Office 365 企業版(下簡稱O365)環境有許多應用功能與便利性,但是在一個重視智財與營業秘密的企業來說,O365許多便利渠道,反而可以更容易脫離公司管控,將機密資料外溢到非公司管控的裝置與競爭對手。另一角度來思考,也不能因為這樣的風險,就永遠禁用或迴避不用O365。反觀從微軟發展 O365脈絡來看,早晚必須面對與使用,應在便利與安全的槓桿下,取得一個平衡。
O365努力提升對企業安全的期待,但是站在企業多樣的思考點及民情文化的差異,或許由第三方資安產品來介入,並且在不使用O365以外微軟的其他安全機制下,建立與設計出更貼近台灣市場的保護機制及架構。O365與第三方因應市場需求、安全防護結合下,發現許多加值的開發設計,仍有漏洞可以透過O365的應用彈性,將資料外溢到沒受到管控的環境,甚至資料外洩。
第三方防護機制與O365必須要有整合性的搭配,才能充分的降低資料外洩事件的發生。為求嚴謹與慎重,在撰寫這篇文章當下,相關驗證與測試環境與O365的版本搭配,是在Office 365 E3授權環境,而O365仍持續改善與新增許多應用功能。
Office 365 企業版環境之風險
接著分析O365 E3授權環境有哪些應注意的風險與問題。Office E3授權環境,可以針對使用者角色,限制可以使用的功能,即便如此,我們必續慎重仔細分析,對企業來說還有哪些O365環境,是在管控上仍有其風險的?
- O365 在Word, Excel, PowerPoint 線上編修與儲存功能,必須加以限制與管控,該功能透過瀏覽器來進行編修,儲存地端與雲端硬碟,甚至列印,企業應對於檔案操作記錄與控管要求做補強。
- 誰在使用O365將是另一個難以管制的是即便鎖定放行特定裝置,企業仍缺乏掌握檔案誰在流動與操作的行為。建議搭配DLP管控機制再次確保放行的裝置的正確性。
- 在O365檔案外溢流動上,雖檔案可強制儲放在One Drive 企業提供的雲儲存空間,限制分享給企業角色以外的人,但仍有許多其他管道可能將資料外洩,如mail將資料轉寄到外部。
- 在O365提供Teams功能,如同Line或是Skype即時通訊功能。該功能當然可以將檔案以附件的方式傳送到外部使用者,又是另一個風險渠道。再者Teams交談內容如何記錄與查詢,又是企業安全管控上要注意的問題。
- 利用一個小手段,透過chrome瀏覽器登入O365企業帳號開啟Word功能,進一步開啟One Drive所存放企業機密檔案,再透過O365 Word列印pdf,就可以轉存到Google Driver,或是雲端列印功能,轉印到家中印表機,就有機會避開原有管制。
要建立如微軟Azure Information Protection(AIP)、RMS、DLP管控機制,或其他家的端點管控機制,才能讓使用上更安全。視企業的需求,建議重新驗證O365功能與環境,再進一步建立起最有效的管控機制。