Office 365: Cómo lo hicimos más seguro que el correo electrónico local
Este articulo fue escrito por: Jason Freeth
Una auditoría interna hace un par de años señaló que nuestro correo electrónico contiene información restringida. Esa conclusión destacó un hito en la planificación de seguridad de nuestro despliegue de Office 365. La información restringida incluye cosas como datos de clientes, datos financieros, incluso presentaciones de la SEC antes de que se hagan públicas. Si se exponen estos datos, nuestros ejecutivos pueden terminar en problemas. Cisco IT decidió elevar el listón con nuestra implementación de Office 365. Puede obtener más información sobre nuestra visión y estrategia.
Este blog describe la arquitectura de seguridad que hemos implementado. Lo abordamos desde tres ángulos: autenticación de usuario, autenticación de dispositivo y gestión de claves de encripcion.
¿Eres realmente tú? Autenticación de usuario
El robo de contraseñas está detrás del 81% de los problemas de seguridad en las compañías de Fortune 500 que aparecen en las noticias, según el Informe de Verizon Data Breach Investigations 2018. A medida que trasladamos el correo electrónico a la nube, había dos cosas que queríamos hacer para protegernos ante esta situación.
Utilizamos Single Sign-On (SSO) para todas nuestras aplicaciones en Cisco, ya sea en el centro de datos o en la nube, pero es particularmente importante en la nube. Tenemos una política que establece que las contraseñas no se deben enviar a los proveedores de la nube, y SSO lo corrige.
Luego, para fortalecer nuestras cuentas de Office 365, también requerimos autenticación de factor múltiple. Usamos Duo Security para ambos.
¿Estás utilizando un dispositivo confiable? Autenticación del dispositivo
Cuando alojamos Exchange localmente, nuestros usuarios que se conectaban desde una oficina de Cisco podían usar cualquier dispositivo. Con Office 365, estamos mejorando nuestro juego al limitar el acceso a los dispositivos administrados. Los dispositivos administrados deben pasar pruebas como solicitar una contraseña para desbloquear el protector de pantalla, el cifrado y las herramientas de software y seguridad actualizadas, como AMP para dispositivos y Cisco AnyConnect. Están registrados en una base de datos local.
¿Cómo verificar que los dispositivos estén registrados? Nuestra primera solución fue instalar un certificado de dispositivo, piense en un “código de barras” digital en los dispositivos para compararlos con la base de datos. La ejecución de nuestra propia solución local funcionó bien, pero requirió muchos recursos, por lo que cuando adquirimos Duo Security, decidimos usar su función de “Dispositivo Confiable”. Duo verifica si el sistema está administrado y funciona con computadoras portátiles Mac y Windows, y también con dispositivos móviles.
Encriptado: “traiga su propia clave”
Si un servidor local está bajo ataque, puede tirar del cable Ethernet para evitar el robo de datos mientras se mitiga el problema. Queríamos el equivalente para Office 365.
Encontramos la respuesta en Bring Your Own Key (BYOK), una característica opcional en Office 365. Hay un par de cosas que hacen que esto sea particularmente atractivo. Podemos generar nuestras propias claves, asegurándonos de que sean aleatorias y difíciles de romper. Podemos agregarlos al sistema nosotros mismos asegurándonos de que nadie tomó una copia durante el proceso. Cuando hay un incidente de seguridad, podemos sacar las llaves. Los datos en la nube permanecen cifrados, pero no hay clave para descifrarlos. Cuando se resuelve el incidente, devolvemos la clave. Las claves originales se almacenan de forma segura en nuestros propios centros de datos en su propio hardware.
Sume todo: autenticación de usuario, autenticación de dispositivo y protección de dispositivos, y obtendrá lo que llamamos la plataforma Secure Digital Experience en Cisco IT. Office 365 es uno de los primeros servicios en la nube que utiliza la plataforma. Más adelante lo usaremos para brindar colaboración y seguridad a algunos de los más de 400 servicios en la nube que utilizamos.
Lecciones aprendidas
- Explique a los empleados por qué es necesaria la autenticación multifactor. Hemos descubierto que la respuesta es simple: “porque las personas roban contraseñas”. Esto evita mucho las quejas.
¿Quieres leer más blogs en esta serie? Consulte la Estrategia de implementación – Parte 1 de Kelly Conway, y el uso de SAFe de Caroline Te Aika en la Parte 2.
Preguntas? Por favor escríbalos en el cuadro de comentarios.
Escritor invitado: Jason Freeth, Arquitecto de TI
Jason monta en bicicleta de montaña: Dice que hay algo en la anatomia de las rocas puntiagudas que se relaciona con la causa y el efecto de su vida laboral. Siempre entusiasta de la tecnología, Jason ha trabajado en TI durante 25 años después de descubrir que tenía una habilidad especial para “configurar computadoras” y tuvo la suerte de hacer una carrera jugando con juguetes cada vez más grandes, más complicados y más caros. Es verdaderamente feliz arreglando cosas, o con una cerveza en la mano después de un buen paseo.
Tags:
