Microsoft hat am 23.07.2013 ein aktualisiertes Dokument als Zusammenfassung der integrierten Sicherheitsmaßnahmen innerhalb des kommerziellen Cloud SaaS (Software as a Service) Angebot unter der Webseite http://www.microsoft.com/en-us/download/details.aspx?id=26552 veröffentlicht.

Hier die Original Zusammenfassung:
Moving productivity services to the cloud requires a serious consideration of security and privacy issues and technologies. Office 365 is designed to deliver the enterprise-grade security you require to move to the cloud with confidence. Our data centers are designed, built, and managed using a defense-in-depth strategy at both the physical and logical layers, and our services are engineered to be secure using the Security Development Lifecycle. Office 365 makes it easy for users and administrators to access and use data and services while following security best practices. We have built our cloud-based productivity services with you in mind, helping you embrace the advantages of the cloud on your terms and at your own pace. Learn more about the enterprise-grade security that Microsoft has provided for many years.

In dem englischsprachigen Dokument werden dann auch folgende Themen angesprochen:

  • Office 365 Sicherheit
  • “Built-In” Sicherheit
  • Microsoft Sicherheit best practise
  • Kundenkontrolle (Sicherheit in der Kontrolle des Kunden)
  • Aktivierung von Benutzerzugriffen
  • Aktivieren der Compliance Features
  • Aktivieren der Antispam / Antimalware
  • Zertifikate und Vertragsbestandteile

Dabei beschreibt Microsoft das Sicherheitsmodell anhand des folgenden Bildes:

Durch dieses durchgängige Framework (welches man übrigens auch auf andere IT Infrastrukturen anwenden kann), wird eine End-to-End Sicherheit angeboten und zertifiziert.

Besonders in Bezug auf das Thema Verschlüsselung geht Microsoft nur kurz ein. Immerhin wird hier verraten, dass alle Server mit Bitlocker unter AES 256-bit verschlüsselt sind, dazu gehören insbesondere auch die ganzen Protokolle und Logdateien der Exchange sowie deren Mailboxdateien und SharePoint Dienste. Der kleine aber wichtige Hinweis lautet in dem Kapitel (sehr frei übersetzt von mir :-)  ):

“Lieber Benutzer, bitte nutze die Möglichkeit der S/MIME Verschlüsselung. Wir unterstützen diese aber auch andere Drittherstellerlösungsverfahren wie PGP”.

Und das ist genau der Punkt meiner letzten Vorträge. Jeder Kunde, jeder Exchange Benutzer, jeder Office Benutzer kann schon seit Jahren seine Dokumente verschlüsseln und nur für die Personen freigeben, welche lesen dürfen. Seit der Office 365 Wave 15 Implementierung und Upgrade auf die Version 2013 von SharePoint, Lync und Exchange, sind noch mehr eingebaute Funktionen hinzugekommen.

Durch die RTM Bereitstellung des Windows AZURE Active Directory (WAAD) hat jeder Office 365 Benutzer die technische Möglichkeit, mit wenigen Mausklicks die RMS (Rights Management Services) für die Inhaltsverschlüsselung zu nutzen. Auch hierzu gibt es ein Microsoft Whitepaper mit dem Titel “Information Protection and Control (IPC) in Office 365 with Windows Azure AD Rights Management whitepaper” unter dem Downloadlink http://www.microsoft.com/en-us/download/details.aspx?id=34768 .Man sollte nur auf folgendes achten:

  1. Wer die automatische Verschlüsselung auf Bibliotheksebene aktiviert, sollte wissen, dass ein Dokument während der Übertragung noch nicht verschlüsselt ist. Lediglich der Transportweg ist mit HTTPS abgesichert.
  2. Eine End-to-End Verschlüsselung findet schon auf dem Client Computer statt. Hierzu muss ein Dokument auf dem lokalen Device verschlüsselt werden und wird dann übertragen.
  3. Verschlüsselte Dokumente können in der Regel nur schwer indexiert werden. Also das Auffinden von bestimmten Inhalten ist solange schwierig, wie nicht manuell die notwendigen Metadaten in SharePoint zu diesem Dokument gepflegt wurden.

Zukünftig wird es noch weitere Möglichkeiten der Verschlüsselung geben, hierzu hatte ich in einem meiner letzten Blogbeiträge hingewiesen.
In den nächsten Konferenzvorträgen werden ich diese Neuerung zu Windows 2012 R2 auch vorführen.

Grüße aus dem sonnigen Norden
Michael

The short URL of the present article is: http://wp.me/p1MQAv-Nz

Tagged with:

Filed under: Office 365 GridOffice365Security