Office 365: Segurança e Compliance OFP202
Quem é o palestrante? Felipe Moreno Office 365 Sales Solution @flpmoreno www.felipemoreno.com.br
Quem é o palestrante? Rogério Amancio Office 365 Specialist @rogeramancio
Princípios Básicos do Office 365 Operações transparentes de serviço
Defesa Completa Instalações Perímetro de rede Rede interna Host Controles físicos, vigilância por vídeo, controle de acesso Roteadores de borda, firewalls, detecção de invasão, varredura de vulnerabilidades Autenticação de fator duplo, detecção de invasão, varredura de vulnerabilidades Controle e monitoramento de acesso, antimalware, gerenciamento de patches e configuração Aplicativo Admin. Engenharia segura (SDL), controle e monitoramento de acesso, antimalware Gerenciamento de contas, treinamento e reconhecimento, triagem Dados Gerenciamento de ameaças e vulnerabilidades, monitoramento de segurança, controle de acesso, integridade dos dados/arquivos, criptografia
Segurança física Segurança do perímetro Extinção de fogo Autenticação multifatorial Monitoramento abrangente Estrutura antissísmica Equipe de segurança 24X7 Dias de energia de backup Dezenas de milhares de servidores
Rede Other Microsoft networks Router ACLs Office 365 network Edge router ACLs Load balancers Customer
Host/Aplicativo Aplicação de patch/proteção antimalware Auditoria de todos os acessos do operador e suas ações Ciclo de Vida de Desenvolvimento da Segurança. Ferramentas automatizadas para atividades de rotina Permissões "zero standing" no serviço
Administradores Verificação de antecedentes Triagem Exclusão automática de conta Contas exclusivas Privilégios "zero standing" Ciclo de Desenvolvimento da Segurança. Treinamento anual
Dados Isolamento de dados do cliente Criptografia de dados Melhores práticas
Isolamento de dados do cliente Cliente A Cliente B Projetado para suportar o isolamento lógico de dados que vários clientes armazenam no mesmo hardware físico. A mistura, intencional ou não, de dados pertencentes a diferentes clientes/locatários é evitada pelo uso das unidades organizacionais do Active Directory
Criptografia Dados em Repouso Discos criptografados com Bitlocker Armazenamento fragmentado criptografado Dados em trânsito Criptografia SSL/TLS Cliente para servidor Servidor para servidor Data center para Data center Usuário
Armazenamento fragmentado criptografado A B C D Banco de dados de conteúdo Armazenamento de chaves A B C E D
Assumir violações Exercícios de guerra Monitorar novas ameaças Red team Executar pósviolação Simulação de ataque interno Blue team
Resumo Controles físicos, vigilância por vídeo, controle de acesso Camada física Roteadores de borda, firewalls, detecção de invasão, varredura de vulnerabilidades Camada lógica Autenticação de dois fatores, detecção de invasão, varredura de vulnerabilidades Controle e monitoramento de acesso, antimalware, gerenciamento de patches e configuração Camada de dados Engenharia segura (SDL), controle e monitoramento de acesso, antimalware Gerenciamento de contas, treinamento e percepção, triagem Gerenciamento de ameaças e vulnerabilidades, monitoramento de segurança, controle de acesso, integridade dos dados/arquivos, criptografia
Bringing a hacker s perspective to Office 365 Security
Mindset Shift Prevent Breach Threat model Code review Security testing Security development lifecycle (SDL) Assume Breach Central security monitoring Live site penetration test Threat intelligence Assume breach identifies & addresses significant gaps: Detect attack & penetration Respond to attack & penetration Recover from data leakage or tampering Scope ongoing live site testing of security response plans to drastically improve mean time to detection & recovery Reduce exposure to internal attack (once inside, how much access does an attacker have?) Periodic environment post breach assessment & clean state
How can we get our malicious users perspective (bugs)? We become them: Red Teaming We incentivize them: Bug bounty/blue Team Our own Office 365 pen testers breach our services Simulate outsider and insider attack scenarios Strict Rules of Engagement ( do no harm ) External security researchers hunt for vulnerabilities Compensated for significant valid vulnerabilities This is external penetration testing
