Coraz więcej zasobów firmowych i aplikacji przenoszonych jest do infrastruktury cloudowej. Czy korzystając z usługi Office 365 i przechowując dane poza firmą, tracimy jednocześnie możliwość skutecznego zabezpieczenia ich przed zagrożeniami?

Praktycznie wszyscy administratorzy wykorzystują różne typy zabezpieczeń we własnej infrastrukturze IT. Trudno sobie wyobrazić nadzorowaną sieć np. bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Takie środki bezpieczeństwa dział IT wybiera samodzielnie oraz implementuje w znanym środowisku. W przypadku ochrony zasobów przechowywanych w chmurze, działających poza bezpośrednią kontrolą administratora, należy właściwie przeanalizować zabezpieczenia stosowane przez usługodawcę. Jakimi źródłami wiedzy dysponujemy? Deklaracjami dostawcy w postaci dokumentów technicznych oraz umów, w których muszą znaleźć się opisy stosowanych mechanizmów zabezpieczających oraz zapisy określające odpowiedzialność firmy świadczącej usługi.

> Nadzór certyfikowany

Decydując się na korzystanie z tak złożonej usługi jak MS Office 365, warto przeanalizować stosowane zabezpieczenia oraz przyjrzeć się wchodzącym w jej skład poszczególnych aplikacjom. W sieciowej usłudze Microsoft udostępnił bowiem pakiet biurowy oraz bogaty zestaw narzędzi komunikacyjnych i usprawniających pracę zespołu. Ponadto całość została obudowana możliwościami integracyjnymi oferowanymi przez znane z lokalnych infrastruktur usługi katalogowe Active Directory.

Za nadzór nad infrastrukturą Office 365 odpowiada Microsoft Global Foundation Services (GFS). Jest to grupa działająca od 1994 roku, odpowiedzialna za takie usługi hostowane, jak np. MSN. GFS otrzymała certyfikat zgodności zabezpieczeń z normą ISO 27001 (iso.org), a także EU Safe Harbor (export.gov/safeharbor). Organizacja poddała się również audytowi SAS 70 Type II, który weryfikuje stosowanie adekwatnych zabezpieczeń dla hostowanych i przetwarzanych danych klientów (sas70.com/sas70_overview.html). GFS wykorzystuje także swoje doświadczenia zdobyte podczas realizacji usługi BPOS (Business Productivity Online Services), będącej poprzednikiem Office 365.

> Kilka poziomów ochrony

Pierwszym zagadnieniem, które należy wziąć pod uwagę, jest ochrona fizycznego dostępu do urządzeń oraz nośników informacji. Warto pamiętać, że dane składowane w chmurze przechowywane są w centrach danych zlokalizowanych na terenie różnych krajów. Z tego powodu od dostawcy usług cloud computing należy wymagać określenia miejsca przechowywania danych oraz ograniczenia dostępu do danych wyłącznie do upoważnionego personelu. Poufność danych nie jest jednak jedynym elementem ochrony. Należy również pamiętać o zapewnieniu dostępności usługi dla pracowników.

Jakie zabezpieczenia stosuje Microsoft w Office 365? Zgodnie z deklaracją dane są zabezpieczane za pomocą środków bezpieczeństwa organizacyjnego oraz technicznego na dwóch poziomach – fizycznym oraz logicznym. W warstwie fizycznej możemy wymienić kilka środków zabezpieczeń. Występują tu zasady kontroli dostępu do pomieszczeń, zgodnie z którymi upoważniony personel ma do nich dostęp po przejściu przez systemy autoryzacji biometrycznej. Pracownicy centrów danych identyfikowani są również za pomocą kart chipowych oraz certyfikatów. Ponadto w pomieszczeniach występuje stały nadzór kamer przemysłowych. Każde wejście do centrum danych jest uwierzytelniane przy wykorzystaniu minimum dwóch środków uwierzytelniania (np. karta oraz biometryka).