Office 365 – Sikkerhet i skyen
Virksomheter som flytter IT-tjenestene opp i skyen, er naturlig nok bekymret over sikkerheten. Brukere kan logge på når som helst, hvor som helst og fra en hvilken som helst enhet. Rett ut av boksen er tilgangen – og dermed dataene – bare sikret med brukernavn og passord. Men nå kommer Office 365 og Azure med en rekke mekanismer og verktøy som lar deg opprette et godt beskyttet miljø. Det gir deg nødvendig kontroll over pålogginger, enheter, e-posten og dokumentene dine. Samlet kan disse sikkerhetsfunksjonene organiseres i et lagdelt dybdeforsvar som klarer å absorbere selv sofistikerte angrep. Her følger en kortfattet oversikt, andre blogger vil slå ned på de enkelte punktene i mer detalj. Vær oppmerksom på at flere av tjenestene krever en tilleggslisens.
Sikkerhetsmodellen i moderne IT og Office 365
Skyen tvinger frem helt nye måter å tenke sikkerhet på. Tradisjonelle tiltak som å beskytte bedriften bak perimeternettverk og brannmurer, mister mening. Et bedre utgangspunkt gir modellen for sikkerhet i moderne informasjonsteknologi, som hviler på tre grunnpilarer: identiteter, enheter og informasjon. Anvendt på Office 365 er identiteter alle brukere som er registrert i Azure Active Directory, Microsofts skybaserte katalog- og identitetstjeneste. Enheter omfatter alt av maskinvare, som bærbare og mobiler med tilgang til Office 365-leieren. Informasjon er dataene våre, vår intellektuelle eiendom. Denne modellen gjør det lettere å se hva vi må sikre, og hvorfor vi bør gjøre det. Hvordan vises utover i fremstillingen her.
Beskyttelse av brukeridentiteter
For Microsoft er identiteten det nye kontrollplanet, grunnlaget for all videre sikkerhet. Du bør beskytte kontoer med totrinnsbekreftelse. Azure Identity Protection oppdager identitetstyveri. Med Betinget tilgang kontrollerer du brukerpålogging. Privileged Identity Management tildeler administrative rettigheter ved behov.
Totrinnsbekreftelse
Totrinnsbekreftelse eller godkjenning med flere faktorer fungerer etter samme prinsipp som i nettbanken din. I tillegg til legitimasjon blir du bedt om å oppgi en kode. Du kan velge mellom å bli oppringt, få tilsendt en SMS eller benytte mobilappen Azure Authenticator. Sånn er du sikret selv om passordet kommer på avveie.
Identitetsbeskyttelse
Azure Identity Protection flagger mistenkelig pålogginger. Du kan ikke logge på i Oslo det ene øyeblikket, så i neste fra Minsk. Andre risikohendelser er tilgang til kontoen fra anonyme og suspekte IP-adresser, samt uvanlige oppholdssteder – vanene dine kartlegges.
Betinget tilgang
Med Betinget tilgang kan du jenke på behovet for totrinnsautentisering på kontoret, samtidig hindre tilgang fra utrygge nettverk. Du kan stille krav til at brukere bare kan logge på fra enheter som er i samsvar med bedriftens sikkerhetspolicy. Ved mistanke om identitetstyveri kan bruker automatisk bli bedt om å endre passord.
Administrasjon av privilegerte identiteter
En administratorkonto er et ettertraktet bytte for angripere. Enkelte ganger er det ingen som aner hva en administrator foretar seg. Privileged Identity Management løser begge disse problemene. Det meste av tiden figurerer eieren av en privilegert rolle som vanlig bruker. Administrative rettigheter tildeles bare ved forespørsel og behov. Det gjør kontoen mindre sårbar, og aktivitetene i egenskap av administrator loggføres.
Sikring av enheter
Exchange Online Protection tar seg av meldingshygiene. Office 365 Advanced Threat Protection håndterer nulldagstrusler. Windows Defender ATP fungerer som ferdsskriver etter et angrep. Mens Microsoft Intune sørger for enhetsadministrasjon.
Exchange Online Protection
Sånn kommer meldinger inn i organisasjonen din. Tilkoblingsfilteret godtar eller avviser e-post fra bestemte IP-adresser. Microsofts sikkerliste, basert på ulike tredjepartskilder, klarerer sikre avsendere. Filteret for skadelig programvare skanner all e-post for skadevare ved hjelp av daglig oppdaterte signaturer og heuristikk. Transportregler lar deg endre meldingsflyten og utføre andre handlinger på meldinger. Søppelpostfilteret er en vitenskap i seg selv som gir et hav av muligheter for å konfigurere beskyttelsen, samtidig med at sluttbrukere kan foreta sin egen søppelpostrangering i Outlook. Til slutt slår avansert trusselbeskyttelse inn, om tjenesten er satt opp.
Avansert trusselbeskyttelse
Office 365 Advanced Threat Protection skjermer deg mot usikre vedlegg, skadelige koblinger og nettfiske. Hvert dokument undersøkes i et «detoneringskammer» for mistenkelig aktivitet, så som forsøk på å skrive til filsystemet og registeret eller laste ned programkode. Koblinger til nettadresser kontrolleres i sanntid idet du klikker på dem. Er nettstedet utrygt, blir du enten advart eller opplyst om at det er blokkert. Detaljert rapportering og meldingssporing gir innsikt i type angrep og hvem i organisasjonen som er målet. Nytt er støtte for arbeidsdokumenter i OneDrive og SharePoint. Se også: Hva er Advanced Threat Protection (ATP)?
