Безопасность в корпорации ContosoSecurity for the Contoso Corporation

Сводка: Понимаете, как Contoso сопоставлен функции в облаке и услуги корпорации Майкрософт своих требований к безопасности и определить пути в облако проверки готовности к безопасности.Summary: Understand how Contoso mapped their security requirements to features in Microsoft's cloud offerings and determined a path to cloud security readiness.

Contoso — серьезные об их сведения о безопасности и защиты. При переводе их ИТ-инфраструктуру для облачных включительно один, они выполняет проверку того, что их требования к безопасности в локальной поддерживались и реализации в облаке и услуги корпорации Майкрософт.Contoso is serious about their information security and protection. When transitioning their IT infrastructure to a cloud-inclusive one, they made sure that their on-premises security requirements were supported and implemented in Microsoft's cloud offerings.

Требования к безопасности Contoso в облакеContoso's security requirements in the cloud

Требования компании Contoso к безопасности в облаке:Here are Contoso's security requirements for the cloud:

  • Строгая проверка подлинности при доступе к облачным ресурсам.Strong authentication to cloud resources

    При доступе к облачным ресурсам требуется проверка подлинности, причем (по возможности) многофакторная.Cloud resource access must be authenticated and, where possible, leverage multi-factor authentication.

  • Шифрование интернет-трафика.Encryption for traffic across the Internet

    Никакие данные не должны передаваться через Интернет в виде обычного текста. Всегда должны использоваться подключения HTTPS, IPsec или другие комплексные решения для шифрования данных.No data sent across the Internet is in plain text form. Always use HTTPS connections, IPsec, or other end-to-end data encryption methods.

  • Шифрование неактивных данных в облаке.Encryption for data at rest in the cloud

    Все данные, хранящиеся на дисках или в другом месте в облаке, должны быть зашифрованы.All data stored on disks or elsewhere in the cloud must be in an encrypted form.

  • ACL для минимальных прав доступа.ACLs for least privilege access

    Разрешения на доступ учетных записей к ресурсам в облаке и на действия с этими ресурсами должны соответствовать рекомендациям относительно минимальных прав доступа.Account permissions to access resources in the cloud and what they are allowed to do must follow least-privilege guidelines.

Уровень конфиденциальности сообщения классификации данных ContosoContoso's data sensitivity classification

Использование данных в корпорации Майкрософт Toolkit классификации данных, Contoso провел анализ данных и определить следующие уровни.Using the information in Microsoft's Data Classification Toolkit, Contoso performed an analysis of their data and determined the following levels.

1-го уровня: Низкая экономическую выгодуLevel 1: Low business value Уровня 2: Для бизнеса среднегоLevel 2: Medium business value Уровень 3: Высокой ценностиLevel 3: High business value
Данные, зашифрованные и доступны только для пользователей, прошедших проверкуData is encrypted and available only to authenticated users
Предоставляется для всех данных, хранящихся локально и в облачном хранилище, а также рабочих нагрузок, таких как в Office 365. Данные шифруются при хранении в службе и при перемещении между службой и клиентским устройством.Provided for all data stored on premises and in cloud-based storage and workloads, such as Office 365. Data is encrypted while it resides in the service and in transit between the service and client devices.
Примеры данных уровня 1 — это обычный обмен деловой информацией (электронная почта) и файлы для администраторов, а также специалистов по продажам и поддержке.Examples of Level 1 data are normal business communications (email) and files for administrative, sales, and support workers.
1-го уровня, а также строгого защиты от потери данных и проверки подлинностиLevel 1 plus strong authentication and data loss protection
Строгая проверка подлинности включает в себя многофакторная проверка подлинности с помощью проверки SMS. Защита от потери данных гарантирует, что конфиденциальные или важные сведения не передаются за пределами локальной сети.Strong authentication includes multi-factor authentication with SMS validation. Data loss prevention ensures that sensitive or critical information does not travel outside the on-premises network.
Примеры данных уровня 2 — финансовые и юридические сведения, а также данные об исследованиях и разработке новых продуктов.Examples of Level 2 data are financial and legal information and research and development data for new products.
2-го уровня, а также повышенный уровень шифрования, проверки подлинности и аудитLevel 2 plus the highest levels of encryption, authentication, and auditing
Более высокий уровень шифрования для данных rest, так и в облаке, соответствующий стандарту региональных положения, вместе с многофакторной проверки подлинности с помощью смарт-карты и фрагментарное аудит и предупреждения.The highest levels of encryption for data at rest and in the cloud, compliant with regional regulations, combined with multi-factor authentication with smart cards and granular auditing and alerting.
Примеры данных уровня 3 — личные сведения клиентов и партнеров, а также технические характеристики продуктов и защищаемые методы производства.Examples of Level 3 data are customer and partner personally identifiable information and product engineering specifications and proprietary manufacturing techniques.

