Bezpieczeństwo w Office 365, - integritypartners.pl · czyli jak skorzystać z wbudowanych ... przez pracownika w korespondencji e-mail, ... a przy tym łatwo i skutecznie odnajdywać

desi

gned

by

Free

pik.

com

Bezpieczeństwo w Office 365, czyli jak skorzystać z wbudowanych funkcji i podnieść poziom kontroli, nie wydając ani złotówki

2

BEZPIECZEŃSTWO W OFFICE 365

Wiele firm wykorzystuje funkcje poczty elektronicznej usługi Office 365 w bardzo ograniczonym zakresie, dowiadując się o istnieniu niektórych wbudowanych narzędzi dopiero po fakcie. Zwykle zdarza się to, kiedy niefrasobliwy, niekompetentny pracownik przypadkowo lub świadomie usunie swoją korespondencję, ale także gdy niezbędne jest podjęcie szybkich kroków naprawczych po nieprzewidzianej awarii.

Bezpieczeństwo w Office 365, czyli jak skorzystać z wbudowanych funkcji i podnieść poziom kontroli, nie wydając ani złotówki

Mobile Device Management (MDM) i Multi-factor authentication (MFA), które są integralną częścią pakietu Office 365 i usług Exchange Online w wyższych planach, skierowanych dla użytkowników korporacyjnych. Rozwiązania te zapewniają ochronę informacji przedsiębior-stwa przed ujawnieniem na skutek przypadko-wych lub świadomych działań pracowników, braku wiedzy i niefrasobliwości oraz innych zdarzeń, takich jak kradzież lub zgubienie urządzenia mobilnego.

Artykuł skierowany jest do aktualnych użyt-kowników Office 365 oraz osób rozważających wyniesienie swoich systemów, aplikacji i da-nych do chmury, a mających obawy związane z bezpieczeństwem danych – zarówno z per-spektywy poufności informacji, jak i odzyski-wania danych po awarii. W tekście omówiono narzędzia i funkcje pakietu Office 365 (dotyczy wybranych planów taryfowych), o których istnieniu bardzo wielu klientów dowiaduje się

Artykuł stanowi kompendium wiedzy o me-chanizmach zabezpieczeń Office 365 przy ochronie danych przedsiębiorstwa przed utratą lub ujawnieniem. W pierwszej części mate-riału omawiamy technologie Litigation hold, In-place hold oraz eDiscovery Search, które umożliwiają zabezpieczenie informacji prze-kazywanych za pomocą poczty elektronicznej przed ich celowym lub przypadkowym usu-nięciem. Wdrożenie tych technologii pozwala przedsiębiorstwom spełnić wymagania prawne dotyczące przechowywania i udostępniania korespondencji pocztowej na potrzeby własne i prowadzonych dochodzeń sądowych.

Druga część artykułu została poświęcona rozwiązaniom z zakresu zabezpieczania komu-nikacji oraz ochrony informacji przed wycie-kiem. W tekście omówiono narzędzia Data Loss Prevention (DLP), Rights Management Services (RMS), reguły transportowe Exchange i mecha-nizmy szyfrowania wiadomości oraz funkcje

PROWADZĄCY

Dominik Wojciechowski, System Architect, Integrity Partners

Dominik Wojciechowski specjalizuje się w zakresie platformy Microsoft

Exchange, Skype dla firm i chmury Microsoft Azure (IaaS). Brał udział

w wielu projektach wdrożeń i migracji systemów komunikacyjnych do

środowiska Exchange oraz Skype dla firm (Lync).

Dominik Mostowski, Advances Support & Online Team

Manager, Integrity Partners

Dominik Mostowski specjalizuje się w usługach Office 365 oraz

chmurze Microsoft Azure. Brał udział w kilkudziesięciu projektach wdrożeń i migracji systemów informatycznych

przedsiębiorstw do środowiska Office 365 na całym świecie.

OMÓWIENIE USŁUG ZABEZPIECZEŃ OFFICE 365


3

dopiero w momencie wystąpienia incydentu związanego z bezpieczeństwem, np. kiedy odchodzący z firmy pracownik usunie całą korespondencję ze skrzynki pocztowej albo wrażliwe dane osobowe wyciekną na zewnątrz organizacji.

Różnice w planach taryfowychDotychczas klienci rozróżniali pakiety Office 365 E1 oraz Office 365 E3 głównie przez pry-zmat aplikacji pakietu Office do zainstalowania na komputerach pracowników, zapominając o dodatkowych funkcjach z zakresu zabezpie-czeń i ochrony informacji dostępnych wyłącz-nie w wyższym planie usługi. A zatem klienci posiadający subskrypcję pakietu Office 365 E3 mogą – i to bez ponoszenia dodatkowych kosztów – zwiększyć swoje bezpieczeństwo, wykorzystując narzędzia zawarte w tym wa-riancie usługi. Użytkownicy Office 365 E1 mogą zamówić niektóre z prezentowanych w artykule rozwiązań w formie dodatku (add--on) lub zmigrować do wyższego planu tary-fowego. Jednocześnie klienci, którzy obecnie korzystają z subskrypcji Office 365 w planie E3, a rozważają migrację do usługi w wersji E5, powinni najpierw rozważyć możliwość imple-mentacji w swoich organizacjach opisywanych w artykule technologii i narzędzi zabezpieczeń, a dopiero w drugiej kolejności myśleć o uni-kalnych funkcjonalnościach planu E5, jakimi są: rozszerzone mechanizmy zarządzania bez-pieczeństwem informacji, funkcje analityczne i wsparcie dla technologii VoIP.

Litigation holdWielu administratorów nie potrafi wyjaśnić, czym są i w jaki sposób można wykorzystać narzędzia Litigation hold, In-place hold oraz eDiscovery w praktyce. I to pomimo faktu, że są to technologie od dawna zaimplementowa-ne w serwerowych rozwiązaniach Microsoft Exchange i SharePoint. Wdrożenie mechani-zmów Litigation hold, In-place hold oraz eDi-scovery w przedsiębiorstwie ma na celu zabez-pieczenie informacji przed ich przypadkową lub celową utratą. Dane firmy przechowywane w skrzynkach programu Exchange pozostają przez cały czas chronione, nawet jeśli pracow-nik podejmie próbę ich świadomego skasowa-nia.

Usługa Litigation hold zakładana jest bez-pośrednio na skrzynkę pocztową (mailbox) użytkownika i zabezpiecza wszystkie tworzone

i przechowywane w niej informacje. W szcze-gólności dotyczy to wiadomości otrzymanych przez pracownika w korespondencji e-mail, choć ochroną objęte są także wszystkie pozostałe obiekty zapisywane w skrzynce Exchange.

Od strony technicznej każdy skasowany przez pracownika obiekt przesuwany jest do specjalnego folderu Recoverable Items Folder, który jest de facto pewnym dodatkowym, wy-dzielonym obszarem w skrzynce użytkownika. Folder ten znany jest administratorom z usługi Single Item Recovery. To właśnie do folderu Recoverable Items Folder trafiają wszystkie wiadomości skasowane przez pracownika z elementów usuniętych. I choć folder ten jest niewidoczny bezpośrednio dla użytkownika, to może on w ciągu 14 dni przywrócić zatrzyma-ne w nim wiadomości, korzystając w tym celu z programu Outlook lub Outlook Web Access. Wynika to z faktu, że po upływie 14 dni obiekty składowane w Recoverable Items Folder są au-tomatycznie i bezpowrotnie usuwane z serwera Exchange. Gdzie zatem tkwi różnica między usługą Litigation hold a Single Item Recovery?

Włączenie mechanizmu Litigation hold dla skrzynki pracownika powoduje, że wszystkie skasowane przez niego obiekty Exchange tra-fiają do folderu Recoverable Items Folder, ale są w nim przetrzymywane na zasadach okre-ślonych przez administratora. Innymi słowy – mogą tam pozostać przez trzy lata lub pięć lat, a nawet do końca świata. Tak długo, jak zacho-dzi potrzeba przechowywania tych informacji.

Czas ochronyW odniesieniu do usługi Litigation hold jedy-nym parametrem, który możemy konfigurować, jest okres ochrony (czas życia) obiektów za-bezpieczonych w folderze Recoverable Items Folder. Każda wiadomość lub obiekt, który trafi do tego folderu, może być przetrzymywany przez wskazany czas lub bezterminowo, przy czym w pierwszym przypadku warto wiedzieć, jak liczyć okres ochrony. Czas ochrony infor-macji liczony jest od momentu utworzenia lub otrzymania obiektu w skrzynce pracownika. Oznacza to, że dla polityki ochrony ustalonej np. na rok, wiadomość e-mail jest przetrzymy-wana przez dokładnie jeden rok od momentu, kiedy została dostarczona do skrzynki pocz-towej pracownika. Spróbujmy zilustrować tę sytuację na prostym przykładzie.

Pracownik skasował wiadomość, którą

Office 365 w planie E51 grudnia 2015 roku do sprzedaży trafił plan Office 365 E5, który oferuje nowe funkcje w obszarach: komunikacji w czasie rzeczywistym, analityki danych oraz za-awansowanego bezpieczeństwa.

4


otrzymał od kontrahenta dokładnie pół roku wcześniej. Zgodnie z nałożonymi politykami ochrony informacji wiadomość jest przesunięta do folderu Recoverable Items Folder, gdzie jest przetrzymana przez usługę Litigation hold przez kolejne sześć miesięcy. Wiadomości starsze niż rok przestają być ważne dla firmy i nie muszą podlegać dodatkowej „archiwiza-cji”. W tym kontekście usługa Litigation hold pozwala dokładnie zaadresować potrzeby organizacji dotyczące ochrony informacji przez ustalony z góry zadany okres.

Firmy zobligowane są do przechowywania informacji przez czas określony wymaganiami prawa i regulacjami wewnętrznymi. System informatyczny śledzi, kiedy dana informacja została utworzona lub otrzymana przez pra-cownika i jak długo pozostaje istotna z per-spektywy funkcjonowania przedsiębiorstwa. W tym kontekście usługa Litigation Hold pozwala zrealizować standardowy scenariusz, w którym wszystkie informacje trafiające do skrzynki zostają zabezpieczone na pięć lat, po czym mogą zostać skasowane, jeśli taka jest wola pracownika. Przed upływem tego czasu, jeśli użytkownik usunie informacje ze swojej skrzynki, trafi ona do wydzielonego archiwum, skąd będzie można ją odzyskać na potrzeby wewnętrzne firmy lub dochodzenia sądowego.

Dostępna przestrzeńFolder Recoverable Items Folder ma przypisany oddzielny limit przestrzeni dyskowej (quota). Standardowo w usłudze Exchange Online otrzymujemy 50 GB na skrzynki pracownika, nielimitowane archiwum oraz dodatkowe 30 GB na skasowane wiadomości możliwe do odzyskania w ciągu 14 dni (mechanizm Single Item Recovery). W momencie włączenia funkcji Litigation Hold na skrzynce twardy limit prze-strzeni dyskowej (quota) na usunięte obiekty Exchange rośnie aż do 100 GB. Tak duża prze-strzeń na skasowane dane (zwróćmy uwagę, że nie mówimy tutaj o obiektach przesuniętych do archiwum) wystarczy w większości produkcyj-nych zastosowań.