What are we looking for? Cross Site Scripting (XSS) Cross Site Request Forgery (CSRF) Unauthorized cross-tenant data tampering or access (for multi-tenant services) Insecure direct object references Injection Vulnerabilities Authentication Vulnerabilities Server-side Code Execution Privilege Escalation Significant Security Misconfiguration
Bug bounty
Controles de Segurança do Cliente
Lock Box Privilégios de acesso zero e acesso baseado em função Gerente Solicitar Acesso "just in time" Aprovar Acesso temporário concedido Solicitação com razão Privilégios "zero standing" Concede o mínimo privilégio necessário para concluir a tarefa. Verifica a qualificação conferindo se 1. a checagem de antecedentes foi concluída 2. Checagem de impressão digital concluída 3. Treinamento de segurança concluído
Proteção às informações usando RMS As informações podem ser protegidas com RMS em repouso ou em ação Proteção de dados em ação Proteção de dados em ação Proteção de dados em repouso Proteção de dados em repouso Proteção de dados em repouso RMS pode ser aplicado a qualquer tipo de arquivo usando o aplicativo RMS
Demo #1
Demo #2
Prevenção contra perda de dados (DLP) O DLP nos ajuda a Identificar Monitorar Proteger Dados sensíveis contra desvios e analises de terceiros
Prevenção contra perda de dados (DLP) Evita que dados confidenciais saiam da organização Fornece um Alerta quando dados como números de cartão de crédito são enviados por email. Os alertas podem ser personalizados pelo administrador para evitar que propriedade intelecutal seja enviada por email para fora da organização. Capacita os usuários para gerenciarem sua conformidade Informações contextuais sobre políticas Sem interrupções no fluxo de trabalho do usuário Funciona mesmo quando desconectado Configurável e personalizável Personalização de texto e ações do administrador Modelos integrados e baseados em regulamentações comuns Importe modelos de política DLP de parceiros de segurança ou crie o seu próprio modelo.
Impressão digital de documento DLP Faz uma varredura em emails e anexos para procurar padrões que correspondam a modelos de documentos Protege documentos confidenciais para evitar que sejam acidentalmente compartilhado fora da sua organização Não há necessidade de codificação; basta fazer o upload de documentos de exemplo para a criação de impressões digitais
Demo
Recursos de criptografia Rights Management Service (RMS) S/MIME Protegido por S/MIME Entrega de mensagem SMTP para parceiros: Protegido por TLS Disco de dados Criptografia de Mensagens do Office 365 Message Encryption Exchange Server Disco de dados Exchange Server Protocolo TLS Usuário
Demo
Anti-Spam/Antivírus
Mobile Device Management para Office 365 User-centric approach Acesso Condicional Gerenciamento De dispositivo Limpeza Seletiva LoB app Built-In Built-In Microsoft Intune
Mobile Device Management para Office 365 Politicas Controle de qual dispositivo pode se conectar Aumente a segurança forrçando politicas Encripte os aparelhos Controles do Administrador Portal de administração e PowerShell Configure device policies by groups Controle Granular Bloqueie devices fora de conformidade Relatórios Relatório de compliance Relatório de uso Suporte para integrações (API)
Mobile Device Management para Office 365 Premium Mobile Device & App Management Device Config PC Management O365 Category Feature Exchange ActiveSync MDM for Office 365 Inventory mobile devices accessing company applications Remote factory reset (device wipe) Mobile device configuration (PIN length, PIN required, lock time, etc.) Self Service Password Reset (O365 Cloud only users) Reports of devices that do not meet IT policy Group-based Policies & Reporting (ability to use groups for targeted device configuration) Root Cert and Jailbreak detection Remove App data from mobile devices while leaving users personal data in place. Prevent access to data such as email and documents until device is managed Self Service Company portal for one stop shop for company apps Provision Certificates, VPN profiles (including app specific profiles), and Wi-Fi profiles Prevent cut/copy/save as of data from company apps to personal apps (Mobile Application Management) Secure content viewers / browsers Remote device lock for Self Service and IT Pro PC Management (e.g. inventory, antimalware, patch, policy, etc.) OS Deployment (via System Center ConfigMgr) PC application management On-Premise Console Integration (System Center ConfigMgr) Windows Embedded device management (via System Center ConfigMgr) Intune
