Satya Nadella: We live in a mobile-first and cloud-first world

Transkript

1

2 Satya Nadella: We live in a mobile-first and cloud-first world

3 Sicherheit in 3 Schichten: 3 Parteien Office 365 Integrierte Sicherheit Office 365 Kundenspezifische Steuerung Office 365 Unabhängige Verifizierung und Compliance Microsoft Sicherheit: Best Practices 24h- Überwachung der physischen Hardware Automatisierte Vorgänge Isolierte Kundendaten Verschlüsselte Daten Sicheres Netzwerk

4 Office 365 Integrierte Sicherheit Microsoft Sicherheit: Best Practices 24h- Überwachung der physischen Hardware Automatisierte Vorgänge Isolierte Kundendaten Verschlüsselte Daten Sicheres Netzwerk

5 24h-Überwachung der physikalischen Hardware Erdbebengesichert 24x7 Sicherheitspersonal vor Ort Einrichtungen zum Brandschutz & -bekämpfung Sicherheitsbarrieren Multi-Faktor- Zutritt Umfangreiche Überwachung Notstromversorgung für mehrere Tage Zehntausende Server

6 Isolierte Kundendaten Eine Multi-Tenant-Umgebung gewährleistet die logische Isolation von Daten, die das Eigentum unterschiedlicher Kunden sind, aber innerhalb der gleichen physischen Hardware gespeichert werden. DATEN im Server Durch Datenisolation wird ein (un)beabsichtigter Zugriff auf Daten, die Eigentum eines anderen Kunden/Eigentümers sind, verhindert.

7 Sicheres Netzwerk Getrenntes Netzwerk Internes Netzwerk Verschlüsselte Daten Externes Netzwerk - Die Netzwerke innerhalb der Office-365-Rechenzentren sind segmentiert. - Physikalische Trennung von kritischen Back-End-Server- und Speichergeräten von öffentlich zugänglichen Schnittstellen. - Edge Router Security ermöglicht die Erkennung von Anzeichen möglicher Schwachstellen.

8 Verschlüsselte Daten Office 365 ermöglicht die Verschlüsselung der Daten sowohl während der Speicherung als auch während des Datentransfers. Die Daten sind dabei für nicht-authorisierte Parteien nicht lesbar. Datenverschlüsselung während der Speicherung (at Rest) BitLocker 256bit AES-Verschlüsselung für jegliche Art von -Diensten Beinhaltet Mailbox Database Files, Mailbox Transaction Log Files, Search Content Index Files, Transport Database Files, Transport Transaction Log Files und Page File OS System Disk Tracing/Message Tracking Logs. Datenverschlüsselung während des Transfers (in Transit) Transport Layer Security (TLS)/ Secure Sockets Layer (SSL) Exchange Online unterstützt S/MIME und Technologie von Drittanbietern, wie z. B. PGP

9 Automatisierte, kontrollierte Vorgänge O365 Admin- Zugriffsanfrage Aufgezeichnet als Service-Anfrage 1. Prüffähig 2. Verfügbar als Self-Service- Reports Office 365 Datacenter Network Gewährt vorübergehende Rechte Microsoft Corporate Network Gewährt Rechte nach dem Least-Privilege -Prinzip zur Durchführung einer Aufgabe. Verifiziert die Berechtigung durch Überprüfung, ob 1. die Hintergrundprüfung abgeschlossen ist. 2. das Fingerprinting vollständig ist. 3. das Security-Training komplett absolviert wurde.

