随着本公司不断将企业应用转移到云端,最新的进展展现了一个安全机会。我们正在放弃本地部署的Microsift Exchange邮件而使用Microsoft Office 365的服务。有了这个过渡,我们就可以减少员工在邮件里交流和存储敏感的业务相关的数据的行为。
我正在推动IT机构通过实现控制加强安全,这些控制要么在我们的本地部署不能用,要么就是根本未实现过。企业的头一笔订单往往是清理账户或分配表。我们有数百个由邮件启用的分配表,而它们当中大部分是全世界可用的。我们应该减少分配表的数量并为使用它们的人制定规则。
例如,一个包含所有客户支持团队的成员的列表可供所有人使用,虽然只有内部员工需要它。客户能访问即将与Salesforce整合的独立的支持分配表,从而自动生成一个支持工单。
我们也会限制经理人使用“发送给所有人”的权限。很多人使用“所有人”这个化名发送一些被员工认为是垃圾邮件的消息。对于一个正在成长的公司来说,这是个问题。
还有就是自动转发。内部使用是一回事(比如你度假时把邮件转发给同事),但是把邮件自动转发到个人邮箱账号只会增加数据丢失的可能性。现在我们可以禁用部分员工的自动转发功能或限制他们可以自动转发的范围。
另一个问题涉及到用户用来访问的设备。我不想让他们把Outlook的客户端安装在非企业的电脑上。这在公用电脑上是有其危险的,比如在酒店大堂里,因为注销后邮件依然在设备里。我们可以让员工使用企业单点登录方案登陆Outlook避免这个风险。一个优势是我们的单点登录使用了多因素身份验证,但它也可以被配置成用来限制Outlook访问一台设备(可能是与企业有关的设备)。另一个限制访问的方法是为企业电脑发布机器证书并配置Office 365使其只允许具备有效证书的机器的连接。
我们最终将给使用手机办公的员工部署耐用的第三方移动设备管理应用。直到那时,我们将使用Office365自带的移动设备策略。这些包括密码要求、设备超时、加密、暴力保护、已越狱设备的限制,还有当用户离开公司时选择性擦除手机(仅企业邮件)。
我们将使用微软称之为MailTips的功能来防止数据丢失。比如,如果用户创建了一个包含敏感数据的邮件,诸如信用卡号,MailTips会发送一个警告提醒这个是不当行为。当用户发送邮件包含外部用户的分配表时也会发送类似的警告。
我们也可以防止用户将网页邮件下载到Outlook。最好是彻底禁止这种行为,因为我们不能保证那些个人消息的完整,并且我们也不想把它存储到企业设备上。
最后,我们当然要启用所有的恶意软件和垃圾邮件保护。我总是说如果我的公司被黑了,几乎可以肯定是因为有人点击了邮件里的一些东西。我为了阻止恶意邮件所做的一切都是值得的。包括阻止某些邮件附件,诸如与恶意软件相关的可执行文件和脚本。我们将继续执行发送方策略框架(SPF),它可以使邮件发送方的IP地址有效。
还有其它由微软提供的更先进的配置选项可供我们评估和部署,只要它们不影响我们做生意。但是,在增加了诸多限制之后,还是要保证正常邮件的发送效果,也就是在安全性和可用性之间寻求最佳平衡。
京公网安备 11010502049343号