Zabezpečení služeb Office 365
Transkript
Zabezpečení služeb Office 365
Zabezpečení služeb Office 365 Dokument white paper Publikováno: červen 2011 Obsah 3 Úvod 3 Problémy 4 Bezpečný základ 5 Ochrana osobních údajů a vlastnictví dat 6 Integrované zabezpečení 7 Flexibilita při naplňování pokročilých potřeb zabezpečení 7 Závěr 2 Úvod V tomto dokumentu naleznete přehled bezpečnostních postupů a technologií, které zajišťují špičkové zabezpečení služeb Microsoft Office 365 pro firmy všech velikostí. Úplný a podrobný popis zabezpečení služeb Office 365 získáte v dokumentu Office 365 Security Service Description, který je k dispozici ke stažení na webu na adrese http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6c6ecc6c64f5-490a-bca3-8835c9a4a2ea. Microsoft® Office 365 přináší firmám všech velikostí možnost zvýšit produktivitu díky práci v cloudu, šetří čas i peníze a umožňuje uvolnit důležité zdroje. Office 365 kombinuje známou kancelářskou sadu Office s cloudovými verzemi nové generace služeb pro komunikaci a spolupráci: Microsoft Exchange Online, Microsoft SharePoint® Online a Microsoft Lync™ Online. Když společnost nebo jiná organizace svěřuje úložiště a správu svých dat externímu poskytovateli služeb, musí vzít do úvahy hlediska zabezpečení, ochrany dat, ochrany osobních údajů a vlastnictví dat. Společnost Microsoft považuje tyto oblasti za své priority, a proto uplatnila při vývoji služeb Office 365 své rozsáhlé zkušenosti s bezpečnostními technologiemi a ochranou osobních údajů v cloudu i v interně nasazených serverových prostředích. Služby Microsoft Online Services vedle přínosů cloud computingu nabízejí také špičkové podnikové zabezpečení, které je nezbytné pro každou organizaci bez ohledu na její velikost. Microsoft uplatňuje při ochraně dat zákazníků komplexní přístup – jednak na fyzické vrstvě (což dokládají naše investice ve výši 2 mld. USD do zřízení těch nejvyspělejších datových center), jednak na vrstvě logické (mj. směrnice pro vývoj služeb a softwaru, které zohledňují bezpečnostní požadavky). Služby Office 365 zajišťují bezpečný přístup na všech platformách a zařízeních a zahrnují kvalitní antispamové a antivirové technologie, které se automaticky aktualizují a chrání systém před nejnovějšími hrozbami. Bezpečnostní funkce jsou integrovány se službami Office 365, což snižuje časovou i finanční náročnost zabezpečení IT systémů firmy. Služby Office 365 navíc umožňují snadné řízení oprávnění, zásad a funkcí prostřednictvím online konzol pro správu. Díky tomu lze Office 365 snadno nakonfigurovat v souladu s vašimi konkrétními potřebami. Problémy Pracovníci jsou stále častěji mobilní, a proto je nutné zajistit přístup k firemním datům pro stále více uživatelů na stále více místech. Zároveň však přibylo příležitostí k útoku na IT systémy. Útoky jsou navíc stále komplikovanější a nebezpečnější. Dnešní počítačoví zločinci často bývají dobře organizovaní profesionálové motivovaní finančním ziskem. V takovém prostředí je tedy nezbytné zajistit komplexní přístup k zabezpečení a ochraně systémů a dat. Součástí komplexní bezpečnostní strategie společnosti Microsoft je jednak návrh a vývoj bezpečnějších služeb a softwaru, jednak účinné monitorování hrozeb a reakce na ně a analýza nově nalezených hrozeb tak, aby proti nim existovala vhodná opatření, dříve než jejich závažnost přeroste v problém. Objem dat generovaných běžným provozem firmy neustále narůstá, a proto se zálohování a obnova dat postupně staly významnou nákladovou položkou v rozpočtu IT oddělení. Organizace potřebují nenákladná škálovatelná řešení, která zajistí nepřetržitou dostupnost jejich dat. Po zvážení uvedených problémů dochází řada organizací k závěru, že služby Office 365 dokáží při nižších nákladech poskytnout