W tym miejscu należy nadmienić, że Litigation Hold przechowuje skasowane oraz zmienione wiadomości. Serwer śledzi hi-storię wersji, a każda kolejna wyedytowana kopia wiadomości jest zapisywana w folderze Recoverable Items Folder i zatrzymywana w archiwum przez ustalony dla usługi czas. Dotyczy to zarówno aktywnych skrzynek, jak

i kont pracowników skasowanych przez admi-nistratora.

Backup pocztyIdea wynoszenia systemów i danych do chmury obliczeniowej zakłada jak najszersze odejście od klasycznych rozwiązań wdraża-nych lokalnie w modelu on premise. W tym kontekście usługa Litigation hold staje się kompletnym, alternatywnym rozwiązaniem backupu poczty elektronicznej w przed-siębiorstwie, a implementacja systemów kopii zapasowych i archiwizacji skrzynek Exchange Online w lokalnym centrum danych okazuje się bezcelowa, a więc zupełnie nie-potrzebna.

Litigation hold realizuje podstawowe zało-żenie backupu, a więc konieczność zachowania danej informacji przez określony czas. W tym ujęciu usługa działa jako archiwum skrzynek pracowników, przy czym administrator – oczy-wiście zgodnie z polityką firmy – definiuje okres przechowywania zawartych w nich wiadomości i innego typu obiektów Exchange. Usługa Litigation hold może zostać włączona dla wybranych lub wszystkich skrzynek pra-cowników.

Zasadniczo jedynym ograniczeniem tego mechanizmu jest limit przestrzeni dyskowej (quota) dla folderu Recoverable Item Folder, który, jak zostało już powiedziane, wynosi 100 GB. Administrator otrzyma powiadomienie, jeśli wykorzystanie dysku zbliży się do tego limitu, aby zawczasu mógł podjąć akcję i np. skopiować przestarzałe dane w inne miejsce.

In-place holdIn-place hold jest bardzo podobna pod wzglę-dem funkcjonalnym i zastosowanych w niej rozwiązań technologicznych do omówionej wcześniej usługi Litigation hold. I tu i tam usu-nięte informacje przesuwane i zatrzymywane są w folderze Recoverable Item Folder, przy czym w usłudze In-place hold administrator może określić reguły przechowywania tych danych w archiwum. Oto przykład zastosowania tej funkcji w praktyce.

Zarówno w przypadku usługi In-place hold, jak i omówionej wcześniej funkcji Litigation hold usunięte informacje są przesuwane i zatrzymywane w folderze Recoverable Item Folder, przy czym w usłudze In-place hold ad-ministrator może określić reguły przechowywa-nia tych danych.

Idea wynoszenia syste-mów i danych do chmury obliczeniowej zakłada jak najszersze odejście od kla-sycznych rozwiązań wdra-żanych lokalnie w modelu on premise. W tym kon-tekście usługa Litigation hold staje się kompletnym, alternatywnym rozwiąza-niem backupu poczty.


5

Firma rozpoczyna nowy projekt, który ma trwać dwa lata, a wszystkie informacje zwią-zane z tym przedsięwzięciem muszą być prze-chowywane przez kolejne trzy lata. Jak łatwo policzyć, razem daje to aż pięć lat. W tym celu administrator tworzy kwerendę, która określa zakres informacji objętych ochroną oraz warun-ki ich przechowywania. Wymaga to zdefiniowa-nia listy skrzynek objętych nadzorem, rodzaju monitorowanych i zatrzymywanych wiadomości (np. zawierających w treści dane słowo kluczo-we bądź pochodzących z określonej domeny), wskazania daty startu projektu oraz czasu ochrony informacji związanych z projektem.

Klasyfikacja zawartościKażda wiadomość spełniająca warunki selek-cji zostanie skalsyfikowana w systemie jako zawierająca wrażliwe informacje i oznaczona etykietami, które przyporządkują ją do wska-zanej polityki ochrony. Pojedyncza wiadomość w usłudze Exchange Online może mieć przypi-sanych wiele polityk In-place hold, przy czym zawsze obowiązuje najdłuższy czas ochrony informacji w przedsiębiorstwie. Usługi In-place hold oraz Litigation hold stosowane są jedno-cześnie. Dla przykładu, pierwsza reguła In-place hold wymusza przetrzymywanie wskaza-nej wiadomości przez dwa lata, kolejna reguła przez trzy lata, natomiast na skrzynce, w której zapisano tę wiadomość, ustawiono ochronę Litigation hold przez pięć lat. Ponieważ liczy się najdłuższy z tych okresów, wrażliwa in-formacja zapisana w tejże wiadomości będzie dostępna dla przedsiębiorstwa co najmniej przez pięć lat, nawet jeśli pracownik zdecyduje się ją usunąć ze swojej skrzynki pocztowej.

Funkcja In-place hold w połączeniu z narzę-dziem eDiscovery Search pozwala szczegółowo sterować zakresem chronionych informacji, a przy tym łatwo i skutecznie odnajdywać po-trzebne informacje związane z daną sprawą. Mamy pewność, że żadne informacje dotyczące projektu nie zostaną zgubione i jednocześnie w prosty i szybki sposób będziemy mogli do nich dotrzeć, kiedy staną się potrzebne. Wynika to z faktu, że kwerenda odpowiedzialna za zabezpieczenie e-maili używana jest także do wyszukiwania informacji związanych z daną sprawą. Wystarczy kilka kliknięć myszą, aby pozyskać pełny zestaw danych na temat pro-jektu i w przystępny sposób wyeksportować potrzebne informacje do pliku .PST lub innego formatu czytelnego dla użytkownika.

Zarządzanie projektemIdźmy dalej. Na potrzeby ważnego przedsię-wzięcia powołujemy zespół projektowy zło-żony z inżynierów, wykonawców i nadzorców. Każdy z nich w komunikacji wykorzystuje pocztę Exchange, a pracę w grupie ułatwiają biblioteki SharePoint. W ciągu dwóch lat trwania projektu może się wiele wydarzyć – jedne osoby odchodzą, inne dołączają do zespołu. W każdym momencie powstają nowe dokumenty i ich kolejne wersje. A kie-dy kończymy prace, podpisujemy protokoły odbioru, umowę utrzymaniową i przechodzi-my do okresu gwarancyjnego, dzięki usłudze In-place hold jesteśmy w stanie w dowolnym momencie dotrzeć do spraw i uzgodnień dokonanych w trakcie trwania projektu. Może to być trzy lata lub pięć lat później, albo i dłużej, w zależności od tego, jak zde-finiowaliśmy parametry ochrony. Mechanizm In-place hold w połączeniu z narzędziem eDiscovery gwarantuje, że zawsze mamy dostęp do wszystkich – nawet skasowanych – informacji, a przy tym nie musimy tworzyć nowych zapytań do bazy, kto i kiedy brał udział w projekcie.

Funkcja In-place hold może zostać założona na grupę dystrybucyjną, co znacznie upraszcza zarządzanie projektem i pozwala uniknąć błę-dów związanych z brakiem ochrony skrzynek wybranych pracowników, którzy np. dołączą do zespołu już w trakcie trwania przedsięwzięcia. Dzięki ochronie założonej na grupę dystrybu-cyjną nie musimy zmieniać reguł wyszukiwania, a więc pamiętać o tym, kto uczestniczy w pro-jekcie i na którym etapie do niego dołączył.

Podobnie jak w przypadku Litigation hold usługa In-place hold obejmuje ochroną wszystkie informacje związane z daną spra-wą, niezależnie od tego, czy pracownik skaso-wał wiadomość ze skrzynki albo czy skrzynka pracownika została skasowana z serwera, np. gdy został on zwolniony z pracy. In-place hold gwarantuje szybki dostęp do wymaganych informacji związanych z projektem przez zało-żony czas.

Litigation hold, In-place hold oraz eDisco-very stanowią pakiet rozwiązań dotyczących ochrony informacji przed utratą. Mamy tutaj do czynienia z pewną formą backupu, archiwizacji danych przedsiębiorstwa, przy czym usługa eDiscovery gwarantuje łatwe i szybkie dotarcie do zgromadzonych w archiwum informacji (ist-niejących i skasowanych) w założonym okresie.

6


Data Loss PreventionDrugą grupę rozwiązań dotyczących bez-pieczeństwa danych stanowią technologie i narzędzia Office 365 z zakresu ochrony infor-macji przed wyciekiem, w szczególności sys-temy Data Loss Prevention (DLP) oraz Rights Management Services (RMS).

Data Loss Prevention (DLP), a wcześniej Data Loss Protection, to usługa bazująca na zesta-wie uprzednio skonstruowanych reguł przeszu-kiwania wrażliwych informacji. Działanie sys-temu DLP zakłada przeszukiwanie e-maili pod kątem słów kluczowych zawartych w temacie, treści wiadomości i załączonych dokumentach. Przy użyciu predefiniowanego słownika system potrafi wykryć wiadomości, które zawierają poufne i wrażliwe dane, oraz wszystkie inne informacje istotne z perspektywy funkcjono-wania przedsiębiorstwa, w tym dane osobowe. Warunki śledzenia korespondencji definiowane są przez administratorów.

System DLP umożliwia sterowanie przepły-wem poczty sklasyfikowanej jako zawierającej wrażliwe dane. Każda taka wiadomość może zostać zablokowana przed wysłaniem lub przekazana do moderacji. System informuje administratora bezpieczeństwa o zaistniałym incydencie. Technologie DLP i RMS wzajem-nie się uzupełniają, choć żadna z nich nie jest nowością wśród serwerowych rozwiązań Microsoft dla przedsiębiorstw. Mechanizm Data Loss Prevention (DLP) został wprowadzo-ny wraz z Exchange 2010, natomiast rozwią-zanie Rights Management Services (RMS) jest jeszcze starsze i po raz pierwszy pojawiło się w serwerze Windows Server 2003.

Rights Management ServicesDotychczas stosowane rozwiązania RMS do za-bezpieczania dokumentów przechowywanych na serwerach plików wdrażane były wyłącznie na bazie lokalnego serwera (on premise) usługi w centrum danych przedsiębiorstwa. Wraz z Office 365 klienci otrzymali usługę Azure Rights Management Services, która pozwala nadzorować dostęp do danych gromadzonych w usługach chmurowych, a więc korespon-dencji w poczcie Exchange oraz dokumentów przechowywanych na platformach SharePoint i dysku OneDrive.

