Достаточно ли безопасны бесплатные/недорогие веб-приложения для бизнеса? – Часть 2: Веб-приложения Microsoft Office и BPOS/Office 365

Введение

В части 1 этой статьи, состоящей из двух частей, я рассказал об эволюции Интернета от предоставления статического контента к доставке приложений, а также о том, как надвигающийся рост облачных вычислений приведет все больше и больше компаний и частных лиц к новой модели доступа к своим данным. приложений и даже операционных систем. Мы обсудили некоторые проблемы безопасности, связанные с онлайн-сервисами приложений, а затем более подробно рассмотрели Google Apps, то, как они обрабатывают пользовательские данные, и меры, которые они принимают для решения проблем безопасности. Во второй части мы обратим внимание на Microsoft Office Web Apps и его онлайн-пакет для повышения производительности, BPOS, который недавно превратился в новый продукт под названием Office 365, который включает в себя Office Web Apps и интегрирует его с локальным пакетом Microsoft Office.

Разбираем предложения Microsoft Online Office

Общая проблема с Microsoft заключается в том, что часто у них есть несколько разных продуктов, которые, по сути, делают одно и то же. Теперь, когда вы копаете глубже, вы обычно обнаруживаете, что есть важные различия, и продукты нацелены на разные рынки, и/или один из продуктов является надмножеством другого, или продукты предназначены для совместной работы. В случае с их онлайн-продуктами для повышения производительности это всего понемногу.

Office Web Apps бесплатны для личного использования. Это веб-версия Microsoft Office, включающая онлайн-версии Word, PowerPoint, Excel и OneNote, которая была выпущена вместе с версией 2010 года традиционного пакета Microsoft Office. Вы можете использовать IE 7 и выше, Firefox 3.5 и выше, Safari 4 или Chrome для доступа к веб-приложениям. Веб-приложения также интегрируются с Windows Live SkyDrive, Docs.com, Hotmail и новой системой обмена сообщениями Facebook, так что вы можете получить доступ к веб-приложениям через эти другие службы.

BPOS (Business Productivity Online Suite) — это онлайн-сервис, предлагающий «облачные» версии Exchange, SharePoint, Office Live Meeting и Office Communications Server. Office 365 — это последнее воплощение BPOS, которое в настоящее время находится на стадии бета-тестирования и станет доступно в 2011 году. Он построен на последних версиях серверных продуктов, названных выше (при этом Office Communications Online переименован в Lync Online) и добавляет Office Web Apps.. Он работает с популярными браузерами и доступен с мобильных устройств. Недавно я написал статью с более подробным описанием возможностей Office 365, которая вскоре должна быть опубликована на нашем дочернем сайте WindowsNetworking.com.

Каковы проблемы безопасности?

Многие проблемы безопасности являются общими для всех веб-сервисов, и мы обсуждали их в части 1: отсутствие контроля над тем, где хранятся данные и кто имеет к ним доступ, как обрабатываются удаленные данные, какие методы шифрования используются для защищать данные в хранилище и при их перемещении по сети. Есть и другие проблемы, связанные с интеграцией Office Web Apps с платформой социальной сети, такой как Facebook, которая позволит одним щелчком мыши получить доступ к документам Web Apps через сообщения Facebook.

В октябре Microsoft выпустила бюллетень по безопасности MS10-079, который включал обновление безопасности для Office Web Applications 2010, связанное с уязвимостью, делающей возможным удаленное выполнение кода через файл Word. Эта уязвимость также затрагивает традиционные пакеты Office, от Office XP SP3 до Office 2010 и Office 2004/2008 для Mac. Вывод из этого заключается в том, что во многих случаях веб-приложения могут быть уязвимы для тех же эксплойтов, что и сопоставимые локально установленные приложения.

Большим преимуществом в плане безопасности является то, что бизнес-клиенты с планом корпоративного лицензирования могут запускать Office Web Apps на локальном сервере (на SharePoint 2010 или SharePoint Foundation 2010). При таком развертывании организация сохраняет контроль так, как это невозможно с ориентированной на потребителя службой, такой как Google Apps. Таким образом, сервер Office Web Apps работает за корпоративным брандмауэром.

Интересная проблема заключается в том, что Office Web Apps не работает с документами, которые находятся в библиотеках, защищенных с помощью управления правами на доступ к данным (IRM). Вы получаете сообщение об ошибке, если пытаетесь открыть защищенный IRM документ в веб-приложении. Вместо этого вам придется открыть документ в локальном приложении Office.

Если вы развернули Office Web Apps на локальном сервере SharePoint, вы можете настроить, будут ли документы с поддержкой браузера открываться в браузере или в клиентском приложении Office по умолчанию. Это делается либо в интерфейсе центра администрирования SharePoint, либо с помощью командлета PowerShell. Подробнее о том, как это сделать, вы можете узнать здесь.

Механизмы безопасности BPOS/Office 365

BPOS и Office 365 предназначены для делового мира, и Microsoft признает важность безопасности критически важных бизнес-данных. Office 365 включает в себя ряд механизмов безопасности, чтобы бизнес-клиенты чувствовали себя более комфортно при переходе в облако для основных ИТ-услуг, таких как электронная почта, совместная работа и общение. 128-битное шифрование SSL/TSL используется для защиты передачи при доступе пользователей к приложениям Office 365. Также работает антивирусная защита и обновляются определения. Forefront Online Protection for Exchange (FOPE) защищает электронную почту от вредоносных программ и вирусов, используя несколько антивирусных ядер, а также фильтрацию нежелательной почты.