vyšší standard zabezpečení, než jakého lze dosáhnout údržbou interně nasazených serverů s kancelářským softwarem. Zákazníci využívající služby Office 365 se zbavili nákladného břemene v podobě interního nasazení a údržby antivirového, antispamového a zálohovacího řešení a technologie pro zotavení po havárii. Součástí služeb Office 365 jsou totiž integrované funkce pro škálovatelnost a zotavení po havárii, které dokáží zpracovat stále vyšší objemy důležitých firemních dat. Náklady přitom zůstávají pevné a snadno předvídatelné. Na rozdíl od nabídky ostatních dodavatelů kancelářských řešení je Office 365 flexibilní, díky čemuž lze dočasně i trvale implementovat hybridní prostředí, ve kterém lze přecházet na cloudové technologie postupně, nebo dokonce po neomezenou dobu zachovat některé uživatele na interním hardwaru. Bezpečný základ Společnost Microsoft nabízí online služby již delší dobu. Základy oddělení Microsoft Global Foundation Services (GFS), které dnes odpovídá za hosting služeb Office 365 a všech ostatních online služeb společnosti Microsoft, byly položeny roku 1994 spuštěním služby MSN. Od té doby oddělení zajišťuje provoz řady dobře známých internetových služeb. Infrastrukturní vrstva online služeb (GFS) podléhá pravidelnému auditu ze strany respektovaných nezávislých organizací. Díky komplexnímu přístupu k zabezpečení a ochraně osobních údajů získalo oddělení Microsoft Global Foundation Services certifikace ISO 27001 a Safe Harbor (podle směrnic EU) a úspěšně absolvovalo audit SAS 70 Type II. Office 365 vychází z osvědčené technologie a představuje nejnovější generaci produktů, které byly dosud označovány jako Business Productivity Online Services (BPOS) a které používaly tisíce spokojených zákazníků. Služby Office 365 tedy v cloudu mohou tyto rozsáhlé zkušenosti proměnit ve vaše výhody. Microsoft si uvědomuje, že zabezpečení je proces, který nikdy nekončí, a nejedná se o ustálený stav. Je totiž nutné stále pracovat na jeho údržbě, posilování a prověřování odbornými pracovníky, podporovat jej nejaktuálnějšími softwarovými a hardwarovými technologiemi a zdokonalovat jej prostřednictvím robustních procesů návrhu, vývoje, provozu a podpory našich služeb. Služby Office 365 ukládají data do sítě vlastních datacenter společnosti Microsoft, která garantují vysokou dostupnost dat a jsou strategicky rozmístěna po celém světě. Tyto objekty byly vybudovány speciálně za účelem ochrany služeb a dat před poškozením, přírodními katastrofami a neoprávněným přístupem. Provozovatel dbá na dodržování doporučených postupů fyzického zabezpečení, které zahrnují mimo jiné nejmodernější hardware, nepřetržité zabezpečení vstupu, redundantní zdroje napájení, vícenásobnou optickou kabeláž atd. Redundance umožňuje provádět většinu aktualizací systémů bez jakéhokoli přerušení služeb poskytovaných uživatelům. Na logické vrstvě přispívá k ochraně systémů robustní izolace dat, nepřetržitý monitoring a celá řada dalších obecně uznávaných postupů a technologií. Veškeré úkoly související s fyzickým i logickým zabezpečením jsou plněny přímo v datacentru, což podstatně snižuje dobu, kterou musíte trávit zajištěním bezpečnosti svých dat a systémů. Společnost Microsoft prosazuje doporučené bezpečnostní postupy již od roku 2002, a to jak interně, tak v celém odvětví prostřednictvím iniciativy Trustworthy Computing (Bezpečná a spolehlivá práce s počítačem). Důležitou součástí iniciativy Trustworthy Computing je návrh a vývoj softwaru, který je 4 bezpečnější již od výrobce. Proto byly produkty a služby, které jsou součástí produktu Office 365 – Microsoft Exchange Online, Microsoft SharePoint® Online, Microsoft Lync® Online a Microsoft Office Professional Plus – navrženy a vyvinuty v souladu s přísnými