Ano. A ještě dvakrát ano. Princip takzvané sdílené odpovědnosti při provozu a využívání online služeb v cloudu totiž stále mnohým uniká. Co si v případě takové kontroly představit? Jedná se o audit? Certifikaci? Zajištění souladu s normou?
Možná si říkáte, proč sakra kontrolovat zdraví u služby, kterou za mě provozuje Microsoft? Všechny marketingové materiály přece říkají, že je to bez starostí. Ano. Může to tak být. Ale s tím jsem se ještě nesetkal. Zapomenutá bezpečnostní rizika, zastaralé nastavení, nefunkční hybridní komponenty a další problémy se mohou po letech ozvat a přidělat nepěkné starosti navíc.
Takzvaný Health Check je jistě známý i lidem mimo IT oddělení. A pro lokální prostředí si jej mnoho umí i představit. Kontroluje stav serveru a operačního systému, aplikace samotné, parametry disků, vytížení RAM či CPU, konfiguraci podle doporučení a dokumentace, ověřuje soulad s normami či legislativou jako GDPR nebo ZKB, dostupnost služeb, zálohy či parametry odezvy a další mnohé.
Celkově se tak snaží hledat případné problémy, které by mohly mít negativní dopad na provoz služby samotné. A navrhuje jejich odstranění. Na rozdíl od běžného dohledu se jedná o jednorázovou aktivitu, které jde častěji mnohem více do hloubky. Pro takový Exchange Server si ji též asi dokážete představit. Stav replikace databáze, místo na disků… už vám to v hlavě skáče skoro samo.
Ale přece jste se odstěhovali do Exchange Online v Office 365, dnes Microsoft 365. A tam ty databáze přece řeší Microsoft. Takže co kontrolovat? Tady přichází na řadu právě model sdílené odpovědnosti. Zatímco Microsoft přebírá na svoji stranu samotný technologický provoz, vy máte mnohem více času na samotnou službu. Kterou nabízíte vašim uživatelům.
Můžete se tedy plně soustředit na otázky jako například:
- Využíváme online služby Microsoft 365 skutečně na maximum, když za ně platíme?
- Neplatíme naopak zbytečně mnoho?
- Nekupujeme licence zbytečně dvakrát, protože jsme si nepřečetli licenční podmínky?
- Je prostředí zabezpečeno proti dnešním sofistikovaným útokům?
- Nezapomněli jsme na důležitá opatření jako MFA, MDM či DLP?
- Neudělali jsme chybu v konfiguraci, které otvírá prostor útočníkům?
- Jsou naše služby skutečně dostupné našim uživatelům?
- Nepřestane to celé fungovat, protože jsme zapomněli aktualizovat Azure AD Connect?
- Nemáme problém s živým video přenosem v Microsoft Teams kvůli pomalému internetu?
- Neunikla nám nastavení, které zlehčí život nám či uživatelům?
- Co řekneme auditorovi až přijde klást otázky ohledně naší strategie zálohování a obnovy?
- Neopomenuli jsme legislativní požadavky na ochranu osobních údajů?
- Nastavili jsme to celé správně?
- A mnohé další…
Nejen na tyto vám dokáže správně provedená kontrola zdraví online služeb pomoci odpovědět. A že jsou to leckdy otázky dost zásadní. A nemusí to znamenat dlouhé týdny, čtení dokumentace a fakturu na miliony.
Často se při nasazení online služeb setkávám s dvěma extrémními stavy. Vše se vypne. Vše se povolí. První bohužel vede k tomu, že organizace a uživatelé vlastně vůbec nevyužívají výhody cloudového světa. Jen se IT oddělení zbavilo starosti o část železa a uživatelům se změnilo rozhraní pro webový přístup k poště. Druhý extrém vede k tomu, že uživatelé bez pravidel začnou postupně služby používat překotně a chaoticky. Což často bez patřičného zabezpečení vede k úniku dat a kompromitaci organizace. Navíc z takového pískoviště plných soukromých báboviček se špatně staví něco organizovaného. Správná cesta je uprostřed. Dát uživatelům správně nastavené a zabezpečené nástroje, které jim pomohou v jejich práci. Poskytnout jim k tomu potřebnou volnost v jasně daných mantinelech.
Obdobné je to se samotným technickým nastavením. Výchozí stav vyhovuje každému, ale přináší sebou rizika. Neklade relativně žádné nároky na nové znalosti pracovníků v IT, kteří se dlouhá léta starali jen o své servery a jednou za pět let provedli upgrade operačního systému. Nebo i později. Je otevřený produktivitě jako jiné online služby. Je to správně? Neměli by právě zaměstnanci IT jít příkladem a znát služby lépe než uživatelé? Sledují změny a novinky, vědí, co jejich uživatelé potřebují. Nebo naopak, vědí toho až moc. Vědí to lépe než sami uživatelé. Právní oddělení trvá na odsouhlasení dokumentu o deseti stránkách jen pro synchronizaci pošty do mobilního telefonu. Polemizují kvůli GDPR dlouhé měsíce, zda je správně mít e-mail ve formátu jméno.příjmení. A firmě zatím ujíždí vlak i konkurence. A to přece nechcete.
Chcete se ujistit o stavu, bezpečnosti dat i prostředí, zajistit nezávislou kontrolu online tenantu při převzetí společnosti, certifikaci, auditu, ověření práce IT oddělení, mít podklad pro DPIA či ISO certifikaci. To vše dokáže správně provedená kontrola zdraví zajistit. A v důsledku tak třeba ušetřit nemalé peníze. Pomoci uživatelům. Uklidnit manažera bezpečnosti. Zajistit maximalizaci provedené investice.
Dokáží to doručit i automatizované nástroje? Ano, také. Ale často bez potřebného kontextu. Dodají sice krásné číslo MFA je u 7 % správců, 16 % má zablokováno přístup k protokolům obcházející MFA. A co dál? Dokážete ta data interpretovat? Víte, jak tyto ukazatele dostat na 100 %. To nástroj většinou nedokáže. Nepopírám, je užitečný. Jako kontrolní mechanismus. Lehce opakovatelný. Nikoliv však komplexní. Právě jako důkladně provedená kontrola zdraví. Zvažte to.