Arquivamento e Retenção Preserve Pesquise In-Place Archive Governança Preserve ediscovery Caixa de correio secundária com cota separada Gerenciado através de EAT ou PowerShell Disponível no local, online, ou através de EOA Critérios baseados em tempo e automáticos Defina políticas no nível do item ou da pasta Data de validade indicada em mensagem de email Capture emails excluídos e editados Bloqueio In-loco baseado em tempo Bloqueio In-loco baseado em consulta granular Notificação opcional Central de descoberta eletrônica baseada na pesquisa em várias caixas de correio Pesquise itens recuperáveis, primários e arquivamento no local Delegue através da administração baseada em funções De-duplicação após a descoberta Auditoria para garantir que os controles sejam cumpridos
Demo
Gerenciamento de identidades Federação Sincronização de senhas MFA
Acesso de usuário Integrado com Active Directory, Azure Active Directory e Serviços de Federação do Active Directory Federação: Protege a autenticação baseada em token SAML Sincronização de senhas: Apenas um hash unidirecional da senha será sincronizado com a nuvem para que a senha original não possa ser reconstruída a partir dele. Permite mecanismos adicionais de autenticação: Autenticação de dois fatores incluindo 2FA baseado em telefone Controle de acesso do cliente baseado em dispositivos/locais Uma única identidade federada e credenciais adequadas para organizações de médio e grande porte Controle de Acesso Baseado em Função
Acesso de usuário Identidade Federada Sign-on Password hashes Contas de usuário AAD Sync SAML token based authentication Sincronização de password Multi Factor Authentication Acesso baseado no cliente Autenticação On-premises directory User Autenticação
Autenticação corporativa usando qualquer telefone Aplicativos móveis Chamadas telefônicas Mensagens de texto Notificação por push Token OTP Chamada Out-of-Band* Mensagem de texto OTP por texto *Out of band significa que é capaz de usar um segundo fator sem modificação em relação ao UX do aplicativo existente.
Demo
Compliance
O Controle no Office 365 é uma responsabilidade compartilhada Conformidade com Riscos de Governança do Cliente Responsabilidades na Nuvem Validação de controles do Office 365 e controles do Cliente Custodiante/Processador de Dados Validação de Controles Controles no escopo Validado por auditores independentes ISO, SOC Local dos dados no DPA Controles Gerenciados do Office 365 Controles do Office 365 Expressos em controles ISO, controles NIST mais de 900 controles Framework de Operações Operações do cliente e validação de controles do cliente Controles do cliente Controles gerenciados do cliente fornecidos pelo Office 365 Controlador de dados Gerenciado pelo cliente Gerenciado pelo serviço
Conformidade Compromisso com padrões do setor e conformidade organizacional Capacidades de nível de serviço para conformidade global Controles do cliente para conformidade com políticas internas Capacite clientes a atender padrões globais de conformidade em ISO 27001, EUMC, HIPAA, FISMA Comprometa-se contratualmente com a privacidade, segurança e manipulação de dados de clientes através de Contratos de Processamento de Dados. Controles administrativos como Prevenção contra Perda de Dados, Arquivamento, Descoberta Eletrônica para permitir conformidade organizacional
Demo
Redução de riscos O Office 365 suporta um alto grau de configuração do cliente Cada cliente é parcialmente responsável pelo gerenciamento seguro do serviço. Os clientes devem colocar em vigor os seguintes controles para garantir a segurança de seus dados Gerenciamento de contas Controle de acesso Segregação de atribuições Reconhecimento e treinamento Solicitações de suporte Use controles flexíveis de cliente no Office 365
Serviços do Office 365 Como os controles do Office 365 atendem os requisitos de conformidade Serviço Office 365 Conjuntos de Controle do GRC Mestre Certificações Funcionalidades integradas Segurança física Melhores práticas de segurança Camada da rede segura Criptografia de dados O Office 365 tem mais de 1000 controles atualmente! Controle de acesso Retenção e minimização de dados Controles do cliente DLP OME SMIME Gerenciamento de contas Monitoramento de incidentes Criptografia de dados AUDITORIAS RBAC RMS Criptografia de dados armazenados e mais... Novos certificados e mais...
