office 365安全性白皮书.docx

office 365 安全性白皮书 2013 microsoft corporation. 保留所有权利。本文档“依原样”提供，本文所含信息与表达的观点，包括提及的 url 及其他互联网站点地址，若有更改恕不另行通知。您在使用时需自担风险。本文档并未赋予您有关任何微软产品中所含任何知识产权的任何法律权利。您可以基于内部参考用途复制并使用本文档。简介3office 365 安全性3内建安全性324 小时监控物理硬件3隔离客户数据4自动化运作4安全的网络4数据加密4微软安全最佳实践4安全开发生命周期4通过通讯节流防范拒绝服务攻击4防范，检测，消除突破5客户控制5启用高级加密5启用用户访问5客户端联合身份与单点登录安全性5双因素身份验证6促进合规性6数据防泄漏（dlp）6审计与保留策略6电子数据展示6数据溢出管理6启用反垃圾邮件/反恶意软件功能6独立认证与合规性7iso 270017fisma7hipaa baa7eu model clauses7云安全联盟7结论8简介组织在基于云的生产力服务，例如邮件、日历、内容管理、协作，以及统一通讯等服务中对安全功能进行控制与定制的能力，已经成为几乎每个公司的一项最基本需求。今天，it 团队往往被要求能够从比以往更多的设备，平台，以及地点为生产力服务及相关文档与数据提供访问。虽然这样做为用户带来的收益是不可否认的，但更广泛的访问途径也使得安全工作的管理成为一项挑战。每个端点设备都可以看做一个潜在的攻击面，并且也成为安全专家需要处理的另一个管理点。与此同时，组织正在遭遇来自全球各地的各种快速进化的威胁，必须应对由自己的用户无意中丢失或泄露敏感数据所造成的风险。因此组织所用的云服务必须 (a) 内建有强大的安全功能，并且 (b) 提供一系列可定制的安全功能，让组织根据自己的独特需求进行调整。希望对远程访问进行扩展，同时维持安全最佳实践的组织可能已经发现，如果只在内部环境部署生产力服务，就很难增加这样的组合式安全功能，并且代价不菲。office 365 安全性在云安全以及策略与控制的实施方面，微软处于业界领先地位，其环境甚至可以与最尖端组织的内部部署的数据中心相匹敌，甚至做的更好。office 365 的安全性包含三个部分。首先，office 365 是一项进行过安全加固的服务，在服务内默认包含了安全功能。微软公司结合了管理在线数据二十年所获得的经验，以及在安全基础架构中所做的大量投资，在服务中提供了内建的安全功能，使众多 office 365 客户从中获益。微软对 office 365 进行了大量投资，并且还在继续，以改善相关流程与技术，在对用户造成隐患前主动找出并解决安全威胁。其次，office 365 提供的安全控制能力可以让客户对安全设置进行定制。office 365 得到了来自几乎每个行业各种规模客户的信任，包括一些制度要求非常严格的行业，例如医疗健康、金融、教育，以及政府部门。由于 office 365 为广泛的行业与地区提供生产力服务，因此提供了丰富的功能选择，客户可以通过控制改善自己数据的安全性。第三，office 365 提供了可扩展的安全流程，可进行独立验证并与行业标准的要求保持一致。本文将介绍新一代 office 365 提供的这三部分安全功能。内建安全性24 小时监控的物理硬件office 365 数据存储在微软数据中心网络内，由 microsoft global foundation services 负责运营，策略性地分布在全球各地。这些数据中心在构建时就考虑到保护服务与数据不受自然灾害或未经授权访问的损害。依据工作职能对数据中心的访问进行全天候控制，以确保只有必要人员才能访问客户的应用程序与服务。物理访问控制机制使用了多种身份验证与安全流程，包括工牌与智能卡、生物扫描器、内部环境安全负责人、持续的视频监控，以及双因素身份验证。数据中心使用活动传感器、视频监视器，以及安全入侵警报进行监控。针对自然灾害事件的保护包括可防范地震的机架，以及自动化的防火与消防系统。隔离客户数据office 365 扩展性强，成本低廉的原因之一在于，这是一种多租户服务（也就是说来自不同客户的数据共享同一套硬件资源）。通过数据隔离，office 365 在设计上可用一种非常安全的方式托管多个租户。每个租户的数据存储与处理工作通过 active directory 结构，以及专门针对多租户环境进行构建、管理，以及保护的功能进行分隔。active directory 使用安全边界（也叫做“壁垒”）对客户进行隔离。这种机制可对客户数据提供保护，这样其他租户就无法访问或突破用户数据。如果愿意接受额外的成本，还有一种可将数据保存在专用硬件上的 office 365 版本供您选择。自动化运作在微软数据中心内，工作人员对存有客户数据的 it 系统进行访问将通过基于角色的访问控制（rbac）与 lock box 流程进行严格控制。