Data encryptie in O365

Ik krijg vaak vragen over de encryptie binnen Office 365. Vandaar eens op een simpele Jip en Janneke manier een eenvoudige duiding van de verschillende technieken die gebruikt worden. Geen deepdive maar een helder overzicht is het doel van deze blog, zodat het ook begrijpelijk is voor de ‘gewone’ gebruiker.

Office 365 kent verschillende manieren van databeveiliging en encryptie. We kunnen eigenlijk drie stadia definiëren: data at rest, data in transit en data op je device, dus, in gebruik.

  1. Data at rest

Bitlocker (standard)

3

Alle data in de datacenters van Microsoft zijn primair beschermd dankzij Bitlocker. Dit betekent dat elke harde schijf versleuteld / encrypted is en daarmee ook gelijk onbruikbaar wordt indien deze schijf uit het rack zou worden verwijderd. Bitlocker gebruikt AES met maximaal 256 bits keys. De schijf is slechts te gebruiken indien de juiste key aanwezig is.

Per file encryption (Fort Knox) (standard)

1

Verder wordt elke file binnen O365 afzonderlijk ook nog weer encrypted met een eigen unieke key. De betreffende key gaat naar verschillende key stores in Azure en ook deze key stores worden afzonderlijk encrypted. Deze keys gaan weer in de Azure master key store. Daarnaast rouleren deze keys ook nog weer elke 24 uur. Deze encryptie techniek maakt gebruik van AES 256 bit encryptie en is FIPS 140-2 compliant.  We noemen dit intern onze ‘Fort Knox’ oplossing en je kunt wel raden waarom.

Advanced encryption and BYOK (optional, complex)

Voor klanten die nog een stap verder willen gaan, heeft Microsoft BYOK Bring Your Own Key). Dat betekent dat de organisatie zelf de eigenaar van de key is en deze op elk gewenst moment uit de service kan halen, waarmee de data onbruikbaar wordt.

2

Dit scenario is bijvoorbeeld van belang voor een organisatie die het belangrijk vindt als men met de service stopt, dat de data daarmee gelijk vernietigd wordt. Het terughalen van de key is daarmee vergelijkbaar; immers, er rest dan niks anders meer dan een hoop digitale ruis. (Overigens, voor de compleetheid, heeft Microsoft een streng compliancy beleid t.a.v. het vernietigen van data áls een klant stopt met de service, dit staat uitvoerig beschreven en wordt contractueel vastgelegd). N.b. dit is dus net anders dan BYOK waarbij de key standaard bij de klant rust. In het hierboven beschreven geval is de key ‘gewoon’ primair beschikbaar gesteld door de klant en kan de service dus wel alle diensten leveren, zoals search en indexing. Zodra de key echter teruggehaald wordt, stopt dat.

2. Data in transit

TLS (https) (standard)

Zodra er verbinding met Office 365 wordt gemaakt, reist opgevraagde data via het internet. Hiervoor wordt altijd een connectie via https opgezet met O365. Deze communicatie is TLS encrypted. Dit betekent dat een dergelijke verbinding de data ook weer beveiligd verstuurd.

E-mail encryptie (optional)

4

Office 365 heeft verschillende manieren om beveiligde mail te versturen. O365 Message encryption is gebaseerd op Azure RMS. Berichten worden encrypted verstuurd naar interne- of externe gebruikers. Dat kunnen ook ‘gewoon’ consumenten zijn; dus, er kan beveiligd worden gemaild naar Outlook.com, Hotmail, Gmail en Yahoo adressen bijvoorbeeld. Een eventuele reply op de mail is (uiteraard) ook weer encrypted.

Met IRM worden rechten op berichten gezet. Het bericht wordt hiermee ook beveiligd, maar, wordt daarnaast bijvoorbeeld van rechten voorzien als: niet doorsturen en niet printen. Een prima manier om een gevoelig bericht de organisatie in te sturen waarbij voorkomen wordt dat het bericht gelijk doorgestuurd wordt naar derden.

S/MIME is encryptie met digitale handtekeningen en authenticatie van de afzender. Een S/MIME bericht is dus gegarandeerd van de afzender. Groot nadeel is dat S/MIME encrypted berichten zodanig encrypted zijn dat ze ook niet meer gescand kunnen worden op malware en/of virussen. Derhalve is deze methode vooral in gebruik bij overheden onderling.

