Соответствие требованиям — очень важный аспект для многих компаний, особенно для тех, которые работают в жестко регулируемых законом сферах. Практически в любой юрисдикции предусматривается, что компании хранят определенные записи, относящиеся к их деловым операциям. Учитывая широкое использование систем Exchange и Sharepoint для обмена информацией, неудивительно, что компания Microsoft вложила значительные средства в создание механизмов соответствия требованиям, позволяющих поддержать использование этих продуктов в коммерческой деятельности.
Так, Microsoft предоставила множество инструментов для соответствия требованиям в системе Exchange 2010 и последующих версиях, в том числе в Exchange Online, которая работает внутри системы Office 365. У систем SharePoint и Yammer послужной список менее впечатляющий, и именно на этом был сделан акцент в отчете агентства Osterman Research, опубликованном в 2015 году (http://dm-mailinglist.com/subscribe? f=7061819 a) при поддержке компаний Knowledge Vault, Good Technology, GWAVA, KeepIT, Mimecast и Smarsh.
К любым профинансированным отчетам надо относиться с определенной осторожностью. Спонсор имеет свою позицию, которую хочет продемонстрировать рынку, и использует отчеты в качестве средства для создания подтверждающих ее аргументов. В данном случае компания Knowledge Vault имеет определенные механизмы отчетности и аудита, которые хотела бы предложить подписчикам системы Office 365. В идеале текст должен убеждать аудиторию в том, что для всех задач, решаемых компанией Microsoft в системе Office 365, больше подойдет программное обеспечение сторонних производителей, чтобы читатели прониклись важностью решений, которые может предложить спонсор.
Документ в итоге оказался на моем столе благодаря усилиям некоторых очень упорных «пиарщиков». Он основан на опросе относительно небольшой выборки респондентов, состоящей из примерно 150 человек, «принимающих решения или влияющих на принятие решений» и работающих в компаниях среднего и крупного бизнеса. Лично я полагаю, что такой объем выборки слишком мал, чтобы делать какие-либо выводы, особенно когда только 25% опрошенных не скрывают свою личность или хорошо знакомы с функциями соответствия требованиям, встроенными в систему Office 365, возможно, из-за того, что только 33% из них используют систему Exchange Online. Это невероятно низкий процент, ведь, если исходить из моего опыта, почти каждый подписчик Office 365, которого я знаю, использует электронную почту. Давайте подробнее изучим некоторые выводы отчета, чтобы понять, как они сформировались.
Прежде всего, я думаю, что отчет вскрывает некоторые проблемы в вопросах соответствия требованиям в системе Office 365, которые еще предстоит решить Microsoft. Даже несмотря на то что система SharePoint Online недавно получила поддержку политик Data Loss Prevention, политик сохранения и политик удаления документов (управление всеми политиками выполняется с помощью новой консоли Compliance Center) и в нее была добавлена консоль eDiscovery Center с возможностью поиска и удержания документов на сайтах и в почтовых ящиках, начиная с версии SharePoint 2013, система SharePoint Online по-прежнему не может архивировать документы, потому что в ней отсутствует аналог архивного почтового ящика. С другой стороны, документы SharePoint теперь могут храниться локально, а также получают статус устаревших после окончания заданного периода, а следовательно, система SharePoint включает в себя часть инструментов соответствия требованиям, первоначально реализованных в системе Exchange.
Беседы в системе Yammer также нельзя сохранять с помощью политик сохранения или других средств. Данное утверждение относится и к содержимому общих папок, которые только сейчас получают некоторые возможности в области соответствия требованиям.
Также верно, что компания Microsoft в вопросах соответствия требованиям работает только с данными системы Office 365. Тем не менее прилагаемые сегодня усилия по поглощению системой Office 365 как можно большего объема данных из других источников, в том числе из корпоративных систем коммуникации, таких как каналы Facebook и Twitter, а также систем мгновенных сообщений Jabber и Blackberry, могут сформировать вектор решения этой проблемы, особенно если к процессу создания дополнительных коннекторов для службы Office 365 Import Service подключатся сторонние разработчики.