访问控制机制是一种自动化流程，符合职责划分，以及最小化特权原则。这一流程确保了申请访问这些 it 系统的工程师必须满足资质要求，例如背景核查、指纹记录、必要的安全培训，以及访问审批。申请访问特定任务的工程师需要在 lock box 流程内进行。lock box 流程决定了访问的持续时间与访问级别，并可决定是否需要由其他工程师对此进行监控。安全的网络office 365 数据中心内的网络通过划分可将重要的后端服务器与存储设备从对外接口进行物理分隔。边缘路由器的安全机制可检测是否存在代表入侵与漏洞的迹象。连接到 office 365 的客户端使用 ssl 技术对 outlook、outlook web app、exchange activesync、pop3，以及 imap 进行保护。客户通过互联网对服务的访问从用户可访问互联网的位置开始，到微软数据中心结束。这些连接都使用符合业界标准的传输层安全（tls）/安全套接字层（ssl）技术进行加密。tls/ssl 的使用在客户端与服务器之间建立起高度安全的连接，可保证桌面与数据中心间所传输数据的机密性与完整性。客户可以在 office 365 与外部服务器之间针对传入和传出邮件配置 tls。该功能默认已经启用。数据加密office 365 中的客户数据处于两种状态：存放在存储介质中，或者通过网络从数据中心传输到客户设备。磁盘上保存的所有邮件内容都使用 bitlocker 256 位 aes 算法进行加密。这一保护机制涵盖邮箱服务器的所有磁盘，并保护着邮箱数据库文件、邮件事务日志文件、搜索内容索引文件、传输数据库文件、传输事务日志文件，以及操作系统分页文件磁盘追踪/消息追踪日志文件。office 365 还能传输并存储安全/多用途互联网邮件扩展（s/mime）信息。office 365 可以传输并存储使用客户端、第三方加密解决方案，例如 pgp 进行加密的信息。微软安全最佳实践office 365 的安全保护是一项长期的过程，而非一种一成不变的状态。该机制将由有经验，并且经过培训的人员进行持续的维护、增强，以及验证，微软也将努力确保软件与硬件技术始终处于最新状态，并通过健全的设计、构建、运作，以及支持流程对其进行改善。安全开发生命周期、通讯节流、预防检测，以及突破消除，这些都是微软用于确保 office 365 具备业界最佳安全性所采取的流程范例。安全开发生命周期微软的安全工作甚至在公众听说某个应用程序或服务之前就已经开始了。微软安全开发生命周期（sdl）是一项完善的安全保障流程，涵盖微软软件与服务，例如 office 365 的设计、开发，及部署等方方面面。通过需求设计、攻击面分析，以及威胁建模，sdl 可帮助微软在服务发布之前至整个生产生命周期内预测、确认，以及减缓漏洞与威胁。微软将使用最新数据与最佳实践对 sdl 进行持续改进，以确保与 office 365 有关的心服务与软件从发布当天就具备最佳安全性。通过通讯节流防范拒绝服务攻击exchange online 会在不影响用户体验的前提下记录使用情况基线，并能适应常规的通讯高峰。如果来自某个特定用户的通讯超出了典型边界范围，通讯就会被节流，直到使用情况恢复正常状态。无论异常通讯是用户行为或恶意攻击，例如拒绝服务（dos）造成的，exchange 都能自动做出响应，以确保其他用户不受影响。office 365 还使用了第三方商用 dos 监控平台对流量进行监控与调节。防范，检测，消除突破突破消除是一项防御策略，主要用于预测并预防安全突破的实际发生。这就要求对内建的安全功能进行持续改进，包括端口扫描与修补，边界漏洞扫描，操作系统补丁安装及安全软件更新，网络级 ddos（分布式拒绝服务）检测与预防，以及服务访问的多因素身份验证。从人员与流程的角度来看，预防突破工作需要对所有运维人员/管理员的访问与操作进行审计，对服务的管理员提供 zero standing permission，工程师对服务进行排错时所需的特权进行“just-in-time（jit）访问与提升”（即按需，并且只在需要时提升权限），并将员工的邮件环境与生产访问环境进行隔离。没有通过背景核查的员工将被自动拒绝进行高特权访问，而员工背景的核查是一项非常彻底，需要手工审批的过程。突破消除还需要在员工离职，更改组成员关系，或者在过期前不再使用自己账户时自动删除不必要的账户。在可能的情况下，人工干预将被自动化的，基于工具的流程所取代，包括一些例行的职能，例如部署、调试、诊断收集，以及服务重启动。office 365 还在继续增强系统自动化机制，帮助识别反常或可疑的行为，并快速做出响应，降低安全隐患。微软还在继续开发更高效率的自动化补丁部署系统，可针对监控系统发现的问题生成并部署解决方案这一切都无需人工干预。这些举措极大改善了服务的安全性与敏捷度。office 365 还通过进行渗透测试对事件响应流程进行持续改善。这些内部测试有助于 office 365 安全专家创建有条理，可重用，更优化的阶段性响应流程与自动化机制。