Zabezpečení služeb Office 365

Zabezpečení služeb
Office 365
Dokument white paper
Publikováno: červen 2011
Obsah
3
Úvod
3
Problémy
4
Bezpečný základ
5
Ochrana osobních údajů a vlastnictví dat
6
Integrované zabezpečení
7
Flexibilita při naplňování pokročilých potřeb zabezpečení
7
Závěr
2
Úvod
V tomto dokumentu naleznete přehled bezpečnostních postupů a technologií, které zajišťují špičkové
zabezpečení služeb Microsoft Office 365 pro firmy všech velikostí. Úplný a podrobný popis zabezpečení
služeb Office 365 získáte v dokumentu Office 365 Security Service Description, který je k dispozici ke
stažení na webu na adrese http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6c6ecc6c64f5-490a-bca3-8835c9a4a2ea.
Microsoft® Office 365 přináší firmám všech velikostí možnost zvýšit produktivitu díky práci v cloudu, šetří
čas i peníze a umožňuje uvolnit důležité zdroje. Office 365 kombinuje známou kancelářskou sadu Office
s cloudovými verzemi nové generace služeb pro komunikaci a spolupráci: Microsoft Exchange Online,
Microsoft SharePoint® Online a Microsoft Lync™ Online.
Když společnost nebo jiná organizace svěřuje úložiště a správu svých dat externímu poskytovateli služeb,
musí vzít do úvahy hlediska zabezpečení, ochrany dat, ochrany osobních údajů a vlastnictví dat.
Společnost Microsoft považuje tyto oblasti za své priority, a proto uplatnila při vývoji služeb Office 365 své
rozsáhlé zkušenosti s bezpečnostními technologiemi a ochranou osobních údajů v cloudu i v interně
nasazených serverových prostředích. Služby Microsoft Online Services vedle přínosů cloud computingu
nabízejí také špičkové podnikové zabezpečení, které je nezbytné pro každou organizaci bez ohledu na její
velikost. Microsoft uplatňuje při ochraně dat zákazníků komplexní přístup – jednak na fyzické vrstvě (což
dokládají naše investice ve výši 2 mld. USD do zřízení těch nejvyspělejších datových center), jednak na
vrstvě logické (mj. směrnice pro vývoj služeb a softwaru, které zohledňují bezpečnostní požadavky).
Služby Office 365 zajišťují bezpečný přístup na všech platformách a zařízeních a zahrnují kvalitní
antispamové a antivirové technologie, které se automaticky aktualizují a chrání systém před nejnovějšími
hrozbami. Bezpečnostní funkce jsou integrovány se službami Office 365, což snižuje časovou i finanční
náročnost zabezpečení IT systémů firmy. Služby Office 365 navíc umožňují snadné řízení oprávnění, zásad
a funkcí prostřednictvím online konzol pro správu. Díky tomu lze Office 365 snadno nakonfigurovat
v souladu s vašimi konkrétními potřebami.
Problémy
Pracovníci jsou stále častěji mobilní, a proto je nutné zajistit přístup k firemním datům pro stále více
uživatelů na stále více místech. Zároveň však přibylo příležitostí k útoku na IT systémy. Útoky jsou navíc
stále komplikovanější a nebezpečnější. Dnešní počítačoví zločinci často bývají dobře organizovaní
profesionálové motivovaní finančním ziskem. V takovém prostředí je tedy nezbytné zajistit komplexní
přístup k zabezpečení a ochraně systémů a dat. Součástí komplexní bezpečnostní strategie společnosti
Microsoft je jednak návrh a vývoj bezpečnějších služeb a softwaru, jednak účinné monitorování hrozeb
a reakce na ně a analýza nově nalezených hrozeb tak, aby proti nim existovala vhodná opatření, dříve než
jejich závažnost přeroste v problém. Objem dat generovaných běžným provozem firmy neustále narůstá,
a proto se zálohování a obnova dat postupně staly významnou nákladovou položkou v rozpočtu IT
oddělení. Organizace potřebují nenákladná škálovatelná řešení, která zajistí nepřetržitou dostupnost jejich
dat.