3. Data op je device

Azure RMS (optional)

5

En last but not least: een hele belangrijke. Met Azure RMS is het mogelijk bestanden weer afzonderlijk te encrypten zodra ze ‘in transit’ zijn. Dus, in gebruik zijn. Dat betekent dus dat als een gebruiker enkele bestanden op zijn laptop of een USB  stick zet deze met Azure RMS worden beveiligd. Bij het openen van het document op het device wordt steeds geverifieerd (real time, geen vertraging) of -en wat voor rechten de gebruiker op het document heeft. De gebruiker kan bijvoorbeeld alleen leesrechten hebben gekregen en kan het document dan ook niet aanpassen of printen. En raakt de gebruiker de USB stick kwijt met belangrijk IP materiaal, dan is er niks aan de hand, want, een ongeautoriseerde gebruiker heeft geen rechten en kan de files niet lezen. Voor ongeautoriseerde gebruikers is het wederom slechts een USB stick vol met bitjes, digitale ruis. Nog een andere fijne bijkomstigheid wellicht, is de medewerker na een aantal jaar niet meer in dienst, dan zal hij ook de documenten niet meer kunnen openen, ook al heeft hij ze jaren geleden gekopieerd. Immers, bij openen checkt het bestand of de gebruiker wel rechten heeft…..

Azure RMS (ook vaak IRM genoemd) is geen rocket science. Het is een krachtige manier tegen data verlies van de organisatie. Wel moet je het inregelen op je omgeving en het heeft geen zin om het overal aan te zetten. Er zijn meer manieren om dataverlies vanaf je Office 365 samenwerkingsomgeving tegen te gaan, zoals DLP, echter, dat heeft niet met encryptie te maken en dat valt dus buiten het doel van deze blog.

MDM (Mobile Device Management) (optional)

Ik werd getipt door Maarten dat er in het bovenstaande rijtje nog een feature mocht worden opgesomt en Maarten heeft gelijk, dank Maarten!

Nog iets anders wat gebruikt kan worden met Office 365 is Mobile Device Management. Hiermee wordt er als het ware een encrypted container op je device geplaatst waar de zakelijke data zoals de e-mail en documenten van OneDrive in komen te staan. Een goed scenario bijvoorbeeld voor BYOD met een iPad of gebruikers die hun eigen smartphone gebruiken. Dankzij het afdwingen van deze policy bij het in gebruik nemen van een eigen device op de zakelijke Office 365 omgeving is het ook mogelijk om bij een security incident (bijvoorbeeld een verloren device, of een medewerker die uit dienst gaat) ‘slechts’ het zakelijke gedeelte van het device te wissen door de organisatie. Dat betekent dat niet de vakantiefoto’s en prive mail wordt gewist!

Hope this helps!

 

 

 

Data naar Office 365 nu nog eenvoudiger!

Office 365 import tool

Goed nieuws. Geweldig nieuws zelfs. Migraties naar SharePoint Online zijn niet altijd de meest eenvoudige geweest. Daar komt met deze tool verandering in. Technisch gezien dan. (Qua datakwalificatie (wat is gevoelige informatie, wat is oude data, wat is er dubbel etc.) verandert dit niets aan de situatie, maar daar zijn andere oplossingen voor). Waar het wel heel veel aan verandert, is de eenvoud van het krijgen van je data in O365. Dat ging in het verleden met migratietools en third party oplossingen. Dat kan nog steeds, maar, met de O365 Import Tool zorgt Microsoft ervoor dat data eenvoudig op twee manieren in je tennant komt. Beide zijn nieuw.

  1. Via de import service, standaard aanwezig in O365 admin center
  2. Distributie van je harde schijven naar het datacenter van Microsoft, waar ze uitgelezen worden en waar de data in je O365 tennant wordt geplaatst.

Office-365-Import-Service-1

Wanneer kies je voor welke manier? Dat hangt er vanaf. Als je minder dan 10 TB aan data te verstouwen hebt, is uploaden waarschijnlijk sneller. Heb je meer data of toch wel een heel beperkte internetconnectie, dan is het opsturen van je data waarschijnlijk sneller. Dat voorkomt ook bij grote migraties de huur van een extra tijdelijke datalijn met extra capaciteit.

