Top-5 items voor de beste cloud security binnen Microsoft 365

Veel organisaties hebben in de afgelopen vijf jaar (of eerder al) de overstap gemaakt van een on-premise IT-infrastructuur naar een (public) cloudplatform. Dit brengt nieuwe vraagstukken met zich mee, onder andere op het gebied van security. Waar een vraagstuk ligt, is ook een antwoord: Microsoft geeft dat antwoord met Microsoft 365. Met deze software kunnen organisaties de gehele stack van Microsoft Office 365, Dynamics 365 en zelfs SaaS of webapplicaties van andere aanbieders gemakkelijk veilig houden met een geïntegreerde security-oplossing.

Voor een IT-afdeling was het voorheen gemakkelijker om richtlijnen op te stellen voor het gebruik van werklaptops en smartphones. Kantoorlocaties en datacenters waren goed te beveiligen, maar in een complex cloud-landschap is het lastiger om overzicht te houden en sluitende security-maatregelen te nemen. Data en applicaties worden namelijk op verschillende locaties gehost en door verschillende partijen beheerd.

Ook groeit de hoeveelheid data die geproduceerd en gedeeld wordt zo hard, dat een IT-afdeling niet meer in staat is om dit zonder extra inspanningen te controleren en beheersen. Microsoft helpt organisaties de controle te houden over de grote hoeveelheid data in de cloud en bestanden veilig te stellen. Een belangrijk aspect van beveiliging is vertrouwen en betrouwbaarheid. Dit geldt op vijf niveaus:

1.    Betrouwbare gebruikers

Het is belangrijk dat organisaties 100 procent zeker weten dat de gebruikers van een cloudoplossing ook daadwerkelijk medewerkers van de organisatie zijn. Via de Azure Active Directory (AAD) van Microsoft 365 wordt dit gecontroleerd. Met deze software hebben medewerkers geen wachtwoorden meer nodig, maar kunnen ze gebruik maken van een pincode en een tweede authenticatiefactor zoals biometrische gegevens.

2.    Betrouwbare apparaten

De Windows AAD-integratie zorgt ervoor dat werknemers zich op ieder apparaat veilig aan kunnen melden. Door de integratie met AAD weet Microsoft 365 dat het apparaat dat verbinding probeert te maken met de cloud, ook daadwerkelijk bij het bedrijf en een individuele medewerker hoort. Het is dus niet mogelijk om met een ‘unauthorized’ apparaat de cloud binnen te komen. Medewerkers kunnen veilig buiten kantoor werken, zolang ze dit maar doen op een bekend apparaat.

3.    Betrouwbare apps 

Zelfs als de gebruikers en apparaten veilig zijn verklaard, speelt beveiliging op applicatieniveau nog een rol. Wordt data verwerkt op de manier die de organisatie als veilig heeft beoordeeld? Met de Microsoft 365-software heeft de IT-afdeling hier meer inzicht in en controle over. Data en applicaties worden in een beveiligde en ecrypted omgeving opgeslagen. Dit stelt zeker dat het backend platform van de app veilig is en de data die via de applicatie loopt ook. Microsoft heeft zelfs een lijst van betrouwbare applicaties die ze aanbieden.

4.    Betrouwbaar platform

Het is niet alleen van belang dat gebruikers, apparaten en applicaties betrouwbaar zijn, maar het platform moet ook op een veilige manier met data omgaan. Microsoft 365 geeft beheerders controle over de toegang tot data, data-encryptie en veilige storage binnen Microsoft Azure, Office 365 en Dynamics 365. Deze platformen zijn gebouwd met security als integraal onderdeel, volgens het security-by-design-principe. De data wordt op deze Microsoft platformen zelf bewerkt en opgeslagen, waardoor het gegarandeerd veilig blijft.

5.    Betrouwbare data

Als je de eerste vier niveaus in de smiezen hebt, blijft de samenwerking met andere partijen nog over. Je werkt immers samen met partners en klanten en wilt er ook zeker van zijn dat data die wordt uitgewisseld met deze partijen beveiligd is. Microsoft voorziet in beveiliging op dataniveau via Microsoft Information Protection. Door middel van dataclassificaties en beveiligingsniveaus en restricties op gebruikersniveau beperk je de risico’s op dit niveau tot een minimum. Monitoring is hierin belangrijk, want uiteindelijk staat of valt een security-aanpak met het bewustzijn en gedrag van medewerkers.

Het is van groot belang om alle vijf de pijlers goed te beveiligen en medewerkers op te leiden. Op het gebied van security wil je niets aan het toeval overlaten. De doorsnee cloud-infrastructuur en hoeveelheid data die we met z’n allen produceren, delen en consumeren wordt er in de toekomst namelijk niet minder op. 

Auteur: André de Koning, Cloud Architect bij HSO