Сопоставление облака Microsoft и функции уровней данных ContosoMapping Microsoft cloud offerings and features to Contoso's data levels

В приведенной ниже таблице показано сопоставление уровней данных Contoso с функциями облачных решений Майкрософт.The following table shows the mapping of Contoso's data levels to features in Microsoft's cloud offerings:

SaaSSaaS Azure PaaSAzure PaaS Azure IaaSAzure IaaS
Уровень 1. Низкая ценность для бизнесаLevel 1: Low business value
HTTPS для всех подключенийHTTPS for all connections
Шифрование статических данныхEncryption at rest
Поддерживает только подключения HTTPSSupport only HTTPS connections
Шифрование файлов, хранящихся в AzureEncrypt files stored in Azure
Или их версии требуется HTTPS IPsec для доступа к серверуRequire HTTPS or IPsec for server access
Шифрование диска AzureAzure disk encryption
Уровень 2. Средняя ценность для бизнесаLevel 2: Medium business value
Многофакторная идентификация Azure AD с использованием SMS-сообщенийAzure AD multi-factor authentication (MFA) with SMS
Используйте ключ хранилище Azure для шифрования разделовUse Azure Key Vault for encryption keys
MFA Azure AD с использованием SMS-сообщенийAzure AD MFA with SMS
MFA с использованием SMS-сообщенийMFA with SMS
Уровень 3. Высокая ценность для бизнесаLevel 3: High business value
Система управления Azure правами (RMS)Azure Rights Management System (RMS)
MFA Azure AD с использованием смарт-картAzure AD MFA with smart cards
Условный доступ к IntuneIntune conditional access
Azure RMSAzure RMS
MFA Azure AD с использованием смарт-картAzure AD MFA with smart cards
MFA с использованием смарт-картMFA with smart cards

Сведения о политиках ContosoContoso's information policies

В приведенной ниже таблице указаны информационные политики Contoso.The following table lists Contoso's information policies.

AccessAccess Срок хранения данныхData retention Защита информацииInformation protection
Уровень 1. Низкая ценность для бизнесаLevel 1: Low business value
Предоставление доступа всем пользователямAllow access to all
6 месяцев6 months
Применение шифрованияUse encryption
Уровень 2. Средняя ценность для бизнесаLevel 2: Medium business value
Разрешить доступ к Contoso сотрудников, подрядчиков и партнеры (en)Allow access to Contoso employees, subcontractors, and partners
Использование MFA, TLS и MAMUse MFA, TLS, and MAM
2 года2 years
Использование хэш-значений для обеспечения целостности данныхUse hash values for data integrity
Уровень 3. Высокая ценность для бизнесаLevel 3: High business value
Разрешить доступ к руководителей и руководит созданием разработки и производстваAllow access to executives and leads in engineering and manufacturing
RMS только с управляемыми сетевыми устройствамиRMS with managed network devices only
7 лет7 years
Использование цифровых подписей для обеспечения неотрекаемостиUse digital signatures for non-repudiation

Contoso путь для проверки готовности к безопасности облакоContoso's path to cloud security readiness

Подготовка инфраструктуры безопасности Contoso для работы с Microsoft Cloud включает в себя следующие этапы:Contoso used the following steps to ready their security for the Microsoft cloud:

  1. Оптимизация учетных записей администраторов для облакаOptimize administrator accounts for the cloud

    Компания Contoso провела обширную проверку существующих учетных записей администраторов Windows Server AD и настроила ряд учетных записей администраторов и групп в облаке.Contoso did an extensive review of the existing Windows Server AD administrator accounts and set up a series of cloud administrator accounts and groups.

  2. Анализ классификации данных на три уровняPerform data classification analysis into three levels

    Contoso выполнена тщательной проверки и определить три уровня, который был использован для определения облаке Майкрософт предлагает возможности для защиты данных наиболее ценных Contoso.Contoso performed a careful review and determined the three levels, which was used to determine the Microsoft cloud offering features to protect Contoso's most valuable data.

  3. Определение политик защиты доступа, хранения и сведения для уровней данныхDetermine access, retention, and information protection policies for data levels

    Учитывая уровни данных, компания Contoso определила подробные требования, которые будут применяться для будущих рабочих ИТ-нагрузок, перемещаемых в облако.Based on the data levels, Contoso determined detailed requirements, which will be used to qualify future IT workloads being moved to the cloud.

Использование Contoso рекомендации по обеспечению безопасности Office 365Contoso's use of Office 365 security best practices

В соответствии с Office 365 рекомендации по обеспечению безопасности администраторов и ИТ-подразделения организации Contoso развернули следующее:In accordance with Office 365 security best practices, Contoso's security administrators and IT department have deployed the following:

  • Выделенные учетные записи глобального администратора с очень надежных паролейDedicated global administrator accounts with very strong passwords

    Не назначить роль глобального администратора повседневных учетных записей, Contoso имеет создать три, выделенные учетные записи глобального администратора с очень надежных паролей. Вход с учетной записью глобального администратора выполняется только для определенных административных задач и паролей только известно, назначенного персонала. Администраторы безопасности организации Contoso назначены роли администраторов учетных записей, которые подходят для работы этого лица ИТ и ответственности.Rather than assign the global admin role to everyday user accounts, Contoso has create three, dedicated global administrator accounts with very strong passwords. Signing in with a global administrator account is only done for specific administrative tasks and the passwords are only known to designated staff. Contoso's security administrators have assigned admin roles to accounts that are appropriate to that IT person's job function and responsibility.