Po zvážení uvedených problémů dochází řada organizací k závěru, že služby Office 365 dokáží při nižších
nákladech poskytnout vyšší standard zabezpečení, než jakého lze dosáhnout údržbou interně nasazených
serverů s kancelářským softwarem. Zákazníci využívající služby Office 365 se zbavili nákladného břemene
v podobě interního nasazení a údržby antivirového, antispamového a zálohovacího řešení a technologie
pro zotavení po havárii. Součástí služeb Office 365 jsou totiž integrované funkce pro škálovatelnost a
zotavení po havárii, které dokáží zpracovat stále vyšší objemy důležitých firemních dat. Náklady přitom
zůstávají pevné a snadno předvídatelné. Na rozdíl od nabídky ostatních dodavatelů kancelářských řešení
je Office 365 flexibilní, díky čemuž lze dočasně i trvale implementovat hybridní prostředí, ve kterém lze
přecházet na cloudové technologie postupně, nebo dokonce po neomezenou dobu zachovat některé
uživatele na interním hardwaru.
Bezpečný základ
Společnost Microsoft nabízí online služby již delší dobu. Základy oddělení Microsoft Global Foundation
Services (GFS), které dnes odpovídá za hosting služeb Office 365 a všech ostatních online služeb
společnosti Microsoft, byly položeny roku 1994 spuštěním služby MSN. Od té doby oddělení zajišťuje
provoz řady dobře známých internetových služeb. Infrastrukturní vrstva online služeb (GFS) podléhá
pravidelnému auditu ze strany respektovaných nezávislých organizací. Díky komplexnímu přístupu
k zabezpečení a ochraně osobních údajů získalo oddělení Microsoft Global Foundation Services certifikace
ISO 27001 a Safe Harbor (podle směrnic EU) a úspěšně absolvovalo audit SAS 70 Type II. Office 365
vychází z osvědčené technologie a představuje nejnovější generaci produktů, které byly dosud
označovány jako Business Productivity Online Services (BPOS) a které používaly tisíce spokojených
zákazníků. Služby Office 365 tedy v cloudu mohou tyto rozsáhlé zkušenosti proměnit ve vaše výhody.
Microsoft si uvědomuje, že zabezpečení je proces, který nikdy nekončí, a nejedná se o ustálený stav. Je
totiž nutné stále pracovat na jeho údržbě, posilování a prověřování odbornými pracovníky, podporovat jej
nejaktuálnějšími softwarovými a hardwarovými technologiemi a zdokonalovat jej prostřednictvím
robustních procesů návrhu, vývoje, provozu a podpory našich služeb.
Služby Office 365 ukládají data do sítě vlastních datacenter společnosti Microsoft, která garantují vysokou
dostupnost dat a jsou strategicky rozmístěna po celém světě. Tyto objekty byly vybudovány speciálně za
účelem ochrany služeb a dat před poškozením, přírodními katastrofami a neoprávněným přístupem.
Provozovatel dbá na dodržování doporučených postupů fyzického zabezpečení, které zahrnují mimo jiné
nejmodernější hardware, nepřetržité zabezpečení vstupu, redundantní zdroje napájení, vícenásobnou
optickou kabeláž atd. Redundance umožňuje provádět většinu aktualizací systémů bez jakéhokoli
přerušení služeb poskytovaných uživatelům. Na logické vrstvě přispívá k ochraně systémů robustní izolace
dat, nepřetržitý monitoring a celá řada dalších obecně uznávaných postupů a technologií. Veškeré úkoly
související s fyzickým i logickým zabezpečením jsou plněny přímo v datacentru, což podstatně snižuje
dobu, kterou musíte trávit zajištěním bezpečnosti svých dat a systémů.
Společnost Microsoft prosazuje doporučené bezpečnostní postupy již od roku 2002, a to jak interně, tak
v celém odvětví prostřednictvím iniciativy Trustworthy Computing (Bezpečná a spolehlivá práce
s počítačem). Důležitou součástí iniciativy Trustworthy Computing je návrh a vývoj softwaru, který je
4
bezpečnější již od výrobce. Proto byly produkty a služby, které jsou součástí produktu Office 365 –
Microsoft Exchange Online, Microsoft SharePoint® Online, Microsoft Lync® Online a Microsoft Office
Professional Plus – navrženy a vyvinuty v souladu s přísnými bezpečnostními pokyny zakotvenými ve
směrnici Microsoft Security Development Lifecycle (SDL). Směrnice SDL je pravidelně aktualizována a
volně sdílena s ostatními výrobci softwaru, aby se kvalitnější bezpečnostní postupy dále šířily napříč
odvětvím a platformami.