Usługa RMS wprowadza mechanizmy re-gulujące dostęp do treści. Administratorzy, ale i sami pracownicy mogą teraz decydować o tym, kto będzie mógł otworzyć dokument,

kto będzie mógł przesłać wiadomość e-mail dalej, a kto będzie mógł wydrukować jej treść na lokalnej drukarce. W innym scenariuszu wiadomość może zostać wygaszona po upły-wie piątego dnia od otrzymania, a pracownik nie będzie mógł do niej wrócić po upływie tego czasu.

Pełna funkcjonalność usługi RMS w za-kresie odczytu oraz zabezpieczania doku-mentów dostępna jest w programach pakietu Office, w tym aplikacji Office 365 obsługi-wanych przez przeglądarkę internetową. Niektóre dane zabezpieczone w systemie RMS mogą być niedostępne w aplikacjach firm trzecich (np. w OpenOffice) oraz w nie-których typach urządzeń.

Usługa RMS przeznaczona jest do zabezpie-czania wrażliwych informacji wewnątrz orga-nizacji. To jedno zdanie determinuje większość jej możliwych zastosowań. Osoby, które chcą uzyskiwać dostęp do dokumentów zabezpie-czonych RMS, muszą posiadać konto założone w usłudze Office 365 E3 dla danego przedsię-biorstwa. W rezultacie osobom z zewnątrz, które miałyby dostęp do tak zabezpieczonych danych, musielibyśmy wykupić dodatkową licencję. To oznacza, że chcąc wysłać do ze-wnętrznego klienta informację z ofertą handlo-wą, powinniśmy raczej wybrać alternatywne rozwiązania, aby nie przysporzyć mu proble-mów, a jednocześnie zapewnić natychmiasto-wy dostęp do przekazywanych w ten sposób danych. Takim alternatywnym rozwiązaniem, które w pewnym stopniu może wypełnić ocze-kiwania wobec RMS-a, są mechanizmy szyfro-wania korespondencji elektronicznej.

Message EncryptionFunkcje szyfrowania wiadomości (Message Encryption) wbudowane w usługi Exchange Online umożliwiają zabezpieczenie korespon-dencji elektronicznej, a przy tym nie wymagają dodatkowej infrastruktury i kont służbowych po drugiej stronie (klienta). Szyfrowanie wia-domości to funkcja poczty Exchange Online wprowadzona do oferty na początku tego roku. Funkcja ta dostępna jest dla wszystkich klien-tów mających pakiet Office 365 lub samodziel-ną usługę Exchange Online w planie 2.

Wiadomości zabezpieczone przez zaszy-frowanie mogą być odczytywane przez osoby posiadające konto w Office 365 (czyli zasad-niczo przez pracowników firmy) lub poprzez zalogowanie się do konta Live ID. Dotyczy to

Gdzie przechowywane są informacje gromadzone przez funkcje Litigation hold oraz In-place hold i kto ma do nich dostęp poprzez usługę eDiscove-ry Search?

Dane archiwizowane są w wydzielonej przestrzeni systemu Exchange Online, która nie jest dostępna dla pracownika jako element skrzynki pocztowej. Dostęp do przechowywanych danych mają wyłącznie osoby określone w strukturze Exchange jako menedżerowie zgodności (Compliance Managers), a więc pracownicy zajmujący się zagadnieniami związanymi z bezpie-czeństwem informacji w przedsiębiorstwie. Osoby te mają prawo do wykonywania ope-racji na przechowywanych wiadomościach w zakresie ich wyszukiwania, przeglądania i odzyskiwania. Do zarządzania tymi usłu-gami potrzebne jest więc nadanie im od-powiednich uprawnień, zgodnie z polityką dostępu do informacji przedsiębiorstwa.


7

osób z zewnątrz, które wcześniej rejestro-wały się w Microsoft przy okazji korzystania z Windows, konsoli Xbox czy programu Skype. Alternatywny scenariusz zakłada, że osoby niemające konta służbowego ani Live ID mogą uzyskać dostęp do zaszyfrowanych informacji za pomocą jednorazowy kodu uwierzytelniającego.

Mobile Device ManagementOferta Microsoft w obszarze rozwiązań klasy MDM obejmuje funkcje zarządzania urzą-dzeniami mobilnymi ActiveSync, narzędzie Microsoft Intune oraz wprowadzone w ostat-nim czasie mechanizmy MDM pakietu Office 365. Rozwiązanie Mobile Device Management (MDM) uzupełnia pakiet rozwiązań i narzędzi z zakresu zabezpieczania danych wbudowa-nych w usługi Office 365. Oczywiście, warto wiedzieć, że na rynku dostępnych jest wiele rozwiązań MDM klasy korporacyjnej znacznie starszych i bardziej funkcjonalnych niż to oferowane wraz z Office 365. Aplikacji tych nie sposób porównywać, choć omawiane rozwiązanie MDM wydaje się nad wyraz inte-resujące z uwagi na jeden fakt: jest dostępne za darmo dla każdej firmy, która ma Office 365 w planie E3 lub E5.

ActiveSync oferuje szereg mechanizmów zarządzania urządzeniami mobilnymi istotnych z perspektywy użytkownika, w tym funkcje zdalnego blokowania oraz wymazywania (oczyszczania) zawartości urządzenia w przy-padku jego zgubienia lub kradzieży. Usługa Microsoft Intune została wprowadzona do ofer-ty później, bo ok. trzech do czterech lat temu, i oferuje szersze funkcje dotyczące zarządzania urządzeniami mobilnymi z systemami iOS, Android i Windows Phone.

Najmłodszym produktem w rodzinie spo-śród tutaj wymienionych jest MDM wbudowany w Office 365. I choć usługa ta nie ma wszyst-kich funkcji zawartych w Intune, np. w obsza-rze dystrybucji oprogramowania na punkty końcowe, to pozwala na wymuszenie konfi-guracji urządzeń służbowych pracowników podłączonych do korporacyjnej poczty elek-tronicznej. To bardzo ważna funkcjonalność w kontekście ochrony informacji firmy przed ujawnieniem. Dlaczego?

Wraz ze wzrostem liczby urządzeń mobil-nych oraz popularyzacji trendu BYOD firmy muszą wdrażać nowe systemy zabezpieczeń, które pozwolą zwiększyć poziom kontroli nad

tym kto i gdzie korzysta z firmowych danych. Bez odpowiednich narzędzi pracownik odcho-dzący z organizacji nadal będzie miał na swoim telefonie dostęp do bardzo wielu nierzadko wrażliwych informacji.

Multi-factor authenticationOstatnim z omawianych rozwiązań, które po-magają w zabezpieczeniu firmowych informacji przed nieuprawnionym dostępem, są mecha-nizmy uwierzytelniania wieloskładnikowego (Multi-factor authentication, MFA). Pracownik, który pozna hasło drugiej osoby, np. swojego kolegi z działu, nie będzie mógł się zalogować do jego komputera i poczty, dlatego że do peł-nego uwierzytelnienia w każdej z tych usług wymagane jest przedłożenie dodatkowego poświadczenia, standardowo otrzymywa-nego w formie kodu weryfikacyjnego SMS. Użytkownik musi potwierdzić, kim jest (nazwa), co zna (czyli hasło), ale także co ma (telefon, na który wysyłany jest kod weryfikacyjny).

Przedsiębiorstwa posiadające własną in-frastrukturę mogą uruchamiać zabezpieczenia Multi-factor authentication w modelu on pre-mise, bazując na technologii systemu Windows Server 2012. Klienci Office 365 mogą korzystać z zalet mechanizmów uwierzytelniania wielo-składnikowego bez dodatkowych kosztów.

RMS for Individuals to rozwiązanie z zakre-su ochrony informacji przed ujawnieniem, przeznaczone dla użytkowników prywat-nych i profesjonalistów. Stanowi alterna-tywę wobec rozwiązania oferowanego fir-mom w ramach usług Office 365 w planach Enterprise. RMS for Individuals jest darmo-wym produktem, ale ponieważ nie jest to składowa pakietu Office 365, nie będziemy się nim szerzej zajmować w tym artykule.

8


W celu bliższego zapoznania się z funkcjami Litigation hold, In-place hold oraz eDiscove-ry warto posłużyć się testową subskrypcją pakietu Office 365 w wersji E3. W przy-kładzie zaczynamy od zalogowania się do Centrum administracyjnego usługi Office 365, gdzie w sekcji Administrator klikamy skrót Exchange. Wszystko po to, aby przejść do Centrum administracyjnego programu Exchange, gdzie będziemy mogli zarządzać przepływami poczty i ochroną koresponden-cji służbowej.

Litigation holdZacznijmy od powtórzenia tego, co powie-dziano już wcześniej. Litigation hold związa-na jest bezpośrednio ze skrzynką programu Exchange, a jedyne, co w kwestii konfigu-racji może zrobić administrator, to włączyć lub wyłączyć ochronę oraz określić czas przechowywania (zabezpieczania) danych w skrzynce pracownika. Litigation hold nie pozwala na zdefiniowanie typu zawartości, którą chcemy zabezpieczyć. Taką funkcjo-nalność oferuje dopiero usługa In-hold pla-ce w połączeniu z narzędziem eDiscovery, o czym szerzej za chwilę.

Wróćmy zatem do usługi Litigation hold. W centrum zarządzania Exchange klikamy kolejno adresaci | skrzynki pocztowe, a na-stępnie z listy dostępnych skrzynek wybie-ramy do edycji skrzynkę, którą chcemy objąć dodatkową ochroną. W oknie właściwości skrzynki przechodzimy na zakładkę funkcje skrzynki pocztowej, gdzie odszukujemy opcje Archiwizacja w związku z postępo-waniem sądowym. Parametr ten w polskiej wersji językowej systemu odpowiada opcji Litigation hold i przyjmuje jedną z dwóch wartości: Włączone lub Wyłączone.

Funkcjonalność Litigation hold dostępna jest w Exchange Online w planie 2. – i jak zostało wspomniane, włączana jest per skrzynka. Oznacza to, że usługa Litigation hold może zostać włączona dla wszystkich skrzynek lub tylko wybranych kont pra-cowników, które należy objąć specjalnym nadzorem. Wszędzie tam, gdzie funkcjonal-ność archiwizacji elementów usuniętych jest niepotrzebna, usługę Litigation hold pozostawiamy nieaktywną. Warto po raz

kolejny przypomnieć, że domyślnie para-metr Litigation hold dla skrzynki pozostaje wyłączony.

Klikamy Pokaż szczegóły, aby uzyskać kilka dodatkowych informacji na temat tego, kto i kiedy włączył archiwizację poczty dla skrzynki. Z tego miejsca możemy również zdefiniować okres, przez jaki dane tworzone i przechowywane w skrzynce będą podlegać ochronie. Służy do tego parametr Czas trwa-nia archiwizacji w związku z postępowaniem sądowym (w dniach).

