通过通讯节流防范拒绝服务攻击
Exchange Online 会在不影响用户体验的前提下记录使用情况基线,并能适应常规的通讯高峰。如果来自某个特定用户的通讯超出了典型边界范围,通讯就会被节流,直到使用情况恢复正常状态。无论异常通讯是用户行为或恶意攻击,例如拒绝服务(DoS)造成的,Exchange 都能自动做出响应,以确保其他用户不受影响。Office 365 还使用了第三方商用 DoS 监控平台对流量进行监控与调节。
防范,检测,消除突破
突破消除是一项防御策略,主要用于预测并预防安全突破的实际发生。这就要求对内建的安全功能进行持续改进,包括端口扫描与修补,边界漏洞扫描,操作系统补丁安装及安全软件更新,网络级 DDOS(分布式拒绝服务)检测与预防,以及服务访问的多因素身份验证。从人员与流程的角度来看,预防突破工作需要对所有运维人员/管理员的访问与操作进行审计,对服务的管理员提供 zero standing permission,工程师对服务进行排错时所需的特权进行“Just-In-Time(JIT)访问与提升”(即按需,并且只在需要时提升权限),并将员工的邮件环境与生产访问环境进行隔离。没有通过背景核查的员工将被自动拒绝进行高特权访问,而员工背景的核查是一项非常彻底,需要手工审批的过程。
突破消除还需要在员工离职,更改组成员关系,或者在过期前不再使用自己账户时自动删除不必要的账户。在可能的情况下,人工干预将被自动化的,基于工具的流程所取代,包括一些例行的职能,例如部署、调试、诊断收集,以及服务重启动。Office 365 还在继续增强系统自动化机制,帮助识别反常或可疑的行为,并快速做出响应,降低安全隐患。微软还在继续开发更高效率的自动化补丁部署系统,可针对监控系统发现的问题生成并部署解决方案——这一切都无需人工干预。这些举措极大改善了服务的安全性与敏捷度。Office 365 还通过进行渗透测试对事件响应流程进行持续改善。这些内部测试有助于 Office 365 安全专家创建有条理,可重用,更优化的阶段性响应流程与自动化机制。
客户控制
Office 365 结合了客户熟悉的 Microsoft Office 套件与基于云的下一代通讯与协作服务:Microsoft Exchange Online、Microsoft SharePoint? Online,以及 Microsoft Lync? Online。每个服务都为用户提供了各自的安全控制功能。这些控制使得客户能够满足合规性要求,为客户组织内的人员提供对服务与内容的访问,配置反恶意软件/反垃圾邮件机制,并使用客户持有的密钥对数据进行加密。
启用高级加密
除了上述的强大加密功能,客户可以选择在 Office 365 中使用 Active Directory 权限管理服务(ADRMS)。这些功能为客户提供了灵活选择要加密内容的能力。此外还能对存储的数据使用 ADRMS 进行加密。Office 365 还为非联合用户提供了邮件加密功能,因此对于发给任何收件人的信息都能随时加密。Office Professional Plus 提供的高级加密功能通过将 Cryptographic Next Generation(CNG)接口与 Windows 进行集成,可原生支持 Cryptographic Agility。管理员可以为文档的加密与签名指定要使用的加密算法。
启用用户访问
Office 365 的数据与服务在数据中心、网络、逻辑、存储,以及传输层面上可得到妥善保护。此外更重要的是客户能够控制谁能访问自己的数据,以及如何使用这些数据。Office 365 使用 Windows Azure Active Directory 作为底层身份平台。这就使得 Office 365 用户获得了强大的身份验证选项,并能对 IT 专业人员与普通用户能够访问和使用的服务进行细化控制。Office 365 还能与内部部署的 Active Directory 或其他目录存储与身份系统进行集成,例如 Active Directory 联合身份验证服务(ADFS)或第三方安全令牌系统(STS),借此可为服务提供安全的,基于令牌的身份验证。
客户端联合身份与单点登录安全性
管理员可以将内部部署的 Active Directory 或其他目录存储与 Office 365 所用的身份平台 Windows Azure Active Directory 进行联合。一旦联合配置完毕,所有身份基于联合域的 Office 365 用户即可使用自己原有的企业账户针对 Office 365 进行身份验证。联合可提供安全的,基于令牌的身份验证。这还使得管理员能够创建额外的身份验证机制,例如:
? 双因素身份验证
? 基于客户端的访问控制,可让组织控制用户从特定设备或特定位置,或这两个因素的不同组合
下如何访问信息(例如对公用计算机或来自公共开放式 Wi-Fi 的访问进行限制)
? 基于角色的访问控制,类似上文自动化运营一节中有关对微软工作人员的访问进行控制的机制
通过 IM 联合,Lync Online 用户可以在更安全的环境中与其他使用 Lync Online、内部部署的 Lync Server 2010,甚至 Skype 公众 IM 网络的其他组织用户进 IM 交流。不同 IM 系统之间的所有联合通讯都使用访问代理服务器进行加密。此外 Lync Online 还可以允许管理员保存 IM 会话。
双因素身份验证
双因素身份验证改善了多设备与以云为中心的世界的安全性。通过借助电话,微软为双因素身份验证提供了内部解决方案,并能支持第三方双因素身份验证解决方案。微软基于电话的双因素身份验证解决方案可以让用户通过手机短信方式获得 PIN 码,并在登录服务时输入该 PIN 码作为第二密码。
促进合规性
Office 365 提供了一系列合规性功能,包括数据防泄漏(DLP)、电子数据展示,以及审计与报表功能。对于这些功能,用户体验始终如一,生产力不会受到任何影响,因此可进一步促进用户接受度。
数据防泄漏(DLP)
虽然恶意软件和有针对性的攻击会导致数据受损,但对大部分组织来说,用户错误是导致数据承受风险的更主要原因。Exchange Online 提供的数据防泄漏(DLP)技术可以识别、监控,并保护敏感数据,帮助用户了解并管理数据风险。例如,DLP 可以主动识别邮件中的敏感信息,例如社会安全号或信用卡号,然后在邮件发出前用“PolicyTips”提醒用户。管理员可以全面控制并定制组织内部的限制级别。例如,用户可以在发送敏感数据前看到警告,需要进行授权才能发送敏感数据,或者用户被彻底禁止发送敏感数据。DLP 功能可以对邮件信息或附件生效,并能由管理员对谁什么时候发送过什么数据创建完善的报表。
审计与保留策略
Office 365 的审计策略使得客户能够记录事件,包括针对邮件、文档、任务列表、问题列表、讨论组,以及日历等内容所进行的查看、修改,和删除操作。如果将审计功能作为信息管理策略的一部分加以启用,管理员即可查看审计数据并对当前使用情况进行汇总。管理员可以使用这些报表决定组织内部的信息使用方式,管理合规性,并对需要关注的领域进行调查。
电子数据展示
全新的,简单易用的电子数据展示中心可委派给特定用户——例如负责合规性工作的人员,或人力资源部人员——随后即可在无需 IT 部门帮助的情况下构建电子数据展示任务。电子数据展示使得客户能够跨越 Exchange Online、SharePoint Online、Lync Online,甚至文件共享,直接获取所需内容。通过与 Office 365 的电子数据展示功能进行集成,客户可以在一个位置搜索并保留邮件、文档,以及网站邮箱。通过电子数据展示功能,客户可以指定自己想要搜索与保留的内容。只找到自己需要的内容,无其他内容的干扰,这样的能力使得客户可以降低数据发掘的成本。电子数据展示流程对用户的数据保留与搜索没有任何限制或局限,因为所有任务都在后台自动完成。
数据溢出管理
Office 365 的合规性功能可为客户处理数据的“溢出”提供支持。举例来说,如果有联邦政府客户需要将机密信息传输到 Office 365,客户自己即可通过多种方式删除数据。负责合规性与安全工作,具备 RBAC 特权的官方人员可以使用电子数据展示功能搜索信息或文档,然后将其彻底删除。用于存储“溢出”数据的硬盘不会再被挪作他用,而是被从 Office 365 数据中心的物理设施内取出。如果不再将其用于 Office 365 基础架构,则会被彻底销毁。
启用反垃圾邮件/反恶意软件功能
客户可以通过选项在服务中配置反恶意软件/反垃圾邮件功能。客户还可以选择使用自己的反恶意软件服务,并通过第三方服务对来自或发往 Office 365 的通讯进行路由。Office 365 使用了多引擎反恶意软件扫描技术,可保护传入、传出,以及内部信息,防范通过邮件传播的恶意软件。
Office 365 会对收到的邮件信息扫描,并分配垃圾邮件可信度等级(SCL)数值。SCL 数值较高的邮件会在网关处直接删除,SCL 值较低的邮件会进入用户收件箱。SCL 值处于边界状态的邮件则会放入用户的垃圾邮件文件夹,并会在 30 天后自动删除。管理员可以使用 Office 365 管理中心管理反垃圾邮件/反恶意软件功能,控制包括高级垃圾邮件选项以及组织范围内的安全与阻止发件人列表等功能。每个用户可以通过 Microsoft Outlook 或 Microsoft Outlook Web App 在自己收件箱内管理安全与阻止发件人列表。