Другая часть критических замечаний ставит под сомнение качество механизмов соответствия требованиям, разрабатываемых Microsoft. Авторы отчета обращают внимание на то, что системе Office 365 приходится обслуживать сотни миллионов пользователей и работать примерно с 1,2 млн компаний-абонентов. В системе может отсутствовать механизм соответствия для специфического требования, предъявляемого к отдельно взятой компании, особенно если это требование действует только в конкретной отрасли или в определенном государстве. В любом случае в основе успеха систем Exchange и SharePoint на арене локальных развертываний лежит экосистема программных продуктов от независимых разработчиков, заполняющая пробелы, оставленные компанией Microsoft.
А пока пробелы существуют, Microsoft может утверждать, что они только создают свой комплекс решений соответствия требованиям и что сейчас представлены лишь самые фундаментальные возможности, а со временем появятся новые функции. Кроме того, компания может привести в пример тот объем работ, который она проделывает, чтобы перейти от решений, ориентированных на конкретный программный продукт, к использованию механизмов, управляемых политиками, — механизмов, которые можно будет задействовать для хранения, удаления или поиска данных в окружениях, охватывающих несколько приложений.
Как и любой отчет, рассматриваемый текст отражает состояние системы в определенный момент времени. Авторы, похоже, забыли о возможностях новой консоли Compliance Center, поэтому в тексте нет ни малейшего упоминания о механизме поиска соответствия, призванного решить известную проблему производительности при выполнении очень масштабных (более 10 тыс. почтовых ящиков) поисковых запросов Ediscovery. Как утверждают в Microsoft, механизм поиска соответствия способен обрабатывать сотни тысяч почтовых ящиков, и такие задачи уже были решены для некоторых крупнейших абонентов системы Office 365. Кроме того, на мой взгляд, «мастера», доступные из консоли Compliance Center, являются ответом на такие критические замечания, как: «Решение большинства задач в системе Office 365 требует базового знания и использования оболочки Powershell».
Новая унифицированная подсистема аудита, поддерживаемая инструментарием Management Activity API и предназначенная для извлечения событий аудита из всех приложений Office 365 (система SharePoint уже поддерживается, поддержка системы Exchange будет доступна в ближайшее время, а затем появится поддержка других приложений), также не была упомянута. А между тем авторов отчета, что примечательно, беспокоит ограничение объема отправляемых файлов в 150 Мбайт, которое якобы может заставить сотрудников задействовать системы совместного использования файлов потребительского уровня. Дело в том, что, если вам нужно отправлять большие вложения, которые не проходят под ограничение системы Exchange, данные файлы можно передавать коллегам через приложение OneDrive for Business, которое полностью игнорируется в отчете. Более того, компания Microsoft занимается переработкой приложений Outlook и Outlook Web App, подталкивая нас к использованию «умных вложений», которые позволят решить данную проблему. Изменение поведения пользователя — задача, которую не решить в одночасье, и потребители действительно будут продолжать использовать для работы то решение, к которому привыкли. Так или иначе, в случае с приложением DropBox, файлы, хранящиеся там, по крайней мере, могут быть извлечены и переведены в систему Office 365.
В отчете также выражается беспокойство в связи с тем, что в системе Office 365 не поддерживается шифрование сообщений, управляемое политикой. Это правда, в системе, помимо правил транспорта Exchange, нет никаких управляемых политиками структур для применения механизмов шифрования к электронной почте, но при этом есть несколько других вариантов решения задачи. Например, можно воспользоваться правилами Outlook Protection Rules для применения шаблонов защиты Information Rights Management (IRM) к сообщениям, хранящимся на рабочих станциях. И хотя эти правила могут быть отменены пользователями (если это разрешено), шаблоны IRM можно использовать в том числе и в правилах транспорта. Развертывание шаблонов IRM доставляет массу хлопот в локальных инфраструктурах, но в системе Office 365 процессы настройки и управления организованы гораздо проще. Кроме того, вы можете использовать механизм Office 365 Message Encryption, также применяемый с помощью правил транспорта, для защиты конфиденциальной электронной почты, направляемой внешним получателям. Пользователям не нужно ничего делать для шифрования сообщений: все необходимые процессы выполняются при прохождении электронной почты через транспортную систему.