Dobrą praktyką wydaje się poinformo-wanie pracowników, że ich konta są w pełni kontrolowane, a wszystkie usuwane przez nich obiekty są automatyczne przesuwane i zabezpieczane w firmowym archiwum. Podejście to pozwala uniknąć wielu niepo-rozumień i kontrowersji, a przy tym stanowi jasny przekaz skierowany do pracowników, że nawet w przypadku celowego skasowania przez nich wiadomości ze skrzynki (np. w mo-mencie otrzymania wypowiedzenia) zawarte w nich informacje będą mogły zostać odzy-skane. Jeśli wrócimy do ustawień Litigation hold dla skrzynki, zauważymy, że w polu Adres URL możemy zamieścić odnośnik do artykułu opublikowanego w lokalnym intra-necie, wyjaśniającego zasady archiwizacji korespondencji służbowej.

W tym miejscu dodatkowego wyjaśnienia wymaga samo pojęcie archiwizacji, które w parametrach skrzynki pojawia się w dwóch miejscach. Ustawienie Archiwizacja odnosi się do standardowego archiwum lokalnego użytkownika, do którego przenoszone są starsze wiadomości, w zastępstwie do plików PST. To nic innego jak archiwum wiadomości online. Z kolei opcja Archiwizacja w związku z postępowaniem sądowym odnosi się do omawianej w artykule usługi Litigation hold i związana jest z zabezpieczaniem wiado-mości i innych obiektów programu Exchange przed świadomym lub przypadkowym skaso-waniem ich przez pracownika z serwera.

Zarządzanie PowerShelloweDrugą metodą zarządzania usługą Litigation hold na serwerze Exchange jest powłoka Windows PowerShell. Panel zarządzania Exchange pozwala na wygodną administra-

DEMONSTRACJE ROZWIĄZAŃOsoby, które rozważają wdrożenie mecha-nizmu Litigation hold w organizacji, powin-ny zrobić to wcześniej, a więc nawet w tym momencie. Dzięki temu cała korespon-dencja w firmie będzie chroniona przed przypadkowym lub celowym skasowaniem przez pracowników. Jeśli tego nie zrobimy, odzyskanie już usuniętych informacji bę-dzie niemożliwe. Sposobu odzyskiwania danych z przestrzeni Litigation hold można nauczyć się już później…


9

cję pojedynczymi skrzynkami pracowników, jednak jeśli chcielibyśmy włączyć funkcję Litigation hold na wielu lub wszystkich kon-tach jednocześnie, wykonanie tej samej ope-racji zajęłoby mnóstwo czasu. Do takich wła-śnie zadań warto wykorzystać PowerShella.

Otwieramy konsolę PowerShell, a następ-nie poleceniem o365connect.ps1 inicjujemy połączenie do naszej usługi w chmurze Azure. W kolejnym kroku wprowadzamy poświad-czenia administratora w usłudze. Zacznijmy od czegoś prostego. Komenda get-mailbox praktykant2 pozwala wyświetlić podstawowe informacje o skrzynce praktykant2, a więc jej nazwę, alias, nazwę serwera oraz przypisaną przestrzeń dyskową. Z kolei polecenie get-ma-ilbox praktykant2 |fl umożliwia wylistowanie pełnej konfiguracji skrzynki.

Parametr LitigationHoldEnabled wska-zuje, czy usługa Litigation hold jest włą-czona (wartość True) lub wyłączona (False). W kontekście tej usługi ważne są jeszcze trzy inne parametry: LitigationHoldDate, LitigationHoldOwner, LitigationHoldDuration, które wskazują kolejno dokładny czas i datę włączenia ochrony skrzynki, adres e-mail administratora, który taką operację przepro-wadził, oraz czas obowiązywania ochrony. Domyślnie ochrona zakładana jest bezter-minowo (wartość Unlimited), ale Litigation hold pozwala przetrzymywać skasowane informacje przez dowolny okres, np. pięć lat, jeśli właśnie tego wymagają przepisy prawa lub regulacje wewnętrzne przedsiębiorstwa. W przypadku, gdybyśmy chcieli włączyć ochronę Litigation hold dla wszystkich skrzy-nek w organizacji, możemy skorzystać z ko-mendy set-mailbox powłoki PowerShell.

Ostatnim, czwartym parametrem związanym z usługą Litigation hold jest RecoverableItemQuota. Parametr ten określa limit przestrzeni dyskowej dla chronionych elementów, które zostały usunięte lub zmo-dyfikowane w skrzynce pracownika. Zgodnie z tym, co zostało powiedziane wcześniej, wynosi on 100 GB, przy czym gdy zajętość tego folderu osiągnie poziom 90 GB, admi-nistrator otrzyma wiadomość z powiadomie-niem o bliskim wyczerpaniu się przyznanej przestrzeni dyskowej.

Litigation hold dla wszystkichUsługę Litigation hold warto włączyć na wszystkich skrzynkach pracowników bez

zbędnej zwłoki. Z praktyki wynika, że czyn-ność ta jest niepotrzebnie odkładana na później, a więc pomijana na etapie wdro-żenia pakietu Office 365, lub wykonywana tylko na pojedynczych kontach. To błędne założenie, bowiem wielu administrato-rów przypomina sobie o istnieniu funkcji Litigation hold dopiero w sytuacji kryzy-sowej, kiedy zachodzi potrzeba przywró-cenia skasowanych informacji np. z konta pracownika, który dostał wypowiedzenie z pracy. Jeśli odchodzący pracownik okazał się na tyle sprytny, że skasował wiadomości ze swojej skrzynki oraz z elementów moż-liwych do odzyskania, przywrócenie tych informacji okaże się bezskuteczne. Chyba że na skrzynce użytkownika włączona została wcześniej usługa Litigation hold.

Taka sytuacja występuje bardzo często w rzeczywistych środowiskach, w których kwestie bezpieczeństwa informacji trakto-wane są po macoszemu, a dla działu IT naj-ważniejsze jest, aby usługa poczty działała sprawnie i bezawaryjnie. Fakt, że pewnych informacji nie można odzyskać, okazuje się niezwykle bolesny dopiero wówczas, gdy uświadomimy sobie, że włączenie usługi Litigation hold dla wszystkich skrzynek pracowników zajmuje dosłownie chwilę (z wykorzystaniem powłoki PowerShell), a sama usługa w pakiecie Office 365 E3 oraz planie 2. Exchange Online jest darmowa. Dla porządku dodajmy, że funkcja Litigation hold jest niedostępna w planie 1. poczty Exchange Online.

In-place holdDrugą usługą, która umożliwia przetrzy-mywanie usuniętych i zmodyfikowanych danych, jest In-place hold. W odróżnieniu od funkcji Litigation hold mamy tutaj większe możliwości sterowania tym, jakie informacje podlegają ochronie.

Konfiguracja usługi In-place hold zawarta jest w Centrum administracyjnym programu Exchange w zakładce zarządzanie zgodno-ścią | miejscowe archiwum i zbieranie elek-tronicznych materiałów dowodowych. Moduł ten umożliwia zakładanie polis ochrony infor-macji w usłudze In-place hold.

Zakładanie polisy In-place hold polega na utworzeniu kwerendy wyszukującej ele-menty, które mają podlegać ochronie, oraz zdefiniowaniu czasu ich przechowywania

Konfiguracja usługi In-place hold zawarta jest w Centrum administracyj-nym programu Exchange w zakładce zarządzanie zgodnością | miejscowe archiwum i zbieranie elek-tronicznych materiałów dowodowych. Moduł ten umożliwia zakładanie polis ochrony informacji w usłu-dze In-place hold.

10


w archiwum. Alternatywny scenariusz za-kłada utworzenie reguły wyszukiwania bez włączenia mechanizmów ochrony usuniętych i zmodyfikowanych informacji w usłudze In-place hold. W tym wariancie przeszukiwaniu poddane zostaną wyłącznie elementy istnie-jące w skrzynkach pracowników. Wynika to z faktu, że usługa In-place hold jest ściśle związana z narzędziem eDiscovery, które umożliwia przeszukiwanie na bieżąco skrzy-nek pocztowych oraz witryn SharePoint pod kątem potrzebnych w danej chwili informacji.

Wróćmy do okna miejscowe archiwum i zbieranie elektronicznych materiałów do-wodowych. Klikamy przycisk dodaj (symbol plusa), aby rozpocząć tworzenie nowego filtru. Wprowadzamy nazwę reguły przeszu-kiwania oraz jej opis. W przypadku wdrożeń produkcyjnych ważne jest, aby wprowadzić w tym miejscu dodatkową informację, po co utworzyliśmy daną regułę i jakie jest jej prze-znaczenie.

Kryteria przeszukiwaniaIdziemy dalej, aby w kolejnym kroku zdefinio-wać listę skrzynek, które będą przeszukiwa-ne. Do wyboru mamy dwie opcje: Przeszukaj wszystkie skrzynki pocztowe oraz Określ skrzynki pocztowe do przeszukania. Druga opcja pozwala zawęzić obszar przeszuki-wania do wskazanych kont użytkowników, których dodajemy, klikając symbol plusa. Następny etap polega na ustaleniu zapyta-nia wyszukiwania. W zapytaniu może zostać uwzględniona cała zawartość lub tylko nie-które treści zgodne z przyjętym kryterium wyszukiwania. Zapytanie wyszukiwania za-wiera słowa kluczowe, okres utworzenia lub otrzymania informacji, nadawcę, odbiorcę oraz typ wiadomości.

W ten sposób możemy objąć ochroną wia-domości i inne obiekty ze skrzynki zawiera-jące ściśle określony zestaw słów, np. „pro-jekt” oraz „dane”. Reguły filtrowania two-rzymy, korzystając z algebry Boole’a, a więc dobrze znanych informatykom operatorów „AND” oraz „OR”, które umożliwiają definio-wanie zbiorów danych. Domyślnym opera-torem jest „AND”, a więc reguły filtrowania „projekt test” oraz „projekt AND test” zwrócą taki sam wynik. W tym przypadku będą to wiadomości w skrzynce, które zawierają słowa „projekt” oraz „test” jednocześnie. Inne konstrukcje tego zapytania to „projekt

OR dane”, które zwróci wartość prawda, je-śli w elemencie pojawi się słowo „projekt” lub „dane”, czy też zapytanie korzystające z nawiasów „(projekt dane) OR (test)”, aby odnaleźć wszystkie wiadomości, w jakich po-jawiają się słowa „projekt” i „dane” łącznie lub samo słowo „test”.

Oprócz słów kluczowych reguła przeszu-kiwania może odnosić się do obiektów, któ-re zostały otrzymane lub utworzone w ściśle określonym czasie. Parametr ten definio-wany jest przez dwie opcje wyboru: Podaj datę rozpoczęcia oraz Podaj datę zakończe-nia. Kolejnym kryterium filtrowania, który możemy nałożyć na regułę, jest nadawca wiadomości (dodajemy użytkowników) oraz odbiorca, czyli osoba, grupy osób lub lista dystrybucyjna, do której skierowana jest korespondencja. Dodatkowo eDiscovery umożliwia zawężenie kryteriów przeszu-kiwania do obiektów wskazanego typu. Klikamy przycisk wybierz typy wiadomości, a następnie określamy typy przeszukiwa-nych wiadomości. Domyślnie usługa prze-szukuje wiadomości wszystkich typów, ale ich rodzaj możemy zawęzić do wiadomości e-mail, spotkań, zadań, notatek czy elemen-tów programu Skype dla firm.

