Jason Freeth - 2019年6月10日 

几年前的一次内部审计指出，我们的电子邮件中含有限制信息。该结论突显了我们计划的Office 365的安全性。限制性信息包括客户数据、财务数据，甚至是SEC上市前的文件。如果这些数据暴露出来，我们的管理人员最终可能会遇到一些麻烦。Cisco IT选择通过我们的Office 365实施来提高标准。您可以了解更多关于我们的愿景和战略。

这篇博客概述了我们已经实施的安全架构。我们从三个角度来处理它：用户身份验证、设备身份验证和加密密钥管理。

根据2018年的Verizon Data Breach调查报告显示，密码被盗占据了财经500强企业泄露事件81％的比例。当我们将电子邮件移动到云端时，为了避免其丢失，我们需要做两件事。

我们对思科的所有应用程序使用单点登录（SSO），无论是在数据中心还是在云端，但它在云上尤为重要。我们的政策规定不应将密码发送给云供应商，并且SSO会对此进行修复。

然后，为了强化我们的Office 365帐户，我们还需要多重身份验证。我们使用Duo Security来实现这两个目标。

当我们在本地托管Exchange时，从思科办公室连接的用户可以使用任何设备。使用Office365，我们通过限制对托管设备的访问来提高工作效率。托管设备必须通过测试，例如需要密码才能解锁屏幕保护程序、加密和最新软件以及安全工具，如端点和Cisco AnyConnect的AMP。它们在本地数据库中注册。

如何检查设备是否已注册？我们的第一个解决方案是在设备上安装设备证书，考虑数字“条形码”，以便与数据库进行比较。运行我们自己的本地解决方案效果很好，但它是资源密集型的，因此当我们获得Duo Security时，我们决定使用它的可信端点功能。Duo会检查系统是否受管理，并与Mac和Windows笔记本电脑和移动设备配合使用。

如果本地服务器受到攻击，您只需拨打以太网电缆即可在问题初显端倪时防止数据被盗，同时减轻问题。我们想要Office 365 也做到这样严谨。

我们在自带密钥（BYOK）中找到了答案，这是Office 365中的一个可选功能。有几件事情使这一点特别有吸引力。我们可以生成一个随机密钥，确保它们很难被破解。然后自己把它们添加到系统中，确保过程中没有人复制副本。当发生安全事件时，我们可以拔出钥匙。云中的数据仍然是加密的，但没有密钥来解密。当事件解决后，我们返回密钥。原始密钥安全地存储在我们自己的硬件上的数据中心中。

使用以上的用户认证、设备认证和端点保护，您将获得我们称之为思科IT安全数字体验平台的服务。Office 365是第一个使用该平台的云服务。稍后，我们将使用它为我们使用的其他400多种云服务带来协作和安全性。

• 如何向员工解释为何需要进行多种身份验证。答案很简单：“因为始终有不法的人想伺机窃取密码”。

想要阅读有关本系列的更多博客？查看Kelly Conway的实施策略第1部分和Caroline Te Aika在第2部分中使用SAFe。

如果有问题？欢迎在评论中讨论。

原创翻译，若有不妥敬请指正