Я не могу найти логическое обоснование для утверждения, что компания Microsoft «не рекомендует одновременно иметь более одного локального юридического удержания для отдельно взятого почтового ящика, хотя система Office 365 может обрабатывать до пяти конкурирующих удержаний (со снижением производительности)». Насколько я знаю, после того как для почтового ящика будет создано пять удержаний, система Exchange помещает весь почтовый ящик на удержание, чтобы избежать проблем, которые могут возникнуть при обработке пяти различных запросов. Я также считаю, что здесь все зависит от реализации, и нет большой разницы — пять, шесть или семь удержаний, просто легче сохранить что-либо, если есть несколько точек удержания. Я не понимаю, почему возник вопрос о производительности, ведь компания Microsoft использует внутри системы Office 365 более чем достаточное количество серверов для решения такого рода задач. Кроме того, пользователи ничего не заметят, так как обработка удерживаемых документов происходит функционирующим в фоновом режиме помощником по обслуживанию почтовых ящиков под названием Email Lifecycle Assistant, который обрабатывает запросы в отношении элементов, прежде чем те будут удалены из почтового ящика. Утверждение, что здесь имеет место проблема производительности, выглядит странно.
Также непонятно и не подтверждается моим опытом утверждение о том, что «поиск eDiscovery, судя по всему, возвращает разные результаты при каждом запуске. В системе Office 365 поисковый запрос не может быть сохранен для повторного выполнения…». Механизм поиска может возвращать различные результаты, но такая ситуация просто отражает изменение содержимого индексов Search Foundation, которые постоянно обновляются при появлении новых элементов или удалении старых. Поисковые запросы сохраняются в форме поиска и могут быть повторно использованы столько раз, сколько необходимо.
Я мог бы продолжать, но суть ясна. Я не могу доказать, что решение Office 365 идеально подходит, когда встает вопрос о соответствии требованиям, потому что это не так. Как и сказано в отчете, недоработки существуют. Также справедлива критика относительно того, что основная часть функций соответствия требованиям доступна только для абонентов, использующих планы E3 и E4 (а также новый план E5, как только он станет доступен) и их эквиваленты для академических и государственных организаций. Можно утверждать, что необходимо предоставлять больше механизмов соответствия требованиям для всех подписчиков без исключения, но при этом мне возразят, что потребители, использующие мелкомасштабные варианты подписки Office 365, не сильно обеспокоены вопросами соответствия требованиям, поскольку их бизнесу данные функции не требуются.
В отчете говорится, что 59% опрошенных ожидают ухудшения ситуации с точки зрения соответствия требованиям в случае перехода на использование системы Office 365. Я думаю, все сводится к тому, как сформулирован вопрос и кто его задает. На мой взгляд, в системе Office 365 существует больше механизмов для обеспечения соответствия требованиям, чем доступно в локальных версиях ПО, и поэтому мне трудно понять, каким образом ситуация может ухудшиться, особенно если у администраторов появится свободное время, благодаря тому что им не нужно будет решать повседневные задачи управления серверами.
Отчет The Role of Third-Party Tools for Office 365 Compliance местами совсем неплох. Он хорошо освещает многие моменты, которые должны быть приняты во внимание теми, кто отвечает за осуществление контроля за соблюдением требований в организации. Ритм развития системы Office 365 и скорость разработки новых механизмов (не все из которых предоставляются подписчикам программы раннего доступа в законченном виде) мешают постоянно держать руку на пульсе и отслеживать проблемные области. Некоторые новые функции упускаются из виду, а отдельные существующие возможности просто игнорируются. Чтобы в заключение смягчить тон, хочу признать, что между подготовкой отчета и его выпуском прошло некоторое время, а неистовый темп изменений, наблюдаемый в системе Office 365, сильно усложняет задачу сохранения актуальности любого написанного материала.
Почитайте этот отчет и попробуйте извлечь из него что-то полезное, но помните, что вы знаете свой бизнес лучше, чем кто-либо другой, поэтому стоит проанализировать расставленные оценки в контексте ваших знаний, чтобы понять, в каких областях отчет имеет ценность для вашей организации.