Office 365: jön a teljes titkosítás
Több irányban is drámaian erősíteni fogja az Office 365 szolgáltatáscsalád biztonságát a Microsoft - jelentette be a cég a most folyó RSA biztonsági konferencián. Egyrészt jelentősen megkurtítja az üzemeltetők jogosultságait, másrészt hamarosan elérhető lesz a teljes ügyféloldali titkosítás is.
Akár áttörés is lehet a Microsoft vállalása, miszerint az Office 365-ben tárolt adatokhoz való hozzáférést a minimumra redukálja, és a tulajdonos kifejezett engedélyéhez köti. Ez magyarra fordítva azt jelenti, hogy a Microsoft többé nem tartja fenn magának a jogot arra, hogy az ügyféladatokhoz bármikor hozzáférhessen, a nála tárolt adatokhoz soha, semmilyen körülmények között nem ad hozzáférést a saját rendszergazdáinak sem. Amennyiben ez a hozzáférés valamiért (például műszaki támogatás miatt) mégis szükségessé válik, akkor az csak és kizárólag az adatok tulajdonosának kimondott beleegyezésével történhet meg.
A vállalás megnyugtathatja azokat a szervezeteket, amelyek fontolgatják az Office 365 bevezetését, de az adatokhoz való hozzáférést nem tartják eléggé átláthatónak és aggódnak a szervereiket a háttérben üzemeltető "láthatatlan kezek" aktivitása miatt. A Microsoft ajánlata ilyen szempontból faék egyszerűségű: a cég üzemeltetői, jogászai vagy bármilyen más alkalmazottai nem turkálhatnak az előfizetők adataiban. Tetszőleges hozzáférés természetesen eddig sem volt lehetséges, a Microsoft (az összes cloud szolgáltatóhoz hasonlóan) szigorúan szabályozza a tárolt adatokhoz való hozzáférést, ezeket azonban a cégek saját belátásuk szerint alakítják ki, és fenntartják maguknak a jogot ahhoz, hogy az ügyfelek adataiba betekinthessenek. A Customer Lockbox névre keresztelt biztonsági funkciót a Microsoft 2015 végére aktiválja az e-mail esetében, 2016 első negyedévében pedig a a SharePoint Online-nál is.
"Automatizáltunk mindent, amit tudtunk, annak érdekében, hogy alkalmazottainknak ne kelljen az ügyféladatokhoz hozzáférniük." - mondta az Office 365 igazgatója az Ars Technicának. "Gyakorlatilag nulla az olyan esetek száma, amikor egy Microsoft-mérnöknek be kell jelentkeznie az ügyfél rendszerébe. Ezekre a ritka alkalmakra pedig kötelezővé tettük az ügyfél explicit beleegyezését. Ha az ügyfél aktiválja a Lockbox képességet, onnantól az összes elérés feltétele a beleegyezés - ez garantálja az átláthatóságot." White az Ars kérdésére azt is elismerte, hogy ez a kormányzati adatlekérdezésekre is ugyanúgy vonatkozik, a cég a Customer Lockboxból még bírói parancsra sem enged ki adatot.
Titkosítás és teljeskörű naplózás
Ennél is tovább megy egy másik fejlesztés, a feltöltött adatok ügyféloldali titkosítása. Egyes szolgáltatások már most is rendelkeznek a tárolt állományok titkosításával, a kulcsokat azonban a Microsoft tárolja. A koncepció kiterjesztése az lesz, hogy a kulcsok átkerülnek az ügyfélhez, a Microsoft ezekkel nem fog rendelkezni, így a tárolt adatokhoz még elméletben sem tud hozzáférni - mivel kulcs hiányában azokat nem tudja feloldani. A rendszer várhatóan 2016 folyamán lesz elérhető a cég jelenlegi tervei szerint.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az Office 365 harmadik újdonsága a kiterjesztett naplózás lesz, amellyel gyakorlatilag tetszőleges részletességgel rögzíthetik az ügyfelek, hogy az alkalmazottak mely erőforrásokat, mikor és hogyan használtak. Erre a funkcióra elsősorban bankoknak és egyéb, szigorú erőírásokkal bajlódó szervezeteknek lehet szükségük. Az új naplózási alrendszerhez egy teljes API-t is kínál a Microsoft, amellyel a felhasználók és adminisztrátorok aktivitása egyaránt lekérhető, elemezhető, vizualizálható. Az API előnézeti státuszban már elérhető, a hivatalos indulásra még nincs tervezett időpont.
Windows 10: Device Guard
A Windows 10 elhozza a választ azok számára, akik a Chrome OS-szerű rendszerek versenyelőnyeként tartották számon a rendszer extrém zártságát. Az új, nyáron érkező operációs rendszer gyakorlatilag ugyanúgy lezárható lesz, mind más modern rendszerek - az eddig névtelen képesség pedig immár saját márkát is kapott, ez a Device Guard. A bekapcsolt Device Guard mellett a szervezetek minden, nem megbízható alkalmazás futtatását blokkolhatják, ez hatékony védelmet jelent még a zero-day típusú támadások ellen is, mivel a futtatást kizárólag aláírt állományok esetében engedélyezi.