如果公司不完全了解数据在O365中的传输方式,或者将内部部署安全实践应用于其云战略,则会给自己带来麻烦。尽管O365平台具有一些安全功能和配置选项(所有客户都应利用),但本机或内置工具并不能解决许多漏洞或其他安全问题。
您将在下面找到企业采用O365时忽略的四个常见领域。
1.无法使用本机工具实现零信任
企业越来越依赖零信任网络安全策略来减轻风险并防止数据泄露。使用零信任模型,组织仅允许必须相互通信的IT实体之间进行访问。IT和安全团队保护每个通信渠道并删除通用访问权限,以防止恶意方窃听或获取关键数据或个人身份信息(PII)。
使用零信任策略的一个问题是,在Azure Active Directory(Azure AD)中实现它非常复杂。例如,IT和安全团队可以给员工贴上“应用程序管理员”的标签,这使他们和其他带有该标签的人可以执行/更改71种不同的属性。这些千篇一律的角色的问题在于,组织无法确切地知道所有相应的管理员控制属性的含义,也不知道它们在功能上是被授予的。
2.难以管理特权权限
在O365集中式管理模型下,所有管理员都具有全局凭据,这意味着他们有权访问/可以看到每个用户。这不仅效率极低,而且还会带来巨大的安全问题。您是否知道80%的SaaS违规都涉及特权权限?那管理员拥有所有特权吗?在O365中,必须将用户身份视为安全边界。
本机O365管理中心专注于提供全局管理员权限,为倾向于在本地工作的管理员提供不必要的过多权限和特权。这种使用O365设置权限的集中式管理模型完全依赖于授予“全局管理员权限”,包括区域,本地或业务部门管理员。
本机O365管理中心并不能使您轻松设置基于业务单位或国家的权利,或进行远程或卫星办公室。此外,您不能轻易地细粒度地限制管理员的权限,因此他们只能执行有限的特定功能,例如在要求时更改密码。
那么,您如何减轻与O365操作员权利有关的风险?一些IT资深人士可能会回答基于角色的访问控制(RBAC),因为它允许组织根据工作角色对权限进行分区,从而减少了真正受信任的全球管理员。这些全局管理员由一组没有全局访问权限的本地或业务部门集中的管理员所扩充,所有这些都为您的O365环境提供了更好的保护。
3.难以建立日志和审计职能
即使是最小的实施,O365也会收集数百万位信息。不幸的是,从安全的角度来看,这些数据点已经不存在了很长时间,而且很少用于保护或取证。微软历史上只提供过去30天的日志(尽管现在已经增加到了一年,但是仅针对高端E5许可证),但是企业必须问自己:
- 他们为什么需要收集数据日志?
- 日志如何影响法规遵从性?
- 如果不保存日志或以其他方式开采和审核日志,会发生什么情况?
- 这些日志提供什么业务价值?
如果策略性地使用日志,则可以提供有价值的取证,不仅可以帮助发现漏洞,还可以识别仍然存在于网络中的网络犯罪分子。在企业甚至无法考虑利用审计之前,IT和安全团队必须打开日志记录并实施一个流程来保存日志数据,该时间远远超过Microsoft的标准30天。同样重要的是要知道,即使设置了日志记录,事件跟踪也不是O365的默认设置,因此企业必须将其打开。
针对安全合规性问题的实时监视和警报是驱动形成日志的许多数据的引擎。现在,智能IT商店可以对其O365环境中的潜在安全合规性问题进行实时监视和警报。
4.“被遗忘的权利”的挑战
合规是一个重大的安全和经济问题。由于GDPR和CCPA等其他隐私法规,几乎每天都会发生罚款事件。遵守GDPR涉及很多工作,其中最重要的法规是被遗忘的权利。该法规规定,个人有权要求组织删除其个人数据。但是,正如许多企业所了解的那样,如果IT或安全团队无法找到个人信息或不知道如何使用个人信息,则很难满足此要求。
组织必须能够跟踪和审核单个用户帐户,以确保他们不仅遵守此请求,而且具有适当的流程来区分具有相似(甚至相同)用户名的用户,即使其中一个用户行使了自己的用户名忘记了。
这些挑战的核心都是普遍缺乏对O365基础架构的可见性。微软的SaaS平台引入了许多重要的业务优势和功能,但要求企业采取积极措施来考虑其数据以及如何在外部访问和共享数据。组织需要履行其共同责任模型的末端,以维持稳固的组织安全态势。