W tym miejscu warto przypomnieć, że ele-menty spotkań w programie Skype dla firm są archiwizowane w skrzynce Exchange pra-cownika, a zatem również podlegają regułom wyszukiwania. Oznacza to, że dokumenty i inne elementy przesyłane w trakcie spotka-nia na Skype, będą również archiwizowane i zwracane w wynikach wyszukiwania usługi eDiscovery.

Archiwa pod ochronąNa tym etapie utworzyliśmy regułę wyszuki-wania w usłudze eDiscovery. Mówimy tutaj tylko o regule, którą możemy zapisać i na tym zakończyć pracę z projektem. Jeśli chce-my, aby wiadomości i inne obiekty Exchange były archiwizowane i chronione przed usunięciem lub zmodyfikowaniem, musi-my włączyć archiwum miejscowe. Aby to zrobić, w kolejnym kroku zaznaczamy pole Zastosuj archiwizację względem zawartości odpowiadającej zapytaniu wyszukiwania w wybranych źródłach, a następnie wskazu-jemy czas przechowywania tych informacji w archiwum. Do wyboru mamy dwie opcje: Archiwizuj bezterminowo oraz Podaj liczbę

Elementy spotkań w pro-gramie Skype dla firm są archiwizowane w skrzynce Exchange pracownika, a zatem również podlegają regułom wyszukiwania.


11

dni, przez którą elementy mają być archiwi-zowane po ich odebraniu. W drugim przy-padku może to być np. 1830 dni, aby objąć ochroną informacje przesyłane w ramach projektu przez pięć lat.

Jeśli etap ten został jednak pominięty, pole Stan archiwum przyjmie wartość Nie, co oznacza że reguła wyszukiwania istnieje i można z niej korzystać do wyszukiwania informacji w bieżących skrzynkach, ale jednoczenie usługa archiwizacji In-place hold pozostaje, a zatem wszystkie wia-domości usunięte przez pracowników nie zostaną uwzględnione w tychże wynikach wyszukiwania.

Mechanizm eDiscovery może być stoso-wany dla wiadomości utworzonych i otrzy-manych przez utworzeniem filtra (reguły) wyszukiwania. Menedżer zajmujący się bez-pieczeństwem informacji może przeszukiwać wszystkie wiadomości i obiekty Exchange wstecz, o ile nadal one są obecne (dostęp-ne) w skrzynkach pracowników. Wynika to z faktu, że data przeszukiwania może zostać ustawiona na datę dzisiejszą, przyszłą lub wcześniejszą, np. począwszy od 2005 roku.

Jednocześnie dopiero od daty uruchomie-nia projektu wrażliwe informacje zostaną objęte ochroną przed skasowaniem lub zmodyfikowaniem. Z tego powodu wdrożenie mechanizmów Litigation hold czy In-place hold nie należy odkładać na później. Jeśli pominiemy ten etap, a pracownik skasuje po-trzebne wiadomości e-mail, zawarte w nich informacje nie będą mogły zostać odzyskane, bo nie będzie ich w skrzynkach Exchange.

W celu wyświetlenia listy reguł nałożonych na skrzynkę pracownika możemy posłużyć się komendą PowerShella get-mailbox prak-tykant |select inplaceholds. Wynikiem tego zapytania jest lista reguł, a raczej identyfi-katorów tych reguł, przypisanych do danej skrzynki. Reguł może być kilka, a nawet kil-kanaście, w zależności od tego, co zdefinio-waliśmy w usłudze eDiscovery.

Na skrzynkę nie jest nałożona żadna regu-ła In-place hold w usłudze eDiscovery, jeśli zapytanie o wartość parametru InPlaceHolds dla skrzynki nie zwróci żadnej wartości. Aby to zweryfikować, warto przejść do modułu zarządzania zgodnością i zdjąć wszystkie reguły ochrony dla skrzynki, a następnie ponownie wydać zapytanie o wartość para-metru InPlaceHolds.

SprawyW odniesieniu do usługi eDiscovery Center każdą regułę filtrowania można w języku pol-skim nazwać sprawą. W tym ujęciu mówimy więc o tworzeniu sprawy. Co więcej, w usłu-dze eDiscovery dla każdej sprawy powoływa-na jest nowa witryna SharePoint, z dostępem wyłącznie dla uprawnionych osób.

Wracając do przykładu. Parametr InPlaceHolds zwraca numer, czy też identyfi-kator (ID) sprawy dla danej skrzynki. Co oczy-wiste, różne osoby mogą mieć przypisaną tę samą sprawę, a więc identyfikator sprawy będzie w takiej sytuacji identyczny. Znając numer sprawy i konstruując nieco inaczej zapytanie PowerShell, możemy w prosty spo-sób znaleźć listę osób (skrzynek) objętych wskazaną polityką ochrony informacji.

Eksport danychW tym miejscu nasuwa się pytanie: w jaki sposób możemy te dane przeszukiwać i po-bierać? W Centrum administracyjnym progra-mu Exchange znajdziemy opcję Eksportuj do pliku PST, która umożliwia wyeksportowanie wiadomości odpowiadających kryterium wy-szukiwania. Wymaga to wskazania poświad-czeń w usłudze oraz miejsca na dysku, gdzie zostaną zapisane eksportowane pliki.

Warto pamiętać, że jeżeli przeszukujemy dużą liczbę skrzynek, musi minąć nieco cza-su, aby wszystkie dane zostały odnalezione, zidentyfikowane, przetworzone i odłożone w archiwum. Z tego względu natychmiastowa próba wyeksportowania danych pasujących dla nowo utworzonego wyszukiwania zakoń-czy się tylko połowicznym sukcesem, ponie-waż nie wszystkie dane będą od razu dostęp-ne. Innymi słowy, plik, który w tym momencie pobierzemy, będzie pusty lub niekompletny, bowiem minęło zbyt mało czasu potrzebnego na przygotowanie archiwum.

Narzędzie eDiscovery PST Export Tools pokazuje aktualny stan eksportu danych. Mamy tutaj informację o skrzynkach do prze-szukania (Mailboxes Total) oraz skrzynkach, których przetwarzanie zostało ukończone (Mailboxes Processed). Jeśli proces trwa dłu-go, warto odłożyć go na bok i wrócić do niego po pewnym czasie.

Omówione w tej części artykułu narzędzia odnoszą się do usługi Exchange Online oraz operacji wykonywanych na skrzynkach pocz-towych w centrum zarządzania Exchange.

Mechanizm eDiscovery może być stosowany dla wiadomości utworzonych i otrzymanych przez utworzeniem filtra (reguły) wyszukiwania.

12


Pakiet Office 365 zawiera od niedawna nowe narzędzie Compliance Management Center, zaprojektowane na bazie platformy SharePoint. Dostęp do witryny zarządzania zgodnością jest możliwy poprzez Centrum administracyjne usługi Office 365, zakładkę Compliance. To w tym miejscu zgromadzo-no większość ustawień, które pozwalają administratorom i menedżerom zgodności zarządzać kwestiami związanymi z ochroną informacji, w tym zabezpieczaniu danych przed utratą.

Centrum zgodnościUsługa Compliance Management Center została bardzo dobrze udokumentowana, dzięki czemu samodzielnie możemy dowie-dzieć się więcej o jej funkcjonalności i me-todach wdrażania. Dokumentacja zawiera krótki przewodnik o dostępnych usługach i narzędziach oraz praktycznych sposobach ich wykorzystania. W dokumentacji usługi znajdziemy rozbudowaną pomoc dotyczącą budowania kwerend wyszukiwania, w tym opis sposobu wykorzystania słów kluczo-wych oraz dostępnych operatorów wraz z przykładami.

Moduł ustawień Zbieranie elektronicz-nych materiałów dowodowych stanowi odpowiednik narzędzi zaprezentowanych wcześniej przy okazji omawiania rozwią-zań dla Exchange Online. To właśnie w tym miejscu tworzymy reguły filtrowania (spra-wy), które umożliwiają przeszukiwanie i za-bezpieczanie wrażliwych informacji w ar-chiwum cyfrowym. Tworzenie sprawy od-bywa się z poziomu przeznaczonej do tego celu witryny SharePoint. To zasadnicza różnica między tymi narzędziami, ponieważ podobnie jak w przypadku Exchange’a, tutaj również ustalamy źródło oraz kryteria filtrowania. A zatem mamy do czynienia z tą samą kwerendą przeszukiwania, która w ostatnim etapie pozwala włączyć archi-wum miejscowe (funkcja In-place hold), z tą różnicą, że Compliance Management Center umożliwia przeszukiwanie oprócz skrzy-nek pocztowych także zawartości witryn SharePoint i dysków OneDrive.

Powiedzmy to jeszcze raz: usługa In-place hold gwarantuje, że informacje spełniające kryteria przeszukiwania zawarte w skrzyn-kach pocztowych, w witrynach SharePoint oraz dyskach OneDrive będą przechowywane

przez określony czas, nawet wówczas, gdy zostaną skasowane przez pracownika.

Compliance Management Center zapewnia dostęp do statystyk oraz umożliwia podgląd wyników dla reguły wyszukiwania (sprawy), oddzielnie dla skrzynek Exchange i doku-mentów SharePoint. Z tego samego poziomu istnieje możliwość wyświetlenia treści wia-domości e-mail, oczywiście jeśli użytkownik ma do tego stosowne uprawnienia.

Zarządzanie uprawnieniami w dostępie do archiwówW tym miejscu warto zwrócić uwagę na kwestie związane z zarządzaniem upraw-nieniami, tak aby dostęp do wrażliwych informacji miały tylko wyznaczone osoby. W tym kontekście Compliance Management Center może być z powodzeniem wykorzysty-wany do audytu bezpieczeństwa informacji w przedsiębiorstwie. W odniesieniu do usługi SharePoint otrzymujemy listę dokumentów podlegających klasyfikacji, a więc zawiera-jących np. słowa kluczowe w treści. Dane te można podejrzeć i pobrać na dysk, np. po to, aby móc je otworzyć w Excelu.

Compliance Management Center umoż-liwia eksport dokumentów w analogiczny sposób jak w usłudze eDiscovery. Służy do tego zakładka Eksporty, która pozwala wskazać, które elementy chcemy zapisać na dysku. W przypadku skrzynek pocztowych Exchange dane eksportowane są do plików PST, natomiast w kwerendzie zapytania o dane SharePoint otrzymamy listę doku-mentów, czy też elementów listy pasujących do zadanego kryterium przeszukiwania. Dla każdej skrzynki tworzony jest oddzielny plik PST zawierający wiadomości pasujące do kryterium wyszukiwania zdefiniowanego w usłudze eDiscovery. Taki plik można podłą-czyć i przejrzeć w programie Outlook.

