Bezpečnostní funkce Microsoft 365

Data, jako vysoce hodnotný digitální majetek každé firmy, vyžadují maximální úroveň ochrany před nechtěným zničením, ztrátou, odcizením nebo zneužitím. A kromě incidentů způsobených neúmyslně, nepozorností nebo neznalostí, jsou zde samozřejmě i stále sofistikovanější kybernetické útoky, stejně jako škodlivé jednání insiderů – zpravidla nespokojených zaměstnanců. Využívání cloudu přitom ani zdaleka nezbavuje zodpovědnosti za zabezpečení vlastních dat.

V rámci cloudové služby Microsoft 365 hovoříme o tzv. modelu sdílené odpovědnosti, což znamená, že zatímco společnost Microsoft je zodpovědná za provoz cloudové infrastruktury, včetně například geografické redundance datových center, za ochranu vlastních dat – především z hlediska kontroly přístupu, zabezpečení a zálohování – odpovídá vždy firma, která službu Microsoft 365 využívá. Dobrou zprávou ale je, že za tímto účelem obsahuje Microsoft 365 příslušné nástroje, které pomáhají zajistit tyto základní prvky zabezpečení každého systému:

• Řízení identit a přístupu – Ve smyslu maximálního zabezpečení přístupu s nulovou důvěrou.
• Ochrana před hrozbami – S cílem zastavit škodlivé útoky pomocí integrovaných bezpečnostních funkcí.
• Ochrana informací – Za účelem lokalizovat a klasifikovat podnikové informace bez ohledu na to, kde se fyzicky nacházejí.
• Řízení zabezpečení – Pro posílení kyberbezpečnosti díky přehledu v reálném čase.

Podívejme se, jak Microsoft 365 tyto jednotlivé oblasti zabezpečení podnikových dat v cloudu řeší.

Řízení identit a přístupu

Základním kamenem zabezpečení dat v cloudu je správa identit uživatelů a řízení přístupu k aplikacím a datům. Je nezbytně nutné zajistit silně ověřování, aby identita uživatele v rámci služeb Microsoft 365 jednoznačně prokazovala, že uživatel je skutečně tou osobou, za kterou se vydává. Klasický způsob autentikace prostřednictvím hesla ale naráží na několik zásadních problémů – silná hesla jsou obtížně zapamatovatelná, uživatelé často opakovaně používají hesla u více různých služeb, napadení ověřovacího serveru může odhalit přihlašovací údaje a uživatelé mohou neúmyslně sdělit svá hesla v důsledku phishingových útoků.

Microsoft 365 proto přichází i s následujícími možnostmi náhrady hesel, které výrazně snižují riziko odcizení identity:

• Windows Hello – Nahrazuje hesla silným dvoufaktorovým ověřováním v počítačích a mobilních zařízeních s využitím biometrických údajů nebo číselného kódu (PIN). Windows Hello for Business pak umožňuje autentikaci uživatelů pomocí účtů v Active Directory nebo Azure Active Directory.
• Microsoft Authenticator – Nástroj ve formě mobilní aplikace pomáhá lépe zabezpečit účty, zejména při prohlížení citlivých informací. Po přihlášení pomocí uživatelského jména a hesla se v aplikaci Microsoft Authenticator schválí oznámení nebo zadá ověřovací kód. Při dvoufaktorové autentikaci je také možné ověřování otiskem prstu a identifikací obličeje nebo kódem, bez nutnosti zadávat heslo.

Dalším zásadním bezpečnostním mechanismem je tzv. podmíněný přístup, kdy je každý požadavek na přístup vyhodnocován podle řady různých kritérií (uživatel, zařízení, aplikace, umístění, rizika ad.), a poté se pomocí předem definovaných zásad rozhoduje, zda má být povolen, jestli je potřeba přísnější kontrola (další faktor autentikace), nebo zda má být pokus o přístup zcela zablokován. Podmíněný přístup je k dispozici v rámci služby Microsoft 365 a pomáhá zajistit, aby měli ke kriticky důležitým firemním zdrojům přístup pouze schválení uživatelé a zařízení.

Většina narušení zabezpečení je důsledkem krádeže identity uživatele, například během sofistikovaného phishingového útoku. Jakmile útočník získá přístup k účtu některého z uživatelů s nízkými oprávněními, bývá už poměrně snadné získat přístup i k důležitým firemním zdrojům. Proto je nutné chránit všechny identity bez ohledu na úroveň jejich oprávnění a také se aktivně bránit zneužití kompromitovaných identit.

Za účelem ochrany identit uživatelů nabízí Microsoft 365 hned několik funkcí a nástrojů:

• Azure AD Identity Protection – Nástroj pomáhá identifikovat neobvyklé chování uživatelských účtů, které může následně zablokovat nebo požadovat dodatečnou autentikaci uživatele.
• Microsoft Defender for Cloud Apps – Slouží pro získání lepšího přehledu a pomáhá bezpečnostním týmům lépe porozumět ochraně kriticky důležitých dat v cloudových aplikacích.
• Azure Advanced Threat Protection (ATP) – Cloudové bezpečnostní řešení, které identifikuje, detekuje a pomáhá vyšetřovat pokročilé hrozby, kompromitované identity a škodlivé akce namířené proti organizaci.

Operační systémy Windows 10 a 11 mají navíc vestavěnou funkci Windows Hello a biometrickou autentizaci pomocí otisků prstů a rozpoznávání obličejů pro další posílení ochrany uživatelských identit.

Ochrana před hrozbami

Microsoft vyvíjí řadu služeb, specializovaných na ochranu koncových bodů, sítí, e-mailu a podnikových dat před různými typy kybernetických hrozeb. Tyto služby se integrují prostřednictvím platformy Microsoft Graph, která využívá pokročilou analytiku k propojení obrovského množství informací o hrozbách a bezpečnostních dat s ochranou proti hrozbám, pracující v reálném čase v rámci Microsoft 365.

Hlavní služby ochrany před hrozbami, které jsou součástí Microsoft 365:

• Azure Active Directory Identity Protection – Služba využívá adaptivní algoritmy strojového učení a heuristiku k detekci anomálií a podezřelých incidentů, které indikují potenciálně ohrožené identity. Na základě těchto dat se generují zprávy a upozornění a na incident je také možné automaticky reagovat – například vynutit resetování hesel nebo vícefaktorovou autentikaci.
• Azure Advanced Threat Protection (ATP) – Cloudové bezpečnostní řešení identifikuje, detekuje a pomáhá vyšetřovat pokročilé hrozby, kompromitované identity a útoky vedené zevnitř organizace.
• Azure Security Center – Poskytuje jednotnou správu zabezpečení a pokročilou ochranu před hrozbami v rámci lokálních i cloudových úloh. Může také shromažďovat, prohledávat a analyzovat bezpečnostní data z různých zdrojů, včetně firewallů a partnerských řešení.
• Microsoft Cloud App Security – Poskytuje přehled o využívaných cloudových aplikacích a službách, analýzy pro identifikaci kyberhrozeb a boj proti nim a umožňuje kontrolovat pohyby dat.
• Microsoft Exchange Online Protection (EOP) – Cloudová služba filtrování e-mailů, která pomáhá chránit před spamem a malwarem.
• Microsoft Intune - Součást platformy Microsoft Endpoint Management (MEM), úzce integrovaná s dalšími součástmi správy koncových bodů, včetně Azure Active Directory (Azure AD) pro řízení identit a přístupu a Azure Information Protection pro ochranu dat.
• Office 365 Advanced Threat Protection - Pomáhá identifikovat hrozby ještě předtím, než se dostanou do poštovní schránky uživatele. Funkce zajišťuje ochranu pomocí skenování e-mailů a URL adres, identifikace škodlivých souborů a detekce případů podvržení identity.
• Office 365 Threat Intelligence – Soubor poznatků a informací, které jsou k dispozici v rámci Microsoft 365 Security Center. Služba sleduje signály a shromažďuje data z různých zdrojů, jako jsou aktivity uživatelů, ověřování, e-maily, napadené počítače a bezpečnostní incidenty.
• Windows Defender Advanced Threat Protection (ATP) – Pomáhá předcházet pokročilým hrozbám, odhalovat je, vyšetřovat a reagovat na ně.

Další bezpečnostní funkce, jako šifrování BitLocker, Windows Hello a Windows Information Protection (WIP), jsou opět přímo součástí operačních systémů Windows 10 a 11.

Ochrana informací

V době cloudu a mobilních zařízení se mohou podniková data nacházet prakticky kdekoli. Proto je nezbytné najít rovnováhu mezi produktivitou a bezpečností a nastavit strategii ochrany a správy citlivých informací. Je totiž nezbytné vědět, kde se citlivé informace nacházejí a mít možnost kontrolovat jejich pohyb v rámci organizace i mimo ni. Microsoft 365 proto obsahuje i nástroje, se kterými lze informace klasifikovat, označovat a aplikovat na ně odpovídající způsob ochrany.

Řešení Microsoft Information Protection v Microsoft 365 pomáhají chránit citlivá data v průběhu celého jejich životního cyklu – napříč zařízeními, aplikacemi, cloudovými službami i lokálními umístěními. Na ochranu citlivých dat má služba Microsoft 365 vestavěné například následující funkce

• Spolehlivé šifrování dat – V klidu i během jejich přenosu.
• Oprávnění založená na právech – Slouží k ochraně konkrétních souborů, aby k informacím měli přístup pouze určení příjemci.
• Funkce Data Loss Prevention – Umožňují například zablokovat sdílení souboru, který obsahuje citlivé informace, jako jsou čísla kreditních karet nebo rodná čísla.
• Omezení či blokování přístupu – Ke cloudovým aplikacím v rámci prostředí nebo přístupu konkrétních osob k aplikacím.
• Doporučení uživatelům – Aby mohli činit informovanější rozhodnutí o nakládání s dokumenty obsahujícími citlivé informace.
• Zásady správy dat – Automatické uchovávání, vyřazovat nebo mazání dokumentů na základě nastavených pravidel

Ochrana informací v rámci služby Microsoft 365 zahrnuje ještě celou řadu dalších nástrojů a funkcí, včetně například vyhledávání dokumentů, jejich označování štítky a ochranu před nechtěnou ztrátou.

Řízení zabezpečení

Veškeré informace a hlášení o zabezpečení rámci Microsoft 365 se sbíhají na portálu Microsoft 365 Security Center. Toto centrum zabezpečení pomůže sledovat a spravovat zabezpečení identit, dat, zařízení, aplikací i infrastruktury a poskytuje následující funkce:

• Informování v reálném čase – Pomáhá udržet přehled o bezpečnostních problémech, spojených s uživateli, zařízeními, aplikacemi a infrastrukturou.
• Secure Score – Centralizovaný řídicí panel umožňuje sledovat a zlepšovat úroveň zabezpečení identit, dat, aplikací, zařízení a infrastruktury v rámci Microsoft 365.
• Přehledy a doporučení – Pomohou zlepšit bezpečnostní pozici a využít bezpečnostní funkce Microsoft 365.
• Konfigurace zásad pro zařízení a data – Nástroj pro lepší správu zabezpečení organizace