Bezpieczeństwo usług chmurowych na przykładzie Microsoft Office 365 Mirosław Trzpil, Doradca w zakresie Technologii i Rozwiązań Miroslaw.Trzpil@microsoft.com
Sway StaffHub Advanced Compliance DLP, retencja i archiwizacja danych Zarządzanie pracą pracowników liniowych Tworzenie i udostępnianie dynamicznych prezentacji Planner Organizowanie pracy zespołowej Firmowa sieć społecznościowa Yammer Aplikacje i procesy PowerApps Flow Office Online Aplikacje w przeglądarce ` Analizy danych biznesowych Power BI Skype for Business Spotkania online Zaawansowana ochrona przeciw zagrożeniom Advanced Threat Protection SharePoint Online Praca zespołowa Poczta Kalendarze kontakty OneDrive Osobisty dysk chmurowy Konferencje i integracja z PSTN Obszary robocze dla zespołów Exchange Online Zawsze najnowsze wersje na różne platformy Aplikacje Office Połączenia głosowe Microsoft Teams
Zapewnienie bezpieczeństwa jest kluczowe do umożliwienia cyfrowej transformacji z wykorzystaniem kompleksowej platformy, wyjątkowej inteligencji i szerokiego partnerstwa Zaufanie jest kluczem do realizacji naszej misji, aby umożliwiać ludziom i organizacjom wykorzystanie w pełni swojego potencjału.
Podział odpowiedzialności za bezpieczeństwo Odpowiedzialność Zarządzanie danymi i prawem do danych Końcówki klienckie Konta i zarządzanie dostępem Tożsamość i infrastruktura katalogu Aplikacje Office 365 Infrastruktura sieciowa System operacyjny Hosty fizyczne Fizyczna sieć Fizyczne centrum danych Klient
Security - film
Zabezpieczenie środowiska wielowymiarowe podejście do bezpieczeństwa Pełna ochrona Dane Użytkownik Aplikacje Host Wewnętrzna sieć Granice sieci Lokacja Zarządzanie zagrożeniami i wrażliwościami systemu, monitorowanie zabezpieczeń i reakcji, monitorowanie i kontrola dostępu, szyfrowanie danych oraz integralność danych i plików Zarządzanie kontami, szkolenie i budowanie świadomości, sprawdzanie Bezpieczne tworzenie (SDL), kontrola i monitoring dostępu, anti-malware Monitorowanie i kontrola dostępu, anti-malware, zarządzanie konfiguracją i aktualizacjami Dwuczynnikowe uwierzytelnianie, wykrywanie ataków, skanowanie w poszukiwaniu słabości systemu Routery zewnętrzne, zapory, wykrywanie ataków, skanowanie w poszukiwaniu słabości systemu Sterowanie na miejscu, nadzór wideo, czujniki ruchu, kontrola dostępu, ochrona środowiskowa, zapasowe generatory mocy i sieci
Hardware monitorowany 24 godziny na dobę Wykrywanie niestandardowych aktywności Zabezpieczenia przed wstrząsami sejsmicznymi Ochroniarze obecni 24/7 Ochrona granic Systemy przeciwpożarowe Uwierzytelnianie wieloczynnikowe Stały monitoring Zapasowe generatory mocy na wiele dni Tysiące serwerów
Stały dostęp do danych Usługa dostępna bez przerw Dodatkowe elementy systemu na każdym poziomie co najmniej dwa centra danych w każdym regionie, dane w wielu kopiach w obrębie jednego centrum i pomiędzy centrami Nienaruszalność danych zapewniona wbudowanymi kontrolami, sieciami zabezpieczeń oraz odizolowanymi kopiami Odzyskiwanie danych wielopoziomowe, samoobsługowe odzyskiwanie, wersjonowanie, regularne backpy danych Gwarantowana dostępność finansowo zabezpieczona, prawdziwa dostępność danych na poziomie 99,99%
Office 365 w Europie Wszystkie narzędzia zwiększające wydajność i ułatwiające współpracę z danymi przechowywanymi na terenie Europy DANE PRZECHOWYWANE W REGIONIE Zobowiązujemy się przechowywać kluczowe dane klientów w stanie spoczynku na terenie Europy Zawartość skrzynki pocztowej Exchange Online (treść e-maili, wpisy w kalendarzu oraz zawartość załączników e-mail) Zawartość stron oraz pliki przechowywane na SharePoint Online Kluczowe dane klienta w stanie spoczynku przechowywane w obydwu centrach danych w Austrii, Finlandii, Irlandii i Holandii na potrzeby odzyskiwania i awarii GLOBALNY REGION CENTRUM DANYCH Podczas gdy kluczowe dane klienta są przechowywane lokalnie, usługi są dostarczane globalnie dzięki sieci usług Office 365 Możliwe dzięki wielkoskalowej infrastrukturze i sieci Microsoft CLoud GDZIE SĄ PRZECHOWYWANE DANE W STANIE SPOCZYNKU GLOBALNYCH USŁUG OFFICE 365? EUROPA POZA REGIONEM ZAWARTOŚĆ SKRZYNKI MAILOWEJ EXCHANGE ONLINE (TREŚĆ E-MAILI, WPISY W KALENDARZU ORAZ ZAWARTOŚĆ ZAŁĄCZNIKÓW E-MAILI) ADVANCED THREAT PROTECTION EXCHANGE ONLINE PROTECTION E-DISCOVERY HISTORIA KONWERSACJI SKYPE DLA FIRM ZAWARTOŚĆ STRON ORAZ PLIKI PRZECHOWYWANE NA SHAREPOINT DELVE OFFICE 365 VIDEO ONEDRIVE DLA FIRM PROJECT ONLINE OFFICE ONLINE (PLIKI TYMCZASOWE) ZAWARTOŚĆ SPOTKAŃ SKYPE DLA FIRM POZA NAGRANIAMI SPOTKAŃ TRANSMITOWANYCH PLANNER POWER BI STANY ZJEDNOCZONE DELVE ANALYTICS (ZEBRANE DANE) SWAY YAMMER APAC EUROPA AZURE ACTIVE DIRECTORY LAST UPDATE: JULY 2016
Bezpieczna sieć Oddzielna sieć Wewnętrzna sieć Zaszyfrowane Dane Zewnętrzna sieć Sieci w centrach danych Office 365 są posegmentowane Krytycznie ważne serwery backendowe i dyski z danymi oddzielone fizycznie od interfejsów dostępnych publicznie Zabezpieczenia granicznych routerów pozwalają na wykrycie ataków i słabości systemu
Zaszyfrowane dane Szyfrowanie danych w stanie spoczynku i podczas transferu (FIPS- 140-2 lvl 2) W stanie spoczynku BitLocker AES Encryption (256-bit) całej treści SharePoint Szyfrowanie plików, AES 256-bit Exchange szyfrowanie skrzynki pocztowej, AES 256-bit Skype dla Firm szyfrowanie plików, AES 256-bit Podczas transferu Usługa-klient - TLS 1.2 AES 256, min 2048 bit SHA256RSA public cert Wewnątrz/Pomiędzy Centrami Danych mtls 1.2 AES 256 (Internal CA), IPSec
Uproszczony schemat hierarchii kluczy i polityk Office 365 Advanced Encryption BYOK Contoso Polityka Szyfrowania Danych 1 Contoso Polityka Szyfrowania Danych N Root Keys Chronione przez usługę Azure Key Vault Root Keys Chronione przez usługę Azure Key Vault...
