Med Microsoft sine løsninger innen kategoriene Moderne Arbeidsplass og «Hybrid Work», står de fleste bedrifter overfor nye utfordringer, når det gjelder sikkerheten til deres data og IT-systemer. I denne artikkelserien skal vi se på sikkerhet i Microsoft 365 og begreper som Zero Trust, Forsvar i dybden, og andre sikkerhetskonsepter. Samhandling og produksjoner er avgjørende for virksomhetene og sikkerhet er viktigere en noen sinne. Vi skal se på hvordan sikkerhet i verdensklasse, implementert av en kompetent partner som iqonic bidrar til å heve kvaliteten på dine IT løsninger betraktelig.
Målet med sikkerhet i Microsoft 365 er konfidensialitet, integritet og tilgjengelighet
Oppsummert, jobber vi ut ifra denne prosessen siden dette er brukere som samhandler og deler data, ofte på flere ulike enheter og plattformer.
Konfidensialitet beskriver hvem som kan eller ikke kan få tilgang til sensitive data eller systemer. Spesielt sensitive personlige kundedata skal kun være tilgjengelig for autoriserte personer, og det samme gjelder selvfølgelig også for passord og krypteringsnøkler.
Integritet er løftet om at dataene eller systemets respons er korrekt og ikke har blitt tuklet med. Alle som sender en e-post vil at innholdet i e-posten skal nå mottakeren uendret. Kundedata lagret i en database skal være sikret mot uautoriserte endringer.
Tilgjengelighet refererer til å gjøre data og systemer tilgjengelig for autoriserte parter når de trenger det. Denne delen av sikkerhet blir ofte oversett, men har kommet mer i fokus med fremveksten av «Distributed denial of service» – og Ransomware angrep som ikke kompromitterte konfidensialiteten eller integriteten til dataene og systemene, men gjør den utilgjengelig for legitime brukere.
Disse tre hovedmålene illustrerer hvorfor sikkerhet er avgjørende for suksessen til enhver bedrift. Derfor er det en rekke fordeler ved å delegere sikkerhetsansvaret til dedikerte eksperter som Microsoft og iqonic for å sørge for at sikkerhet i Microsoft 365 alltid får det fokuset den trenger.
Deleger sikkerhetsansvaret til en dedikert ekspertpartner.
Fordelen med skyløsninger er at skyleverandøren har full kontroll og ansvar over sikkerheten i løsningen og den underliggende tekniske plattformen, mens kunden har full kontroll og ansvar for sikkerheten til informasjonen og data på enheter, kontoer og identiteter.
Denne «delte ansvarsmodellen» lar bedrifter fokusere på noen aspekter av sikkerhet, mens skyleverandører som Microsoft fokuserer på andre. Hvis et selskap bruker færre eller ingen skyløsninger, som Platform as a Service (PaaS), Infrastructure as a Service (IaaS) eller til og med eier lokale løsninger, ligger mer ansvar for sikkerheten i virksomehten.
Skyløsninger som Microsoft 365 er derfor en god løsning for å delegere ansvaret for den ofte komplekse sikkerheten til infrastruktur og applikasjoner til eksperter som Microsoft, som driver dedikerte sikkerhetssentre rundt om i verden for å reagere på trusler 24/7. Med tilnærminger som «Zero trust model» og «Defense in depth» har Microsoft etablert velprøvde sikkerhetsprosedyrer for å sikre kundens sikkerhet.
Microsoft sin Zero Trust policy styrker sikkerheten ved å anta at alt som skjer på et offentlig nettverk av angrep kan skje hver gang, og viktigheten av Defense in Depth filosofien for å ha flere lag med sikkerhetstiltak.
Zero trust – trust no one
For 20 år siden jobbet de fleste ansatte på dedikerte arbeidsstasjoner i et kontorbygg med dedikert nettverk. Sikkerhet var sentrert rundt tilgang til det fysiske bygget og nettverket, i tillegg til sterke passord som ble rotert jevnlig. Tilgang til data fra nettverket med en korrekt brukerlegitimasjon var sannsynligvis legitim, tilgang utenfra ble blokkert av brannmurer.
