Андрей БешковРуководитель программы информационной безопасности Microsoft в странах Центральной и Восточной Европы

E-mail: abeshkov@microsoft.comTwitter: @abeshkov

Защита ваших данных в Office 365

Что такое облака?

Всё так плохо?

Облака – общая ответственностьТрадиционна

я инфраструкт

ура

Хранилище

Сервера

Сеть

ОС

Middleware

Виртуализация

Данные

Приложения

Среда исп.

Клиентом

Вендором

Управляется:

Помещение

Инфраструктура(как сервис)

Помещение

Платформа(как сервис)

Помещение

Приложение(как сервис)

Помещение

ОС

Middleware

Данные

Приложения

Среда исп.

Хранилище

Сервера

Сеть

Виртуализация

ОС

Middleware

Данные

Приложения

Среда исп.

Хранилище

Сервера

Сеть

Виртуализация

ОС

Middleware

Приложения

Среда исп.

Хранилище

Сервера

Сеть

Виртуализация

Данные

Облачные риски?• Получите как можно больше данных об уровне доступа персонала

провайдера к вашим данным.Privileged User Access

• Многие не понимают что клиент в ответе за безопасность и целостность своих данных.Regulatory Compliance

• Можно ли проводить обработку данных только в определенных странах?

Data location (Data Sovereignty)

• Как изолируются данные разных клиентов?Data Segregation

• Как делается резервное копирование и восстановление?Recovery

• Какой тип поддержки доступен при расследовании инцидентов?Investigative support

• Останется ли это провайдер на рынке?Long-term viability

Идентификация и доступ

Идентификация и доступ

• Двухфакторная аутентификация – смарт-карты

• Уровни доступа пересматриваются на периодической основе

• Протоколирование и мониторинг с эвристическим анализом подозрительных активностей

• Клиенты имеют доступ к логам действий администраторов, который влияют на их сервисы

Автоматическое управление

Сеть ЦОД Office

Сеть корпорации Microsoft

Lock Box: Role Based

Access Control

Даются наименьшие необходимые привилегии.Проверяем необходимость доступа1. Проверка персонала2. Отпечатки пальцев3. Прохождение

треннингов

O365 AdminЗапрашивает доступ

Получены временные привилегии

Запротоколирован запрос на обслуживание1. Можно

провести аудит2. Отчет доступен

клиенту

Сетевая безопасность

• Межсетевые экраны• Сетевая изоляция (Network

Isolation)• SSL-защита трафика внутренних

сетей• Автоматическая конфигурация• Непрерывные испытания на

соответствие• Надзор, Мониторинг, Экспертиза• Определение инцидентов и

ответная реакция• Герметичность• Восстановление

Сетевая безопасность

Exchange Online измеряет траффик и нагрузку и распознает типовые виды DoS трафика. Автоматический traffic shaping при превышении типовых показателей.

Защищает от: • Случайного превышения лимитов

• Сбоящих клиентских устройств (BYOD)

• Ошибочных действий администратора

• DDoS атак

Защита от DDoS атак

Предотвращение взлома Защита от сканирования портов

Сканирование на уязвимости

Автообновление ОС и приложений

Обнаружение и предотвращение DDoS на сетевом уровне

Аудит доступа к сервисам

Аудит действий сотрудников Microsoft

Автоматизированные действия• Развертывание, отладка,

диагностика, перезапуск сервисов

Все пароли хранятся в шифрованном виде

Рабочее место администраторов ЦОД Microsoft изолировано от внешних сетей

Нет постоянных привилегий• Привилегии дают только

на момент необходимости

• Автоматический отказ всем сотрудникам, не прошедшим проверки

• Скрупулёзный процесс подтверждения для прошедших проверки

Автоматическое удаление аккаунтов• При увольнении

сотрудника

• При переводе сотрудника

• При простое

Защита данных

Изоляция данных клиентов

DATA in Server

Организационный единицы Active Directory изолируют данные клиентов друг от друга

Шифрование данных

Шифрование при храненииRights Management Services• Гибкий выбор того, что можно шифровать.

• Шифрование отправляемой почты.