Microsoft постоянно отслеживает системы, на которых запущены приложения Office 365, на предмет любых подозрительных действий. Если такое обнаружено, они реагируют в соответствии с установленным протоколом реагирования на инциденты. Кроме того, аудиты безопасности проводятся на регулярной основе, а разработка, развертывание и обслуживание онлайн-сервисов регулируются жизненным циклом разработки безопасности Microsoft (SDL).

Процесс SDL включает в себя разработку моделей угроз для каждого компонента службы и классификацию угроз (атаки типа «отказ в обслуживании», атаки с повышением привилегий, угрозы раскрытия информации, злонамеренная модификация данных, подделка удостоверений). После выявления конкретных рисков разработчики разработают меры противодействия этим рискам, отдавая приоритет рискам, которые считаются наиболее серьезными.

Корпорация Майкрософт использует Программу управления рисками онлайн-служб (RMP), чтобы гарантировать, что службы соответствуют принятым в отрасли стандартам или превосходят их, а также соответствуют передовым практикам. Это включает в себя аудит третьей стороны.

Существует процесс обучения, посредством которого менеджеры и сотрудники, управляющие онлайн-сервисами, получают актуальную информацию о вопросах безопасности, политиках и процессах, а эффективность работы в этих областях оценивается на постоянной основе. Многоуровневая стратегия безопасности «глубокоэшелонированная защита» направлена как на физическую, так и на логическую безопасность. Центры обработки данных Microsoft соответствуют стандартам «операций операторского класса». Это включает в себя физическую безопасность самого здания, контроль доступа для ограничения физического доступа уполномоченного персонала, датчики движения, видеокамеры наблюдения и системы сигнализации, а также резервные источники питания, несколько оптоволоконных магистралей и другие резервы.

Персонал центра обработки данных имеет ограниченный доступ в зависимости от своих рабочих задач, а механизмы безопасности для аутентификации их личности включают смарт-карты и биометрические данные. Постоянное видеонаблюдение помогает обнаруживать несанкционированный доступ, а на территории дежурят сотрудники службы безопасности для расследования любых подозрительных происшествий. Для тех сотрудников, которые имеют удаленный доступ к серверам центра обработки данных, это происходит через 128-битное зашифрованное соединение, использующее двухфакторную аутентификацию (смарт-карта и PIN-код). Существует разделение обязанностей, поэтому доступ к различным аспектам операций строго контролируется. Команде разработчиков не разрешается обычный доступ к производственной среде, а операционному персоналу не разрешается доступ к исходному коду. Соблюдается принцип наименьших привилегий, предоставляющий пользователям (и системам) только минимальные разрешения, которые они должны иметь для выполнения своей работы.

Сеть сегментирована, чтобы изолировать внутренние серверы и системы хранения данных от машин, подключенных к общедоступной сети, а сами серверы включают в себя резервные источники питания, сетевые карты и полное аварийное переключение с аппаратным обеспечением с возможностью горячей замены, чтобы свести к минимуму перерывы в обслуживании для ремонта и обслуживания.

Все размещенные службы Office 365 поддерживают аутентифицированный, зашифрованный обмен данными и поддержку S/MIME и служб управления правами (RMS), а также защитные меры, такие как блокировка вложений электронной почты на стороне клиента, ограничение ретрансляции, черный список в реальном времени (RBL). ) и политики устройств для смартфонов и других мобильных устройств, которые поддерживают удаленную очистку и блокировку с помощью PIN-кода.

Серверы сканируются для обнаружения неправильной/небезопасной конфигурации и уязвимостей. Системы обнаружения вторжений (IDS) постоянно отслеживают вторжения и настроены на немедленное уведомление персонала в случае обнаружения подозрительной активности. Серверы также контролируются Microsoft Systems Center Operations Manager, а модель администрирования является трехуровневой. Это администрирование на основе ролей, которое контролирует доступ к административным задачам в зависимости от уровня администрирования администратора.

Все серверы защищены, ненужные службы отключены, а файловые ресурсы защищены. Предотвращение выполнения данных (DEP) выполняет проверки памяти, чтобы предотвратить запуск вредоносного кода. Разумеется, на все серверы в дата-центре своевременно устанавливаются обновления безопасности.

Сетевые подключения от сетей клиентов к центру обработки данных используют SSL-сертификаты и защищены 128-битным шифрованием. Применяются политики безопасности, а брандмауэры и фильтрующие маршрутизаторы на границе сети Online Services проверяют поступающие туда пакеты, прежде чем они смогут войти в сеть.

Корпорация Майкрософт следует структуре ITIL (Библиотека инфраструктуры информационных технологий) для управления программными службами, а также собственной операционной структуре Майкрософт (MOF), каждая из которых предписывает передовой опыт для обеспечения как безопасности, так и надежности. Они регулируют управление изменениями, управление инцидентами и управление проблемами. Соответствие реализаций безопасности оценивается на основе рекомендаций ISO 27001.

Резюме

Вы можете узнать больше, в том числе подробности о протоколах Microsoft по реагированию на инциденты безопасности и программе непрерывности обслуживания, а также дополнительную информацию об оценке соответствия и аудитах, в этом 33-страничном техническом документе «Безопасность в онлайн-пакете Business Productivity Online Suite от Microsoft Online Service».