Jedním z vašich úkolů je zajistit nepřetržitou dostupnost firemních dat uživatelům. Díky zkušenostem
společnosti Microsoft s hostingovými službami a blízkému vztahu mezi vývojářskými a podpůrnými týmy
služeb Office 365 a ostatních produktů Microsoft mohou služby Office 365 naplnit vysoká očekávání
zákazníků ohledně provozu bez výpadků. V případě neočekávaného výpadku umožní protokoly a
technologie pro zajištění nepřetržitého provozu, které jsou součástí služeb Office 365, rychlé zotavení.
Ochrana osobních údajů a vlastnictví dat
Koherentní, robustní a transparentní zásady ochrany osobních údajů společnosti Microsoft zdůrazňují, že
data zůstávají ve vašem vlastnictví. Centrum Trust Center (k dispozici od data oficiálního zprovoznění
služeb) informuje o tom, jak jsou zpracovávána a využívána data shromážděná v souvislosti se službami
Microsoft Online Services. Rozhodnete-li se přestat s využíváním služeb Office 365, začne standardní
90denní období snížené funkčnosti služeb, během kterého můžete svá data vyexportovat. Před
odstraněním dat zákazníka vám Microsoft rovněž zašle několik oznámení.
Oddělení dat zákazníků
Office 365 je víceklientská služba (multitenancy), což znamená, že data jsou distribuována mezi několika
hardwarovými prostředky. Proto mohou být vaše data uložena na stejném hardwaru jako data jiných
zákazníků. Právě proto dokáží služby Office 365 nabídnout i při nízkých nákladech výjimečně vysokou
škálovatelnost. Společnost Microsoft však podniká veškeré kroky potřebné k tomu, aby víceklientská
infrastruktura Office 365 dodržela ty nejpřísnější standardy podnikového zabezpečení a ochrany osobních
údajů. Úložiště a zpracování dat jednotlivých zákazníků jsou od sebe logicky oddělena, což zajišťuje
speciální technologie Active Directory, která byla vyvinuta právě pro tento účel. Pokud si organizace přeje
ještě přísnější izolaci dat, může využít verzi služeb Office 365, která ukládá data na vyhrazený hardware.
Integrované zabezpečení
Na rozdíl od interní instalace, která je umístěna za podnikovou branou firewall a lze k ní přistupovat
prostřednictvím sítě VPN (Virtual Private Network), jsou služby Office 365 navrženy speciálně s ohledem
na zabezpečený přístup přes Internet. Uživatelé mají k dispozici dva typy identifikace: Microsoft Online ID
a federované ID. V prvním případě si uživatel, který chce využívat služby Office 365, vytvoří účet Microsoft
Online Services. Uživatelé se ke všem svým službám Office 365 přihlašují pomocí jednoho jména a hesla.
5
Aplikace pro jednotné přihlášení usnadňuje uživatelům vytváření a používání silných hesel, která přispívají
ke zvýšení bezpečnosti služeb.
Zvolíte-li federovanou identifikaci, která využívá službu Active Directory Federation Services z produktu
Microsoft Windows Server 2008, budou uživatelé služeb Office 365 ověřováni pomocí svého firemního
přihlašovacího ID a hesla. V této situaci se veškerá správa identit provádí pouze interně. Organizace také
může v tomto případě zvýšit zabezpečení pomocí dvoufaktorového ověřování (tj. kromě hesla ještě
například čipových karet nebo biometrických údajů).
Bez ohledu na způsob přihlašování uživatelů je připojení ke službám Office 365 z Internetu vždy šifrováno
prostřednictvím standardizovaného 128bitového protokolu SSL/TLS (Secure Sockets Layer/Transport Layer
Security). Office 365 podporuje i další bezpečnostní opatření zvyšující ochranu citlivých informací, jako
například protokol S/MIME (Secure/Multipurpose Internet Mail Extensions) pro asymetrické šifrování
a digitální podepisování nebo technologii IRM (Information Rights Management), která omezuje přístup
a oprávnění k provádění konkrétních akcí s dokumenty, e-maily, a dokonce i zprávami v hlasové schránce.
