości w usłudze Office 365:

• Tożsamość w chmurze 
• Zsynchronizowana tożsamość 
• Tożsamość federacyjna 

Usługa Office 365 korzysta z uwierzytelniania wieloskładnikowego, zarządzanego z poziomu centrum administracyjnego usługi Office 365, aby zapewnić dodatkowe zabezpieczenia. Usługa Office 365 oferuje następujący podzestaw funkcji usługi Azure Multi-Factor Authentication w ramach subskrypcji:

• Możliwość włączania i wymuszania uwierzytelniania wieloskładnikowego dla użytkowników końcowych
• Korzystanie z aplikacji mobilnej (hasło online i jednorazowe) jako drugiego składnika uwierzytelniania
• Wykorzystanie rozmowy telefonicznej jako drugiego składnika uwierzytelniania
• Wykorzystanie wiadomości SMS (Short Message Service) jako drugiego składnika uwierzytelniania
• Hasła aplikacji dla klientów innych niż przeglądarki (na przykład oprogramowania klienckiego Skype dla firm)
• Domyślne powitania firmy Microsoft podczas uwierzytelniających połączeń telefonicznych

Bezpieczna infrastruktura

W usłudze Office 365 stosowane są zasady ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi. Skala i globalny charakter działalności firmy Microsoft pozwalają nam korzystać ze strategii i technik obrony przed atakami sieciowymi, z którymi niewielu dostawców lub organizacji klientów może się równać. Podstawą naszej strategii jest wykorzystanie naszej globalnej obecności do współpracy z dostawcami Internetu, publicznymi i prywatnymi dostawcami peeringu oraz prywatnymi korporacjami na całym świecie, co zapewni nam znaczącą obecność w Internecie. Dzięki temu firma Microsoft może wykrywać ataki i bronić się przed nimi na bardzo dużym obszarze.

Zarządzanie zagrożeniami

Strategia zarządzania zagrożeniami dla usługi Office 365 obejmuje identyfikację intencji, możliwości i prawdopodobieństwa pomyślnego wykorzystania luki w zabezpieczeniach potencjalnego zagrożenia. Mechanizmy kontroli stosowane w celu ochrony przed takimi nadużyciami opierają się na branżowych standardach bezpieczeństwa i najlepszych praktykach. Usługa Office 365 zapewnia solidną ochronę poczty e-mail przed spamem, wirusami i złośliwym oprogramowaniem dzięki usłudze Exchange Online Protection. Usługa Office 365 oferuje również zaawansowaną ochronę przed zagrożeniami (ATP), usługę filtrowania poczty e-mail, która zapewnia dodatkową ochronę przed określonymi typami zaawansowanych zagrożeń.

Ruchliwość

Dzisiejsi użytkownicy usługi Office 365 są w ciągłym ruchu i potrzebują dostępu z dowolnego miejsca, przy użyciu różnych urządzeń. Za pomocą zarządzania urządzeniami przenośnymi w usłudze Microsoft Intune można zarządzać urządzeniami z systemami Windows, Apple iOS i Android oraz chronić je. Możesz identyfikować, monitorować i chronić poufne informacje za pomocą mechanizmów zapobiegania utracie danych w zarządzaniu aplikacjami mobilnymi.

Reagowanie na incydenty

Proces Office 365 zarządzania incydentami zabezpieczeń jest zgodny z podejściem zalecanym przez National Institute of Standards and Technology (NIST). Reagowanie na zdarzenia zabezpieczeń firmy Microsoft obejmuje kilka dedykowanych zespołów, które współpracują ze sobą w celu zapobiegania zdarzeniom zabezpieczeń, monitorowania ich, wykrywania i reagowania na nie. Zespoły ds. zabezpieczeń usługi Office 365 stosują to samo podejście do zdarzeń zabezpieczeń, które obejmuje fazy zarządzania reagowaniem NIST 800-61:

• Przygotowanie - przygotowanie organizacyjne potrzebne do zareagowania na incydent, w tym narzędzia, procesy, kompetencje i gotowość.
• Wykrywanie i analiza - wykrycie incydentu bezpieczeństwa w środowisku produkcyjnym oraz analiza wszystkich zdarzeń w celu potwierdzenia autentyczności incydentu bezpieczeństwa.
• Ograniczanie, eliminowanie i korygowanie — wymagane i odpowiednie działania niezbędne do powstrzymania incydentu bezpieczeństwa w oparciu o analizę przeprowadzoną w poprzedniej fazie. W tej fazie może być również konieczna dodatkowa analiza, aby w pełni skorygować incydent zabezpieczeń.
• Post-Incident Activity - analiza wykonywana po usunięciu incydentu bezpieczeństwa. Działania operacyjne wykonywane podczas procesu są analizowane w celu określenia, czy należy wprowadzić jakiekolwiek zmiany w fazie przygotowania lub wykrywania i analizy.