W nawiązaniu do wcześniej podanych informacji warto dodać, że kwerenda wy-szukująca w usłudze SharePoint umożliwia zdefiniowanie typu dokumentów, co pozwala zawęzić wyniki np. tylko do dokumentów Excel (.xlsx) lub Word (.docx).

Zestaw zbierania dowodówCentrum zbierania materiałów dowodowych umożliwia przygotowanie filtrów wyszuki-wania (reguł) z wykorzystaniem szablonów i wyrażeń regularnych oraz włączenie ar-

Usługa In-place hold gwarantuje, że informacje spełniające kryteria przeszukiwania zawarte w skrzynkach pocztowych, w witrynach SharePoint oraz dyskach OneDrive będą przechowywane przez określony czas, nawet wówczas, gdy zostaną skasowane przez pracownika.


13

chiwizacji usuniętych informacji w usłudze In-place hold. W tym miejscu warto nakreślić sposób tworzenia nowego zestawu zbierania elektronicznych materiałów dowodowych. Klikamy nowy element, po czym wprowadza-my nazwę tworzonego zestawu. W kolejnym kroku klikamy Dodaj źródła i zarządzaj nimi, aby określić skrzynki pocztowe programu Exchange lub lokalizacje witryn SharePoint i udziałów plików, które zostaną uwzględnio-ne w kwerendzie. W polu Filtr określamy kry-teria wyszukiwania i aktywujemy opcję Włącz archiwum miejscowe. Zapisujemy zmiany. W tym momencie nowa polityka została utworzona w Compliance Center.

Polityka utworzona w Compliance Center jest tożsama z regułami definiowanymi w ustawieniach usługi Exchange Online. Aby się o tym przekonać, przechodzimy do Centrum administracyjnego programu Exchange na kartę zarządzanie zgodnością | miejscowe archiwum i zbieranie elektronicz-nych materiałów dowodowych. Wystarczy odświeżyć widok, aby wyświetlić listę zde-finiowanych polityk. Wśród nich znajdziemy nową regułę wyszukiwania utworzoną w Compliance Center. Jak już zostało wspo-mniane, listę polityk ochrony przypisanych dla konta użytkownika można pozyskać, pobierając wartość parametru InPlaceHolds w konsoli PowerShell.

DLP i RMS w praktyceW tej części artykułu przedstawiamy techno-logie i narzędzia z zakresu bezpieczeństwa informacji usługi Exchange Online, a więc Data Loss Prevention (DLP) oraz Rights Management Services (RMS), mechanizmy szyfrowania wiadomości, reguły transpor-towe Exchange, narzędzia Mobile Device Managment (MDM) oraz Multi-factor authen-tication (MFA), skupiając się na funkcjach i korzyściach z perspektywy użytkownika, zamiast na ich konfiguracji. Wszystkie wy-mienione tutaj technologie wykorzystywane są to sterowania dostępem do informacji przez pracowników firmy. Każdy pracownik, w zależności od zajmowanego stanowiska, szczebla w hierarchii organizacji, czy też wy-działu, ma bowiem dostęp zaledwie do ściśle określonego zestawu informacji.

W platformie SharePoint tworzymy grupy zabezpieczeń, aby poszczególni pracownicy mieli dostęp wyłącznie do informacji prze-

znaczonych dla nich. Te same zasady powin-ny zostać wdrożone w odniesieniu do danych przesyłanych do skrzynek poczty elektro-nicznej i w nich przechowywanych. Z uwagi na fakt, że mówimy tutaj o danych wrażli-wych i poufnych, zadaniem administratorów jest wdrożenie mechanizmów, które pozwolą kontrolować, jakie informacje mogą zostać przekazane drogą mailową na zewnątrz organizacji. Innymi słowy, chodzi o dane, które nigdy nie powinny zostać ujawnione, a zatem wycieknąć poza mury przedsiębior-stwa. W przypadku firmy handlowej może to być np. baza kontrahentów lub ceny zakupu towarów. Systemy te powinny zabezpieczać wrażliwe informacje przed przypadkowym i celowym ujawnieniem. Zdarzyć się może bowiem, że pracownik przez roztargnienie omyłkowo wpisze zły adres e-mail i prześle na zewnątrz cennik lub inne materiały prze-znaczone wyłącznie do użytku wewnętrzne-go. Wbrew pozorom, sytuacje te występują dość często.

Office 365 ma wbudowane mechanizmy, które pomagają chronić informacje przed-siębiorstwa przed wyciekiem i ujawnieniem. Rzadko kiedy dopisek „materiał poufny” na dokumencie okazuje się wystarczający i wła-śnie wtedy warto sięgnąć po rozwiązania, które pozwolą zabezpieczyć wrażliwe dane firmy przechowywane w poczcie elektronicz-nej, w portalu SharePoint oraz na dyskach OneDrive. Przykładowy scenariusz ochrony zakłada zabezpieczenie danych w telefonie komórkowym, który może zostać utracony na skutek zgubienia lub kradzieży. Zwykle zdarza się to wieczorami lub w dni wolne od pracy, kiedy osoby z działu IT nie zawsze są w stanie pomóc, a poszkodowany pracownik często nie wie, w jaki sposób zablokować telefon i usunąć z niego wszystkie dane. Omówione dalej rozwiązania pozwalają administratorom na zarządzanie takimi urzą-dzeniami także w sytuacjach związanych ze zwalnianiem pracowników.

Funkcje DLPDziałanie mechanizmów ochrony informacji przed wyciekiem wbudowanych w pakiet Office 365 zilustrujemy na przykładzie funk-cji DLP. Reguły DLP definiuje się w Centrum zgodności (Compliance Center) w module Ochrona przed utratą danych, do którego dostęp możliwy jest poprzez Centrum ad-

Wszystkie opisane w artykule funkcje sta-nowią element pakietu Office 365 w planie E3. Microsoft oferuje testową subskrypcję tego pakietu wraz z elementami składo-wymi chmury Azure na 30 dni z możliwo-ścią jej przedłużenia na kolejny miesiąc. Subskrypcja obejmuje 25 pełnoprawnych licencji Office 365 E3 dla takiej właśnie liczby pracowników.

14


ministracyjne usługi Office 365, zakładkę Compliance. Te same ustawienia DLP znaj-dziemy w Centrum administracyjnym progra-mu Exchange w module zarządzanie zgodno-ścią | ochrona przed utratą danych.

Zacznijmy od utworzenia reguły DLP w ustawieniach usługi Exchange Online. W oknie ochrona przed utratą danych kli-kamy przycisk dodaj (symbol plusa), a na-stępnie z menu kontekstowego wybieramy Nowe zasady DLP na podstawie szablonów. Alternatywą jest utworzenie polityki we-dług niestandardowych zasad DLP lub za-importowanie zasad DLP z zewnętrznego źródła. Problem w tym, że moduł DLP dla Exchange nie ma wbudowanych szablonów przeznaczonych dla Polski, które spełniają wymagania polskich przedsiębiorstw. Mimo to szablonów jest sporo, a wśród z nich znaj-dziemy m.in. predefiniowane reguły DLP, które pozwalają chronić dane finansowe oraz dane osobowe firm działających w Wielkiej Brytanii. W opisie każdego szablonu znaj-dziemy szczegółowe informacje dotyczące zakresu ochrony, zgodności z wymaganiami prawnymi oraz warunków jego zastosowania.

Przykładowy szablon dla firm z Francji tworzy nawet pięć nowych reguł ochrony poczty Exchange, którymi trzeba zarządzać. Ilustracja tego przykładu jest skompliko-wana, zatem spróbujmy w kilku krokach utworzyć standardową regułę transportową Exchange, która zabezpieczy firmę przed wyciekiem informacji związanych z adresacją urządzeń sieciowych. Klasyczne zastoso-wania reguł DLP dotyczą ochrony numerów PESEL, numerów dowodów osobistych czy paszportów, a w ujęciu bardziej globalnym numerów kart kredytowych.

Przykładowa reguła transportowaW Centrum administracyjnym programu Exchange przechodzimy do zakładki prze-pływ poczty e-mail | reguły. Klikamy dodaj (symbol plusa), aby rozpocząć tworzenie nowej reguły transportowej. W defini-cji reguły wprowadzamy jej nazwę (np. Adresy IP), adresatów zewnętrznych (np. wszyscy poza organizacją) oraz warunki stosowania, czyli typ informacji poufnych, które powinna zawierać wiadomość, aby zostać sklasyfikowana jako podlegająca ochronie. W naszym przypadku warunkiem

stosowania będą adresy IP kontrolerów domeny (192.168.10.10, 192.168.10.15), które nie powinny zostać ujawnione oso-bom z zewnątrz. Ostatni etap tworzenia reguły DLP to wybór akcji, która zostanie podjęta w przypadku wykrycia wiadomości zawierającej informacje spełniające kryteria filtrowania dla reguły (zablokuj, powiadom administratora itd.).

Po utworzeniu nowej reguły warto prze-prowadzić prosty test polegający na wysła-niu z konta firmowego krótkiej wiadomości zawierającej w treści adresy IP kontrolerów do zewnętrznego adresata, np. kolegi z in-nej spółki. Po chwili w skrzynce nadawcy pojawi się e-mail zwrotny z informacją, że wiadomość została odrzucona: „Wiadomość zawiera adresy IP. Proszę o weryfikację, czy powinny zostać wysłane”. To komunikat ustalony przez administratora, który utwo-rzył regułę DLP. Oczywiście, taka wiado-mość nie zostanie dostarczona do adresata. Korespondencja zostanie zablokowana nie-zależnie od tego, czy pracownik wprowadzi w treści wiadomości informacji, że zamierza przesłać adresy IP, czy też nie. DLP rozpo-znaje ciąg znaków w zapisie dziesiątkowym. Wszystko działa.

To tylko przykład, jak w prosty sposób możemy chronić informacje przedsiębior-stwa przed przypadkowym lub celowym ujawnieniem. Nadawca, w tym przypadku pracownik działu IT, zostanie powiadomio-ny o naruszeniu polityki bezpieczeństwa informacji i nie będzie mógł wysłać wia-domości z danymi o kontrolerach domeny na zewnątrz organizacji. Pozostałe opcje ustawień reguły w tym miejscu pominie-my, ponieważ nie są one specyficzne dla funkcji DLP, a jedynie reguł transporto-wych Exchange, którymi nie zajmujemy się w artykule.

Zablokuj lub informujMamy tutaj do czynienia ze standardowymi regułami transportowymi Exchange, które umożliwiają podjęcie akcji dla wiadomości sklasyfikowanej jako zawierającej wrażliwe informacje. Wśród kilkunastu predefiniowa-nych akcji znajdziemy m.in.: Prześlij daną wiadomość w celu zatwierdzenia, Blokuj wiadomość, Dodaj adresatów, Generuj raport o zdarzeniu i wyślij go do czy Powiadom ad-resata za pomocą wiadomości.

