CSP: Konečně ta správná cesta k pořízení Microsoft Online Services

Dnešní moderní svět s sebou přináší nové výzvy každý den. Nejen výzvy obchodní, jako je přinést nové služby a nabídnout zákazníkům více než konkurence, ale především výzvy technické, které často dopadají na IT oddělení jako přímý požadavek společnosti, jejích jednatelů či zaměstnanců, někdy jako nová regulatorní směrnice a jindy mají podobu nevinně vyhlížející e-mailové přílohy.

externí autořiexterní autoři
SoftwareSoftware
13.4.2017 11:16:0013.4.2017 11:16:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Moderní bezpečnostní technologie

Dnešní moderní svět s sebou přináší nové výzvy každý den. Nejen výzvy obchodní, jako je přinést nové služby a nabídnout zákazníkům více než konkurence, ale především výzvy technické, které často dopadají na IT oddělení jako přímý požadavek společnosti, jejích jednatelů či zaměstnanců, někdy jako nová regulatorní směrnice a jindy mají podobu nevinně vyhlížející e-mailové přílohy.

Naši uživatelé vyžadují komfort při své práci. Ať se jedná o uživatele, kteří si ještě pamatují příchod první výpočetní techniky do firmy a jejichž nejlepším přítelem je dosud většinou tužka a papír, nebo uživatele, kteří si nedokáží představit, že mobilní telefon někdy nebyl mobilní a mimo telefonování toho moc neuměl.

Zařízení, o která se staráme, se zmenšují a přesouvají do kapes uživatelů i jejich domácích kanceláří. Především pak místy zůstávají ponechána tu ve vlaku, někdy ve vzápětí vykradeném autě. Nejsou to již velké krabice s ještě většími monitory, které přes vrátného pronesete jen předstíráním těhotenství, s připojením k interní síti 24 hodin denně a 365 dní v roce.

Aplikace se z desítek disket a instalačních CD odstěhovaly do prostředí ryze virtuálního, do kterého při problémech kopnout nemůžete, a většinou je každá poskytována jiným dodavatelem s jinými podmínkami a téměř vždy je pro chod firmy kritická (nebo to tak uživatelé alespoň vnímají).

A v tom všem se pohybuje to nejdůležitější. Firemní data, vědomosti, znalosti, čísla, výkresy, nákresy, zkrátka informace, nad kterými konkurence zaplesá a jimiž útočník nepohrdne.

Jak se tedy s grácií v tomto světě vypořádat s tím, že kompromitace přihlašovacích údajů je stále snazší? Že počet cílených útoků narůstá každým dnem a zdroje k nim lze stáhnout či si je dokonce koupit jako službu? Kdy ztráty zařízení a dat mohou být nejen denním problémem, ale především otázkou ohrožení pověsti a zisku či potažmo existence společnosti?

V takovém světě již stavění pomyslných hradeb okolo naší společnosti pozbývá na kráse. Nejen že hradba by musela být o stovky kilometrů delší než ta v Číně a o moc vyšší než ta na hranicích s Mexikem, ale především se nám každým dnem mění území, které onou hradbou musíme chránit. Natož pokud jsme začali na začátku stavět zeď, která odolá útokům osamělých jezdců s mečem, a nyní musí odolat tankovému útoku. Ostatně novinové titulky posledních dní hovoří jasně. Bojový arzenál nejen zpravodajských agentur, ale i běžných virů požadujících nehorentní částky ve virtuálních měnách za obnovení přístupu k datům na disku, není zrovna malý.

Cesta je cíl

Nechci ve vás vyvolat paniku. Chci vyvolat změnu. Změnu myšlení. Moderní svět a moderní společnost si žádá moderní IT, které si mnohem více než dříve uvědomuje svět okolo sebe.

Od nových možností pro podporu produktivity, přes optimalizaci nákladů a efektivity vlastního chodu, až po vypořádání se i s těmi stinnými stránkami a bezpečnostními hrozbami naší současnosti.

Řešení a služby, jež s tímto úkolem pomohou, existují. Stačí si vybrat jejich správnou kombinaci a využít je skutečně na maximum. Ať s pomocí vlastních znalostí, či expertní rady dobrého partnera.

Strašák dalších měsíců

Svět je o zkratkách. A zkratku GDPR budete nyní slýchat stále častěji. (Jestli vás zatím míjela, čtěte zde.) Ač to tak možná ještě nevypadá, její význam a dosah je lepší znát dříve nežli později. Jedná se o novou právní úpravu ochrany osobních údajů, která se vztahuje na území Evropské unie. Její nesplnění může vést k nemalým sankcím činícím až 20 miliónů € či až 4 % celkového celosvětového ročního obratu společnosti. Ano, to není zrovna málo.