内容控制与多引擎恶意软件扫描功能也有助于防范包含恶意代码的文档。根据文件名扩展,Office 365 会阻止某些可能包含恶意代码的文件类型被上传到服务,或从服务中下载。Office 365 使用智能即时信息筛选器(IIMF)保护服务与客户网络,防范恶意软件以及通过 IM 发送的垃圾邮件。微软根据全球 IM 系统多年的安全运营经验开发了 IIMF 技术。
独立认证与合规性
Office 365 将安全性这一概念融入到可扩展的流程中,可快速适应新的安全趋势和业界需求。微软会定期进行风险管理评估,开发并维护了一套可满足最新标准的安全控制框架。Office 365 服务的生命周期内贯彻了内部评估和可信赖组织进行的外部审计。与微软其他团队进行密切合作使得我们以更完善的方式对云端的应用提供保护。
全球化云基础架构的运作需要满足不同的法规遵从义务,并要能通过第三方审计。审计需求主要来自政府与行业规定、内部策略,以及业界最佳实践。Office 365 确保对合规性的预期可持续被评估和认可。因此 Office 365 获得了各种独立认证,包括 ISO 27001 与 SSAE16 SOC 1(Type II)审计,可通过美国-欧盟安全港框架以及 EU Model Clauses 将数据传输到欧盟范围之外,愿意与所有客户签署 HIPAA 业务合作协议(BAA),在 FISMA 条约下获得为美国联邦机构提供服务的许可,并通过云安全联盟的公示披露了相关安全指标。Office 365 还对所实施的控制进行了扩展,以满足无需遵守相应法规或控制的客户对这些标准的需求。
ISO 27001
Office 365 服务基于 ISO 27001 标准构建,是第一家在物理、逻辑、流程,以及管理控制等方面实施此类严格的全球标准的大型商用生产力公共云服务供应商。
FISMA
Office 365 已获得 FISMA 的相关许可,能为多家联邦政府机构提供服务。FISMA 条约下的运作要求为美国联邦政府客户定期提供透明的安全报表。微软为自己的基础架构应用了所需的特殊化流程,以便进一步改善在线服务的安全性与合规性项目,让无需满足 FISMA 的客户也能从中获益。
HIPAA BAA
Office 365 是第一家能为所有用户提供 HIPAA BAA 的大型商用生产力公共云服务供应商。HIPAA 是一项美国法规,主要应用于医疗健康领域的组织,要求对受保护的医疗健康信息(PHI)的使用、披露,以及保护加以控制,并强制要求所涉及的实体与需要访问 PHI 的供应商签署业务合作协议。
EU Model Clauses
Office 365 是首家能与所有客户签署欧盟制定的标准合同条款(也叫做“EU Model Clauses”)的大型商用生产力公共云服务供应商。EU Model Clauses 注重于了数据跨国传输的问题。从满足 EU Model条例的程度上看,就算不是唯一,Office 365 也是少数几个获得欧洲数据保护监管机构(DPA)广泛认证的云服务之一,已获得来自巴伐利亚、丹麦、法国、爱尔兰、卢森堡、马耳他,以及西班牙的认证。
云安全联盟
Office 365 充分满足了云安全联盟(CSA)Cloud Control Matrix(CCM)对合规性与风险管理的要求。Cloud Control Matrix(CCM)是一个由非盈利,业界领先的从业人员建立并推动的组织所颁布的标准,主要专注于帮助客户在迁往云端时做出正确的决策。该矩阵详细介绍了安全与隐私方面的概念与准则,并与云安全联盟在 13 个领域的指南保持一致。Office 365 已经针对 CCM 需求发布了一个详细的功能概述,介绍了 Office 365 的功能如何满足不同需求,并帮助客户通过深入的信息评估当今市面上的不同产品。
结论
如今,企业需要通过生产力服务帮助用户从任何地点完成更多工作,同时面对日益严峻的威胁,要尽量确保安全性。Office 365 通过高度安全的云生产力平台,可同时满足这亮点需求。有关 Office 365 安全性、隐私、合规性、透明度,以及服务连续性的相关信息请参阅 Office 365 信任中心。从应用程序开发到物理数据中心,再到最终用户的访问,Office 365 平台的每个层面都贯彻了安全性。目前,越来越少有组织能够用合理成本在内部环境中获得同等级别的安全性。
更重要的是,Office 365 应用程序同时包含: (a) 可简化数据保护流程的内建安全功能,以及 (b) 管理员用多种方式灵活按照自己独特的业务需求配置、管理,以及集成安全性的能力。企业选择 Office 365,就等于获得了一个能真正了解自己业务安全需求的合作伙伴,这个合作伙伴被全球不同行业不同规模以及不同地区的公司所信赖。
相关推荐:
loading