Frequência das auditorias Avaliações de eficácia do controle (auditorias) executadas desde dezembro de 2012 Dez 2012 Jan 2013 Fev 2013 Mar 2013 Abr 2013 Maio 2013 Jun 2013 Jul 2013 Ago 2013 Set 2013 ISO ITAR FedRamp SSAE 16 SOC MT FedRamp ISO Out 2013 Nov 2013 Dez 2013 SSAE 16: GFS SOC 2 Tipo 2 & SOC 3, O365 SOC 1 Tipo 2 SSAE 16: Em abril de 2014 o O365 começará a auditoria para SOC 2 Tipo 2
Padrões e Certificações SSAE/SOC Finanças Global ISO 27001 Global Global EUMC Europa Europa ISO SOC FERPA FISMA/FedRAMP Educação Governo EUA EUA HIPAA Serviços de Saúde EUA HITECH Serviços de Saúde EUA ITAR Militar/Defesa EUA UK GC Governo Reino Unido CJIS Polícia EUA Artigo 29 + Europa Europa SOC 2 Global Global + Autoridades de Proteção de Dados da União Europeia validam a abordagem da Microsoft para privacidade
11 maneiras de fazer seu Office 365 mais seguro! 1. Use politicas de Password 2. Habilite e crie regras de Prevenção de perda de dados 3. Use RMS em seu ambiente. (Force o uso quando necessário) 4. Habilite e use Mensagens Encriptadas 5. Use politicas de MDM 6. Habilite e use Multi-Factor Authentication 7. Configure seu Exchange Online Protection 8. Se necessário, utilize Identidade federada 9. Faça deploy do Office usando o Office Click2Run (Mantenha atualizado) 10. Crie perfis de acesso (RBAC) para os administradores 11. Visualize os relatórios de seu ambiente regularmente! por Brian Reid
Recursos Dois recursos que você deveria conhecer 1. Direto para o consumidor Central de Confiabilidade do Office 365 http://trust.office365.com Blog do Office 365 http://blogs.office.com/ 2. Campo http://office365hub Segurança e Conformidade Novos white papers na Central de Confiabilidade http://aka.ms/securitywhitepaper Visão Geral da Segurança e Conformidade no Office 365 Controles do cliente para Proteção de Informações no Office 365 - http://aka.ms/customercontrols Visão Geral dos controles de Segurança e Conformidade no Office 365
Roadmap público do Office 365 http://www.office.com/roadmap http://office.microsoft.com/en-us/products/office-365-roadmap-fx104343353.aspx
Q&A Visite o espaço Ask the Experts, próximo dos expositores
Sessões relacionadas OFP201 Visão geral da plataforma Office 365 OFP204 Skype for Business O que há de novo OFP302 Padrões e Arquiteturas para projetos de Office 365 OFP303 Office 365:Configuração Hibrida para EXO/Office 365 OFP304 Office 365 APIs MEW304 - Identidade na Nuvem com Azure Active Directory
Continue sua capacitação Microsoft Virtual Academy http://aka.ms/ch9 http://aka.ms/mva