    Дополнительные сведения см в роли администраторов об Office 365.For more information, see About Office 365 admin roles.

  • Многофакторная проверка подлинности (многофакторной проверкой Подлинности) для важные учетные записиMulti-factor authentication (MFA) for important user accounts

    Многофакторной проверкой Подлинности добавляет дополнительный уровень защиты, процесс входа, требуя от пользователей для подтверждения на телефонный звонок, текстовое сообщение или уведомление приложения на своем телефоне смарт-после правильно ввода пароля. С многофакторной проверкой Подлинности учетными записями пользователей Office 365, защищены от несанкционированного входа в систему даже в том случае, если раскрыты пароля учетной записи.MFA adds an additional layer of protection to the sign-in process by requiring users to acknowledge a phone call, text message, or an app notification on their smart phone after correctly entering their password. With MFA, Office 365 user accounts are protected against unauthorized sign-in even if an account password is compromised.

    • Для защиты от компрометации подписки на Office 365 Contoso включить многофакторной проверкой Подлинности на все три учетные записи глобального администратора.To protect against a compromise of the Office 365 subscription, Contoso enabled MFA on all three global administrator accounts.

    • Для защиты от фишинга, в которых он снижает учетные данные доверенные лица в организации и отправляет сообщение о нежелательном сообщения электронной почты, Contoso включен многофакторной проверкой Подлинности на все учетные записи пользователей для руководителей, включая исполнительный персонала.To protect against phishing attacks, in which an attacker compromises the credentials of a trusted person in the organization and sends malicious emails, Contoso enabled MFA on all user accounts for managers, including the executive staff.

      Дополнительные сведения можно спланировать многофакторной проверки подлинности для развертываний Office 365For more information, see Plan for multi-factor authentication for Office 365 Deployments

  • Управление повышенной безопасности (ASM)Advanced Security Management (ASM)

    ASM использует настроенные политики для наблюдения за непредвиденных активности. Настройка оповещений с помощью ASM, чтобы ИТ-администраторы будут уведомлены об активности пользователей необычных или рискующий, такие как загрузка больших объемов данных, администраторов безопасности Contoso несколькими сбой попыток входа или войти в систему с неизвестными или опасные IP-адресовASM uses configured policies to monitor for anomalous activity. Contoso security administrators set up alerts with ASM so that IT administrators are notified of unusual or risky user activity, such as downloading large amounts of data, multiple failed sign-in attempts, or sign-ins from unknown or dangerous IP addresses

    Для получения дополнительных сведений см Overview of расширенного управления безопасностью в Office 365 .For more information, see Overview of Advanced Security Management in Office 365 .

  • Ведение журнала аудита потока защиты электронной почты и почтовых ящиковSecure email flow and mailbox audit logging

    Для защиты от неизвестного вредоносных программ, вирусов и вредоносного URL-адреса, передаваемых через по электронной почте специалистов по безопасности Contoso используется Exchange Online Protection и расширенный угроз защиты анализа. Contoso имеет также включено ведения журнала аудита для определения, который был выполнен вход в почтовые ящики пользователей, отправленные сообщения и других действий, выполняемых с владельца почтового ящика, делегированный пользователь или администратор.Contoso security specialists are using Exchange Online Protection and Advanced Threat Protection (ATP) to protect against unknown malware, viruses, and malicious URLs transmitted through emails. Contoso has also enabled mailbox audit logging to determine who has logged into user mailboxes, sent messages, and other activities performed by the mailbox owner, a delegated user, or an administrator.

    Дополнительные сведения см. в следующих разделах:For more information, see:

  • Защита от потери данных (DLP)Data Loss Prevention (DLP)

    Contoso определяемую конфиденциальные данные и настройки политики защиты от потери данных для Exchange Online, SharePoint Online и OneDrive для предотвращения пользователи случайно или специально общего доступа к данным.Contoso has identified its sensitive data and configured DLP policies for Exchange Online, SharePoint Online, and OneDrive to help prevent users from accidentally or intentionally sharing the data.

    Для получения дополнительных сведений см политики предотвращения потери данных.For more information, see Overview of data loss prevention policies.

See AlsoSee Also

Contoso в Microsoft CloudContoso in the Microsoft Cloud

Ресурсы для администраторов, посвященные архитектуре Microsoft CloudMicrosoft Cloud IT architecture resources

Стратегия Enterprise Cloud корпорации Майкрософт: ресурсы для лиц, принимающих решения в области ИТMicrosoft's Enterprise Cloud Roadmap: Resources for IT Decision Makers

Рекомендации по обеспечению безопасности для Office 365Security best practices for Office 365