bezpečnostními pokyny zakotvenými ve směrnici Microsoft Security Development Lifecycle (SDL). Směrnice SDL je pravidelně aktualizována a volně sdílena s ostatními výrobci softwaru, aby se kvalitnější bezpečnostní postupy dále šířily napříč odvětvím a platformami. Jedním z vašich úkolů je zajistit nepřetržitou dostupnost firemních dat uživatelům. Díky zkušenostem společnosti Microsoft s hostingovými službami a blízkému vztahu mezi vývojářskými a podpůrnými týmy služeb Office 365 a ostatních produktů Microsoft mohou služby Office 365 naplnit vysoká očekávání zákazníků ohledně provozu bez výpadků. V případě neočekávaného výpadku umožní protokoly a technologie pro zajištění nepřetržitého provozu, které jsou součástí služeb Office 365, rychlé zotavení. Ochrana osobních údajů a vlastnictví dat Koherentní, robustní a transparentní zásady ochrany osobních údajů společnosti Microsoft zdůrazňují, že data zůstávají ve vašem vlastnictví. Centrum Trust Center (k dispozici od data oficiálního zprovoznění služeb) informuje o tom, jak jsou zpracovávána a využívána data shromážděná v souvislosti se službami Microsoft Online Services. Rozhodnete-li se přestat s využíváním služeb Office 365, začne standardní 90denní období snížené funkčnosti služeb, během kterého můžete svá data vyexportovat. Před odstraněním dat zákazníka vám Microsoft rovněž zašle několik oznámení. Oddělení dat zákazníků Office 365 je víceklientská služba (multitenancy), což znamená, že data jsou distribuována mezi několika hardwarovými prostředky. Proto mohou být vaše data uložena na stejném hardwaru jako data jiných zákazníků. Právě proto dokáží služby Office 365 nabídnout i při nízkých nákladech výjimečně vysokou škálovatelnost. Společnost Microsoft však podniká veškeré kroky potřebné k tomu, aby víceklientská infrastruktura Office 365 dodržela ty nejpřísnější standardy podnikového zabezpečení a ochrany osobních údajů. Úložiště a zpracování dat jednotlivých zákazníků jsou od sebe logicky oddělena, což zajišťuje speciální technologie Active Directory, která byla vyvinuta právě pro tento účel. Pokud si organizace přeje ještě přísnější izolaci dat, může využít verzi služeb Office 365, která ukládá data na vyhrazený hardware. Integrované zabezpečení Na rozdíl od interní instalace, která je umístěna za podnikovou branou firewall a lze k ní přistupovat prostřednictvím sítě VPN (Virtual Private Network), jsou služby Office 365 navrženy speciálně s ohledem na zabezpečený přístup přes Internet. Uživatelé mají k dispozici dva typy identifikace: Microsoft Online ID a federované ID. V prvním případě si uživatel, který chce využívat služby Office 365, vytvoří účet Microsoft Online Services. Uživatelé se ke všem svým službám Office 365 přihlašují pomocí jednoho jména a hesla. 5 Aplikace pro jednotné přihlášení usnadňuje uživatelům vytváření a používání silných hesel, která přispívají ke zvýšení bezpečnosti služeb. Zvolíte-li federovanou identifikaci, která využívá službu Active Directory Federation Services z produktu Microsoft Windows Server 2008, budou uživatelé služeb Office 365 ověřováni pomocí svého firemního přihlašovacího ID a hesla. V této situaci se veškerá správa identit provádí pouze interně. Organizace také může v tomto případě zvýšit zabezpečení pomocí dvoufaktorového ověřování (tj. kromě hesla ještě například čipových karet nebo biometrických údajů). Bez ohledu na způsob přihlašování uživatelů je připojení ke službám Office 365 z Internetu vždy šifrováno prostřednictvím standardizovaného 128bitového protokolu SSL/TLS (Secure Sockets Layer/Transport Layer Security). Office 365 podporuje i další bezpečnostní opatření zvyšující ochranu citlivých informací, jako například protokol S/MIME (Secure/Multipurpose Internet Mail Extensions) pro asymetrické šifrování a digitální podepisování nebo technologii IRM (Information Rights Management), která omezuje přístup a oprávnění k provádění konkrétních akcí s dokumenty, e-maily, a dokonce i zprávami v hlasové schránce. Služby Office 365 vám poskytnou plný přístup k vašemu prostředí, tedy mj. k poštovním schránkám uživatelů nebo webům a úložištím dokumentů služby SharePoint. I nadále budete mít pod kontrolou zásady zabezpečení a uživatelské účty. To vám umožní efektivně implementovat zásady zabezpečení a ochrany osobních údajů, které platí ve vaší firmě. Zásady a uživatele je možné spravovat prostřednictvím webové konzoly pro správu nebo vzdáleného prostředí PowerShell, které umožňuje automatizaci rutinních úkolů. Forefront Online Protection for Exchange Ochranu příchozích, odchozích i interních e-mailů a sdílených souborů před viry a spamem zajišťuje v rámci služeb Office 365 produkt Microsoft Forefront® Online Protection for Exchange. Toto vícevrstvé antivirové a antispamové řešení využívá několik vyhledávacích modulů, které dokáží přesně identifikovat a eliminovat hrozby a zároveň minimalizovat počet chybných hlášení, a tedy nesprávně zablokovaných emailů. Technologie Forefront, která je součástí služeb Office 365, se pravidelně aktualizuje o signatury nejnovějších hrozeb a chrání tak prostředí před nově vznikajícími hrozbami i bez zásahu správce. Flexibilita při naplňování pokročilých potřeb zabezpečení V některých případech mohou být oborové, regulační nebo interní bezpečnostní předpisy, které musí organizace splnit, přísnější, než lze realizovat v distribuovaném víceklientském prostředí. Mohou být například omezeny země, ve kterých je možné ukládat data, případně může mít organizace povinnost ukládat veškerá data v jedné konkrétní zemi. Společnost Microsoft vyvinula služby Office 365 tak, aby měly organizace maximálně flexibilní možnost volby způsobu nasazení. Můžete například prozatímně nasadit produkty Microsoft Exchange Server, Microsoft SharePoint® Server a Microsoft Lync® Server interně a na cloud snadno přejít později. Můžete se také rozhodnout, že někteří uživatelé zůstanou v interních systémech a ostatní budou koexistovat v cloudu. Přitom budou mít oba typy uživatelů vzájemně přehled o stavu online dostupnosti, možnost sdílet kalendáře a komunikovat, jako by využívaly stejnou infrastrukturu. 6 Závěr Hodláte-li přejít na kancelářské služby v prostředí cloud, je nutno pečlivě zvážit všechny problémy a technologie související s ochranou osobních údajů a zabezpečením. Služby Office 365 poskytují již od návrhu špičkové podnikové zabezpečení, na něž se při přechodu na cloud můžete spolehnout. Naše datacentra jsou navržena, vybudována a spravována na základě strategie důkladné ochrany na fyzické i logické vrstvě. Zabezpečení služeb je vyvinuto v souladu se směrnicí SDL (Security Development Lifecycle). Služby Office 365 usnadňují uživatelům i správcům přístup k datům a službám a jejich využívání. Přitom dodržují doporučené bezpečnostní postupy. Při vývoji cloudových kancelářských služeb jsme brali největší ohled na vás jako na zákazníka. Proto se sami můžete rozhodnout, za jakých podmínek a jakým tempem do prostředí cloud přejdete. Informační materiály Office 365: http://office365.microsoft.com Microsoft Global Foundation Services: http://www.globalfoundationservices.com Videa z datacenter společnosti Microsoft: http://www.globalfoundationservices.com/infrastructure/videos.html Microsoft Trustworthy Computing: http://www.microsoft.com/about/twc/en/us/default.aspx Security Development Lifecycle (Cyklus vývoje zabezpečení): http://www.microsoft.com/security/sdl/default.aspx Forefront Online Protection for Exchange: http://technet.microsoft.com/en-us/forefront/cc540243 7