客户控制office 365 结合了客户熟悉的 microsoft office 套件与基于云的下一代通讯与协作服务：microsoft exchange online、microsoft sharepoint online，以及 microsoft lync online。每个服务都为用户提供了各自的安全控制功能。这些控制使得客户能够满足合规性要求，为客户组织内的人员提供对服务与内容的访问，配置反恶意软件/反垃圾邮件机制，并使用客户持有的密钥对数据进行加密。启用高级加密除了上述的强大加密功能，客户可以选择在 office 365 中使用 active directory 权限管理服务（adrms）。这些功能为客户提供了灵活选择要加密内容的能力。此外还能对存储的数据使用 adrms 进行加密。office 365 还为非联合用户提供了邮件加密功能，因此对于发给任何收件人的信息都能随时加密。office professional plus 提供的高级加密功能通过将 cryptographic next generation（cng）接口与 windows 进行集成，可原生支持 cryptographic agility。管理员可以为文档的加密与签名指定要使用的加密算法。启用用户访问office 365 的数据与服务在数据中心、网络、逻辑、存储，以及传输层面上可得到妥善保护。此外更重要的是客户能够控制谁能访问自己的数据，以及如何使用这些数据。office 365 使用 windows azure active directory 作为底层身份平台。这就使得 office 365 用户获得了强大的身份验证选项，并能对 it 专业人员与普通用户能够访问和使用的服务进行细化控制。office 365 还能与内部部署的 active directory 或其他目录存储与身份系统进行集成，例如 active directory 联合身份验证服务（adfs）或第三方安全令牌系统（sts），借此可为服务提供安全的，基于令牌的身份验证。客户端联合身份与单点登录安全性管理员可以将内部部署的 active directory 或其他目录存储与 office 365 所用的身份平台 windows azure active directory 进行联合。一旦联合配置完毕，所有身份基于联合域的 office 365 用户即可使用自己原有的企业账户针对 office 365 进行身份验证。联合可提供安全的，基于令牌的身份验证。这还使得管理员能够创建额外的身份验证机制，例如： 双因素身份验证 基于客户端的访问控制，可让组织控制用户从特定设备或特定位置，或这两个因素的不同组合下如何访问信息（例如对公用计算机或来自公共开放式 wi-fi 的访问进行限制） 基于角色的访问控制，类似上文自动化运营一节中有关对微软工作人员的访问进行控制的机制通过 im 联合，lync online 用户可以在更安全的环境中与其他使用 lync online、内部部署的 lync server 2010，甚至 skype 公众 im 网络的其他组织用户进 im 交流。不同 im 系统之间的所有联合通讯都使用访问代理服务器进行加密。此外 lync online 还可以允许管理员保存 im 会话。双因素身份验证双因素身份验证改善了多设备与以云为中心的世界的安全性。通过借助电话，微软为双因素身份验证提供了内部解决方案，并能支持第三方双因素身份验证解决方案。微软基于电话的双因素身份验证解决方案可以让用户通过手机短信方式获得 pin 码，并在登录服务时输入该 pin 码作为第二密码。促进合规性office 365 提供了一系列合规性功能，包括数据防泄漏（dlp）、电子数据展示，以及审计与报表功能。对于这些功能，用户体验始终如一，生产力不会受到任何影响，因此可进一步促进用户接受度。数据防泄漏（dlp）虽然恶意软件和有针对性的攻击会导致数据受损，但对大部分组织来说，用户错误是导致数据承受风险的更主要原因。exchange online 提供的数据防泄漏（dlp）技术可以识别、监控，并保护敏感数据，帮助用户了解并管理数据风险。例如，dlp 可以主动识别邮件中的敏感信息，例如社会安全号或信用卡号，然后在邮件发出前用“policytips”提醒用户。管理员可以全面控制并定制组织内部的限制级别。例如，用户可以在发送敏感数据前看到警告，需要进行授权才能发送敏感数据，或者用户被彻底禁止发送敏感数据。dlp 功能可以对邮件信息或附件生效，并能由管理员对谁什么时候发送过什么数据创建完善的报表。审计与保留策略office 365 的审计策略使得客户能够记录事件，包括针对邮件、文档、任务列表、问题列表、讨论组，以及日历等内容所进行的查看、修改，和删除操作。如果将审计功能作为信息管理策略的一部分加以启用，管理员即可查看审计数据并对当前使用情况进行汇总。