Wszystkie opisane w artykule funkcje sta-nowią element pakietu Office 365 w planie E3. Microsoft oferuje testową subskrypcję tego pakietu wraz z elementami składo-wymi chmury Azure na 30 dni z możliwo-ścią jej przedłużenia na kolejny miesiąc. Subskrypcja obejmuje 25 pełnoprawnych licencji Office 365 E3 dla takiej właśnie liczby pracowników.


15

Reguły DLP dla korespondencji pocztowej okazują się przydatne w codziennej pracy, gdyż pozwalają uniknąć przykrych spraw związanych z przypadkowym ujawnieniem (wysyłką) danych na zewnątrz. Pracownik może nie wiedzieć, że dany dokument za-wiera treści tylko do użytku wewnętrznego albo że pewne informacje nie powinny być przekazywane na zewnątrz. Takimi danymi może być oferta, wycena, zestawienie kosz-tów działu, czy też przytoczone w przykła-dzie adresy IP kontrolerów domeny. Sprawa wydaje się oczywista, bowiem nie wszystkie firmy chcą dzielić się informacją na temat stosowanej adresacji komputerów i serwerów w sieci LAN. W skrajnym przypadku możemy spotkać się z sytuacją, w której niefrasobliwy pracownik działu informatyki oprócz adresów IP serwerów w treści wiadomości dołączy nazwę użytkownika i hasło dostępu.

Rights Management ServicesKolejnym elementem zabezpieczeń, który warto zilustrować na przykładach, są reguły usługi Rights Management Services (RMS). Przechodzimy do portalu Centrum admini-stracyjne usługi Office 365, w którym w sek-cji Administrator klikamy odnośnik Azure AD. To skrót od nazwy Azure Active Directory, usługi zawartej w cenie pakietu, która umoż-liwia zarządzanie tożsamością użytkowników w chmurze.

W portalu zarządzania Microsoft Azure przechodzimy do ustawień Active Directory, gdzie w ramach usługi Azure AD dostępne są funkcje Rights Managment. Klikamy skrót o takiej właśnie nazwie. Aby rozpocząć za-rządzanie polisami, w widoku usługi RMS klikamy Manage your rights policy templates. Na liście znajdziemy predefiniowane (do-myślne) polisy usługi oraz polisy zdefiniowa-ne przez nas samodzielnie.

Polisa RMS wskazuje osoby, które mają dostęp do określonego typu dokumentów lub poczty. Polisa może zawierać listę takich osób, jednak w praktyce do zabezpieczania dostępu do dokumentów wykorzystuje się grupy zabezpieczeń. Grupa zabezpieczeń może wskazywać na członków zarządu, pracowników kadr czy działu IT, co daje dużą swobodę w kontrolowaniu dostępu do korespondencji e-mail oraz dokumentów. Przykładowy scenariusz zakłada rozesłanie wiadomości pocztowej do wszystkich osób

w firmie w trybie do odczytu, przy czym tylko pracownicy działu kadr mogą taką korespon-dencję przesyłać dalej, a członkowie zarządu dodatkowo wydrukować.

Szablony uprawnieńUsługa RMS ma wbudowane predefiniowane szablony uprawnień, które mogą być przypi-sywane użytkownikom i grupom zabezpie-czeń. Uprawnienia te to: recenzent, tylko do podglądu, współautor oraz współwłaściciel. Administrator może skonstruować dowolny zestaw uprawnień, w szczegółach decydując o tym, jakie czynności będziemy mogli wyko-nać na wiadomości e-mail lub dokumencie. Uprawnienia te to m.in.: podgląd, możliwość zapisu, edycji, przekazania dalej, odpowiedzi, drukowania czy w końcu zmiany tychże upraw-nień, jeśli chcielibyśmy przyznać innym oso-bom możliwość ich odwołania lub zmiany.

Domyślnie wszyscy pracownicy firmy mają możliwość użycia szablonu RMS zdefi-niowanego przez administratora do zabez-pieczenia poczty Exchange i dokumentów pakietu Office. W przykładzie utworzyliśmy regułę, która automatycznie jest stosowana dla przyporządkowanych jej skrzynek poczty Exchange. Tutaj jest to konto praktykanta. Jeśli dowolna osoba w firmie zaadresuje i wyśle wiadomość na skrzynkę praktykan-ta, usługa RMS nałoży na nią ograniczenia zawarte w regule. Dla przykładu, nasz prak-tykant, do którego mamy ograniczone zaufa-nie, może tylko odczytywać i odpowiadać na otrzymaną korespondencję, ale nie może jej przesyłać dalej ani drukować. W rezultacie w kliencie poczty na komputerze praktykanta przyciski Prześlij dalej oraz Drukuj pozostaną wyszarzone i nie będą mogły zostać użyte.

Administrator ma pełną dowolność kształ-towania tych reguł, a więc pewne polityki mogą być nakładane na wszystkich pracow-ników firmy, na korespondencję przekazywa-ną na zewnątrz lub wiadomości zawierające pewne słowa kluczowe. Nawet gdyby nasz bystry praktykant spróbował oszukać zabez-pieczenia i wybierając opcję Odpowiedz do zamiast Prześlij dalej, spróbował przekazać taką wiadomość na zewnątrz, osoba, do któ-rej trafi korespondencja, otrzyma ją w formie załącznika i nie będzie mogła jej odczytać.

To jeden z prostych scenariuszy, które ma jednak praktyczne zastosowanie. Z przykła-du wyraźnie widać, jak za pomocą reguł DLP

Każdy, kto ma dostęp do testowej sub-skrypcji Office 365 i Exchange Online, może również wypróbować usługę Azure Active Directory. Wymaga to jednak do-datkowej aktywacji konta przy użyciu karty kredytowej. W ramach bezpłatnej subskrypcji nie są pobierane żadne opłaty, a użytkownik dostaje 170 euro do wykorzy-stania na usługi chmurowe Azure przez 30 dni. Karta kredytowa wykorzystywana jest wyłącznie w celu weryfikacji klienta.

16


i RMS administrator może sterować prze-pływem informacji oraz dostępem do treści poprzez blokowanie możliwości przesyłania wiadomości poza organizację, ich drukowa-nia czy zapisywania na dysku komputera.

Szyfrowanie wiadomościMechanizmy szyfrowania wiadomości zawar-te są w cenie usługi Exchange Online w pla-nie 2. W przypadku klientów korzystających z planu 1. jest to rozwiązanie opcjonalne (add-on). Aby zilustrować ich działanie, posłużymy się kolejnym przykładem. Tym razem skupimy się na danych osobowych. Chcielibyśmy bowiem ograniczyć pracowni-kom działu kadr możliwość wysyłania wrażli-wych informacji na zewnątrz.

Wszystkie wiadomości zaadresowane do osób spoza organizacji, które zostaną zidentyfikowane jako zawierające poufne informacje określone w szablonie (w naszym przypadku będą to numery PESEL oraz dowo-du osobistego), zostaną objęte dodatkową polityką ochrony. Każda taka wiadomość zostanie zaszyfrowana, nadawca zostanie poinformowany, że tego typu informacje nie powinny być przekazywane poza firmę, a po trzecie administrator dowie się, że wystąpił taki incydent zabezpieczeń.

Z perspektywy biznesowej możemy ze-zwolić osobom z działu kadr na wysłanie wiadomości zawierającej dane osobowe po tym, jak potwierdzi i uzasadni chęć wykona-nia takiej operacji. Zilustrujemy to na przy-kładzie. Pracownik działu kadr wysyła do zewnętrznego współpracownika wiadomość zawierającą wrażliwe informacje. Operacja ta zakończy się niepowodzeniem, a do skrzynki pracownika trafią dwie wiadomości zwrotne: jedna z informacją o tym, ze wiadomość za-wiera dane osobowe i nie została wysłana; druga z adnotacją, że możliwe jest wysłanie takiej korespondencji, ale wymaga to dodat-kowego potwierdzenia. W tym przypadku mamy dwie ścieżki postępowania. Pierwsza polega na wyedytowaniu wiadomości i usu-nięciu danych osobowych. Druga zakłada skierowanie e-maila do moderacji wraz z po-daniem uzasadnienia biznesowego, dlaczego informacje te muszą zostać przekazane poza organizację. Służy do tego specjalny formu-larz dostępny z poziomu programu Outlook.

Nakreślony tutaj scenariusz wymaga, aby każdy z uczestników komunikacji posia-

dał konto w usłudze RMS. Nadawca został ostrzeżony, że dane zawarte w treści wiado-mości nie powinny opuszczać organizacji, natomiast administrator otrzymał powiado-mienie o takim zdarzeniu.

Automatyczne szyfrowaniePolityka ochrony informacji nakreślona w scenariuszu zakłada dodatkowo, że każda wychodząca wiadomość zostanie automatycznie, a więc bez udziału pracow-nika, zaszyfrowana. Usługa szyfrowania wiadomości pakietu Office 365 umożliwia zabezpieczenie korespondencji skierowa-nej do dowolnego użytkownika, a nie tylko współpracowników zatrudnionych w tej samej firmie i posiadających konto służbo-we. Odbiorca otrzyma wiadomość w formie zaszyfrowanego pliku message.html wraz z instrukcją, jak uzyskać dostęp do jego zawartości. Plik message.html należy otwo-rzyć i postępować zgodnie z wyświetlonymi na ekranie wskazówkami. Treść takiego komunikatu oraz logo mogą zostać sperso-nalizowane do potrzeb firmy.

Aby wyświetlić wiadomość, adresat może zalogować się przy użyciu konta służbowe-go, konta Microsoft (Live ID) lub skorzystać z jednorazowego kodu dostępu. Jeśli od-biorca jest pracownikiem firmy, wystarczy, że zaloguje się do swojego konta w usłudze Office 365 z wykorzystaniem poświadczeń korporacyjnych. W celu wyświetlenia zaszy-frowanej wiadomości możemy użyć konta Microsoft używanego w dostępie do innych usług firmy Microsoft, takich jak: OneDrive, Xbox LIVE czy Outlook.com. Trzecia metoda to jednorazowy kod dostępu wysyłany na adres e-mail.

Multi-factor authenticationMulti-factor authentication (MFA) to kolej-na, choć jeszcze nie ostatnia z omawianych w tym artykule, usługa pakietu Office 365 z zakresu zabezpieczania informacji w przedsiębiorstwie. MFA wprowadza me-chanizmy wieloskładnikowego uwierzytel-niania do usług online z wykorzystaniem standardowych poświadczeń i dodatkowego faktora, jakim jest kod SMS, kod z aplikacji na smartfonie lub rozmowa na wskazany numer telefonu.

Przykładowy scenariusz zakłada wdroże-nie mechanizmu dwuskładnikowego uwierzy-

Czy w ramach usługi Office 365 możemy wdrożyć produkty DLP firm trzecich?

Tak, taka konfiguracja jest dopuszczal-na, o ile oprogramowanie firm trzecich ma wbudowane mechanizmy współpracy z usługami Office 365. Na etapie decyzji o integracji zewnętrznego DLP z Office 365 należy rozważyć, z jakimi klientami współ-pracuje wdrażane oprogramowanie.

Kto może odczytać zaszyfrowaną wiadomość?

Każda osoba, która ma dostęp do interne-tu, będzie mogła odczytać zaszyfrowaną wiadomość po zalogowaniu się przez portal webowy do swojego konta służbowego lub konta Microsoft Live ID. Alternatywna me-toda autoryzacji dostępu bazuje na jedno-razowych kodach dostępu przekazywanych drugiej stronie, aby umożliwić odszyfrowa-nie treści e-maila.


17

telniania w usłudze Office 365. Użytkownik, aby uzyskać dostęp do swoich aplikacji, musi wprowadzić standardowy login i hasło do konta, a następnie dokonać dodatkowej we-ryfikacji poprzez wpisanie kodu SMS wysła-nego na jego telefon komórkowy. Tak działa podstawowy mechanizm wielopoziomowego uwierzytelniania, który wprowadza dodatko-wą warstwę zabezpieczenia przed nieautory-zowanym dostępem do usług i danych. Nawet jeśli osoba postronna pozna hasło dostępu, nie będzie mogła się zalogować bez wprowa-dzenia dodatkowych poświadczeń.

Wiadomość SMS jest wysyłana na numer telefonu podany w procesie aktywacji konta. W zależności od polityki bezpieczeństwa firmy możliwe jest wdrożenie innych metod uwierzytelnienia. Office 365 udostępnia dwie takie metody weryfikacji: za pomocą aplika-cji mobilnej na telefonie lub rozmowy telefo-nicznej na numer stacjonarny.

W pierwszym wariancie pracownik ma na swoim smartfonie aplikację mobilną, która tworzy jednorazowe kody dostępu. Aplikacja generuje losowe kody dostępu dla usług on-line, takich jak: Outlook, Lync Online, Skype dla firm lub Yammer. Kody te powiązane są z urządzeniem pracownika. W odróżnieniu od SMS-ów aplikacja wymaga połączenia z internetem, np. przez Wi-Fi, ale niepotrzeb-ny jest dostęp do sieci komórkowej. Trzecia metoda może przydać się zapominalskim, którym zdarza się zostawiać swój telefon komórkowy w domu. Office 365 umożliwia uwierzytelnienie w usłudze MFA poprzez wykonanie rozmowy telefonicznej na numer telefonu stacjonarnego zainstalowany np. w biurze pracownika lub w serwerowni.

MFA w praktyceAby włączyć usługę wieloskładnikowego uwierzytelniania (MFA), przechodzimy do modułu zarządzania użytkownikami w Centrum administracyjnym Office 365. W tym celu klikamy kolejno Użytkownicy | Aktywni użytkownicy, a następnie wybiera-my Konfiguruj dla opcji Ustaw wymagania dotyczące uwierzytelniania wieloskładni-kowego. Mechanizm MFA może zostać włą-czony dla wszystkich pracowników firmy, choć jest to działanie wysoce niezalecane. Wdrożenie tych mechanizmów warto pro-wadzić stopniowo, nie zapominając o wła-ściwym poinformowaniu i przeszkoleniu

pracowników, którzy mieliby z takiej opcji korzystać. W przeciwnym przypadku użyt-kownicy utracą dostęp do swoich aplikacji.

Docelowo mechanizmy uwierzytelnienia wieloskładnikowego warto włączyć wszyst-kich pracownikom uzyskującym dostęp do usług online. Konta z uprawnieniami ad-ministracyjnymi nie powinny być z zasady wykorzystywane do obsługi programów użytkowych, takich jak poczta elektronicz-na albo Skype. Innym, technicznym argu-mentem, aby nie włączać mechanizmów MFA na kontach administratorów, jest brak obsługi tych mechanizmów w powłoce PowerShell. W przypadku kont z MFA wy-magane jest uwierzytelnienie dodatkowym hasłem, którego nie uda się nam wprowa-dzić z poziomu PowerShella.

W tej części artykułu pokazaliśmy, jak zbudować regułę, która zidentyfikuje po-ufną treść, jaką są dane personalne, w tym przypadku numer PESEL i numer dowodu osobistego, sklasyfikuje ją jako podlegającą ochronie i zablokuje przed wysłaniem do osoby na zewnątrz. Jeśli pracownik działu kadr jest pewny, że chce wysłać taką wia-domość, będzie mógł to zrobić, ale aby podnieść bezpieczeństwo informacji wy-chodzących poza organizację, zostanie ona zaszyfrowana. Druga strona, czyli odbiorca, aby zapoznać się z jej treścią, będzie musiała zalogować się do swojego konta za pomocą mechanizmów wieloskładnikowego uwierzy-telniania (MFA).

Mobile Device ManagementOstatni praktyczny przykład zaprezentowany w tym artykule dotyczy rozwiązań z zakre-su zarządzania urządzeniami mobilnymi. Oczywiście, ta część artykułu stanowi jedy-nie wycinek wiedzy na temat narzędzi MDM wbudowanych w Office 365, które w szer-szym zakresie warto porównać z innym roz-wiązaniem Microsoftu, a mianowicie Intune. Spróbujmy jednak pokrótce pokazać, w jaki sposób za pomocą narzędzi MDM pakietu Office 365 jesteśmy w stanie ograniczyć dostęp urządzeniom mobilnym do usług i danych przedsiębiorstwa.

Zarządzanie urządzeniami mobilnymi odbywa się poprzez portal administracyjny usługi Office 365. Wymaga to dodania dwóch rekordów DNS dla naszej domeny, a samo włączenie usługi może potrwać do 24 godzin.

RMS, a obieg dokumentówSystem RMS może być w pewnym zakresie wykorzystywany do obsługi procesów związanych z obiegiem dokumentów. Przykładowy scenariusz zakłada wykorzy-stanie usługi RMS do zatwierdzania poczty wychodzącej, np. w trakcie wysyłania ofert handlowych do kontrahentów. Budowanie obiegu dokumentów na bazie rozwiąza-nia RMS może okazać się niepotrzebnie skomplikowane, bowiem do obsłużenia powyższego scenariusza wystarczą zwykłe reguły transportowe Exchange. Administrator może skonstruować regułę, która po wykryciu w treści wiadomości wrażliwych informacji wymusi na serwerze poczty wykonanie określonej akcji, np. przekazanie korespondencji do kierownika działu. W przypadku zatwierdzania zapytań ofertowych warto również rozważyć inne-go typu mechanizmy, m.in. system CRM z wbudowaną funkcjonalnością obiegu dokumentów.

18


Warto więc uzbroić się w cierpliwość. Dla urządzeń Android i Windows Phone usługa MDM dostępna jest bez dodatkowej konfi-guracji. W przypadku smartfonów i tabletów z systemem iOS konieczna jest instalacja certyfikatów serwera. Urządzenia Blackberry nie są obsługiwane.

W Centrum administracyjnym usługi Office 365 przechodzimy do modułu Zarządzanie urządzeniami przenośnymi dla usługi Office 365, w którym wybieramy opcję Zarządzaj regułami dostępu i zasadami zabezpie-czeń urządzeń. W rezultacie znajdziemy się w Centrum zgodności (Compliance Center), gdzie będziemy mogli zarządzać urządzenia-mi mobilnymi. Główny widok wyświetla listę polis dla urządzeń mobilnych, które możemy edytować. Klikamy Manage organization--wide device access settings, aby stworzyć nową polisę.

Polisa MDM określa, jakie urządzenia mogą mieć dostęp do usługi. Funkcjonalność ta jest tożsama z narzędziami dostępnymi w ActiveSync, które umożliwiały wprowadza-nie kwarantanny dla urządzeń oraz sterowa-nie regułami dostępu, np. urządzenie uzy-skujące dostęp do zasobów firmy musi mieć założone PIN lub hasło.

MDM wbudowany w Office 365 wprowadza dodatkowe mechanizmy sterowania tym, które opcje i funkcje telefonu będą zablo-kowane. Przykładem takiego ograniczenia może być zablokowanie wykonywania kopii

zapasowych danych urządzenia do chmury, np. dysku Dropbox. Nie ma tutaj mowy o do-datkowym dostarczaniu aplikacji i konfigura-cji na urządzenia użytkowników, m.in. profili Outlook, sieci Wi-Fi czy VPN. Ale możemy zarządzać wideokonferencjami na telefonach pracowników na bazie grup zabezpieczeń. Podobnie jak w przypadku rozwiązań DLP i RMS mechanizm MDM pakietu Office 365 wprowadza podział użytkowników na mniej i bardziej uprzywilejowanych. Przy czym przez bardziej uprzywilejowanych pracowni-ków rozumie się tych, którzy mogą uzyskiwać dostęp i przechowywać na telefonie więcej wrażliwych informacji firmy.

PodsumowanieUsługi Litigation hold, In-place hold oraz eDiscovery Search służą do ochrony infor-macji przed utratą. Usługi te dostępne są w pakiecie Office 365 E3 i E5, którego skład-nikiem jest system poczty Exchange Online w planie 2. Usługa DLP dostępna jest wyłącz-nie w planie 2. Exchange Online, przy czym pozostałe narzędzia i funkcjonalności (RMS, MFA, MDM) można dokupić jako rozszerzenie (add-on) do większości innych planów Office 365 przeznaczonych dla przedsiębiorstw i korporacji.

Nakreślone tutaj zasady licencjonowania doskonale pokazują, skąd wynika różnica w cenie Office 365 w planie E3 w porównaniu z niższymi pakietami tejże usługi. Wiele osób dostrzega różnicę wyłącznie w wersji progra-mów Office, które możemy zainstalować na komputerach pracowników i ich użytkowni-ków, zapominając jednocześnie o wielu za-awansowanych funkcjach zabezpieczeń klasy korporacyjnej dostępnych w cenie Office 365 E3. Licencja Office 365 E3 kosztuje według cennika 20 dolarów miesięcznie za użytkow-nika. W przypadku, gdybyśmy chcieli zakupić składowe pakietu oddzielnie, za to samo musielibyśmy zapłacić ok. 40–50 dolarów.

Klienci, którzy dysponują subskrypcją Office 365 E3, mogą korzystać z zaawan-sowanych mechanizmów zabezpieczeń bez dodatkowych opłat, natomiast firmy posia-dające licencje na pakiet usług biurowych Microsoft w chmurze w niższych planach powinny rozważyć migrację do wyższych planów przy przedłużaniu lub podpisywaniu nowej umowy dla wszystkich (lub choćby części) pracowników swojej firmy.

Polisa MDM określa, jakie urządzenia mogą mieć dostęp do usługi. Funkcjonalność ta jest tożsama z narzędziami dostępnymi w ActiveSync.

Documents

Bezpieczeństwo w Office 365, - integritypartners.pl · czyli jak skorzystać z wbudowanych ... przez pracownika w korespondencji e-mail, ... a przy tym łatwo i skutecznie odnajdywać