Безопасность и соответствие требованиям Exchange Online 101 (часть 2)
Введение
В части 1 этой серии статей, посвященной безопасности, соответствию и конфиденциальности Exchange Online «из коробки», а также тому, что вы можете сделать, чтобы улучшить ситуацию с вашей стороны, я объяснил, почему EXO — хороший выбор для компаний, которые должны придерживаться очень строгие политики безопасности и соответствия. Я также рассказал о том, что Microsoft делает для обеспечения безопасности и соответствия стандартам Word на уровне обслуживания.
В этой части 2 мы продолжим с того места, на котором остановились в части 1. Начнем.
Три уровня безопасности
Итак, какой была бы безопасность, если бы она не была реализована на всех необходимых уровнях (и на разных уровнях внутри каждого уровня) в стеке? Истинный. Не очень хорошо и крайне плохо подходит для облачной службы, такой как Exchange Online.
Уровень безопасности объекта
Начнем с самих физических центров обработки данных. Microsoft имеет более 100 глобально распределенных центров обработки данных, во многих из которых развернута служба EXO, созданная с нуля для защиты клиентов не только от киберугроз, но и от стихийных бедствий и любого несанкционированного доступа. Объекты охраняются 24/7-365 местными сотрудниками службы безопасности, которые прошли тщательную проверку биографических данных, прежде чем взять на себя роль охраны объектов. В сами объекты допускаются очень немногие.
Центры обработки данных, конечно же, охраняются не только сотрудниками службы безопасности, но и современным оборудованием безопасности, таким как видеонаблюдение, датчики движения и сигнализация нарушения безопасности. Персонал, допущенный в центры обработки данных, должен использовать смарт-карты с многофакторной аутентификацией, а также проходить проверку биометрическим сканером, как вы видели в фильмах.
Для защиты от стихийных бедствий, таких как землетрясения или сильные вибрации, вызванные бомбами, все серверы установлены в сейсмостойких стойках. На случай возгорания действует автоматизированная система предупреждения и тушения пожара. Если воздействие разрушает центр обработки данных, соответствующая служба не только обладает высокой доступностью, но и устойчива к внешним воздействиям, что означает, что сбой или переключение на другой центр обработки данных могут быть выполнены для поддержания работы службы и ее доступности для клиентов. Для EXO это достигается с помощью групп доступности базы данных и нескольких копий базы данных (одна из которых является изолированной копией).
Уровень сетевой безопасности
Вы можете сколько угодно защищать центры обработки данных, в которых работает служба EXO, на физическом уровне, но если сеть не защищена, это не имеет значения.
Сетевая безопасность в центрах обработки данных Microsoft следует основному принципу, который заключается в том, чтобы разрешать соединения и обмен данными только между системами, которые требуют правильной работы. Все другие соединения, порты и протоколы заблокированы. Соответствующие сети в центрах обработки данных Microsoft сегментированы, чтобы отделить внутренние серверы и устройства хранения от общедоступных интерфейсов. Кроме того, все сетевые устройства, политики IPSec и межсетевые экраны защищены с помощью списков контроля доступа (ACL).
Маршрутизаторы в пограничной сети могут обнаруживать вторжение и признаки уязвимости на сетевом уровне. Если происходит подозрительная активность, об этом немедленно сообщается, чтобы операционные группы могли действовать соответствующим образом.
Логический уровень и уровень безопасности данных
Как я уже упоминал в первой части этой серии статей, существует множество элементов управления и процессов, позволяющих избежать несогласованных конфигураций и злонамеренной активности на самих хостах и в приложениях. Кроме того, любые операции, которые могут быть автоматизированы, будут или находятся в процессе автоматизации для предотвращения ошибок, связанных с человеческим фактором.
Оперативный персонал прошел строгие проверки биографических данных и, как упоминалось ранее, не имеет постоянного доступа, поскольку они добавляются и удаляются из групп управления доступом на основе ролей в зависимости от задачи или дела, над которым они работают. Чтобы получить запрошенный доступ, им необходимо пройти процесс блокировки, где соответствующие лица должны принять запросы. Если у клиентов есть необходимая подписка и включена функция защищенного хранилища клиента, это также может включать арендатора клиента и/или данные, с которыми должен работать инженер.
Весь доступ, предоставленный инженеру, и все действия, предпринятые инженером, проверяются.
Exchange Online (и все другие рабочие нагрузки Office 365) защищены с помощью программного обеспечения для защиты от вредоносных программ, которое обнаруживает и предотвращает проникновение вирусов и червей на узлы и приложения. Если система заражена, она будет немедленно помещена в карантин, чтобы защитить другие системы от повреждения вредоносным ПО или вирусом.
Вся стандартная базовая конфигурация серверов, сетевых устройств и приложений документируется по мере необходимости. Обновления, исправления и исправления, применяемые в рабочей среде, следуют одному и тому же процессу управления изменениями. Любые изменения проходят через строгий процесс проверки и оценки группами проверки и консультативным советом по изменениям.
На уровне данных клиенты используют то же аппаратное и программное обеспечение, что и другие клиенты. Когда дело доходит до EXO, это означает, что разные клиенты имеют почтовые ящики на одних и тех же серверах Exchange и даже в одних и тех же базах данных почтовых ящиков. В этом вся идея многопользовательского сервиса. Вместо этого данные клиентов защищаются с помощью границ безопасности на основе изоляции данных, обеспечиваемых сегрегацией Azure Active Directory.
Независимо от рабочей нагрузки все данные в состоянии покоя и при передаче шифруются. Для EXO базы данных почтовых ящиков хранятся на дисках, зашифрованных битлокером (шифрование на уровне тома), а любые передаваемые данные защищены с помощью SSL и/или TLS в зависимости от протокола и вовлеченных партнеров.
На этом завершается часть 2 этой серии статей, состоящей из нескольких частей. В следующей части мы подробнее поговорим об аспектах соответствия и конфиденциальности сервиса EXO.