Její dosah se týká všech informací, které se vztahují na fyzické osoby, jichž se zpracovávaná data přímo týkají, nebo pomocí kterých je lze jednoznačně identifikovat. A to i data šifrovaná, neboť existuje někdo či něco, vlastnící šifrovací klíč. V celém dosahu se jedná o zajištění procesu nakládání s osobními údaji od směrnic, přes určení osoby odpovědné za tuto problematiku, až po technické zajištění ochrany.

Řekněme si ale také, co jsou ty osobní údaje. Mimo údaje zřejmé, jako je jméno, pohlaví, věk, IP adresa a fotografie, se jedná i o e-mailové adresy, telefonní čísla či ověřovací identifikační údaje, pokud z nich mohu jednoznačně rozpoznat konkrétního člověka. Pokud tedy pod článkem najdete moji e-mailovou adresu, budete znát moje příjmení a společnost, ve které pracuji. A nevěřím, že najdete jinou společnost se stejným názvem, ve které pracuje autor stejného jména. Osobní údaj je tedy na světě.

Více již nebudu zabíhat do detailů. Problematika to je na knihu, nikoliv tento časopis. Však jen nařízení samo má 88 stran – a to ještě přijdou ke slovu národní prováděcí předpisy. My se teď podíváme především na technická řešení. Ať se jedná o služby Office 365, sadu Enterprise Mobility + Security či Windows 10. Ty a další si popíšeme v příštích vydáních softwarového QUASu.

Ochrana informací

Společnost Microsoft nabízí technologie pro ochranu informací poměrně dlouhou dobu. Známe je pod označením Rights Management Service, zkráceně RMS. Dříve napojené na lokální AD, nyní provozované online v prostředí Azure.

Tyto technologie jsou provázány se sadou Office a umožňují chránit obsah dokumentů tak, že je obsah nejen šifrován, ale při přístupu k němu je ověřena identita přistupujícího. A právě na základě identity se přiřadí různá úroveň oprávnění. Zatímco kolegyně z financí dokument přečte, vytiskne a zkopíruje z něj i uvedená čísla, vedoucí ostatních oddělení si jej mohou pouze přečíst, ale tisknout a kopírovat nemohou. A ostatní zaměstnanci či dokonce externí dodavatelé? Pokud neurčí autor dokumentu či interní politika jinak, tak dokument ani neotevřou. Tato ochrana cestuje s dokumentem, ať je uložen na pevném disku počítače, v příloze e-mailu nebo leží na ztracené USB klíčence v metru.

Ovšem u toho nezůstalo. Aktuální novinky označované jako Azure Information Protection, AIP, nabízejí usnadnění a možnost klasifikace a identifikace takto chráněného obsahu společně s možností sledování použití a přístupu k němu. Uživateli dávají možnost výběru z jednoduchých štítků označujících důvěrnost daného obsahu, například ze sady: Veřejné, Interní, Tajné. Na základě těchto štítků či automatické kontroly obsahu dokumentů a e-mailových zpráv se může aplikovat různá úroveň ochrany, která na pozadí využívá RMS. Uživatel má pak přístup k interaktivnímu portálu, kde je vidět, kdy, kde a kdo daný dokument otevřel či se o to snažil.

Pomocí Cloud App Security pak jednoduše dohledám, kde se mi takto chráněné soubory nalézají a zda tato online uložiště splňují potřebné certifikace. A na to se GDPR dost urputně ptá…

Ochrana identity

Pokud k otevření takto chráněného obsahu potřebujeme přístupové údaje, je ochrana identity našich uživatelů další a nejvíce klíčovou částí celé skládanky. Azure AD Premium nabízí automatickou kontrolu všech přihlášení určujících pomocí signálů jeho potencionální riziko. Co si pod tím představit?

Pokud se vaše účetní přihlásí každé všední ráno z kanceláře v Brně kolem osmé hodiny a lehce po čtvrté hodině odpolední její aktivita ustává, přičemž po celou dobu přistupuje k elektronické poště a účetnímu systému, místy navštíví intranet, aby věděla, co je dole v kantýně, je asi vše v pořádku. Je ovšem stejně tak v pořádku, pokud se po dvou letech náhle přihlásí o víkendu? Že toto přihlášení není z kanceláře v Brně, ale z Moskvy? Z počítače, jehož IP adresa aktivně rozesílá virovou nákazu? Že kromě přístupu k účetnímu systému náhle otevírá každý dokument a stránku na intranetu? Pravděpodobně není. A právě míru rizika těchto signálů a to, kdy dojde k zablokování takového přihlášení, si můžete definovat či to nechat na strojovém učení a v pohodlí sledovat bezpečnostní reporty.

