:

Szerző: Gálffy Csaba

2015. április 22. 16:29

Office 365: jön a teljes titkosítás

Több irányban is drámaian erősíteni fogja az Office 365 szolgáltatáscsalád biztonságát a Microsoft - jelentette be a cég a most folyó RSA biztonsági konferencián. Egyrészt jelentősen megkurtítja az üzemeltetők jogosultságait, másrészt hamarosan elérhető lesz a teljes ügyféloldali titkosítás is.

Akár áttörés is lehet a Microsoft vállalása, miszerint az Office 365-ben tárolt adatokhoz való hozzáférést a minimumra redukálja, és a tulajdonos kifejezett engedélyéhez köti. Ez magyarra fordítva azt jelenti, hogy a Microsoft többé nem tartja fenn magának a jogot arra, hogy az ügyféladatokhoz bármikor hozzáférhessen, a nála tárolt adatokhoz soha, semmilyen körülmények között nem ad hozzáférést a saját rendszergazdáinak sem. Amennyiben ez a hozzáférés valamiért (például műszaki támogatás miatt) mégis szükségessé válik, akkor az csak és kizárólag az adatok tulajdonosának kimondott beleegyezésével történhet meg.

A vállalás megnyugtathatja azokat a szervezeteket, amelyek fontolgatják az Office 365 bevezetését, de az adatokhoz való hozzáférést nem tartják eléggé átláthatónak és aggódnak a szervereiket a háttérben üzemeltető "láthatatlan kezek" aktivitása miatt. A Microsoft ajánlata ilyen szempontból faék egyszerűségű: a cég üzemeltetői, jogászai vagy bármilyen más alkalmazottai nem turkálhatnak az előfizetők adataiban. Tetszőleges hozzáférés természetesen eddig sem volt lehetséges, a Microsoft (az összes cloud szolgáltatóhoz hasonlóan) szigorúan szabályozza a tárolt adatokhoz való hozzáférést, ezeket azonban a cégek saját belátásuk szerint alakítják ki, és fenntartják maguknak a jogot ahhoz, hogy az ügyfelek adataiba betekinthessenek. A Customer Lockbox névre keresztelt biztonsági funkciót a Microsoft 2015 végére aktiválja az e-mail esetében, 2016 első negyedévében pedig a a SharePoint Online-nál is.

"Automatizáltunk mindent, amit tudtunk, annak érdekében, hogy alkalmazottainknak ne kelljen az ügyféladatokhoz hozzáférniük." - mondta az Office 365 igazgatója az Ars Technicának. "Gyakorlatilag nulla az olyan esetek száma, amikor egy Microsoft-mérnöknek be kell jelentkeznie az ügyfél rendszerébe. Ezekre a ritka alkalmakra pedig kötelezővé tettük az ügyfél explicit beleegyezését. Ha az ügyfél aktiválja a Lockbox képességet, onnantól az összes elérés feltétele a beleegyezés - ez garantálja az átláthatóságot." White az Ars kérdésére azt is elismerte, hogy ez a kormányzati adatlekérdezésekre is ugyanúgy vonatkozik, a cég a Customer Lockboxból még bírói parancsra sem enged ki adatot.

Titkosítás és teljeskörű naplózás

Ennél is tovább megy egy másik fejlesztés, a feltöltött adatok ügyféloldali titkosítása. Egyes szolgáltatások már most is rendelkeznek a tárolt állományok titkosításával, a kulcsokat azonban a Microsoft tárolja. A koncepció kiterjesztése az lesz, hogy a kulcsok átkerülnek az ügyfélhez, a Microsoft ezekkel nem fog rendelkezni, így a tárolt adatokhoz még elméletben sem tud hozzáférni - mivel kulcs hiányában azokat nem tudja feloldani. A rendszer várhatóan 2016 folyamán lesz elérhető a cég jelenlegi tervei szerint.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az Office 365 harmadik újdonsága a kiterjesztett naplózás lesz, amellyel gyakorlatilag tetszőleges részletességgel rögzíthetik az ügyfelek, hogy az alkalmazottak mely erőforrásokat, mikor és hogyan használtak. Erre a funkcióra elsősorban bankoknak és egyéb, szigorú erőírásokkal bajlódó szervezeteknek lehet szükségük. Az új naplózási alrendszerhez egy teljes API-t is kínál a Microsoft, amellyel a felhasználók és adminisztrátorok aktivitása egyaránt lekérhető, elemezhető, vizualizálható. Az API előnézeti státuszban már elérhető, a hivatalos indulásra még nincs tervezett időpont.

Windows 10: Device Guard

A Windows 10 elhozza a választ azok számára, akik a Chrome OS-szerű rendszerek versenyelőnyeként tartották számon a rendszer extrém zártságát. Az új, nyáron érkező operációs rendszer gyakorlatilag ugyanúgy lezárható lesz, mind más modern rendszerek - az eddig névtelen képesség pedig immár saját márkát is kapott, ez a Device Guard. A bekapcsolt Device Guard mellett a szervezetek minden, nem megbízható alkalmazás futtatását blokkolhatják, ez hatékony védelmet jelent még a zero-day típusú támadások ellen is, mivel a futtatást kizárólag aláírt állományok esetében engedélyezi.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról