Office 365 Security

Satya Nadella: We live in a mobile-first and cloud-first world
Sicherheit in 3 Schichten: 3 Parteien
Office 365 Integrierte Sicherheit
Office 365 Kundenspezifische Steuerung
Office 365 Unabhängige Verifizierung
und Compliance
Microsoft
Sicherheit:
Best Practices
Automatisierte
Vorgänge
Verschlüsselte
Daten
24hÜberwachung
der physischen
Hardware
Isolierte
Kundendaten
Sicheres
Netzwerk
Office 365 Integrierte Sicherheit
Microsoft
Sicherheit:
Best Practices
Automatisierte
Vorgänge
Verschlüsselte
Daten
24hÜberwachung
der physischen
Hardware
Isolierte
Kundendaten
Sicheres
Netzwerk
24h-Überwachung der physikalischen Hardware
Erdbebengesichert
24x7 Sicherheitspersonal vor Ort
Sicherheitsbarrieren
Einrichtungen
zum
Brandschutz &
-bekämpfung
Notstromversorgung für
mehrere Tage
Multi-FaktorZutritt
Umfangreiche
Überwachung
http://www.globalfoundationservices.com/
Zehntausende
Server
Isolierte Kundendaten
Eine Multi-Tenant-Umgebung gewährleistet die
logische Isolation von Daten, die das Eigentum
unterschiedlicher Kunden sind, aber innerhalb der
gleichen physischen Hardware gespeichert werden.
DATEN im Server
Durch Datenisolation wird ein (un)beabsichtigter
Zugriff auf Daten, die Eigentum eines anderen
Kunden/Eigentümers sind, verhindert.
Sicheres Netzwerk
Getrenntes
Netzwerk
Internes Netzwerk
Verschlüsselte
Daten
Externes Netzwerk
- Die Netzwerke innerhalb der Office-365-Rechenzentren sind segmentiert.
- Physikalische Trennung von kritischen Back-End-Server- und Speichergeräten von öffentlich zugänglichen Schnittstellen.
- Edge Router Security ermöglicht die Erkennung von Anzeichen möglicher Schwachstellen.
Verschlüsselte Daten
Office 365 ermöglicht die Verschlüsselung der Daten sowohl während der Speicherung als auch während
des Datentransfers. Die Daten sind dabei für nicht-authorisierte Parteien nicht lesbar.
Datenverschlüsselung während der Speicherung (at Rest)
BitLocker 256bit AES-Verschlüsselung für jegliche Art von E-Mail-Diensten
• Beinhaltet Mailbox Database Files, Mailbox Transaction Log Files, Search Content Index Files, Transport
Database Files, Transport Transaction Log Files und Page File OS System Disk
Tracing/Message Tracking Logs.
Datenverschlüsselung während des Transfers (in Transit)
Transport Layer Security (TLS)/ Secure Sockets Layer (SSL)
Exchange Online unterstützt S/MIME und Technologie von Drittanbietern, wie z. B. PGP
Automatisierte, kontrollierte Vorgänge
O365 AdminZugriffsanfrage
Office 365 Datacenter
Network
Gewährt
vorübergehende
Rechte
Aufgezeichnet als
Service-Anfrage
1.
Prüffähig
2.
Verfügbar als
Self-ServiceReports
Microsoft Corporate
Network
Gewährt Rechte nach dem “Least-Privilege”-Prinzip
zur Durchführung einer Aufgabe. Verifiziert die
Berechtigung durch Überprüfung, ob
1.
die Hintergrundprüfung abgeschlossen ist.
2.
das Fingerprinting vollständig ist.
3.
das Security-Training komplett absolviert wurde.
Security Development Lifecycle
Verhinderung von DoS-Angriffen
Microsoft
Sicherheit:
Best Automated
Practices
operations
24hÜberwachungder
physischen
Hardware
Vorbeugung gegen Sicherheitsverstöße
Schadensbegrenzung bei Sicherheitsverstößen
Verschlüsselte
Daten
Sicheres Netzwerk
Isolierte
Kundendaten
Reduzierung von Schwachstellen & Einschränkung des Exploit-Ausmaßes
Schulung
Prozess
Verwaltung und
Nachverfolgung der
Sicherheitstrainings
Training
Grundlegende
Ausbildung
zum Thema
Sicherheit
Anforderungen
Anleitung der Product-Teams, um den SDL
Anforderungen gerecht zu werden
Design
Definition der
Sicherheitsanforderungen
Definition
der DesignAnforderungen
Definition der
Quality Gates
Attack Surface
Analysis
(Meilensteine für
die Produktqualität)
(Analyse möglicher
Auswirkungen nach
der Installation)
Risikoabschätzung
für Sicherheit
und Datenschutz
Rechenschaftspflicht
Aufstellung der
Bedrohungsmodelle
Implementierung
Einsatz der
freigegebenen
Tools
Feststellung
unsicherer
Funktionen
Statische
Analysen
Prüfung
Dynamische
Analyse
Fuzzing
(automatische Tests
mit Zufallsdaten)
Attack Surface
Review
(Programmprüfung auf Angriffsflächen nach der
Installation)
Fortlaufende Prozessverbesserung
Festlegung
der ReleaseKriterien &
Sign-off als
Teil des FSR
Freigabe
Incident
Response Plan
Finale
Sicherheitsprüfung
Festschreibung
& Archivierung
des ReleaseStandes
Incident
Response
(MSRC)
Rückmeldung
Umsetzung
des
Incident
Response
Plan
(Reaktionsplan
für sicherheitsrelevante
Vorfälle)
Weitere technisch/organisatorische Maßnahmen
Wargame
Exercises
Erkennung von unerwarteten Aktivitäten auf dem Server
Warnung bei Prozessen außerhalb der Whitelist
Warnung bei Config/Regkey-Änderungen
Monitor
Emerging
Threats
Analyse der Angriffsmuster (z. B. APTs)
Umfangreiche Datenanalyse zur Erkennung von
ungewöhnlichen Strukturen
Regelmäßiges Incident-Response-Training
Wiederholte “Cops-Robbers”-Simulation mit Pen-Testern
die wie Insider mit Standard Zugriffen agieren können
Red
Teaming
Invest in
Reactive
Security
Needs
Kontinuierliche Verbesserung auf Playbooks,
Containment, Eviction, MTTD, MTTR
Überprüfung aller Service-Zugriffe
Cmdlets, Logins, durchgeführte Aktionen, Elevations, AccountErstellungen
Insider
Attack
Simulation
Execute
Post
Breach
Blue
Teaming
Office 365 Kundenspezifische Steuerung
Office 365 Integrierte Sicherheit
Office 365 Kundenspezifische Steuerung
Office 365 Unabhängige Verifizierung
und Compliance
24hMicrosoft
Überwachung
Sicherheit: Best
der physischen
Practices
Hardware
Automatisierte
Vorgänge
Verschlüsselte
Daten
Isolierte
Kundendaten
Sicheres
Netzwerk
Fortschrittliche Verschlüsselung
Datenverschlüsselung “at rest”
unter Einsatz der Rights
Management Services
• Flexibilität bei der Wahl von Elementen, die Kunden
Sicherheitsrisiko
Technologie zur
Risikominimierung
Böswillige Admins
RMS, BitLocker, LockBox,
Überwachung der
physischen Anlage
Data Loss Prevention
(DLP)
RMS; Exchange 2013
DLP Richtlinien
Gestohlenes/Verlorenes
Laptop
BitLocker
Gestohlenes/Verlorenes
mobiles Endgerät
BitLocker
verschlüsseln möchten.
• E-Mails, die außerhalb der Organisation verschickt
werden, können dadurch ebenso verschlüsselt werden.
Office 365 ProPlus unterstützt
kryptografische Flexibilität
• Integriert Cryptographic-Next-Generation(CNG)-
Schnittstellen
• Administratoren können kryptografische Algorithmen
zum Verschlüsseln und Signieren von Dokumenten
angeben.
Nutzerzugriff
Integriert mit Active Directory, Azure Active
Directory und Active Directory Federation Services
Ermöglicht zusätzliche
Authentifizierungsmechanismen:
•
Zwei-Faktor-Authentifizierung – einschließlich telefonischer 2FA
•
Client-Based Access Control basierend auf Geräten/Standorten
•
Rollenbasierte Zugriffskontrolle (Role-Based Access Control)
Compliance: Data Loss Prevention (DLP)
Verhindert die Abwanderung von
Daten aus der Organisation
Berechtigung der Nutzer für das
eigene Compliance Management
Erzeugt eine Alarmbenachrichtigung,
wenn Daten wie Sozialversicherungsoder Kreditkartennummern per EMail verschickt werden.
