Безопасность и соответствие требованиям Exchange Online 101 (часть 1)

Опубликовано: 11 Марта, 2023
Безопасность и соответствие требованиям Exchange Online 101 (часть 1)

Введение

Многие тысячи клиентов (в настоящее время более 85 миллионов активных пользователей Office 365) перешли на службу Exchange Online (EXO) в составе Office 365 за последние несколько лет. Точно так же многие в настоящее время планируют перейти со своего локального решения для обмена сообщениями на EXO в обозримом будущем. Нравится вам это или нет, но эта тенденция сохранится. На самом деле, с августа 2012 г. по август 2016 г. Microsoft наблюдала рост на 3000 % с точки зрения количества серверов Exchange, которые необходимо было развернуть в службе, чтобы не отставать от количества почтовых ящиков, перенесенных на сервер. оказание услуг. Когда дело доходит до потока почты, нередко можно увидеть более 100 миллиардов сообщений, доставляемых за один месяц. Просто чтобы представить вещи в перспективе.

Так почему же Exchange Online так популярен? Короткий и простой ответ заключается в том, что для большинства организаций имеет смысл перейти на EXO вместо того, чтобы поддерживать собственное оборудование и программное обеспечение, а также тратить деньги на хранение, охлаждение и серверные площади в локальных центрах обработки данных. Тем более, что время идет. Обычно я сравниваю это с арендой автомобиля, а не с его покупкой. Вы не покупаете лицензии EXO, вы их арендуете. Кроме того, вам не нужно беспокоиться об обновлении или переходе на последнюю и лучшую версию Exchange Server, а также об установке исправлений и эксплуатации. Это ответственность Microsoft. Вместо этого вы, как ИТ-организация, можете тратить время на другие вещи, которые выводят эффективность бизнеса на новый уровень.

Конечно, есть организации, которые решили оставить свое решение для обмена сообщениями локально, как правило, из-за соблюдения нормативных требований или отсутствия функций безопасности, которых им необходимо придерживаться. Особенно это касается государственного и финансового сектора. Однако с запуском новых центров обработки данных в Великобритании, Германии и вскоре во Франции, а также из-за того, что безопасность и соответствие требованиям являются непрерывным процессом, а не в стабильном состоянии, что означает, что улучшения и новые функции в этой области регулярно внедряются в сервис. По этой причине организации, которые не смогли перейти на EXO в течение года, могут пересмотреть свое решение в следующем году.

Microsoft обеспечивает безопасность на всех уровнях обслуживания. Это от разработки приложений до физических центров обработки данных и доступа конечных пользователей. Очень немногие организации имеют возможность соответствовать безопасности EXO, а те немногие, кто может, не смогут сделать это по разумной цене.

Хотя безопасность, соответствие требованиям и конфиденциальность в EXO и Office 365 в целом чрезвычайно важны для Microsoft, а EXO включает встроенные функции безопасности, которые упрощают защиту данных в соответствии с потребностями вашего бизнеса, вы как организация также должны внести свой вклад. чтобы обеспечить надлежащую защиту пользователей и данных Exchange Online.

В этой серии статей мы рассмотрим основные стандартные функции безопасности, соответствия требованиям и конфиденциальности. Кроме того, мы углубимся в функции и опции, которые есть в вашем распоряжении, чтобы еще больше повысить безопасность и соответствие требованиям для ваших пользователей и данных EXO.

Безопасность Exchange Online на уровне обслуживания

Будучи поставщиком облачных услуг, крайне важно, чтобы вы поддерживали свое программное и аппаратное обеспечение в актуальном состоянии, используя надежные процессы. Но надежных процессов самих по себе недостаточно. Вам также необходимо иметь соответствующий персонал (квалифицированные и опытные инженеры), который постоянно обучается поддерживать, улучшать и проверять актуальность программного и аппаратного обеспечения с использованием надежных процессов.

Чтобы сохранить безопасность на вершине отрасли, Microsoft использует такие процессы, как жизненный цикл разработки безопасности (SDL), который представляет собой процесс разработки программного обеспечения, который помогает разработчикам создавать более безопасное программное обеспечение и выполнять требования соответствия требованиям безопасности при одновременном снижении затрат на разработку. Кроме того, Microsoft использует методы, которые не только блокируют трафик, но и предотвращают, обнаруживают и смягчают нарушения.

Примечание:
Дополнительную информацию о жизненном цикле разработки безопасности (SDL) можно найти здесь.

В отличие от большинства других поставщиков облачных услуг, Microsoft имеет многолетний опыт создания корпоративного программного обеспечения и по этой причине действительно понимает, что такое безопасность, соответствие требованиям и конфиденциальность на уровне предприятия.

Команда Exchange Online в Microsoft использует так называемую стратегию «глубокой защиты» для защиты данных клиентов с помощью трех уровней безопасности:

  • Физический слой
  • Логический уровень
  • Уровень данных

Используя стратегию эшелонированной защиты, команда может иметь элементы управления безопасностью, присутствующие на различных уровнях службы EXO, и в случае сбоя одной области есть компенсирующие элементы управления для поддержания безопасности в любое время.

Стратегия глубокоэшелонированной защиты также включает определенные тактики, такие как сканирование и исправление портов, сканирование уязвимостей периметра, исправление безопасности операционной системы, обнаружение и предотвращение DDoS-атак на сетевом уровне и многофакторная аутентификация для доступа к службам с целью обнаружения, предотвращения и смягчения последствий. нарушения безопасности до того, как они произойдут.

Кроме того, чтобы предотвратить нарушения, команды сервисных инженеров также придерживаются людей и технологических процедур, таких как аудит всего доступа и действий сервисных инженеров, нулевые постоянные разрешения для инженеров в EXO, своевременный доступ и повышение, предоставляемые по мере необходимости и только в момент необходимости (т. е. при устранении неполадок службы), отделение среды электронной почты сотрудников от рабочей среды доступа и обязательные проверки биографических данных для доступа к службе с высоким уровнем привилегий.

Все ненужные учетные записи удаляются автоматически, например, когда инженер переходит в другую группу, покидает Microsoft или не использует учетную запись до истечения установленного срока.

Все мы знаем, что люди совершают ошибки. По этой причине команда Exchange Online является большим сторонником автоматизации, когда это возможно. Это включает развертывание новых серверов, отладку, сбор диагностических данных и перезапуск служб. Команда Exchange Online вкладывает значительные средства в автоматизацию систем, которая помогает выявлять ненормальное и подозрительное поведение и оперативно реагировать на любые риски безопасности. Кроме того, регулярно проводятся тесты на проникновение (красная команда против синей команды), чтобы можно было улучшить процедуры реагирования на инциденты.

Заключительная мысль

Когда вы решаете перенести свои данные в облачный сервис, первое, что вас беспокоит, — это безопасность. Важно, чтобы вы доверяли своему поставщику облачных услуг, потому что этот поставщик будет нести ответственность за выполнение своей части (вы также играете роль здесь) для защиты ваших данных. Когда дело доходит до безопасности на уровне обслуживания, описанной выше, вы должны чувствовать себя комфортно, используя Microsoft в качестве поставщика облачных услуг, поскольку они очень серьезно относятся к безопасности и имеют хорошо отлаженные надежные процессы для обеспечения защиты ваших данных.

На этом завершается первая часть этой серии статей, состоящей из нескольких частей. В следующей части мы подробнее поговорим об аспектах соответствия и конфиденциальности сервиса EXO.