Ansatte jobber i dag mer fra forskjellige steder i en Moderne Arbeidsplass, fra hjemmekontoret, en hytte eller en kaffebar midt i byen. De kan bruke sin egen datamaskin hjemme og ofte sin egen mobil for å sjekke jobbmail eller få tilgang til filer. Dette endrer fundamentalt forutsetningene om hvilken tilgang som er legitim og hvilke som er et angrep utenfor organisasjonen.
Zero trust-modellen forutsetter at alt er på et åpent og offentlig nettverk, og krever derfor en “stol på ingen, verifiser alt”-tilnærming. Denne tilnærmingen styrker sikkerheten enormt, fordi du alltid antar det verste. Et eksempel på denne tilnærmingen er obligatorisk bruk av en annen faktor i tillegg til et passord for pålogging. Passordet kan være kompromittert. Ved å benytte to faktor som Microsoft Authenticator (som finnes for Android og iOS) eller en SMS til et kjent telefonnummer gir to faktor et tilstrekkelig nivå av ekstra sikkerhet for å stoppe en angriper til å få uautorisert tilgang.
Zero Trust-modellen har tre prinsipper som er grunnleggende for sikkerhetsimplementeringen i Microsoft 365:
1. Bekreft eksplisitt – Autentiser og godkjenn alltid, ved å bruke relevante data som brukeridentitet, plassering, enhet, tjeneste og sjekk alltid for uregelmessigheter.
2. Minst privilegert tilgang – Bare minimumstilgang til rett tid bør gis med risikobaserte adaptive retningslinjer, for å beskytte både data og produktivitet.
3. Anta brudd – Krypter data når det er mulig, og segmenter tilgang etter nettverk, bruker, enhet og applikasjon. Bruk avansert analyse for å søke etter uregelmessigheter og trusler.
Microsoft 365 gjør det mulig for bedrifter å dra nytte av topp moderne sikkerhet i verdensklasse. Teamet vårt utnytter disse verktøyene og lar kundens løsning bli sikret uten å ofre brukeropplevelse og produktivitet.
Forsvar i dybden – Sikre alt uten å ofre brukeropplevelse og produktivitet
I tillegg til Zero Trust-modellen, følger Microsoft «Defense in depth» eller forsvar i dybden -tilnærmingen for sikkerhet i Microsoft 365. Denne tilnærmingen bruker lag med sikkerhet for å ha flere, ofte overlappende, sikkerhetsparameter på plass.
Et eksempel fra den virkelige verden kan være en bank der en kunde ønsker å få tilgang til en bankboks. Inngangen til en bank har store sikkerhetsdører, kun åpne i arbeidstiden. Hallen til en bank har sikkerhetsvakter og et ekstra kamerasystem for å se etter trusler. En kunde må nærme seg skranken, ofte sikret med sikkerhetsglass. Kunden må vise legitimasjon til ekspeditøren. Ekspeditøren sjekker ikke bare identiteten, men også autorisasjonen til kunden for å få tilgang til en bestemt bankboks. Bankboksen er ofte i bankhvelvet, sikret med flere sikkerhetsdører og en hvelvdør, og kan bare åpnes med to nøkler, en i ekspeditørens og en i kundens besittelse.
I Microsoft 365 betyr forsvar i dybden flere sikkerhetstiltak, slik at hvis ett lag brytes, vil påfølgende tiltak forhindre uautorisert tilgang til systemer og data. En brukers identitet er sikret med et passord med en ekstra faktor, i tillegg til avviksdeteksjon som kan sjekke for pålogginger fra uvanlige steder. Data er kryptert og kun brukere med riktig autorisasjonsnivå kan få tilgang som for eksempel kun skal være begrenset til skrivebeskyttet versjon.
Alle disse sikkerhetstiltakene er tilgjengelige i Microsoft 365, men du trenger en kompetent partner som iqonic for å skreddersy dem til dine spesifikke sikkerhetsbehov. Det er også viktig å finne den rette balansen mellom høy sikkerhet, en god brukeropplevelse og produktivitet. Vi definerer nødvendige sikkerhetsgrupper sammen med deg og definerer hvordan minst privilegert tilgang kan implementeres, for å gi alle ansatte de dataene de trenger til rett tid.
Vi vil i løpet av kort tid komme med en oppfølgingsartikkel i denne serien. Hvis du i mellomtiden har spørsmål eller ønsker en gjennomgang av din IT sikkerhet så kan du ta kontakt med oss for en uforpliktende samtale.