Office365 ist eine Cloud-basierte Lösung, die gehostete E-Mail-, Kollaborations- und IM-Lösungen bietet und es Unternehmen ermöglicht, diese Funktionen schnell zu implementieren, ohne große interne Infrastrukturen zur Unterstützung der Produkte einrichten zu müssen. Bei der Umstellung auf Cloud-basierte Lösungen, insbesondere Office365, sollten Unternehmen jedoch die interne Sicherheitsinfrastruktur und den Aspekt der Benutzerfreundlichkeit sorgfältig vorbereiten und planen. Es gibt 3 Schritte, die Sie zur Vorbereitung Ihrer Bereitstellung in Angriff nehmen können (wir gehen natürlich davon aus, dass der Office365-Dienst selbst gesichert ist).
Die Schritte sind:
- Schritt 1: Identität und Aktivierung des Client-Zugriffs auf Office365
- Schritt 2: Verbund zwischen Cloud und AD FS vor Ort
- Schritt 3: Office365-Schutz mit AD RMS vor Ort
Schritt 1: Identität und Aktivierung des Client-Zugriffs auf Office365
Der erste Schritt bei der Vorbereitung Ihrer Infrastruktur auf Office365 basiert auf der Identitätsverwaltung und der Belastung des Web-Gateways. Office365 sowie die meisten Cloud-basierten Lösungen erfordern, dass Sie Benutzer für den Cloud-Service bereitstellen und diese Benutzeridentitäten und -attribute, wie Rolleninformationen, Kontaktinformationen usw., verwalten. Office365 enthält ein DirSync-Tool, um die anfängliche Bereitstellung und Synchronisierung von Benutzern mit dem Dienst zu erleichtern. Allerdings gilt auch hier das Axiom "Garbage in, garbage out", und die Daten in Office365 sind nur so gut wie die Daten in Ihrer Active Directory-Produktionsstruktur. Um ein ordnungsgemäßes, normalisiertes und sauberes Active Directory zu gewährleisten, muss eine Organisation über einen gut definierten Identitätsverwaltungsprozess und ein Tool der Unternehmensklasse verfügen, um die Synchronisierung von Attributinformationen sowie einen konsistenten Bereitstellungs-/De-Provisionierungsprozess zu erleichtern. Forefront Identity Manager (FIM) 2010 ist die Lösung von Microsoft für die Identitätsverwaltung, Bereitstellung und Synchronisierung sowie für Tools zur Selbstverwaltung von Benutzern. Nach der Identitätsverwaltung müssen die internen und die Perimeter-Gateways berücksichtigt und geplant werden, insbesondere wenn Web-Traffic-Filterung oder https-Inspektion verwendet wird. Da der gesamte Zugriff auf Office365 über das öffentliche Internet erfolgt (das versteht sich von selbst), müssen Unternehmen mit einer erheblichen Belastung ihrer Filtergeräte rechnen und den zusätzlichen Verbindungen und dem zusätzlichen Datenverkehr Rechnung tragen, indem sie entweder ihre aktuellen Lösungen durch Hinzufügen neuer hardware erweitern oder die vorhandenen hardware aufrüsten. Dies geschieht am besten mit einer zuverlässigen Überwachungsinfrastruktur, um echte Messdaten zu sammeln und die Entscheidungen über Infrastrukturänderungen auf die Messdaten zu stützen.
Schritt 2: Verbund zwischen Cloud und AD FS vor Ort
Im Rahmen der ersten Planungsphasen müssen Unternehmen prüfen und verstehen, wie sich die Benutzer bei Office365 authentifizieren werden, sei es mit einem dedizierten, separaten Benutzernamen und Kennwort oder mit einer Single-Sign-On-Lösung unter Verwendung von Federation-Services. Federation ist eine Reihe von Standards, die definieren, wie Unternehmen sicher auf die Ressourcen anderer Unternehmen zugreifen können, ohne für jedes System unterschiedliche Identitäten verwalten zu müssen. Federation und insbesondere AD Federation Services ermöglichen es Benutzern, sich gegenüber ihrem Active Directory zu authentifizieren, ein Token oder einen Anspruch zu erhalten und den Anspruch an Office365 für den Zugriff weiterzugeben. Dies ist für den Endbenutzer nahtlos und sorgt für eine viel sicherere Bereitstellung und weniger Probleme für den Benutzer, da er nie sein Passwort für die Office365-Infrastruktur kennen muss. Um den Verbund zu implementieren, ist ein Verbundserver erforderlich, der den richtigen Anspruch für den Verbunddienst (Office365) erstellt. Hierbei handelt es sich um eine lokale Lösung, und je nach Ihren Anforderungen müssen Sie möglicherweise auch die Verwendung eines ADFS-Proxyservers prüfen, der Verbund-Token-Anforderungen von externen Benutzern bearbeiten kann. Federation mit Office365 ist, wie bei den meisten anderen Cloud-Lösungen, ein Alles-oder-Nichts-Vorschlag - entweder müssen Sie alle Benutzer föderieren oder gar keine. Es wird daher empfohlen, die Föderation mit einer dedizierten Testinstanz von Office365 während der Migrationsplanung zu validieren und das Feedback der Endbenutzer zur Gesamterfahrung einzuholen.
Schritt 3: Office365-Schutz mit AD RMS vor Ort
Zu diesem Zeitpunkt ist der Office 365-Benutzerzugriff aktiviert, unsere Netzwerkgeräte sind in Ordnung, und wir haben Single Sign On! Das Leben ist gut, der CIO ist glücklich, und die IT-Abteilung feiert die Stilllegung der alten Exchange-Infrastruktur. Doch eine einsame Stimme in der jubelnden Menge fragt: "Was ist mit der Sicherung von Inhalten innerhalb von Office365?" Sicher, wir wissen, dass die Anwendung sicher ist und dass die Rechenzentren, in denen die Server gehostet werden, schwerer zu knacken sind als Fort Knox, aber was ist mit den Informationen, Dokumenten und dem geistigen Eigentum, das in der Cloud, in Exchange und in SharePoint gespeichert ist? An dieser Stelle kommen die Active Directory Rights Management Services ins Spiel. Active Directory Rights Management Services (oder ADRMS) ist ein Produkt zur Verwaltung von Informationsrechten, das Inhalte, die in einer Dateifreigabe, in SharePoint oder in Exchange gespeichert sind, verschlüsselt und zulässige Aktivitäten festlegt. Office365 ist ADRMS-fähig, aber Unternehmen müssen ihre eigene Infrastruktur bereitstellen, damit Benutzer die richtigen Zertifikate erhalten, um Inhalte öffnen und darauf zugreifen zu können. Sobald diese Infrastruktur vor Ort implementiert ist, müssen die Unternehmen die Verschlüsselungsschlüssel mit Office365 synchronisieren und die RMS-Infrastruktur nach außen veröffentlichen, damit die Benutzer ihre Inhalte nahtlos öffnen können.
Zusammenfassung
Office365 ist ein hervorragendes Serviceangebot für mittelgroße Unternehmen. Allerdings müssen Sie Ihrer eigenen Sicherheitsinfrastruktur, Ihren Prozessen und Technologien als Teil der Gesamtimplementierung Aufmerksamkeit schenken und dürfen eine Office365-Implementierung nicht nur als Datenmigrationsübung betrachten. Wenn Sie sich um alle Aspekte der Sicherheitsinfrastruktur gekümmert haben, werden Unternehmen die Migration als befriedigender empfinden und mehr Geschäftsziele erreichen, als dies bei einer reinen Migration der Fall wäre.
