Exchange 搭配 RMS 企業郵件防護實力大躍進
編者:Cho-Han Wu
圖一、 Exchange 2013 (來源)
前言:
無論任何系統,一旦儲存使用者的文件或資訊,皆可能面臨個資洩漏問題,雲端系統也不例外;因此企業如何打造安全無虞的文件管控系統、電子郵件防護平台,藉以強化個資保全,無疑當務之急。
面對個資法,經營 B2C 業務的企業如臨大敵,但某些從事 B2B 業務的公司,則相對無感;然台灣微軟技術經理常志誠認為,就個資法衍生的郵件或資訊安全議題,實與企業文件控管、智財權保護息息相關,因此不管業務型態是 B2C 或 B2B,可以肯定,都須善盡郵件風險管理。
「因應個資法的第一步,即是做好11項安全維護措施,」常志誠說,這些措施,包括「配置管理之人員及相當資源」、「界定個人資料之範圍」、「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣傳及教育訓練」、「設備安全管理」、「資料安全稽核機制」、「使用紀錄、軌跡資料及證據保存」,以及「個人資料安全維護之整體持續改善」。
上述措施,從第四項的「事故之預防、通報及應變機制」開始算起直到最後,皆與IT部門密切相關,但僅是IT一己任務?其實不是,企業不但需要「全民皆兵」,且必須持貫徹始終,最起碼要做到,絕不會連累老闆因個資法訴訟而上法院。
遵循個資法,優先做好郵件風險管理
如何保護個資?常志誠表示,首要之務即是進行個資盤點,下一步即需面對結構化資料庫、非結構化機敏檔案的安控議題;尤其非結構化機敏檔案安控,可謂個資保護的關鍵所在,執行難度甚高。
環顧非結構化機敏檔案,哪些可能肇因於內部洩漏,因而產生重大風險?根據 Forrester 統計,名列第一與第二者,分別為 PC/可攜式設備所傳送 Email、Web-based Email;由此可見,企業郵件安全管理的好與壞,關乎個資保全成效之高低,萬萬不可馬虎。
從 2006 年起,微軟即針對安全展開強化措施,改寫所有產品 Source Code,並強調通信保護、法規遵循、簡化管理等三大原則,因此從 Exchange 2003 邁向下一版本 2007,正好跨越不同的安全與保護世代。
常志誠指出,綜觀電子郵件市場現況,存在一些令人憂心的現象,包含大部份客戶仍使用 POP3 方式收信、系統儲存設備昂貴、系統資料備援解決方案不易建置,及使用者信箱大小受限。尤以 POP3 收信模式潛藏重大危機,只因現今駭客僅需利用 WiFi Sniffer,即可輕易竊據帳號及密碼。
綜上所述,現行電子郵件系統急待解決的問題,無疑就是系統安全性、使用者信箱大小的限制、行動裝置的支援、郵件系統高可用性及異地備援,及個資法資料防護與保存的因應作為。
微軟 Exchange 從 2003、2007 一路推進到如今 2013,不僅針對前述問題,展現愈趨強大的解決能力,更難能可貴的,部署彈性與簡易度卻反向提高。以新的模組部署模式而論,除允許彈性的網路與伺服器架構,建置用戶端存取伺服器 (CAS)、信箱伺服器 (MBX) 角色外,尚可降低成本、提高靈活與可擴展性與簡化負載平衡,減少Namespace與複雜性,兼能提供從小型及企業自建的規模、到託管的 Office 365。
大容量信箱,低成本建置
綜觀近 10 年來 Exchange 版本演進,最讓人驚艷者,無非就是儲存設備的變革!在硬體部分,自 2003 年以來,磁碟容量顯著增長,透過資料順序處理方式增加在單位密度線性基礎 (2010 SATA=~250 MB/sec),且隨機 I/O 效能預期不會有大幅改善 (15k RPM的上限);至於 Exchange 工作負載,首先即是信箱大小迅速增加,其次是完全滿足知識工作者的在線與即時搜尋需求,再者則是平均郵件大小的增加。