如果公司不完全了解数据在O365中的传输方式,或者将内部部署安全实践应用于其云战略,则会给自己带来麻烦。尽管O365平台具有一些安全功能和配置选项(所有客户都应利用),但本机或内置工具并不能解决许多漏洞或其他安全问题。
您将在下面找到企业采用O365时忽略的四个常见领域。
1.无法使用本机工具实现零信任
企业越来越依赖零信任网络安全策略来减轻风险并防止数据泄露。使用零信任模型,组织仅允许必须相互通信的IT实体之间进行访问。IT和安全团队保护每个通信渠道并删除通用访问权限,以防止恶意方窃听或获取关键数据或个人身份信息(PII)。
使用零信任策略的一个问题是,在Azure Active Directory(Azure AD)中实现它非常复杂。例如,IT和安全团队可以给员工贴上“应用程序管理员”的标签,这使他们和其他带有该标签的人可以执行/更改71种不同的属性。这些千篇一律的角色的问题在于,组织无法确切地知道所有相应的管理员控制属性的含义,也不知道它们在功能上是被授予的。
2.难以管理特权权限
在O365集中式管理模型下,所有管理员都具有全局凭据,这意味着他们有权访问/可以看到每个用户。这不仅效率极低,而且还会带来巨大的安全问题。您是否知道80%的SaaS违规都涉及特权权限?那管理员拥有所有特权吗?在O365中,必须将用户身份视为安全边界。
本机O365管理中心专注于提供全局管理员权限,为倾向于在本地工作的管理员提供不必要的过多权限和特权。这种使用O365设置权限的集中式管理模型完全依赖于授予“全局管理员权限”,包括区域,本地或业务部门管理员。
本机O365管理中心并不能使您轻松设置基于业务单位或国家的权利,或进行远程或卫星办公室。此外,您不能轻易地细粒度地限制管理员的权限,因此他们只能执行有限的特定功能,例如在要求时更改密码。
那么,您如何减轻与O365操作员权利有关的风险?一些IT资深人士可能会回答基于角色的访问控制(RBAC),因为它允许组织根据工作角色对权限进行分区,从而减少了真正受信任的全球管理员。这些全局管理员由一组没有全局访问权限的本地或业务部门集中的管理员所扩充,所有这些都为您的O365环境提供了更好的保护。
3.难以建立日志和审计职能
即使是最小的实施,O365也会收集数百万位信息。不幸的是,从安全的角度来看,这些数据点已经不存在了很长时间,而且很少用于保护或取证。微软历史上只提供过去30天的日志(尽管现在已经增加到了一年,但是仅针对高端E5许可证),但是企业必须问自己:
- 他们为什么需要收集数据日志?
- 日志如何影响法规遵从性?
- 如果不保存日志或以其他方式开采和审核日志,会发生什么情况?
- 这些日志提供什么业务价值?
如果策略性地使用日志,则可以提供有价值的取证,不仅可以帮助发现漏洞,还可以识别仍然存在于网络中的网络犯罪分子。在企业甚至无法考虑利用审计之前,IT和安全团队必须打开日志记录并实施一个流程来保存日志数据,该时间远远超过Microsoft的标准30天。同样重要的是要知道,即使设置了日志记录,事件跟踪也不是O365的默认设置,因此企业必须将其打开。
针对安全合规性问题的实时监视和警报是驱动形成日志的许多数据的引擎。现在,智能IT商店可以对其O365环境中的潜在安全合规性问题进行实时监视和警报。
4.“被遗忘的权利”的挑战
合规是一个重大的安全和经济问题。由于GDPR和CCPA等其他隐私法规,几乎每天都会发生罚款事件。遵守GDPR涉及很多工作,其中最重要的法规是被遗忘的权利。该法规规定,个人有权要求组织删除其个人数据。但是,正如许多企业所了解的那样,如果IT或安全团队无法找到个人信息或不知道如何使用个人信息,则很难满足此要求。
组织必须能够跟踪和审核单个用户帐户,以确保他们不仅遵守此请求,而且具有适当的流程来区分具有相似(甚至相同)用户名的用户,即使其中一个用户行使了自己的用户名忘记了。
这些挑战的核心都是普遍缺乏对O365基础架构的可见性。微软的SaaS平台引入了许多重要的业务优势和功能,但要求企业采取积极措施来考虑其数据以及如何在外部访问和共享数据。组织需要履行其共同责任模型的末端,以维持稳固的组织安全态势。
