Office 365 turvalisuse viis nurgakivi

Mart Lehtmets

Mart Lehtmets

Microsoft Licensing Solutions Partner
mart.lehtmets@helmes.com
+372 56 26 6135

office 365 turvalisus

Kasutajatele teeb sageli kõige rohkem muret IT-süsteemide turvalisus. Enamik tehnilisi spetsialiste nõustuks, et see on oluline probleem, sest enamgi kui tavakasutajad on nad teadlikud turvameetmete vajalikkusest.

See kehtib eriti, kui räägime pilvepõhistest süsteemidest. Viimastel aegadel palju kõmu tekitanud andmelekked on ainult süvendanud muret, kas pilv on ikka õige koht, kus oma andmeid hoida.

Siinses blogipostituses käsitleme viit Office 365 valdkonda, et tõestada, kui tõsiselt suhtub Microsoft oma toodete turvalisusesse.

1. Suurfirma tasemel andmekeskus

Et vastata pilveandmetöötlusega seotud küsimustele, tuleb esmalt rääkida sellest, kus andmeid hoitakse ning kuidas neid töödeldakse. Arusaamine sellest, kuidas on tagatud Office 365 turvalisus, algab sellest, et teame, mismoodi toimivad andmekeskused kui füüsilised objektid, mis hoiavad ja säilitavad ettevõtte informatsiooni.

Office 365 on viimane “tarkvara kui teenus” pakkumine, millega tuldi välja 2008. aastal, kui Bill Gates teatas, et Exchange ja SharePoint on kättesaadavad võrgu kaudu.

Esmalt oli selle teenuse nimi Microsoft Business Productivity Online Suite (BPOS) ja see oli ehitatud tavalise serveri arhitektuuri ideaalide järgi. Teenust ei optimeeritud, sest turvalist andmekeskust kasutati Microsofti teiste teenuste jaoks. Kõik muutus 2011. a juunis, kui tuli välja Office 365.

Kui Microsoft lõi Office 365 Trust Centeri, võttis ta kohustuse olla võimalikult läbipaistev. See süsteem tagab Office 365 turvalisuse, vastavuse ning standardid, mida on võimalik hinnata ning võrrelda teiste pakkujate omadega. Selle üks peamisi komponente on turvalisuse, sertifikaatide ja nimekirjade leht.

Kaks kõige väljapaistvamat sertifikaati on ISO27001 ja Safe Harbor. ISO27001 on infoturbe juhtimissüsteemi standard, mis katab palju teemasid, alates personaliosakonna eeskirjadest kuni varahalduseni. Sertifikaat teenitakse välja pärast pikka auditiprotsessi ja seda uuendatakse iga aastaste auditeerimistega, kuid väiksemas mahus.

Veelgi enam, on märkimisväärne, et Microsoft on valmis oma lepingutesse kirja panema Euroopa-spetsiifilisi klausleid, vaid vähesed teised pilveteenuse pakkujad on seda teinud.

Paljudel Euroopa riikidel on rangemad privaatsuseeskirjad (GDPR) kui USA-l, see on probleemiks mis tahes USA-s asuvale andmekeskusele, kui seal soovitakse hoida Euroopa Liidu andmeid. Selle probleemi lahendamiseks lõid Euroopa Komisjon ja Ameerika Ühendriikide kaubandusministeerium enesesertifitseerimise protsessi.

Selle lepingu kohaselt saavad USA ettevõtted avalikult kinnitada, et järgivad Safe Harbor põhimõtteid. Microsofti andmekeskused said Safe Harbor sertifikaadi, mille nad vaatavad igal aastal üle ja mida uuendavad.

2. Teel olevate andmete krüpteerimine (SSL/TSL)

Iga tegevus, mida Office 365-s tehakse, on turvalise soklikihi (Secure Sockets Layer) ja transpordikihi turbeprotokolli (Transport Layer Security) valvsa pilgu all. SSL on turbetehnoloogia, mis loob krüpteeritud ühenduse serveri ja veebibrauseri vahel ning tagab selle, et kogu serveri ja brauseri vahetatud informatsioon jääb privaatseks.