•
Kontextbezogene Richtlinienschulungen
•
Darf die Arbeitsabläufe der Nutzer nicht einschränken
•
Funktioniert selbst ohne Verbindung
•
Konfigurierbar und individuell anpassbar
•
vom Admin anpassbare Texte und Aktionen
Die Alarmbenachrichtigungen
können vom Admin individuell
angepasst werden, um zu
verhindern, dass geistiges Eigentum
extern verschickt wird.
•
Integrierte Vorlagen basierend auf gemeinsamen
Vorschriften
•
Einsatz von DLP-Richtlinienvorlagen von Security-Partnern
oder Aufbau eigener Richtlinien-Templates
Compliance: E-Mail-Archivierung und
Aufbewahrung
Aufbewahrung
Suche
In-Place Archiv
Governance
Hold
eDiscovery
Sekundäre Mailbox mit
separatem Kontingent
Automatisierte und
zeitbasierte Kriterien
Webbasiertes eDiscovery-Center
und Multi-Mailbox-Suche
Gemanagt durch EAC
oder PowerShell
Festlegung von Richtlinien
auf Element- oder
Ordnerebene
Erfassung von gelöschten
und bearbeiteten E-MailNachrichten
Verfügbar On-Premise,
Online oder durch EOA
Ablaufdatum wird in E-Mail
angezeigt
Zeitbasiertes In-Place
Hold
Primärsuche, In-Place Archiv
und wiederherstellbare
Elemente
Granulares abfragebasiertes In-Place Hold
Delegation durch rollenbasierte
Administration
Optionale
Benachrichtigung
Deduplizierung nach
Feststellung
Überwachung zur Sicherstellung,
dass Steuerungselemente
berücksichtigt werden
Anti-Spam/ Anti-Virus
Umfangreicher Schutz
•
Multifunktionale Anti-Malware schützt zu 100% gegen bekannte Viren
•
Fortlaufend aktualisierter Spam-Schutz erfasst 98%+ des eingehenden Spams
•
Fortschrittliche Fingerprint-Technologien indentifizieren und stoppen neue Spam- und PhishingVektoren in Echtzeit
Einfache Handhabung
•
Vorkonfiguriert für eine einfache Bedienung
•
Integrierte Verwaltungskonsole
Granulare Steuerung
•
Alle Bulk Messages werden als Spam eingestuft
•
Blockierung von E-Mails, die aufgrund von sprachlichen oder geografischen
Ursprungs unerwünscht sind.
Unabhängige Verifizierung & Compliance
Office 365 Integrierte Sicherheit
Office 365 Kundenspezifische Steuerung
Office 365 Unabhängige Verifizierung
und Compliance
24hMicrosoft
Überwachung
Sicherheit: Best
der physischen
Practices
Hardware
Automatisierte
Vorgänge
Verschlüsselte
Daten
Isolierte
Kundendaten
Sicheres
Netzwerk
Kontinental verteilte Rechenzentren
Dublin
Chicago
Amsterdam
Quincy
Hong Kong
Des Moines
Japan
Boydton
San Antonio
Singapore
Office 365 Trust Center (http://trust.office365.com)
•
•
•
•
Office 365 Privacy Whitepaper
Office 365 Security Whitepaper and Service Description
Office 365 Standard Responses to Request for Information
Office 365 Information Security Management Framework
Der Grund für eine unabhängige Verifizierung?
“Ich muss wissen, dass Microsoft die richtige Vorgehensweise verfolgt”
Die Übernahme und Anpassung von
Wir stellen unabhängige Drittanbieter-Verifizierungen
Industriestandards gewährleisten umfassende
bezüglich Microsofts Steuerung der Sicherheit,
Verfahrensmöglichkeiten und Kontrollmechanismen
Privatsphäre und Kontinuität zur Verfügung.
zum Schutz sensibler Daten.
Microsoft
schafft
Transparenz
Dies bedeutet eine Zeit- & Geldersparnis für Kunden und bietet
Office-365-Kunden eine skalierbare Sicherheit
Office 365: 3 Schichten der Sicherheitsarchitektur
Office 365 Integrierte Sicherheit
Office 365 Kundenspezifische Steuerung
Office 365 Unabhängige Verifizierung
und Compliance
24hMicrosoft
Überwachung
Sicherheit: Best
der physischen
Practices
Hardware
Automatisierte
Vorgänge
Verschlüsselte
Daten
Isolierte
Kundendaten
Sicheres
Netzwerk