Odizolowane Dane Klienta Środowisko multi-tenantowe zostało zaprojektowane tak, aby wspierać logiczne odizolowane danych wielu klientów w obrębie jednego fizycznego urządzenia Zamierzony bądź niezamierzony dostęp do danych innego użytkownika jest niemożliwy dzięki izolacji danych DANE na Serwerze Jednostki organizacyjne Active Directory odizolowują dane Klienta A od danych Klienta B Monitorowanie żądań między tenantami
Jak chronimy klientów wiedza i doświadczenie Partnerzy branżowi Sieć antiwirusowa Schemat Inteligentnej Ochrony Centrum Operacyjne Obrony przed Cyberatakami CERTs Centrum Ochrony Malware Zespoły Antycyberterrorystyczne Centrum Bezpieczeństwa Jednostka ds. Cyfrowych Przestępstw PaaS IaaS SaaS Tożsamość Aplikacje i dane Infrastruktura Urządzenia
Lockbox: Dane nie są nigdy dostępne automatycznie
Zapobiegaj włamaniom Bezpieczny Kod/ SDL Automatyzowane PAVC Izolacja (Dane, Sieć, Zaufanie) Least Privileged Access (LPA) Spodziewaj się włamania Ćwiczenia na wypadek ataku Bot do ataków zautomatyzowane testowanie odporności systemu Zcentralizowane zabezpieczenia logowania i monitorowania Uczenie się maszynowe i wykrywanie anomalii
Aka.ms/redteam
Podstawowa FedRAMP JAB P-ATO ISO 27001 SOC 1 Type 2 SOC 2 Type 2 Cloud Controls Matrix ISO 27018 W obrębie sektorów HIPAA / HITECH 21 CFR FIPS 140-2 FERPA DISA Level 2 CJIS IRS 1075 Part 11 ITAR-ready W obrębie danego kraju European Union Model Clauses EU Safe Harbor United Kingdom G-Cloud China Multi Layer Protection Scheme China GB 18030 China CCCPPF Singapore MTCS Level 1 Australian Signals Directorate New Zealand GCIO Japan Financial Services https://products.office.com/pl-pl/business/office-365-trust-center-compliance-certifications ENISA IAF
Rejestr audytu pozwala zrozumieć co dzieje się lub stało się w danym środowisku. Szczegółowe statystyki dostępne dzięki filtrowaniu po danych, użytkowniku i aktywności/ach. Raporty z aktywności całej organizacji lub pojedynczego użytkownika, ilościowe analizy użycia oraz analizy udostępniania (już wkrótce) Świadomość i analizy Pełna przejrzystość i analiza użytkowników oraz danych Dzięki ostrzeżeniom, IT może dowiadywać się o każdym konkretnie określonym wydarzeniu w organizacji
API aktywności zarządczych Office 365 Użytkownicy Adminstratorzy Microsoft
Kompleksowe Users Konsekwentne BaseAuditSchema ID Record ID ClientIP AuditLogRecordType Workload ObjectID AuditLogRecordName Workload Name Geography CreationTime Event Time IP of Client Operation Action Taken Entity ID OrganizationID Tenant ID Geo of IP UserType User Role UserKey User ID from AAD Exchange ExtendedProperties OperationResult LogonType InternalLogonType MailboxGuid MailboxOwnerUPN MailboxOwnerSID MailboxOnwerMasterAccountSid LogonUserSid LogonUserDisplayName ExchangeFolderID ExchangeFolderPathName ExchangeItemID ExchangeItemSubject ExchangeItemParentFolder Folder CrossMailboxOperation DestMailboxGuid DestMailboxOwnerUPN DestMailboxOwnerSid DestMailboxOwnerMasterAccountSid DestFolder Folders SourceItems ModifiedObjectResolvedName Succeeded Error Parameters ModifiedProperties Kompletne, bogate narzędzie: 150+ Eventów, 80+ Pól SP/OD Extended Properties Site ItemType EventSource SourceName UserAgent CustomEvent EventData ModifiedProperties MachineDomainInfo MachineID SiteURL SourceRelativeURL SourceFileName SourceFileExtension DestinationRelativeURL DestinationFileName DestinationFileExtension UserSharedWith SharingType Azure AD ExtendedProperties InterSystemsID IntraSystemsID Result SupportTicketID Target CredentialType LoginType ClientLoginTime ClientMode CredentialFlag DeviceID LoginStatus MobileKeepSignedIn MobileLoginTime MobileMarket MobileUserAgentString Purpose SenderPUID ServiceEndPoint STSLoginOption
Dzięki AAD, Twoja organizacja może korzystać z najlepszego biznesowego systemu identyfikacji użytkowników na świecie. AAD zawiera narzędzia do zarządzania użytkownikami, grupami, włączania wieloczynnikowego uwierzytelniania i tworzenia polityk dostępu. Bezpieczne udostępnianie i dostęp Dostarczanie właściwych danych do właściwych ludzi w określonym czasie Ustawienia dostępu w oparciu o rolę, duża swoboda w ustalaniu zezwoleń, odrębne role administratorów usług i narzędzi zgodności. OneDrive i SharePoint oferują najlepsze możliwe ustawienia wewnętrznego i zewnętrznego udostępniania. Do dyspozycji są ustawienia na bardzo wysokim poziomie szczegółowości.
Pomagamy klientom przenosić istniejące dane do chmury i w pełni korzystać z możliwości jakie oferuje Office 365 w zakresie zarządzania i kontroli danych. Zarządzanie informacjami Ułatwienia zarządzania cyklem życia danych i odkrywaniem danych Zarządzanie danymi często staje się uciążliwe dla administratorów IT. Naszym celem jest ułatwienie tworzenia automatycznych polityk ochrony i przechowywania danych dla konkretnych środowisk i aktywności w obrębie organizacji. Dane muszą być łatwo dostępne na wypadek kontroli administracji publicznej i procesów sądowych. ediscovery pozwala administratorom środowisk szukać, zabezpieczać, analizować i eksportować dane.
Wsparcie S/MIME, opcja integracji z systemem Azure RSM do automatycznego i ręcznego szyfrowania poczty. Łatwa i bezpieczna Komunikacja e-mailowa z osobami spoza organizacji. Szyfrowanie i ochrona danych Integracja z Azure Information Protection pozwala na szyfrowanie plików w blibliotekach dokumentów. Możliwości udostępniania treści szyfrowanych poza systemem. Spokój ducha klienta dzięki pełnej kontroli nad zabezpieczeniami danych Dzięki BYOK, kontrolujesz klucze szyfrujące do wszystkich rodzajów danych opuszczających usługę. Tworzysz klucze i chronisz je korzystając z HSM (Azure Key Vault).
Dostosowuj ustawienia O365 aby być na bieżąco z normami i przepisami. 900 ustawień w systemie zgodności Office 365 Najbardziej kompletny zestaw certyfikatów i atestów spośród wszystkich dostawców chmury. Zgodność i zaufanie aka.ms/stp Twoje pliki należą do Ciebie. Wiesz dokładnie, gdzie znajdują się Twoje pliki, kto ma do nich dostęp i w jakich sytuacjach. NIE wykorzystujemy Twoich danych w celach reklamowych przetwarzamy je tylko, aby świadczyć Ci usługi zwiększające wydajność. Sam nadzorujesz stan usługi, problemy i dostępność. Wiesz, gdzie Twoje dane są przechowywane; jakiekolwiek informacje o zmianie zakresu regionu dostaniesz z miesięcznym wyprzedzeniem. Finansowa gwarancja dostępności na poziomie 99,9%.
TOŻSAMOŚĆ JEST W CENTRUM CHMURY Windows Server Active Directory Łatwe połączenie Inne usługi katalogowe Samoobsługa Łatwe logowanie Azure SaaS Publiczna chmura Lokalne środowisko Microsoft Azure Active Directory Chmura
Połączenie lokalnego AD z Chmurą Synchronization *In Preview Federation AD FS daje możliwość kontroli lokalizacji, zarządzanej maszyny oraz polityk bezpieczeństwa z lokalnego AD Atrybuty użytkownika są synchronizowane, uwierzytelnienie następuje w lokalnym AD
Federacja - Przepływ uwierzytelnienia Lokalne środowisko Chmura Logon (SAML 2.0) Token UPN:user@contoso.com Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729
Ograniczenie dostępu spoza sieci firmowej Lokalne środowisko Chmura DMZ
Ograniczenie dostępu spoza sieci firmowej Lokalne środowisko Chmura VPN Logon (SAML 2.0) Token UPN:user@contoso.com Source User ID: ABC123 Auth Token UPN:user@contoso.com Unique ID: 254729
Dostęp warunkowy Atrybuty użytkownika Członkostwo w grupach Urządzenia W domenie Zgodne z politykami Platforma (Windows, ios, Android) Aplikacje Polityka per aplikacja Typ klienta (Cienki, Gruby, Mobilny) Lokalizacja Zakres IP Georgraficzna Ryzyko Ryzyko sesji Ryzyko użytkownika Zezwól Wymuś MFA Zablokuj Chmurowe i lokalne aplikacje
Praca z zewnętrznymi użytkownikami Organizations can connect to SaaS applications running in Azure, Office 365 and 3 rd party providers Lokalne środowisko VPN Opublikowane aplikacje
2017 Microsoft Corporation. All rights reserved.