• EXO RMS шифрованная почта доступна авторизованным пользователям через Outlook, OWA, смартфоны, планшеты.

• SPO может использовать RMS для защиты библиотек документов. Скачанные документы наследуют атрибуты RMS из библиотеки.

Риск ИБ

Злонамеренный администратор

Снижение риска

RMS, BitLocker, LockBox, физический мониторинг здания

Data Loss Prevention (DLP)

RMS; Exchange 2013 DLP Policies

Украденный/потерянный ноутбук BitLocker

BitLocker

Украденное/потерянное мобильное устройство

Защита данных• Трехкратная репликация в одном дата-

центре и Гео-репликация в другие дата-центры

• Ключи и учетные записи хранилища• Резервное копирование данных• Удаление и уничтожение данных• Шифрование данных (при передаче, при

хранении)

Шифрование данных

Шифрование при храненииBitLocker 256bit AES Encryption всех почтовых данных

• mailbox database files, • mailbox transaction log files, • search content index files, • transport database files, • transport transaction log files, and • page file OS system disk tracing/message tracking logs.

Шифрование при передачеTransport Layer Security (TLS)/ Secure Sockets Layer (SSL)

Exchange Online поддерживает S/MIME

Office 365 шифрует данные при передачи и хранении. Делая их недоступными неавторизованным.

Безопасность приложений

Аудит в облаке• Персонал Microsoft производит аудит инфраструктуры

дата-центров• ОС и все приложения ответственны за ведение логов

Role Role Role

Role Role Role

Role Role Role

Cloud Storage

Что отслеживается?

Infrastructure Asset Logs Firewall Logs

Intrusion Prevention

System Logs

Network Device Logs

Domain Controller

Logs

Security Server Logs

Sensitive Information Server Logs

User Logons

Security policy

configuration changes

• Конфиденциальность• Скорее всего лучше чем у вас

сейчас. Сильно зависит от приложений и процедур организации.

• Целостность• Лучше чем у вас сейчас.

• Доступность• Лучше, чем у вас сейчас. Вряд ли

вы превзойдете защиту провайдера облака от DDoS.

Облако защищено?

Вопросы?

abeshkov@microsoft.com http://twitter.com/abeshkov

Дополнительные ресурсы

Overview of Windows Azure Virtual NetworkConfiguring a Virtual Network using the Windows Azure PortalNetwork Configuration schema documentationNotes on supported VPN devicesName resolution supporthttp://blogs.msdn.com/b/windowsazure/http://www.microsoft.com/windowsazure/Whitepapers/securityoverview/http://www.globalfoundationservices.com/security/http://blogs.technet.com/securityrus

Дополнительные ресурсы

Information Classification Framework (Excel)Forrester: The Data Security And Privacy PlaybookForrester: Q&A: EU Privacy RegulationsGartner - In a Diverse Europe, Cloud Adoption Will Be SlowerCloud Security AllianceSecuring the Microsoft Cloud InfrastructureInformation Risk Executive Council: Security Strategy for Cloud ComputingLegal issues in the Cloud Part 1 | Part 2 | Part 3 | Part 4Whitepapers about data sovereigntyMicrosoft Data Classification Toolkit

AD RMS File APIGlobal Foundation Services Web Site

Global Foundation Services Blog

Дополнительные ресурсы

SECURITY RESPONSE CENTER

SECURITY DEVELOPMENT LIFECYCLE

SECURITY TECH CENTER

SECURITY INTELLIGENCE REPORT

MICROSOFT SECURITY UPDATE GUIDE

SECURITY DEVELOPMENT CENTER

END TO END TRUST

MALWARE PROTECTION CENTER

TRUSTWORTHY COMPUTING

SECURITY BLOG

www.microsoft.com/security/msrcwww.microsoft.com/security/sir

www.microsoft.com/sdl technet.microsoft.com/security

www.microsoft.com/securityupdateguide

msdn.microsoft.com/securitywww.microsoft.com/twc

www.microsoft.com/endtoendtrust

www.microsoft.com/security/portal

www.microsoft.com/about/twc/en/us/blogs.aspx