Služby Office 365 vám poskytnou plný přístup k vašemu prostředí, tedy mj. k poštovním schránkám
uživatelů nebo webům a úložištím dokumentů služby SharePoint. I nadále budete mít pod kontrolou
zásady zabezpečení a uživatelské účty. To vám umožní efektivně implementovat zásady zabezpečení
a ochrany osobních údajů, které platí ve vaší firmě. Zásady a uživatele je možné spravovat prostřednictvím
webové konzoly pro správu nebo vzdáleného prostředí PowerShell, které umožňuje automatizaci rutinních
úkolů.
Forefront Online Protection for Exchange
Ochranu příchozích, odchozích i interních e-mailů a sdílených souborů před viry a spamem zajišťuje
v rámci služeb Office 365 produkt Microsoft Forefront® Online Protection for Exchange. Toto vícevrstvé
antivirové a antispamové řešení využívá několik vyhledávacích modulů, které dokáží přesně identifikovat
a eliminovat hrozby a zároveň minimalizovat počet chybných hlášení, a tedy nesprávně zablokovaných
e­mailů. Technologie Forefront, která je součástí služeb Office 365, se pravidelně aktualizuje o signatury
nejnovějších hrozeb a chrání tak prostředí před nově vznikajícími hrozbami i bez zásahu správce.
Flexibilita při naplňování pokročilých potřeb zabezpečení
V některých případech mohou být oborové, regulační nebo interní bezpečnostní předpisy, které musí
organizace splnit, přísnější, než lze realizovat v distribuovaném víceklientském prostředí. Mohou být
například omezeny země, ve kterých je možné ukládat data, případně může mít organizace povinnost
ukládat veškerá data v jedné konkrétní zemi. Společnost Microsoft vyvinula služby Office 365 tak, aby
měly organizace maximálně flexibilní možnost volby způsobu nasazení. Můžete například prozatímně
nasadit produkty Microsoft Exchange Server, Microsoft SharePoint® Server a Microsoft Lync® Server
interně a na cloud snadno přejít později. Můžete se také rozhodnout, že někteří uživatelé zůstanou
v interních systémech a ostatní budou koexistovat v cloudu. Přitom budou mít oba typy uživatelů
vzájemně přehled o stavu online dostupnosti, možnost sdílet kalendáře a komunikovat, jako by využívaly
stejnou infrastrukturu.
6
Závěr
Hodláte-li přejít na kancelářské služby v prostředí cloud, je nutno pečlivě zvážit všechny problémy a
technologie související s ochranou osobních údajů a zabezpečením. Služby Office 365 poskytují již od
návrhu špičkové podnikové zabezpečení, na něž se při přechodu na cloud můžete spolehnout. Naše
datacentra jsou navržena, vybudována a spravována na základě strategie důkladné ochrany na fyzické
i logické vrstvě. Zabezpečení služeb je vyvinuto v souladu se směrnicí SDL (Security Development
Lifecycle). Služby Office 365 usnadňují uživatelům i správcům přístup k datům a službám a jejich využívání.
Přitom dodržují doporučené bezpečnostní postupy. Při vývoji cloudových kancelářských služeb jsme brali
největší ohled na vás jako na zákazníka. Proto se sami můžete rozhodnout, za jakých podmínek a jakým
tempem do prostředí cloud přejdete.
Informační materiály
Office 365: http://office365.microsoft.com
Microsoft Global Foundation Services: http://www.globalfoundationservices.com
Videa z datacenter společnosti Microsoft:
http://www.globalfoundationservices.com/infrastructure/videos.html
Microsoft Trustworthy Computing: http://www.microsoft.com/about/twc/en/us/default.aspx
Security Development Lifecycle (Cyklus vývoje zabezpečení):
http://www.microsoft.com/security/sdl/default.aspx
Forefront Online Protection for Exchange: http://technet.microsoft.com/en-us/forefront/cc540243
7