Bezpieczeństwo fizyczne

Dane klientów usługi Office 365 są przechowywane w centrach danych firmy Microsoft, które są rozproszone geograficznie i chronione przez warstwy zabezpieczeń. Centra danych firmy Microsoft są budowane od podstaw w celu ochrony usług i danych przed uszkodzeniem wskutek klęski żywiołowej, zagrożeń środowiskowych lub nieautoryzowanego dostępu. Usługa Office 365 została zaprojektowana z myślą o wysokiej dostępności i działa w geograficznie nadmiarowych centrach danych z możliwością automatycznego przełączania awaryjnego.

Dostęp do centrum danych jest ograniczony 24 godziny na dobę w zależności od stanowiska pracy i monitorowany za pomocą czujników ruchu, monitoringu wideo i alarmów o naruszeniu bezpieczeństwa. Fizyczne środki kontroli dostępu obejmują ogrodzenie, bezpieczne wejścia, pracowników ochrony na miejscu, ciągły nadzór wideo i sieci komunikacyjne w czasie rzeczywistym. Wiele procesów uwierzytelniania i zabezpieczeń — w tym identyfikatory i karty inteligentne, skanery biometryczne i uwierzytelnianie dwuskładnikowe — chroni przed nieautoryzowanym dostępem. Zautomatyzowane systemy przeciwpożarowe i gaśnicze oraz regały zabezpieczone sejsmicznie chronią przed klęskami żywiołowymi.

Szyfrowanie danych

Usługa Office 365 korzysta z technologii po stronie usługi, które szyfrują dane klientów w spoczynku i podczas przesyłania. W przypadku danych klienta magazynowanych usługa Office 365 używa szyfrowania na poziomie woluminu i pliku. W przypadku danych klientów przesyłanych usługa Office 365 używa wielu technologii szyfrowania do komunikacji między centrami danych oraz między klientami a serwerami, takich jak Transport Layer Security (TLS) i Internet Protocol Security (IPsec). Usługa Office 365 zawiera również funkcje szyfrowania zarządzane przez klienta. Dane klientów przechowywane w usłudze Office 365 są chronione we wszystkich konfiguracjach. Walidacja zasad kryptograficznych firmy Microsoft i ich egzekwowanie jest niezależnie weryfikowane przez wielu audytorów zewnętrznych.

Utrzymanie bezpieczeństwa w architekturze wielodostępowej

Wielodostępowość to podstawowa zaleta chmury obliczeniowej. Jest to możliwość współdzielenia wspólnej infrastruktury przez wielu klientów jednocześnie, co prowadzi do korzyści skali. Firma Microsoft nieustannie pracuje nad tym, aby architektura wielodostępna usługi Office 365 obsługiwała standardy bezpieczeństwa, poufności, prywatności, integralności i dostępności na poziomie przedsiębiorstwa. Bazując na istotnych doświadczeniach zebranych z Trustworthy Computing i cyklu rozwoju zabezpieczeń, usługi chmurowe Microsoft, w tym Office 365, zostały zaprojektowane z założeniem, że wszyscy dzierżawcy są potencjalnie wrogo nastawieni do wszystkich innych dzierżawców. W związku z tym w usłudze Office 365 wdrożono wiele form ochrony, aby uniemożliwić klientom naruszenie zabezpieczeń usług lub aplikacji Office 365 lub uzyskanie nieautoryzowanego dostępu do informacji innych dzierżawców lub samego systemu Office 365.

W jaki sposób firma Microsoft uzyskuje dostęp do danych użytkownika

Firma Microsoft automatyzuje większość operacji usługi Office 365, celowo ograniczając własny dostęp do zawartości klienta. Dzięki temu możemy zarządzać usługą Office 365 na dużą skalę i eliminować ryzyko związane z wewnętrznymi zagrożeniami dla zawartości klienta, takimi jak złośliwy czynnik lub spear-phishing inżyniera firmy Microsoft. Domyślnie inżynierowie firmy Microsoft nie mają stałych uprawnień administracyjnych ani stałego dostępu do zawartości klienta w usłudze Office 365. Inżynier firmy Microsoft może mieć ograniczony, kontrolowany i zabezpieczony dostęp do zawartości klienta przez ograniczony czas, ale tylko wtedy, gdy jest to konieczne do działania usługi i tylko wtedy, gdy jest to zatwierdzone przez członka kadry kierowniczej wyższego szczebla firmy Microsoft (a w przypadku klientów, którzy mają licencję na funkcję skrytki klienta, przez klienta).

W jaki sposób uzyskujesz dostęp do swoich danych

Oprócz mechanizmów kontroli zaimplementowanych przez firmę Microsoft usługa Office 365 umożliwia zarządzanie własnymi danymi w taki sam sposób, w jaki zarządza się danymi w środowiskach lokalnych. Administrator globalny ma dostęp do wszystkich funkcji w centrach administracyjnych i może tworzyć lub edytować użytkowników, wykonywać zadania administracyjne oraz przypisywać role administratora innym osobom. Możesz także kontrolować, w jaki sposób użytkownicy uzyskują dostęp do informacji z określonych urządzeń lub określonych lokalizacji lub kombinacji obu.