微軟Office 365具有很強(qiáng)的安全性，但，微軟Office 365并不能為企業(yè)提供企業(yè)所需的粒度。專家Dave Shackleford指出了微軟基于云的辦公套件，在安全方面的利與弊。

[[125075]]

隨著Windows XP操作系統(tǒng)逐漸退出市場(chǎng)，越來越多的組織開始尋求新的操作系統(tǒng),進(jìn)而有機(jī)會(huì)去探索應(yīng)用程序的不同服務(wù)模式。目前，很多基于云的辦公應(yīng)用都可以采用,其中，微軟office 365吸引了大多數(shù)用戶，受到了普遍關(guān)注。

本文探討了微軟Office 365最為關(guān)鍵的安全技術(shù)，以及企業(yè)應(yīng)該意識(shí)到的一些潛在的安全問題，并且如何處理這些安全問題。

Office 365安全性具備的功能

微軟Office 365運(yùn)行在典型的多租戶公共云環(huán)境下。Active Directory組件用來將客戶之間的數(shù)據(jù)分離開,微軟公司將單獨(dú)的Office 365環(huán)境提供給客戶使用，但是，這增加了額外成本。

所有用戶訪問Office 365基礎(chǔ)設(shè)施，都必須通過基于strictrole的訪問控制(RBAC)技術(shù),該技術(shù)采用“密碼箱”的方法。工程技術(shù)人員請(qǐng)求訪問特定的操作任務(wù)，每次都要進(jìn)行驗(yàn)證和審核，并且申請(qǐng)?jiān)L問時(shí)間和監(jiān)控。

Office 36所有的網(wǎng)絡(luò)連接默認(rèn)使用的是互聯(lián)網(wǎng)的SSL / TLS。在Office 365環(huán)境中,存儲(chǔ)的數(shù)據(jù)使用磁盤鎖加密,微軟的加密功能是利用高級(jí)的加密標(biāo)準(zhǔn)算法。

Office 365具備自定義的加密策略,這種加密可以應(yīng)用于存儲(chǔ)的內(nèi)容或者用于簽署文檔。Windows版權(quán)管理服務(wù)使管理員能夠指定哪些人可以訪問加密內(nèi)容,用戶可以進(jìn)行哪種類型的訪問,以及什么時(shí)間可以訪問加密內(nèi)容。此外,目前，微軟也提供可配置的電子郵件加密服務(wù)。Office 365信息加密是建立在Azure權(quán)限管理的基礎(chǔ)上,管理員能夠靈活地控制加密服務(wù)何時(shí)以及如何應(yīng)用，這取決于一系列的自定義屬性,包括關(guān)鍵字或內(nèi)部與外部的收件人。

管理員利用Azure內(nèi)置的Active Directory身份平臺(tái),或者使用本地Active Directory，與內(nèi)部的Active Directory存儲(chǔ)集成，來控制所有Office 365的訪問。其他的目錄存儲(chǔ)和身份系統(tǒng)包括Active Directory Federation服務(wù)和第三方安全令牌服務(wù)，這些服務(wù)都來自SecureAuth和Swivel服務(wù)供應(yīng)商。

配置更高級(jí)的聯(lián)合能夠支持真正的單點(diǎn)登錄,使企業(yè)用戶能夠使用現(xiàn)有的網(wǎng)域認(rèn)證，同時(shí)，結(jié)合多因素身份認(rèn)證選擇項(xiàng)，以及基于客戶的NAC功能的訪問控制，可以通過Office 365的身份認(rèn)證。例如, 使用公共無線連接或者公共電腦的用戶，如果試圖訪問Office 365，可能會(huì)受到限制，因?yàn)镺ffice 365可能規(guī)定了只能通過客戶端訪問。

Office 365安全性的好處

Office 365的一個(gè)更具吸引力的特性是，數(shù)據(jù)丟失預(yù)防(DLP)的控制策略。借助于在線轉(zhuǎn)換和Outlook 2012,安全管理員可以開發(fā)DLP規(guī)則，當(dāng)用戶準(zhǔn)備發(fā)送電子郵件時(shí)，提醒用戶電子郵件的內(nèi)容和附件要匹配，還要注意敏感信息。如果郵件內(nèi)容符合要求，可能會(huì)通知你內(nèi)容允許發(fā)送，或者彈出明確的修改規(guī)定,通知管理員,或者基于發(fā)送方,接收方,內(nèi)外部地址,域名等等直接阻止郵件發(fā)送。微軟OneDrive 的DLP功能目前正在開發(fā), 是基于云的存儲(chǔ)驅(qū)動(dòng)，可以通過用戶的移動(dòng)設(shè)備,筆記本和臺(tái)式機(jī)訪問。OneDrive的DLP功能預(yù)計(jì)在本月首次亮相。

Office 365也同時(shí)具備強(qiáng)大的電子搜索策略,該策略在 Office 365 eDiscovery中心內(nèi)部可用?？梢允跈?quán)使用RBAC的法律顧問來訪問eDiscovery中心,并且，使用工具可以搜索所有Office 365數(shù)據(jù)存儲(chǔ)，包括電子郵件、文檔和網(wǎng)站郵箱,并且能夠保存數(shù)據(jù)。反垃圾郵件和防病毒控制內(nèi)置在Office 365中,管理員可以在某些方面進(jìn)行配置,如阻止敏感性信息和報(bào)警。

Office 365安全性缺點(diǎn)

Office 365安全服務(wù)的一個(gè)缺點(diǎn)是，缺少惡意軟件和垃圾郵件的證據(jù)提供給微軟客戶。由于微軟阻止了附件和垃圾郵件,不能為客戶提供所阻止的內(nèi)容，從而不能對(duì)那些有威脅的情報(bào)和惡意軟件進(jìn)行分析。一些大型機(jī)構(gòu)想要通過挖掘垃圾郵件和網(wǎng)絡(luò)釣魚數(shù)據(jù)，來加強(qiáng)情報(bào)的安全性，這對(duì)于其它有價(jià)值的安全產(chǎn)品來說，可能是一個(gè)很大的弊端。

雖然DLP服務(wù)僅對(duì)管理員開放,但是DLP服務(wù)非常簡(jiǎn)單,并且容易配置。

還有最后一點(diǎn),微軟曾遇到過很多有關(guān)合規(guī)性要求的問題，例如歐盟數(shù)據(jù)保護(hù)法律，HIPAA和ISO 27001,將敏感數(shù)據(jù)放到云環(huán)境中, 確實(shí)存在一定風(fēng)險(xiǎn)，因此，不管有沒有選擇外包模式，組織都將繼續(xù)負(fù)責(zé)監(jiān)管問題。

結(jié)論

總的來說,Office 365旨在提供一套功能強(qiáng)大且靈活的云應(yīng)用服務(wù)，包括提供廣泛的與安全相關(guān)的特性。隨著添加的安全特性越來越多，以及消費(fèi)者額外配置的功能, 在未來幾年內(nèi)，采用Office 365的組織將會(huì)發(fā)現(xiàn)，Office 365的安全性能夠滿足大多數(shù)企業(yè)的需求。