10 Security Development Lifecycle Verhinderung von DoS-Angriffen Vorbeugung gegen Sicherheitsverstöße Schadensbegrenzung bei Sicherheitsverstößen Microsoft Sicherheit: Best Automated Practices operations Verschlüsselte Daten 24h- Überwachungder physischen Hardware Isolierte Kundendaten Sicheres Netzwerk

11 Reduzierung von Schwachstellen & Einschränkung des Exploit-Ausmaßes Schulung Prozess Rechenschaftspflicht Verwaltung und Nachverfolgung der Sicherheitstrainings Anleitung der Product-Teams, um den SDL Anforderungen gerecht zu werden Festlegung der Release- Kriterien & Sign-off als Teil des FSR Incident Response (MSRC) Training Anforderungen Design Implementierung Prüfung Freigabe Rückmeldung Grundlegende Ausbildung zum Thema Sicherheit Definition der Sicherheitsanforderungen Definition der Quality Gates (Meilensteine für die Produktqualität) Risikoabschätzung für Sicherheit und Datenschutz Definition der Design- Anforderungen Attack Surface Analysis (Analyse möglicher Auswirkungen nach der Installation) Aufstellung der Bedrohungsmodelle Einsatz der freigegebenen Tools Feststellung unsicherer Funktionen Statische Analysen Dynamische Analyse Fuzzing (automatische Tests mit Zufallsdaten) Attack Surface Review (Programmprüfung auf Angriffsflächen nach der Installation) Incident Response Plan Finale Sicherheitsprüfung Festschreibung & Archivierung des Release- Standes Umsetzung des Incident Response Plan (Reaktionsplan für sicherheitsrelevante Vorfälle) Fortlaufende Prozessverbesserung

12 Weitere technisch/organisatorische Maßnahmen Erkennung von unerwarteten Aktivitäten auf dem Server Warnung bei Prozessen außerhalb der Whitelist Warnung bei Config/Regkey-Änderungen Analyse der Angriffsmuster (z. B. APTs) Umfangreiche Datenanalyse zur Erkennung von ungewöhnlichen Strukturen Monitor Emerging Threats Wargame Exercises Red Teaming Regelmäßiges Incident-Response-Training Wiederholte Cops-Robbers -Simulation mit Pen-Testern die wie Insider mit Standard Zugriffen agieren können Invest in Reactive Security Needs Insider Attack Simulation Kontinuierliche Verbesserung auf Playbooks, Containment, Eviction, MTTD, MTTR Überprüfung aller Service-Zugriffe Cmdlets, Logins, durchgeführte Aktionen, Elevations, Account- Erstellungen Execute Post Breach Blue Teaming

13 Office 365 Kundenspezifische Steuerung Office 365 Integrierte Sicherheit Office 365 Kundenspezifische Steuerung Office 365 Unabhängige Verifizierung und Compliance Microsoft Sicherheit: Best Practices 24h- Überwachung der physischen Hardware Automatisierte Vorgänge Isolierte Kundendaten Verschlüsselte Daten Sicheres Netzwerk

14 Fortschrittliche Verschlüsselung Datenverschlüsselung at rest unter Einsatz der Rights Management Services Flexibilität bei der Wahl von Elementen, die Kunden verschlüsseln möchten. s, die außerhalb der Organisation verschickt werden, können dadurch ebenso verschlüsselt werden. Office 365 ProPlus unterstützt kryptografische Flexibilität Integriert Cryptographic-Next-Generation(CNG)- Schnittstellen Administratoren können kryptografische Algorithmen zum Verschlüsseln und Signieren von Dokumenten angeben. Sicherheitsrisiko Böswillige Admins Data Loss Prevention (DLP) Gestohlenes/Verlorenes Laptop Gestohlenes/Verlorenes mobiles Endgerät Technologie zur Risikominimierung RMS, BitLocker, LockBox, Überwachung der physischen Anlage RMS; Exchange 2013 DLP Richtlinien BitLocker BitLocker

15 Nutzerzugriff Integriert mit Active Directory, Azure Active Directory und Active Directory Federation Services Ermöglicht zusätzliche Authentifizierungsmechanismen: Zwei-Faktor-Authentifizierung einschließlich telefonischer 2FA Client-Based Access Control basierend auf Geräten/Standorten Rollenbasierte Zugriffskontrolle (Role-Based Access Control)