Beide geldt voor data binnen SharePoint Online, OneDrive for Business maar ook voor Exchange Online. Je kunt je PST files nu dus ‘gewoon’ op HD’s zetten en naar Microsoft opsturen. Mooi.

Dit is geweldig nieuws, aangezien de stap naar de cloud hiermee makkelijker wordt gemaakt voor veel organisaties. Ik heb in de meeste projecten meegemaakt dat men vaak om begrijpelijke redenen aanhikt tegen een migraties vanwege de complexiteit en de technische uitdaging. Dat laatste maken we hiermee een stuk simpeler. Je levert de data aan op je harde schijven en Microsoft zorgt voor de verwerking. Leuker kunnen we het niet maken 😉

Meer informatie vind je hier: https://technet.microsoft.com/library/ms.o365.cc.IngestionHelp.aspx?v=15.1.166.0&l=1

DLP (Data Loss Prevention) in Office 365

DLP in Office 365

We kunnen DLP (Data Loss Prevention) in Office 365 onderverdelen in twee services, DLP over Exchange en DLP over SharePoint. De werking is hetzelfde.

DLP en Exchange

Met DLP policy’s binnen Exchange werken op basis van templates. Er bestaan reeds diverse templates die door de organisatie kunnen worden aangepast of uitgebreid. Met deze policy’s zorg ik er bijvoorbeeld voor dat de gebruiker een waarschuwing krijgt als hij gevoelige informatie wil mailen of zelfs helemaal niet in staat is deze informatie via mail te delen. Dit kan gaan om credit card nummers, maar ook om gevoelige documenten, zoals een researchdocument o.i.d. Naast de inhoud van de mail zelf is DLP ook in staat om met DLP Fingerprinting attatchments te beoordelen op gevoelige informatie. Meer informatie is in deze duidelijke blog te vinden:

https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

DLP over SharePoint en OneDrive for Business

Uitbreiding van de DLP service over SharePoint heen maakt dat ik iets soortgelijks met SharePoint documenten kan doen. Daarmee draag ik zorg voor een bepaalde compliancy. Staan documenten wel op de juiste plek opgeslagen? Worden gevoelige documenten niet op de OneDrive for Business site opgeslagen, waar ze (te) gemakkelijk kunnen worden gedeeld met externen dankzij External Sharing? Worden de kostbare R&D documenten inderdaad wel op de projectensite opgeslagen, waar standaard op de documentenbibliotheken IRM (Information Rights Management) aanstaat of zwerven ze rond op mijn SharePoint omgeving?

Bovenstaande zaken kunnen middels DLP over SharePoint en OneDrive for Business worden gemanaged. Meer informatie over deze service is te lezen op Office Blogs:

https://blogs.office.com/2015/04/21/evolving-data-loss-prevention-in-sharepoint-onlineonedrive-for-business-and-office-applications/

IRM. Veilig werken met documenten, ook offline

Met IRM (Information Rights Management) binnen Office 365 (onderdeel van E3 en hoger) heeft Microsoft een service waarmee rechten op documenten kunnen worden gezet. Dat betekent dat ik documenten kan beveiligen tegen downloaden, printen, aanpassen en meer. Maar, het betekent ook dat ik de rechten (die via de Active Directory, of in geval van Office 365 via Azure Active Directory) persoonlijk maak. Het document wordt als het op USB stick, PC, tablet of wat dan ook wordt geplaatst, automatisch versleuteld. Daarmee wordt het document gontoegankelijk voor een ongeautoriseerde gebruiker, want, zonder de juiste AD gegevens kun je het document niet openen. En voor de geautoriseerde gebruiker verandert er niets, die kan er zonder problemen mee werken, het systeem checkt op de achtergrond de juistheid van de gebruikersgegevens en zijn of haar rechten op dit document. Indien alles klopt, opent het document zonder problemen. Daarnaast kan ik de documenten ook nog een bepaalde ‘levensduur’ meegeven met IRM en dat betekent dat een gebruiker het document bijvoorbeeld maar voor zes maanden mag gebruiken. Daarna verlopen de rechten op het document en is het document niet meer te gebruiken. Ook als een medewerker, die lokaal diverse documenten op zijn eigen pc heeft opgeslagen, uit dienst gaat vervallen zijn rechten op deze documenten automatisch, immers, hij zal bij uitdiensttreding niet meer in de Active Directory voorkomen en dus kan het document geen sleutel meer ophalen bij openen van het document.
IRM
 
Het aanzetten van deze service binnen Office 365 is kinderlijk eenvoudig, in tegenstelling tot een on-premise oplossing. De dienst is al helemaal voor geïnstalleerd en geconfigureerd. Het enige wat de organisatie hoeft te doen is de service aan te zetten met een paar checkboxes. Moet ik dan alle sites en documentenbibliotheken maar op die manier gaan beveiligen? Nee, ik denk het niet. 90% van de informatie van een organisatie is niet de gevoelige informatie waar je dit soort maatregelen op wilt treffen. Mijn advies, zet het aan op plekken waar met gevoelige informatie wordt samengewerkt, bijvoorbeeld een site van een afdeling R&D. Het aanzetten op alle informatie in een betreffende bibliotheek is snel gedaan en het geeft een stuk controle. IRM werkt over alle Office documenten heen, alsook PDF files en XPS file formats. 

Meer informatie op Technet: https://technet.microsoft.com/en-us/library/dn792011.aspx

 

Work like a network

Op de SharePoint Conference deze maand in Las Vegas heeft Microsoft het bestaan van ‘Oslo’ bekend gemaakt. Oslo wordt m.i. een revolutionaire andere manier van werken. Waarom? Omdat het niet meer dicteert hoe mensen moeten samenwerken, het faciliteert gewoon. In welk systeem je ook werkt.

Wat het is
1Oslo is een upcoming App die op basis van search en machine learning informatie uit verschillende systemen naar de gebruiker brengt die voor hem of haar belangrijk is. De gebruiker staat hierin dus centraal. Met signalen (dit zijn eigenlijk interacties) bepaalt Oslo content uit je mailomgeving, SharePoint, Yammer en Lync die voor jou relevant kan zijn. Dit noemen we de Office Graph. Een slim systeem wat relaties en interacties analyseert en op basis daarvan een virtueel, cross teams netwerk met content genereert.

2Op de achtergrond van Offic365 wordt met search continu alle content al doorzocht. Met machine learning wordt er een keuze gemaakt uit content die voor de gebruiker interessant is. Dat doet Oslo op basis van bijvoorbeeld relaties en signalen. Stel je ontvangt vaak mail van je manager en je antwoord hierop vaak en snel. Dan leert het systeem dat dit een belangrijke relatie voor jou is. Op basis van die intelligentie kan Oslo je attenderen op content die jouw manager creëert of andere interacties van je manager. Of stel dat jij veel interesse hebt in het onderwerp ‘lead generation’. Oslo kan op basis van die interesse andere content van (on)bekende collega’s aan je tonen of verwijzen naar gesprekken die hierover gaan.

Stel je nu eens voor dat de App je dit soort content kan tonen, maar daarnaast ook bijvoorbeeld een slidedeck toont wat kortgeleden in een meeting waarbij jij aanwezig was, werd vertoond. Ja, ook dit weet het systeem op basis van Outlook invites en de content die in die meeting is vertoond in de presenter modus van PowerPoint bijvoorbeeld. Wow! Dat betekent dus dat je nooit meer je collega’s hoeft te vragen om het deck wat toen getoond werd, maar dat je dit gewoon in Oslo terug kunt vinden.

Ook content dit populair is onder jouw collega’s wordt aan je getoond. Het zou zomaar ook eens interessant voor jou kunnen zijn. Al dit soort informatie wordt binnen Oslo op een visueel aantrekkelijke manier gepresenteerd, een beetje zoals Flipboard dat doet. Vanuit de content zelf wordt een afbeelding gebruikt om een mini presentatie van de content te maken, of dat nu een PowerPoint is, een Yammer conversatie of een Excel grafiek. Daarmee wordt content ook gelijk herkenbaar gemaakt. Een plaatje wordt vaak beter herkend dan een alinea tekst.

