Главная » Безопасность » Шифрование в Exchange Online

Шифрование в Exchange Online

Шифрование в Exchange Online

На практике процесс несколько сложнее, но это описание дает приемлемое общее представление. Далее я приведу более подробную характеристику различных типов шифрования, используемых в Exchange Online, и покажу, как применить их с максимальной пользой.

Типы шифрования Exchange Online

Существует пять различных типов шифрования, которые используются в Exchange Online: BitLocker, TLS, Office 365 Message Encryption, Information Rights Management и S/MIME. О каждом из пяти типов шифрования мы поговорим отдельно и рассмотрим, какие задачи они решают и как настроить их для применения.

Должен сказать, что, несмотря на более чем двадцатилетний опыт построения систем обмена сообщениями и наличие разнообразных сертификатов, я все же не юрист. А для рассмотрения некоторых вопросов здесь очень пригодилось бы юридическое образование. К сожалению, мой опыт в данном отношении ничтожен, и все мои заявления, которые могут производить впечатление юридически грамотных, на самом деле таковыми не являются.

Сделав эту оговорку, я перехожу к первому типу шифрования, используемому в Exchange Online,— BitLocker.

Шифрование BitLocker

BitLocker — технология шифрования дисков, реализованная в Windows Server 2008 и более поздних версиях (а также в Windows Vista и более новых клиентских операционных системах). BitLocker обеспечивает шифрование сохраненных данных электронной почты с помощью алгоритма Advanced Encryption Standard (AES). Если злоумышленнику каким-то невероятным образом удастся взломать центр обработки данных Office 365 и выкрасть жесткий диск с базой данных Exchange Online, ему не удастся получить доступ к данным на этом жестком диске без ключа шифрования.

AES — протокол шифрования с синхронным ключом (то есть для шифрования и восстановления данных используется один ключ). Я не буду вдаваться в подробности шифрования этого типа, так как пользователю Exchange Online не предоставляется никаких возможностей настройки. Однако вы можете получить дополнительные сведения об AES в статье в Википедии (Advanced encryption standard).

BitLocker — одна из причин для перехода на Office 365, ведь значительная часть работы по настройке Exchange уже выполнена за вас.

BitLocker уже настроен на клиенте, и все хранящиеся данные зашифрованы. У пользователя нет возможности проверить это напрямую, но продукция Microsoft соответствует требованиям независимых процедур аудита. Дополнительные сведения по этому вопросу можно найти на сайте Office 365 Trust Center.

Шифрование TLS

Следующий тип шифрования, который мы рассмотрим,— TLS. Протокол защиты транспортного уровня Transport Layer Security (TLS) позволяет двум отдельным организациям Exchange обмениваться почтовыми сообщениями через шифрованный канал связи. TLS функционирует очень похоже на механизм SSL в браузере. Это означает, что администратору не составит особого труда настроить TLS.

Прежде чем приступить к настройке TLS в Exchange Online, обозначим различия между TLS в Exchange Online и Domain Security в Exchange 2010 и 2013.

Domain Security — набор функций в локальной версии Exchange, реализованный в Exchange 2010 и Outlook 2007 и задуманный в качестве экономичной альтернативы для S/MIME и иных решений безопасности на уровне сообщений. В Domain Security функциональность Mutual TLS сочетается с клиентскими уведомлениями, чтобы показать пользователю, что его сообщение передается через безопасное соединение. Клиентские уведомления Domain Security недоступны в Exchange Online.

TLS — протокол шифрования, предназначенный для организации безопасного туннеля связи через общедоступный Интернет. Exchange Online позволяет настроить всегда шифруемые соединители отправки и получения для конкретных партнеров. Если, например, ваша компания работает совместно с другой компанией над крупным проектом, в который вовлечено много
сотрудников, то можно настроить специальные соединители отправки и получения между двумя организациями Exchange, чтобы весь почтовый трафик всегда шифровался.

Настройка TLS сводится к созданию соединителя отправки и получения и последующей подгонке к конкретной партнерской организации.

  1. В портале Exchange Admin Console (ЕАС) в Office 365 перейдите к mail flow > connectors (поток обработки почты > соединители). В разделе Inbound Connectors («Соединители входящей почты») щелкните символ «+», чтобы добавить новый соединитель.
  2. Назначьте соединителю имя и выберите тип partner. Укажите Force TLS («Принудительное применение TLS») в качестве режима безопасности соединения.
  3. В разделе доменных ограничений выберите один из вариантов: None, restrict domains by certificate («Ограничить домены по сертификату») или restrict domains by IP addresses («Ограничить домены по IP-адресу»),
  4. В разделе доменов щелкните символ «+», чтобы добавить домен (домен электронной почты, такой как @contoso.com).
  5. Нажмите кнопку Save («Сохранить») и убедитесь, что соединитель активен.
  6. Процесс настройки Outbound connector («Соединители исходящей почты») происходит аналогично.
  7. В портале Exchange Admin Console (ЕАС) в Office 365 перейдите к mail flow > connectors. В разделе Outbound Connectors («Соединители исходящей почты») щелкните символ «+», чтобы добавить новый соединитель.
  8. Назначьте соединителю имя и выберите тип partner.
  9. В разделе безопасности домена выберите Self-signed certificate («Самоподписывающийся сертификат») или Trusted certification authority (СА) («Доверенный центр сертификации») в зависимости от того, использует ваш партнер стороннии оошии сертификат или самоподписывающийся сертификат. Можно указать Recipient certificate matches domain («Сертификат получателя соответствует домену»), чтобы получить дополнительный уровень безопасности. Перечисленные домены должны соответствовать общему имени (CN) в теме сертификата. Дополнительные имена субъектов (SAN) неприемлемы.
  10. Добавьте домен с использованием символа «+» в разделе доменов, а затем сохраните новый соединитель.

После того как будут организованы соединители отправки и получения для партнерской организации, задача считается выполненной. Конечные пользователи не получают уведомления, что их сообщения передаются или будут передаваться через защищенное соединение. Администратор должен предоставить пользователям информацию о партнерских организациях.

Протокол TLS шифрует поток сообщений, передаваемый между организациями через Интернет. Сообщения, передаваемые через TLS, не шифруются в пользовательских клиентах Outlook или где-либо в клиенте Exchange Online (кроме упомянутого выше шифрования хранимых данных с использованием BitLocker). TLS не защитит от администратора-злоумышленника, который неправомерно назначит себе разрешения для доступа к чьему-то почтовому ящику.

Итак, мы рассмотрели два типа шифрования для Exchange Online — BitLocker и TLS. В следующей статье я представлю алгоритм шифрования сообщений Office 365, именно о нем вспоминает большинство пользователей, когда речь заходит о шифровании почтовых сообщений.

Автор: Натан О’брайан

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *