Microsoft 365 安全性

Microsoft 365 安全性是一套全面的工具、特點與解決方案,旨在保護您的環境、使用者帳戶及資料,使其免受不斷演變的網路威脅與惡意活動的侵害。

透過強化防護並降低風險,Microsoft 365 Security 能鞏固您的防禦體系,並協助您的組織符合法律及產業合規標準。這確保您在確保安全之餘,也能妥善應對法規需求。

微軟掌控著近乎 全球辦公室套件市場的一半,僅在美國就有超過 130 萬家企業使用 Microsoft 365。這股普及熱潮促使微軟迅速因應客戶不斷演變的合規與安全需求。與此同時,這龐大的用戶群也使 Microsoft 365 成為網路攻擊的首要目標。

微軟致力於遵守各項法規。該公司提供廣泛的合規與安全工具,協助組織防禦網路威脅、保護其資料與完整性,並符合各項法規與標準。但 Microsoft 365 真的安全嗎？

微軟的營運遵循"共同責任” 模式,其中安全責任由使用者與微軟共同分擔,具體取決於部署類型(本地部署、雲部署及混合部署)與服務模式(軟體即服務、平台即服務或基礎架構即服務)。 然而,微軟明確列出了在所有服務與部署模式下仍屬使用者責任的範疇——包括資料保護、端點安全、帳戶管理及存取控制——並鼓勵使用者在保護自身環境方面發揮積極作用。

這意味著,雖然微軟提供了用於資料合規、隱私及安全的工具,但唯有使用者才須負責確保這些解決方案足以滿足其特定安全需求,並充分保護其環境。

註. 微軟在 Purview 和 Defender 入口網站中提供了資訊保護與資料外洩防範工具。2024 年,微軟還發布了專用的 Microsoft 365 備份解決方案,用於備份 Exchange、SharePoint 和 OneDrive 資料。然而,這些工具 功能性有限. 若要完全掌控您的 Microsoft 365 資料,您需要一套全面的第三方備份解決方案,例如 NAKIVO Backup & Replication.

要掌握所有 Microsoft 365 安全性工具與服務並非易事。首先,某些特點可能會演變為工具或解決方案,其名稱也可能隨之變更。其次,這些工具與服務會因您所使用的 Microsoft 365 方案及部署類型而有所不同。

為了更清楚地了解各種工具及其之間的關聯,我們可以將微軟的主要解決方案歸類為幾個類別:

• 身分與存取管理 (IAM)混合辦公模式與混合環境使得身分與存取管理(IAM)對管理員而言更具挑戰性,因為他們需要確保對組織所有資源(包括 email、資料和應用程式)的遠端存取安全無虞。IAM 服務讓管理員能夠驗證使用者身分、設定多重身分驗證(MFA),並配置必要的存取權限。微軟不僅內建 IAM 特點,更提供專用的 IAM 解決方案——Microsoft Entra ID。
• 威脅防護。 微軟提供多層次的資安防護方案,旨在保護本地端與雲端環境。Microsoft 365 威脅防護包含兩項核心解決方案:
  • Microsoft Defender XDR(前身為 Microsoft 365 Defender),其中"XDR"代表"擴展偵測與回應"(eXtended Detection and Response),是一個全面的雲端入口網站,您可透過此入口網站存取大多數 Microsoft 安全工具。
  • Microsoft Sentinel 是一項安全資訊與事件管理服務(SIEM),旨在收集並分析來自組織網路內各種來源的事件日誌資料。

  此外,微軟還推出了由人工智慧驅動的助理"Copilot",以強化威脅偵測與事件應變能力。

• 資料治理與合規。 這體現於 Microsoft Purview 工具,包括合規管理員 (Compliance Manager)、資料外洩防護 (DLP) 以及電子證據開示 (eDiscovery)。

Microsoft Defender XDR:風險偵測與緩解

Defender XDR 是一個整合了幾乎所有 Microsoft 威脅管理與應對特點的全面性資安入口網站。Defender 的主要組件包括:

• Entra 身分識別保護 讓組織能夠細緻地管理使用者身分、偵測漏洞,並自動對可疑登入行為做出回應。
• Exchange Online Protection (EOP) 這是一項過濾服務,可保護組織的 email 免受垃圾郵件、網路釣魚攻擊及惡意軟體的侵害。EOP 是 Microsoft 基礎架構中 Microsoft 365 電子郵件安全的核心層。
• Office 365 Defender(前身為 Office 365 進階威脅防護) 可協助即時偵測並緩解網路釣魚及惡意軟體攻擊。此解決方案的特點涵蓋反網路釣魚防護,以及針對email、SharePoint、OneDrive 和 Microsoft Teams 中的惡意附件進行偵測。更高階的方案還提供攻擊模擬與自動化調查等額外特點。
• 雲端應用防護方案。 此解決方案專注於雲端存取安全與應用程式治理,透過自動化警示與處置機制,協助您在跨 SaaS 環境中更有效地管控應用程式的存取權限、資料共享及使用狀況。
• 端點防護 是管理端點安全的重要工具,可協助組織分析裝置漏洞、自動化調查與修復流程,並縮小攻擊面。此工具可與 Defender for IoT 整合,以涵蓋連網裝置。

  管理員亦可啟用具備端點偵測與回應 (EDR) 功能的 Microsoft 365 行為防護,並透過 Defender 漏洞管理. 這使他們能夠掌握組織數位資產的狀況、使用修復工具,並評估資料外洩的發生機率。

• Defender for Identity(前身為 Azure 進階威脅防護) 透過收集 Active Directory 伺服器的訊號,即時偵測並調查與身分識別相關的威脅。此功能可迅速識別混合環境中遭入侵的身分帳戶及內部威脅。

為了更清楚地了解 Defender 的各項工具如何協同運作以建立分層式防護,不妨試想一次網路釣魚攻擊的案例。

1. EOP 和 Defender for Office 365 有助於降低收到釣魚 email 的風險。
2. 如果email成功送達,且使用者開啟了惡意附件,Defender for Endpoint 便能偵測並阻止惡意軟體在該使用者的端點裝置上執行。
3. 如果惡意軟體鎖定用戶身分,Defender for Identity 會標記可疑的登入行為。
4. Defender for Cloud Apps 可防止攻擊者利用遭竊取的帳戶存取組織儲存在 Microsoft 雲端中的資料。

Microsoft Sentinel:安全事件的集中管理

Microsoft Sentinel 結合了安全資訊與事件管理 (SIEM) 服務與安全編排、自動化及應對 (SOAR) 技術。

雖然 SIEM 主要用於收集和分析來自各種來源的事件日誌資料,但 SOAR 則透過預先設定的政策來揭露真實威脅,從而強化威脅偵測能力,協助更快地解決事件。

Microsoft Sentinel 與 Defender XDR 結合使用時,可提供涵蓋整個基礎架構的更廣泛可視性,具體而言:

• Defender XDR 平台 有助於調查攻擊事件、保護資料免受勒索軟體和網路釣魚等網路威脅的侵害,並透過自動化修復措施更快地做出回應。
• Sentinel SIEM 平台 協助透過統一的控制台管理網路安全,讓組織能夠收集並分析與特定安全事件及狀況相關的資料。

Microsoft Purview:資料合規與治理

Microsoft Purview 是一套工具與解決方案,旨在協助組織符合法規需求,並改善資料管理與治理。Purview 入口網站提供的部分主要特點包括:

• 基於政策 資料加密 使用自訂加密金鑰。
• 客戶保管箱 以確保微軟人員未經該組織批准,不得存取客戶資料。
• 日誌稽核 用於合規與法律調查。Premium 方案(前身為 Microsoft 365 Advanced Audit)可將日誌保留長達一年,並針對與使用者活動相關的稽核記錄提供可自訂的保留政策。
• 電子證據開示 支援端到端的流程,用於保留、分析及匯出內部與外部調查所需的內容。
• 端點資料外洩防護 (Endpoint DLP) 偵測並針對可疑或不當的資料活動發出警示,例如無意間過度分享敏感資料。
• 內部風險管理 有助於監控及管理可能違反法規或內部政策的可疑用戶活動,並識別組織內的潛在安全威脅。
• 合規經理 提供針對常見標準與法規的預建評估,透過逐步指引並產生基於風險的合規評分,協助組織追蹤法規遵循狀況。
• 資訊屏障 是指組織可設定的政策,用以限制特定使用者或群組之間的通訊、內容查詢及資源探索。
• 資訊保護 讓組織能夠透過管理員設定和基於政策的設定,對敏感內容(例如文件、群組、email和網站)進行標記。
• 資料分類分析 使用"內容探索器"和"活動探索器"等工具來監控敏感資料。"內容探索器"會根據標籤和敏感度類型對敏感資料進行索引和篩選,而"活動探索器"則會標示出可能導致敏感資料面臨風險的用戶活動,例如編輯標籤或分享資料。
• 資料生命週期／紀錄管理(前身為 Microsoft 資訊治理) 協助組織設定保留政策與標籤,以確保符合法規對資料保留、歸檔及刪除的需求。

由於各類安全工具分散於不同的方案與解決方案中,要在 Microsoft 365 中建立一套完善的安全策略可能頗具挑戰性。以下是應重點關注的關鍵領域。

評估安全需求

雖然能夠使用所有 Office 365 安全工具看似有益,但進階方案的費用可能相當高昂。此外,管理多項安全工具不僅會增加管理負擔,也提高了出錯的風險,因此必須在安全需求、預算與營運效率之間取得平衡。

一套完善的安全策略應根據貴組織的具體需求與財務限制量身打造。請評估貴組織的安全需求,並著重部署必要的工具,以免因過度的管理複雜性而使 IT 團隊不堪重負。

部署零信任

零信任安全模型要求管理員採取"永不信任,始終驗證"的原則,並假設任何請求(尤其是來自未受信任或未受控管網路的請求)都可能構成安全威脅。透過驗證每項存取請求,組織便能將未經授權的存取及資料外洩風險降至最低。

設定多重驗證 (MFA)

實施多重身份驗證 (MFA) 可為 Microsoft 365 增添一層防範身份盜用的保護,要求使用者在存取網路前驗證其身份。MFA 顯著提升了登入安全性,降低了因憑證遭竊而導致未經授權存取的風險。

管理安全性政策

Microsoft 365 提供多種安全性政策,例如保留政策、條件存取政策、標籤政策及加密政策。雖然這些工具能對資料安全性進行細粒度的控制,但需要定期進行設定、維護和更新。將此流程自動化有助於減輕管理負擔,並確保管理的一致性。

持續監測與改善

要維持強健的安全防禦態勢,必須持續監控並主動進行改善。請實施修補程式管理策略,確保您的環境、裝置及 Microsoft 365 應用程式皆已安裝最新的安全修補程式與更新。此舉有助於降低系統漏洞,並減少遭受網路攻擊的風險。

NAKIVO Backup & Replication 提供專為 Exchange Online、SharePoint Online、OneDrive for Business 及 Microsoft Teams 資料設計的 Microsoft 365 專用備份解決方案。與僅將備份儲存於 Microsoft 基礎架構內的原生備份功能不同,NAKIVO 解決方案讓您能將資料副本儲存於您選擇的多個位置。 支援的儲存選項包括公有雲與私有雲、本地資料夾、NAS 以及可拆卸裝置。這種儲存靈活性讓您能輕鬆實施"3-2-1"備份策略,從而消除單點故障的風險。

此外,NAKIVO 解決方案支援多種虛擬與實體平台,並將您的資料保護作業集中管理於單一的網頁式儀表板中。這種簡化的方法能讓您對整個基礎架構擁有更佳的控制權與可視性,從而提升整體安全性與營運效率。