Nebo této situaci můžete ještě dále předejít díky možnosti poskytnout přihlašování druhým faktorem. Bez opisování čísel z klíčenky, kterou jsem nechal doma, ale pohodlně potvrzením notifikace na svém mobilním telefonu. Druhým faktorem, který ovšem nebude zbytečně zdržovat, pokud sedím v kanceláři v Praze, protože tam už jsem prošel okolo naší milé recepční a protivného pána z ostrahy.

Se stejnou lehkostí a samozřejmostí mohu pro přihlašování k dalším aplikacím použít svůj firemní účet bez nutnosti pamatovat si desítky různých hesel. Ale například za podmínky, že zařízení, ze kterého se hlásím, je pod správou našeho IT a hlásí o sobě, že je plně aktualizované a poslední antivirová kontrola dopadla na jedničku s hvězdičkou.

Ochrana zařízení

Dalším klíčem k pevnosti je tedy možnost správy mobilních zařízení, ze kterých naši či externí uživatelé přistupují pomocí své identity k firemním systémům, aplikacím i chráněným datům. Správy, která nevyžaduje o mnoho více než přístup k Internetu.

Microsoft Intune mi zajistí možnost kontroly bezpečnostních politik, zdraví zařízení, nasazení aplikací a konfigurací pro zařízení firemní i zařízení soukromá. Navíc s možností při odchodu uživatele bezpečně jeho soukromý telefon vymazat, aby z něj zmizel firemní obsah, ale zůstaly fotografie dětí na dovolené. Tato bezpečná konfigurace uživateli může nabídnout i komfort, kdy mu z interního obchodu s aplikacemi pořídím na firemní náklady aplikaci, kterou potřebuje, nebo i jen nastavím připojení k firemní Wi-Fi, aby šetřil datový tarif.

S jeho pomocí mohu nakonfigurovat kiosek na informačním stánku, že spustí jen aplikaci naší společnosti, případně že z mobilních aplikací přistupujících k firemním datům nelze jejich obsah kopírovat do soukromých datových uložišť.

Windows Defender Advanced Threat Protection, WDATP, na Windows 10 pak ohlídá, zda není podezřelé, že po stažení PDF souboru z Internetu se vytvořila nová služba po startu počítače komunikující s IP adresou známé virové sítě, která si stahuje nové DLL do systémových adresářů. Navíc umožní takový soubor zablokovat a kompromitovanou stanici odříznout od komunikace s veřejným Internetem, aby nedošlo k úniku dat.

Ochrana produktivity

Žádná z výše zmíněných ochran ale nesmí ohrozit produktivitu uživatelů. Je proto jedině dobře, že antivirová kontrola příchozích zpráv probíhá online, kdy Office 365 Advanced Threat Protection otevře ve virtuálním počítači anonymně onu PDF přílohu a podivné chování detekuje již dávno před tím, než by tato škodlivá příloha dorazila uživateli.

Uživateli, který svůj počítač s Windows 10 ve vteřině odemyká pomocí pohledu do kamery počítače, nikoliv psaním komplexního hesla, počítače, který se při jeho odchodu automaticky zamyká, protože detekuje jeho nepřítomnost dříve, než se spustí časovaný spořič obrazovky chráněný heslem. Uživateli, který nemusí znovu psát heslo do každého systému, protože se přeci již přihlásil do počítače, a možná jen potvrdí notifikaci na svém telefonu, když se jedná o opravdu citlivý informační systém.

Závěrem

Že by se vám přesně takový moderní svět líbil? Pojďte jej budovat. Objevme společně IT oddělení, které se naučilo vypořádat se s těmito novými výzvami a umožnilo jednoduše používat nejmodernější technologie, pomáhá své organizaci dosáhnout lepších výsledků a efektivně zajišťuje bezpečný provoz a ochranu citlivých dat společnosti.

Přejme si tedy mnoho štěstí, sil a nových myšlenek do dalšího dne této moderní doby. Dne, kdy se nám bude dýchat o trochu lépe, protože výzvy dne včerejšího jsme zvládli s hlavou vztyčenou a na výzvy zítřejší jsme dobře připraveni. A kdybychom si tou připraveností nebyli zas tak jisti, všechny zmiňované produkty si můžeme zdarma vyzkoušet a být na jejich nasazení a přínos připravenější. Protože to už není na dlouhé měsíce až roky, ale spíše dny, maximálně týdny a někdy i jen hodiny našeho času.

Petr Vlk | vlk@kpcs.cz | www.kpcs.cz