3Met behulp van een aantal slimme filters is het binnen Oslo mogelijk om content veel eenvoudiger terug te vinden dan nu gebruikelijk is. We creëren met zijn allen natuurlijk nog steeds ontzettend veel informatie en dat doen we over het algemeen op veel verschillende plaatsen. Binnen Outlook, binnen Yammer, op verschillende plekken (teamsites of projectensites) binnen SharePoint, op de Onedrive for Business (voormalig SkyDrive Pro) etc. en dus is het soms lastig om even je laatste document te vinden wat je gemaakt had. Het kan op verschillende plekken staan. Met Oslo is dat verleden tijd. Simpelweg omdat de filters je helpen de juiste content te vinden en het niet meer uitmaakt waar iets staat. ‘Modified by me’ bijvoorbeeld laat alle content zien die je aangepast of gemaakt hebt. En ook content die jij ‘liked’ wordt getoond in Oslo. En hoe vaak is het je niet gebeurd dat je eens een document hebt gezien waarvan je later denkt; ‘dat was handig, dat ging precies over het onderwerp waar ik nu iets mee moet. Hoe heette dat document ook alweer, waar stond het, wie had het gemaakt? Al die vragen zijn niet meer relevant. Oslo toont het onder het filter ‘viewed by me’ Handig of niet?

4

Kortom, door het leggen van slimme verbanden, het weten wat jij zelf creëert aan content, de mensen in jouw netwerk, de mensen die jij volgt, de dingen waarop je reageert, die je ‘liked’ en sociale intelligentie en relevantie kan het systeem content aan je presenteren die er voor jou toe doet. En ook informatie tonen waar je zelf nog niet aan had gedacht.

5Dat betekent overigens dat Oslo ook informatie van buiten Office 365 toont. Als er content van buiten wordt ‘geliked’ op bijvoorbeeld Yammer, een Youtube filmpje of een nieuwsbericht van Nu.nl dan zal dat ook in Oslo worden getoond. Omdat het er dan toe doet. Getoonde content is dus niet exclusief voorbehouden aan content binnen O365. Interacties met content buiten O365 worden ook meegenomen.

People

Net als content voor mij ontdekt en beschikbaar komt, kan ik iets soortgelijks doen met mensen. Als ik zoek naar Josh, dan wordt al snel de belangrijkste relatie die ik heb met een Josh in mijn netwerk getoond als eerste suggestie. Klik ik deze Josh dan aan, dan krijg ik een overzicht van onze gemeenschappelijke collega’s, de mensen waar Josh mee werkt, zijn manager etc. Ook wordt de belangrijkste content getoond waar Josh recentelijk interactie mee heeft gehad.

6

Oslo draait om content, signalen en relaties. Alle informatie om jou heen op een grafische aantrekkelijke manier gepresenteerd aan je. Vindbaar, zoekbaar en toegankelijk. Dát verandert mijn manier van werken zeker. En ik vermoed dat het de manier van werken voor heel veel mensen gaat veranderen. Mensen centraal, de juiste informatie daar omheen. Zijn we er dan? Nee, vast niet. Als Oslo uit is zullen we goed moeten kijken en luisteren wat er goed aan is en wat anders en beter kan. Net zoals Oslo een learning App is, zijn wij als Microsoft ook een lerende organisatie en zal dit ‘slechts’ en stap in de goede richting zijn. Het uiteindelijke doel is mensen optimaal te faciliteren in hun manier van werken. Met de juiste interacties lukt dat elke keer beter. Af is het nooit 🙂

Work social – The Responsive Organization

Deze blog is verschenen op http://www.dutchcowboys.nl/microsoft/31077

Preview:
Stop efficiënt werken, start effectief werken

Social tools faciliteren een andere manier van samenwerken. Interne social netwerken maken het mogelijk om kennis te delen en met elkaar in verbinding te staan. Wil een organisatie meer innovatie, dan ontkomt men niet aan social. Kennis delen volgens het hiërarchische model is veel minder efficiënt dan de connected organization, waar iedereen met iedereen in verbinding staat en informatie tig keer zo snel kan worden uitgewisseld.

Het volgende voorbeeld illustreert dit goed. Als ik een vraag heb en ik moet volgens het traditionele model (links) mijn vraag beantwoord zien te krijgen, dan gaat dit via via. In sommige gevallen mail ik een hele groep mensen, maar, dan is het nog steeds niet echt effectief, want ik weet niet zeker of diegene die het antwoord heeft hiertussen zit. Kortom, tijdrovend, niet efficiënt en vooral niet effectief. Met behulp van social networking (rechts) sta ik met iedereen in contact en kan ik een vraag door iemand beantwoord krijgen waar ik hem niet rechtstreeks aan stel en die ik wellicht helemaal niet ken. Dat is de kracht van social networks.