TLS on protokoll, mis tagab privaatsuse rakenduse ja lõppkasutaja vahel ning on populaarne internetipanganduses ja ka PayPalis. Office 365 puhul tähendab see, et kõik kliendiga suhtlevad serverid loovad turvalise seansi ükskõik milliste andmete liikumiseks.

3. Exchange’i ja OneDrive’i talletatud andmete krüpteerimine

Talletatud andmed on andmed, mis asuvad füüsilise ketta peal serveris, mis asub omakorda andmekeskuses. Need on andmed, mis kasutaja on üles laadinud ja mida ei kasutata brauseri kaudu, vaid mis on serveris ootel, et neid kasutataks.

Office 365 „Turvalisuse valges raamatus“ teeb Microsoft teenusele ühe olulise täienduse: lisandub ketta krüpteerimistööriist BitLocker. See on kasutusel serverites, kus on tallel kõik sõnumsideandmed, nagu e-kirjad ja vestlused.

BitLockeri krüpteerimine on operatsioonisüsteemiga integreeritud andmekaitsefunktsioon. See aitab vähendada andmeturvalisusega seotud riske, mis võivad tuleneda andmete vargusest, kadumisest või sellest, et IT seade on halvasti utiliseeritud. ISO27001-s on selged juhised, mis nõuavad taolisi tõendusi eelnevalt välja toodud tegevuste kohta, mis taaskord tõestab, kui tõsiselt võtab Microsoft oma turvanõudeid.

Hiljuti uuendati ka OneDrive’i ja tehti täiendus, mida tuntakse nime Perfect Forward Secrecy all. See tehnoloogia võimaldab edastussaladust, mida on juba mõnda aega kasutanud teised pilveteenuse pakkujad. Seda kasutatakse nii töölaua OneDrive rakendustes kui ka sünkroonivates klientides, nii et ründajatel on raskem ühendusi dekrüpteerida.

4. Andmekao ennetamine (Data Loss Prevention)

Erinevalt teistest seni välja toodud turvalisuse aspektidest lubab Microsoft kliendil mingil määral valida, kuidas ta soovib andmete kadumise riski hallata. Varem pakkus Microsoft andmekao ennetamisvõimalusi Exchange’i ja Outlooki kaudu.

Pidades silmas, et Office 365 on ühendatud teenus, mis võimaldab kasutajatel mitmel viisil koostööd teha, on platvormil hiljuti tehtud mõningad muudatused, mis võimaldavad reaalajas otsida tundlikku infot. Selle jaoks on õigused piiratud administraatori rolliga.

5. SharePointi õiguste mudel

Viimane Office 365 turvameede on kontroll, mida platvorm võimaldab kasutajatele SharePointis. SharePointis on alati olnud õiguste pärimismudel peapuust alampuusse. Tasub aga silmas pidada, et seda mudelit on võimalik lõhkuda. Listid, teegid ja alamlehed peavad pärima õigused peapuust Item tasemelt. Õigusi võib muuta vastavalt sellele, missuguseid õigusi administraator soovib anda kasutajatele, et tagada tundliku informatsiooni kaitse.

SharePoint kasutab ka Security Trimming’ut, mis tähendab seda, et kui kasutajal pole millelegi õigusi, siis ta isegi ei tea, et see eksisteerib.

Office 365 turvalisus on hea süsteemi alus

Pole uudis, et turvalisus on iga IT-süsteemi oluline alus. Kui turvalisus on puudulik, võib see kaasa tuua tohutuid kulusid, mistõttu on Microsoft kasutusele võtnud märkimisväärsed meetmed, et tema kliendid oleks igati kaitstud. Office 365 võtab arvesse nii standarditele vastavust, juhtimist kui ka füüsilist turvalisust puudutavaid küsimusi. Seepärast võib Office 365 turvalisust käsitleda hea ja püsiva kesksüsteemina.

Missuguseid turvameetmeid teie oma organisatsioonis kasutate? Kas te juba kasutate ülaltoodud viit praktikat?

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn