cloudsnn 2014. Андрей Бешков. Защита ваших данных в office 365
DESCRIPTION
Информационная безопасность.TRANSCRIPT
Андрей БешковРуководитель программы информационной безопасности Microsoft в странах Центральной и Восточной Европы
E-mail: [email protected]: @abeshkov
Защита ваших данных в Office 365
Что такое облака?
Всё так плохо?
Облака – общая ответственностьТрадиционна
я инфраструкт
ура
Хранилище
Сервера
Сеть
ОС
Middleware
Виртуализация
Данные
Приложения
Среда исп.
Клиентом
Вендором
Управляется:
Помещение
Инфраструктура(как сервис)
Помещение
Платформа(как сервис)
Помещение
Приложение(как сервис)
Помещение
ОС
Middleware
Данные
Приложения
Среда исп.
Хранилище
Сервера
Сеть
Виртуализация
ОС
Middleware
Данные
Приложения
Среда исп.
Хранилище
Сервера
Сеть
Виртуализация
ОС
Middleware
Приложения
Среда исп.
Хранилище
Сервера
Сеть
Виртуализация
Данные
Облачные риски?• Получите как можно больше данных об уровне доступа персонала
провайдера к вашим данным.Privileged User Access
• Многие не понимают что клиент в ответе за безопасность и целостность своих данных.Regulatory Compliance
• Можно ли проводить обработку данных только в определенных странах?
Data location (Data Sovereignty)
• Как изолируются данные разных клиентов?Data Segregation
• Как делается резервное копирование и восстановление?Recovery
• Какой тип поддержки доступен при расследовании инцидентов?Investigative support
• Останется ли это провайдер на рынке?Long-term viability
Идентификация и доступ
Идентификация и доступ
• Двухфакторная аутентификация – смарт-карты
• Уровни доступа пересматриваются на периодической основе
• Протоколирование и мониторинг с эвристическим анализом подозрительных активностей
• Клиенты имеют доступ к логам действий администраторов, который влияют на их сервисы
Автоматическое управление
Сеть ЦОД Office
Сеть корпорации Microsoft
Lock Box: Role Based
Access Control
Даются наименьшие необходимые привилегии.Проверяем необходимость доступа1. Проверка персонала2. Отпечатки пальцев3. Прохождение
треннингов
O365 AdminЗапрашивает доступ
Получены временные привилегии
Запротоколирован запрос на обслуживание1. Можно
провести аудит2. Отчет доступен
клиенту
Сетевая безопасность
• Межсетевые экраны• Сетевая изоляция (Network
Isolation)• SSL-защита трафика внутренних
сетей• Автоматическая конфигурация• Непрерывные испытания на
соответствие• Надзор, Мониторинг, Экспертиза• Определение инцидентов и
ответная реакция• Герметичность• Восстановление
Сетевая безопасность
Exchange Online измеряет траффик и нагрузку и распознает типовые виды DoS трафика. Автоматический traffic shaping при превышении типовых показателей.
Защищает от: • Случайного превышения лимитов
• Сбоящих клиентских устройств (BYOD)
• Ошибочных действий администратора
• DDoS атак
Защита от DDoS атак
Предотвращение взлома Защита от сканирования портов
Сканирование на уязвимости
Автообновление ОС и приложений
Обнаружение и предотвращение DDoS на сетевом уровне
Аудит доступа к сервисам
Аудит действий сотрудников Microsoft
Автоматизированные действия• Развертывание, отладка,
диагностика, перезапуск сервисов
Все пароли хранятся в шифрованном виде
Рабочее место администраторов ЦОД Microsoft изолировано от внешних сетей
Нет постоянных привилегий• Привилегии дают только
на момент необходимости
• Автоматический отказ всем сотрудникам, не прошедшим проверки
• Скрупулёзный процесс подтверждения для прошедших проверки
Автоматическое удаление аккаунтов• При увольнении
сотрудника
• При переводе сотрудника
• При простое
Защита данных
Изоляция данных клиентов
DATA in Server
Организационный единицы Active Directory изолируют данные клиентов друг от друга
Шифрование данных
Шифрование при храненииRights Management Services• Гибкий выбор того, что можно шифровать.
• Шифрование отправляемой почты.
• EXO RMS шифрованная почта доступна авторизованным пользователям через Outlook, OWA, смартфоны, планшеты.
• SPO может использовать RMS для защиты библиотек документов. Скачанные документы наследуют атрибуты RMS из библиотеки.
Риск ИБ
Злонамеренный администратор
Снижение риска
RMS, BitLocker, LockBox, физический мониторинг здания
Data Loss Prevention (DLP)
RMS; Exchange 2013 DLP Policies
Украденный/потерянный ноутбук BitLocker
BitLocker
Украденное/потерянное мобильное устройство
Защита данных• Трехкратная репликация в одном дата-
центре и Гео-репликация в другие дата-центры
• Ключи и учетные записи хранилища• Резервное копирование данных• Удаление и уничтожение данных• Шифрование данных (при передаче, при
хранении)
Шифрование данных
Шифрование при храненииBitLocker 256bit AES Encryption всех почтовых данных
• mailbox database files, • mailbox transaction log files, • search content index files, • transport database files, • transport transaction log files, and • page file OS system disk tracing/message tracking logs.
Шифрование при передачеTransport Layer Security (TLS)/ Secure Sockets Layer (SSL)
Exchange Online поддерживает S/MIME
Office 365 шифрует данные при передачи и хранении. Делая их недоступными неавторизованным.
Безопасность приложений
Аудит в облаке• Персонал Microsoft производит аудит инфраструктуры
дата-центров• ОС и все приложения ответственны за ведение логов
Role Role Role
Role Role Role
Role Role Role
Cloud Storage
Что отслеживается?
Infrastructure Asset Logs Firewall Logs
Intrusion Prevention
System Logs
Network Device Logs
Domain Controller
Logs
Security Server Logs
Sensitive Information Server Logs
User Logons
Security policy
configuration changes
• Конфиденциальность• Скорее всего лучше чем у вас
сейчас. Сильно зависит от приложений и процедур организации.
• Целостность• Лучше чем у вас сейчас.
• Доступность• Лучше, чем у вас сейчас. Вряд ли
вы превзойдете защиту провайдера облака от DDoS.
Облако защищено?
Вопросы?
[email protected] http://twitter.com/abeshkov
Дополнительные ресурсы
Overview of Windows Azure Virtual NetworkConfiguring a Virtual Network using the Windows Azure PortalNetwork Configuration schema documentationNotes on supported VPN devicesName resolution supporthttp://blogs.msdn.com/b/windowsazure/http://www.microsoft.com/windowsazure/Whitepapers/securityoverview/http://www.globalfoundationservices.com/security/http://blogs.technet.com/securityrus
Дополнительные ресурсы
Information Classification Framework (Excel)Forrester: The Data Security And Privacy PlaybookForrester: Q&A: EU Privacy RegulationsGartner - In a Diverse Europe, Cloud Adoption Will Be SlowerCloud Security AllianceSecuring the Microsoft Cloud InfrastructureInformation Risk Executive Council: Security Strategy for Cloud ComputingLegal issues in the Cloud Part 1 | Part 2 | Part 3 | Part 4Whitepapers about data sovereigntyMicrosoft Data Classification Toolkit
AD RMS File APIGlobal Foundation Services Web Site
Global Foundation Services Blog
Дополнительные ресурсы
SECURITY RESPONSE CENTER
SECURITY DEVELOPMENT LIFECYCLE
SECURITY TECH CENTER
SECURITY INTELLIGENCE REPORT
MICROSOFT SECURITY UPDATE GUIDE
SECURITY DEVELOPMENT CENTER
END TO END TRUST
MALWARE PROTECTION CENTER
TRUSTWORTHY COMPUTING
SECURITY BLOG
www.microsoft.com/security/msrcwww.microsoft.com/security/sir
www.microsoft.com/sdl technet.microsoft.com/security
www.microsoft.com/securityupdateguide
msdn.microsoft.com/securitywww.microsoft.com/twc
www.microsoft.com/endtoendtrust
www.microsoft.com/security/portal
www.microsoft.com/about/twc/en/us/blogs.aspx