「適用於較大、速度較慢的磁碟,對 Exchange 可說意義重大,」常志誠表示,意謂企業僅需憑藉最小化 I/O,即能以較低成本支持更大的信箱。若比較 Exchange 2003、Exchange 2013,後者 DB IOPS僅是前者 3% 不到,顯見 Exchange 歷經十年演進,前後效能大幅翻倍;IOPS的減少,代表 I/O 運作效能更順暢,也更能防範可能災害。
值得一提,Exchage 2010 開始增加支援 SATA、JBOD 儲存裝置,意即企業可選擇各式儲存架構,而不會犧牲系統高可用度及穩定性,使「大容量信箱、低成本建置」願景得以實現,連帶衍生諸多優點,包括從所有的客戶端讀取所有的郵件(使用者體驗大幅優化)、花費更少時間管理郵箱配額、避免 PST 檔遺失或損壞狀況,及簡化電子郵件搜尋與保留管理。其結論就是,欲建立 Exchage 高可用性架構,再也不需動用可觀成本!
挾著功能強化,克服郵件安全挑戰
而論及電子郵件安全挑戰,無非就是快速發展的外部威脅、敏感性資料遺失的潛在風險,及維護電子郵件安全、同時避免影響使用者;對此,現今 Exchage 已提供十足保護功能,如「阻擋病毒及惡意軟體」,可藉由 Exchage Online Protection 在垃圾郵件及病毒進入網路前及早攔阻,或利用 Exchage Server 內建基本防惡意軟體機制;如「保護敏感性資料」,則包括掃瞄Exchage傳輸敏感性內容郵件及資料遺失防禦機制功能(含雲端及企業內部),及使用 RMS 對電子郵件進行嚴密控制。此外,透過「連線篩選」(含靜態 IP 允許/阻止清單、選擇加入微軟的信譽發件人列表)、「垃圾郵件分類」、「內容篩選運作」(含刪除、隔離、增加X-Header、修改主旨、重新指向),則可發揮反垃圾郵件成效。
當然,上述安全功能的實現,僅需借助阻擋附件、輔以「健全、可客製化的通知」來簡易設置,使用戶可在合理控制權基礎上,對敏感郵件資訊做最大限度地控制,減少不必要的應用中斷。至於可供善用的手段,則包括傳輸規則的設定,借助 Exchange IRM 執行原則設定(如針對外寄信件加密、限制受信方不得轉寄或列印),或透過 Exchange DLP 機制施行深入的內容分析,以辨識、監控並保護敏感重要資料。
綜觀 Exchange 2013 DLP 功能,主要特色在於具備 Outlook 2013 使用者經驗、可用於 Exchage Server 與 Office 365、內建 DLP 原則範本、預先定義敏感性資料內容類型、支援第三方定義的 DLP 原則範本,及豐富的報表資料。常志誠強調,有了 DLP 原則範本,意謂企業可針對敏感性資料類型預設規則,從而增強內容偵測,再搭配傳輸規則設定,有效落實法規遵循探索、採取行動執行政策之目的。
有效防堵垃圾郵件,遠離社交工程危害
透過電子郵件進行攻擊之常見手法,不外是假冒寄件者、使用與業務相關或令人感興趣的郵件內容、含有惡意程式的附件或連結,及利用應用程式之弱點(含零時差攻擊);要想防禦這些攻擊,其實單憑 Outlook 即可發揮相當功效。