16 Compliance: Data Loss Prevention (DLP) Verhindert die Abwanderung von Daten aus der Organisation Erzeugt eine Alarmbenachrichtigung, wenn Daten wie Sozialversicherungsoder Kreditkartennummern per E- Mail verschickt werden. Die Alarmbenachrichtigungen können vom Admin individuell angepasst werden, um zu verhindern, dass geistiges Eigentum extern verschickt wird. Berechtigung der Nutzer für das eigene Compliance Management Kontextbezogene Richtlinienschulungen Darf die Arbeitsabläufe der Nutzer nicht einschränken Funktioniert selbst ohne Verbindung Konfigurierbar und individuell anpassbar vom Admin anpassbare Texte und Aktionen Integrierte Vorlagen basierend auf gemeinsamen Vorschriften Einsatz von DLP-Richtlinienvorlagen von Security-Partnern oder Aufbau eigener Richtlinien-Templates

17 Compliance: -Archivierung und Aufbewahrung Aufbewahrung Suche In-Place Archiv Governance Hold ediscovery Sekundäre Mailbox mit separatem Kontingent Gemanagt durch EAC oder PowerShell Verfügbar On-Premise, Online oder durch EOA Automatisierte und zeitbasierte Kriterien Festlegung von Richtlinien auf Element- oder Ordnerebene Ablaufdatum wird in angezeigt Erfassung von gelöschten und bearbeiteten - Nachrichten Zeitbasiertes In-Place Hold Granulares abfragebasiertes In-Place Hold Optionale Benachrichtigung Webbasiertes ediscovery-center und Multi-Mailbox-Suche Primärsuche, In-Place Archiv und wiederherstellbare Elemente Delegation durch rollenbasierte Administration Deduplizierung nach Feststellung Überwachung zur Sicherstellung, dass Steuerungselemente berücksichtigt werden

18 Anti-Spam/ Anti-Virus Umfangreicher Schutz Multifunktionale Anti-Malware schützt zu 100% gegen bekannte Viren Fortlaufend aktualisierter Spam-Schutz erfasst 98%+ des eingehenden Spams Fortschrittliche Fingerprint-Technologien indentifizieren und stoppen neue Spam- und Phishing- Vektoren in Echtzeit Einfache Handhabung Vorkonfiguriert für eine einfache Bedienung Integrierte Verwaltungskonsole Granulare Steuerung Alle Bulk Messages werden als Spam eingestuft Blockierung von s, die aufgrund von sprachlichen oder geografischen Ursprungs unerwünscht sind.

19 Unabhängige Verifizierung & Compliance Office 365 Integrierte Sicherheit Office 365 Kundenspezifische Steuerung Office 365 Unabhängige Verifizierung und Compliance Microsoft Sicherheit: Best Practices 24h- Überwachung der physischen Hardware Automatisierte Vorgänge Isolierte Kundendaten Verschlüsselte Daten Sicheres Netzwerk

20 Kontinental verteilte Rechenzentren Chicago Dublin Amsterdam Quincy Hong Kong Des Moines Boydton Japan San Antonio Singapore Office 365 Trust Center ( Office 365 Privacy Whitepaper Office 365 Security Whitepaper and Service Description Office 365 Standard Responses to Request for Information Office 365 Information Security Management Framework

21 Der Grund für eine unabhängige Verifizierung? Ich muss wissen, dass Microsoft die richtige Vorgehensweise verfolgt Die Übernahme und Anpassung von Industriestandards gewährleisten umfassende Verfahrensmöglichkeiten und Kontrollmechanismen zum Schutz sensibler Daten. Wir stellen unabhängige Drittanbieter-Verifizierungen bezüglich Microsofts Steuerung der Sicherheit, Privatsphäre und Kontinuität zur Verfügung. Microsoft schafft Transparenz Dies bedeutet eine Zeit- & Geldersparnis für Kunden und bietet Office-365-Kunden eine skalierbare Sicherheit

22 Office 365: 3 Schichten der Sicherheitsarchitektur Office 365 Integrierte Sicherheit Office 365 Kundenspezifische Steuerung Office 365 Unabhängige Verifizierung und Compliance Microsoft Sicherheit: Best Practices 24h- Überwachung der physischen Hardware Automatisierte Vorgänge Isolierte Kundendaten Verschlüsselte Daten Sicheres Netzwerk

23