管理员可以使用这些报表决定组织内部的信息使用方式，管理合规性，并对需要关注的领域进行调查。电子数据展示全新的，简单易用的电子数据展示中心可委派给特定用户例如负责合规性工作的人员，或人力资源部人员随后即可在无需 it 部门帮助的情况下构建电子数据展示任务。电子数据展示使得客户能够跨越 exchange online、sharepoint online、lync online，甚至文件共享，直接获取所需内容。通过与 office 365 的电子数据展示功能进行集成，客户可以在一个位置搜索并保留邮件、文档，以及网站邮箱。通过电子数据展示功能，客户可以指定自己想要搜索与保留的内容。只找到自己需要的内容，无其他内容的干扰，这样的能力使得客户可以降低数据发掘的成本。电子数据展示流程对用户的数据保留与搜索没有任何限制或局限，因为所有任务都在后台自动完成。数据溢出管理office 365 的合规性功能可为客户处理数据的“溢出”提供支持。举例来说，如果有联邦政府客户需要将机密信息传输到 office 365，客户自己即可通过多种方式删除数据。负责合规性与安全工作，具备 rbac 特权的官方人员可以使用电子数据展示功能搜索信息或文档，然后将其彻底删除。用于存储“溢出”数据的硬盘不会再被挪作他用，而是被从 office 365 数据中心的物理设施内取出。如果不再将其用于 office 365 基础架构，则会被彻底销毁。启用反垃圾邮件/反恶意软件功能客户可以通过选项在服务中配置反恶意软件/反垃圾邮件功能。客户还可以选择使用自己的反恶意软件服务，并通过第三方服务对来自或发往 office 365 的通讯进行路由。office 365 使用了多引擎反恶意软件扫描技术，可保护传入、传出，以及内部信息，防范通过邮件传播的恶意软件。office 365 会对收到的邮件信息扫描，并分配垃圾邮件可信度等级（scl）数值。scl 数值较高的邮件会在网关处直接删除，scl 值较低的邮件会进入用户收件箱。scl 值处于边界状态的邮件则会放入用户的垃圾邮件文件夹，并会在 30 天后自动删除。管理员可以使用 office 365 管理中心管理反垃圾邮件/反恶意软件功能，控制包括高级垃圾邮件选项以及组织范围内的安全与阻止发件人列表等功能。每个用户可以通过 microsoft outlook 或 microsoft outlook web app 在自己收件箱内管理安全与阻止发件人列表。内容控制与多引擎恶意软件扫描功能也有助于防范包含恶意代码的文档。根据文件名扩展，office 365 会阻止某些可能包含恶意代码的文件类型被上传到服务，或从服务中下载。office 365 使用智能即时信息筛选器（iimf）保护服务与客户网络，防范恶意软件以及通过 im 发送的垃圾邮件。微软根据全球 im 系统多年的安全运营经验开发了 iimf 技术。独立认证与合规性office 365 将安全性这一概念融入到可扩展的流程中，可快速适应新的安全趋势和业界需求。微软会定期进行风险管理评估，开发并维护了一套可满足最新标准的安全控制框架。office 365 服务的生命周期内贯彻了内部评估和可信赖组织进行的外部审计。与微软其他团队进行密切合作使得我们以更完善的方式对云端的应用提供保护。全球化云基础架构的运作需要满足不同的法规遵从义务，并要能通过第三方审计。审计需求主要来自政府与行业规定、内部策略，以及业界最佳实践。office 365 确保对合规性的预期可持续被评估和认可。因此 office 365 获得了各种独立认证，包括 iso 27001 与 ssae16 soc 1（type ii）审计，可通过美国-欧盟安全港框架以及 eu model clauses 将数据传输到欧盟范围之外，愿意与所有客户签署 hipaa 业务合作协议（baa），在 fisma 条约下获得为美国联邦机构提供服务的许可，并通过云安全联盟的公示披露了相关安全指标。office 365 还对所实施的控制进行了扩展，以满足无需遵守相应法规或控制的客户对这些标准的需求。iso 27001office 365 服务基于 iso 27001 标准构建，是第一家在物理、逻辑、流程，以及管理控制等方面实施此类严格的全球标准的大型商用生产力公共云服务供应商。fismaoffice 365 已获得 fisma 的相关许可，能为多家联邦政府机构提供服务。fisma 条约下的运作要求为美国联邦政府客户定期提供透明的安全报表。微软为自己的基础架构应用了所需的特殊化流程，以便进一步改善在线服务的安全性与合规性项目，让无需满足 fisma 的客户也能从中获益。hipaa baaoffice 365 是第一家能为所有用户提供 hipaa baa 的大型商用生产力公共云服务供应商。hipaa 是一项美国法规，主要应用于医疗健康领域的组织，要求对受保护的医疗健康信息（phi）的使用、披露，以及保护加以控制，并强制要求所涉及的实体与需要访问 ph