Outlook Express 是屬於 Windows XP 所附贈的軟體,功能簡單且安全性低,然 Office Outlook 屬於 Office 內建的軟體版本,可透過完整郵件規則發揮強大安全功能,顯然更適合辦公室的人採用。至於使用者端連線方式,微軟 Outlook MAPI 用戶端訴諸嚴謹加密,安全係數最高,企業宜予以採用,取代相對不安全的 POP3、IMAP 或 WEB Mail。
至於如何防範病毒、垃圾郵件與網路釣魚?一方面可利用 Outlook「檔案」下的「垃圾郵件選項」選擇保護層級,例如將來自封鎖寄件者的郵件移至「垃圾郵件」資料夾,或僅依據安全的寄件者/收件者清單上的人員或網域所寄信件,允許傳送至收信匣;另一方面,透過相同的選項設定機制,亦可勾選「使用網路釣魚郵件中的連結與其它功能」、「當電子郵件地址中包含可疑網域時警告我」。
針對可能暗藏風險的 VBA 巨集,使用者可憑藉 Outlook「檔案」下「信任中心」的巨集設定,選擇停用所有巨集、或僅顯示經數位簽章的巨集等方式趨吉避凶;另關於安全預覽或開啟郵件之道,也可藉由「信任中心」設定規範,允許僅能接收純文字模式、將超連結摒除在外。
如今中小企業亦可訂閱 Exchange Online Protection 服務,變更 MX 記錄後即可快速執行,以排除各式威脅、維護公司 IP 位址的名譽(針對高風險郵件採用獨立的外寄傳遞集區)、享有五種具備費用折讓條款的 SLA,並獲得全年無休且毋需額外付費的IT電話支援,終至降低前期投資、確保電子郵件不漏失或遭退回,是善盡郵件風險管理的最短路徑。
另一方面,台灣微軟技術經理蔡宗佑針對「如何遠離社交工程危害」,為企業用戶提出實用建議。他指出,社交工程攻擊模式,不外是駭客設計攻擊陷阱、將攻擊程式埋入電子郵件、寄發郵件給特定對象、受害者開啟郵件、啟動駭客設計的陷阱並植入後門程式等五大步驟,不少機關都對此展開演練,旨在測試同仁警覺心及對不明來源郵件之開啟與點閱情形。
但現今駭客手法日益純熟,已能偽冒幾可亂真的郵件,令用戶防不勝防;因此蔡宗佑認為,企業機構務求建立良好的電子郵件使用習慣,使用郵件前應確認是否「取消預覽功能」,而收到郵件後,不要任意點閱郵件中超連結或網站、不要任意打開不明郵件的附加檔案,更應避免回覆或轉寄不明郵件。
除此之外,企業欲求保護機敏資訊,必須先建立探索、保護及管控內部機敏資訊的能力,此時便需援引一個全方位的解決方案平台,藉此確保重要資訊無論傳遞至何處皆受持續不斷保護,並有 SDK 進行特定需求客製化開發,並確定唯有被授權的人,才可進行特定存取。
此一平台,未必需要斥資引進 DLP 或 MDM 等外部工具,文件擁有者只需善用 Active Directory 新版 RMS 功能,指向伺服器識別憑證,即可憑藉手動、依據範本勾選、與其他系統整合 (如 SharePoint、Exchange Server 或檔案伺服器)等多種途徑,為文件進行加密,並將預設權限綁定於文件,後續無論藉由何等方式傳輸,收信方只要朝向文件按右鍵 Double Click,便能輕易解密,且按既定權限來使用文件,即使 OWA 環境也適用。
蔡宗佑並強調,新版 RMS 支援範圍已超越微軟Office文件,對任何文件格式均不設限,且使用者借助免費下載的 RMS App,即可支援行動裝置存取;至於企業對企業之間的文件分享,僅需赴微軟 Windows Azure的RMS Online(RMSO) 註冊郵件地址,再配合 AAD 記載相關帳號與權限 (註:AAD 毋需與 AD 同步,絕無外洩資訊之虞),雙方即可安全分享文件,且拜自動執行 SSO 單一簽入所賜,使用者可承襲右鍵Double Click的操作體驗,不需反覆驗證,使用過程可謂親和友善。