從本地部署過渡到基于雲端的郵件是加強安全控制的好機會。
随着本公司不斷将企業應用轉移到雲端,最新的進展展現了一個安全機會。我們正在放棄本地部署的microsift exchange郵件而使用microsoft office 365的服務。有了這個過渡,我們就可以減少員工在郵件裡交流和存儲敏感的業務相關的資料的行為。
我正在推動it機構通過實作控制加強安全,這些控制要麼在我們的本地部署不能用,要麼就是根本未實作過。企業的頭一筆訂單往往是清理賬戶或配置設定表。我們有數百個由郵件啟用的配置設定表,而它們當中大部分是全世界可用的。我們應該減少配置設定表的數量并為使用它們的人制定規則。
例如,一個包含所有客戶支援團隊的成員的清單可供所有人使用,雖然隻有内部員工需要它。客戶能通路即将與salesforce整合的獨立的支援配置設定表,進而自動生成一個支援工單。
我們也會限制經理人使用“發送給所有人”的權限。很多人使用“所有人”這個化名發送一些被員工認為是垃圾郵件的消息。對于一個正在成長的公司來說,這是個問題。
還有就是自動轉發。内部使用是一回事(比如你度假時把郵件轉發給同僚),但是把郵件自動轉發到個人郵箱賬号隻會增加資料丢失的可能性。現在我們可以禁用部分員工的自動轉發功能或限制他們可以自動轉發的範圍。
另一個問題涉及到使用者用來通路的裝置。我不想讓他們把outlook的用戶端安裝在非企業的電腦上。這在公用電腦上是有其危險的,比如在酒店大堂裡,因為登出後郵件依然在裝置裡。我們可以讓員工使用企業單點登入方案登陸outlook避免這個風險。一個優勢是我們的單點登入使用了多因素身份驗證,但它也可以被配置成用來限制outlook通路一台裝置(可能是與企業有關的裝置)。另一個限制通路的方法是為企業電腦釋出機器證書并配置office 365使其隻允許具備有效證書的機器的連接配接。
我們最終将給使用手機辦公的員工部署耐用的第三方移動裝置管理應用。直到那時,我們将使用office365自帶的移動裝置政策。這些包括密碼要求、裝置逾時、加密、暴力保護、已越獄裝置的限制,還有當使用者離開公司時選擇性擦除手機(僅企業郵件)。
我們将使用微軟稱之為mailtips的功能來防止資料丢失。比如,如果使用者建立了一個包含敏感資料的郵件,諸如信用卡号,mailtips會發送一個警告提醒這個是不當行為。當使用者發送郵件包含外部使用者的配置設定表時也會發送類似的警告。
我們也可以防止使用者将網頁郵件下載下傳到outlook。最好是徹底禁止這種行為,因為我們不能保證那些個人消息的完整,并且我們也不想把它存儲到企業裝置上。
最後,我們當然要啟用所有的惡意軟體和垃圾郵件保護。我總是說如果我的公司被黑了,幾乎可以肯定是因為有人點選了郵件裡的一些東西。我為了阻止惡意郵件所做的一切都是值得的。包括阻止某些郵件附件,諸如與惡意軟體相關的可執行檔案和腳本。我們将繼續執行發送方政策架構(spf),它可以使郵件發送方的ip位址有效。
還有其它由微軟提供的更先進的配置選項可供我們評估和部署,隻要它們不影響我們做生意。但是,在增加了諸多限制之後,還是要保證正常郵件的發送效果,也就是在安全性和可用性之間尋求最佳平衡。
本文轉自d1net(原創)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)