Windows Defender ATP
Windows Defender Advanced Threat Protection er ingen erstatning for antivirusbeskyttelse. Det er et post mortem-verktøy for å analysere innbrudd som allerede er et faktum. Det gjør det mulig å oppdage, undersøke og respondere på avanserte trusler på nettverket. Windows Defender ATP søker å gi svar på: Hvordan klarte uvedkommende å komme seg inn? Hva er det de driver med? Hvor beveger de seg hen? Basert på Microsofts ferskeste statistikker fra Ignite 2017 tilbringer angripere 100 dager på innsiden av organisasjonen før de blir oppdaget.
Enhetsadministrasjon
Microsoft Intune lar deg administrere mobile enheter, som for smarttelefoner fortsatt er et stemoderlig behandlet kapittel i mange små og mellomstore bedrifter. Sånn kan du angi at enhetene skal være kryptert og beskyttet av en sekssifret PIN-kode som må endres hver tredje måned. Ved hjelp av Intune kontrollerer du hvilke apper som skal få tilgang til bedriftsdata, og ruller dem ut. Du bestemmer for eksempel at bare Outlook for iOS eller Android kan brukes til e-post fordi disse klientene støtter moderne autentisering, som støtter totrinnsbekreftelse. Om en ansatt slutter, kan du fjernslette bedriftsapper og dataene, uten at det går utover privat innhold på enheten.
Beskyttelse av informasjon
Til vanlig beskytter vi filer ved å sikre lagringsområdene. Det bør du fortsette med. Men nå kan du også knytte sikkerheten direkte til dataene. Med Azure Information Protection kan du klassifisere og kryptere dokumenter. Hindring av datalekkasje sørger for at sensitiv informasjon ikke siver ut av huset. Office 365-meldingskryptering gir deg sikker ende-til-ende-kommunikasjon. Tvungen TLS håndterer krypterte meldingskanaler mellom partnere.
Informasjonsbeskyttelse og rettighetshåndheving
Azure Information Protection lar deg markere, klassifisere og beskytte data utfra graden av følsomhet. Dette kan være styrt av brukere eller automatisert av policyer. Beskyttelsen er basert på Azure Rights Management, som tar seg av kryptering og rettighetshåndtering. Sikkerheten er del av selve dokumentet og forblir der under hele dets levetid. Du kan trygt dele data med medarbeidere, i tillegg til kunder og partnere. Definer hvem som skal ha tilgang til data, og hva de kan gjøre med dem – som for eksempel å vise og redigere filer, men verken skrive dem ut eller videresende dem. Du kan spore deres aktiviteter og tilbakekalle tilgangen.
Hindre datalekkasje
Hindring av datatap bidrar med å identifisere og beskytte organisasjonens sensitive informasjon. Du kan sette opp policyer som hindrer data i e-post og dokumenter i å bli delt med feil personer. Dette er gjerne personlig identifiserbar informasjon som kredittkort, personnumre og helseopplysninger, samt forretningshemmeligheter. Opprinnelig var dette bare en funksjon i Exchange, men omfatter nå OneDrive og SharePoint, med støtte i de siste skrivebordsversjonene av Excel, PowerPoint og Word.
Office 365-meldingskryptering
Office 365-meldingskryptering sørger for sikker ende-til-ende-kommunikasjon internt i bedriften, mellom organisasjoner, samt med privatadresser. Funksjonaliteten krever verken tilleggsmoduler, programutvidelser eller sertifikater. Virkemåten er besnærende enkel: Avsender og mottaker autentiserer mot Azure AD og autoriseres av Azure Information Protection til henholdsvis å kryptere og dekryptere meldingen.
Tvungen TLS
Tvungen Transport Layer Security (TLS) lar deg også sende sikker e-post. Her krypteres ikke meldingen, men selve overføringen. Dette er noe man typisk setter opp mellom partnere man kommuniserer mye med.
Overvåking og varsling
Office 365 kan lett fremstå som en eneste stor sammenhengende tjeneste. Da tenker man seg også at overvåkingen og varslingen er samlet og tett integrert. Dessverre er det ikke helt sånn ennå. Men man ser at Microsoft jobber med det. For nyere tjenester kan man gå inn i administrasjonssenteret for Sikkerhet og Samsvar for å sette opp beskyttelsesvarlinger og -policyer. For Exchange Online krever fortatt sentret for Exchange. I tillegg har man skytjenestene i Azure med sin egen overvåking. Dette krever noe tilvenning. Men når man først har orientert seg er det oversiktlig og greit å undersøke og respondere på sikkerhetshendelser i Office 365.
Konklusjon
Sikkerhet har høyeste prioritet i Office 365. Den strekker seg fra fysisk sikrede datasentre via applikasjonene til omfattende sikkerhetsmekanismer. Men hvor skal du begynne i din egen Office 365-leier? Som alltid i det små, men nå! Beskytt brukerne dine med totrinnsbekreftelse og betinget tilgang. Sørg for å sikre enhetene med avansert trusselbeskyttelse og enhetsadministrasjon. Hold data unna uvedkommende ved å rettighetsbeskytte dokumenter, hindre datalekkasje og kryptere e-post. Når alt dette er på plass, bør du se på de andre alternativene for ytterligere å herde sikkerheten i skyen.
Du kan lese mer om sikkerhet i vår e-bok:
Kilde: Organiseringen av stoffet står i gjeld til Paul Cunninghams Pluralsight-kurs «Configuring and Managing Office 365 Security». Første figur er i omarbeidet form hentet derfra.