Tradisjonelt sikrer vi data ved å beskytte lagringsområdene. Straks vi kopierer filer til andre media eller sender dem som vedlegg, er de fullstendig ubeskyttet. Azure Information Protection snur opp ned på dette og lar deg knytte beskyttelsen direkte til dokumenter og e-postmeldinger. Den forblir der i hele deres levetid. Du kan klassifisere og merke dataene dine. Du kan rettighetsstyre og kryptere dem. Du kan overvåke og tilbakekalle tilgangene. Sånn beholder du kontrollen over alle data, uavhengig av hvor de er lagret eller med hvem de er delt. Azure Information Protection er en skybasert tjeneste som er tett integrert i Exchange Online, SharePoint med OneDrive for Business og Microsoft Office. Det er en moderne form for informasjonsbeskyttelse tilpasset skyen og våre nye måter å arbeide på.
Oversikt over Azure Information Protection
Med Azure Information Protection kan du klassifisere data basert på følsomhet. Du kan beskytte data uavhengig av lagringsmedium. Du har full synlighet og kontroll over dem. Du kan samarbeide trygt med andre, både innenfor og utenfor organisasjonen. Løsningen er enkel å bruke. Du kan selv velge hvordan du ønsker å administrere krypteringsnøklene for leieren (tenanten) din.
- Klassifiser data basert på følsomhet. Du setter opp policyer for å klassifisere, markere og beskytte informasjon utfra bestemte kriterier. Det kan dreie seg om private filer og meldinger, data ment til offentlig bruk eller av mer generell art, samt sensitive og graderte opplysninger. Klassifiseringen kan være automatisk, bygge på forslag eller være brukerstyrt.
- Beskytt dataene dine til enhver tid. Legg til klassifisering og beskyttelsesinformasjon i dokumenter og e-post. Informasjonen bevares som metadata i fil- eller meldingshodet. Det sørger for vedvarende beskyttelse som følger dataene dine. De forblir trygge uansett hvor de lagres, eller hvem de deles med.
- Legg til synlighet og kontroll. Du kan spore aktivitetene andre foretar på delte data, og tilbakekalle tilgangen om nødvendig. IT-teamet ditt kan benytte omfattende logging og rapportering for å overvåke, analysere og kontrollere bruken av filene dine.
- Samarbeid tryggere med andre. Del data trygt med medarbeidere i tillegg til kunder og partnere. Definer hvem som skal ha tilgang til data, og hva de kan gjøre med dem – så som å lese og redigere dokumenter, men verken foreta utskrifter eller videresende dem.
- Gjør det enkelt. Dataklassifisering og beskyttelseskontroller er integrert i skrivebordsversjonen av Microsoft Office. Du sikrer data med ett klikk idet du oppretter et dokument eller sender av gårde en melding. Det er innebygd varsler for anbefalt klassifisering i Word, Excel, PowerPoint og Outlook. Det hjelper brukere med å foreta riktige avgjørelser. Du kan høyreklikke på filer i Windows Filutforsker for å klassifisere og beskytte dem.
- Administrer nøkler utfra dine sikkerhetsbehov. Du kan velge hvordan du håndterer krypteringsnøklene. Det enkleste – og dét vi gjør her – er å overlate administrasjonen til Microsoft. Men det er også støtte for alternativene Bring Your Own Key (BYOK) og Hold Your Own Key (HYOK).
Microsoft sammenfatter ofte Azure Information Protection i denne tretrinnsmodellen:
- Klassifiser og merk – styrt av brukere eller automatisert
- Beskytt – med kryptering, tilgangskontroll og håndheving av policyer
- Overvåk og responder – via sporing og tilbakekalling av dokumenter
Bli produktiv med Azure Information Protection fra dag én
Azure Information Protection er en omfattende løsning. Implementeringen er i mindre grad drevet frem av teknologi enn av behovene for virksomheten. For deg som administrator eller tekniker bør du vite hva som er mulig, så du kan gi innspill. Men avgjørelsene om hvilke maler og policyer som skal settes opp, treffes som regel høyere opp i ledelsen. Dermed kan det gå med noe tid før dere for alvor tar i bruk alle beskyttelsesmekanismer. La oss forsøke å skjære igjennom og bli produktive fra dag én på en helt enkel måte. Det kan også gjøre det lettere å forstå hvordan beskyttelsen virker i praksis. Det greieste er å begynne med Office 365-meldingskryptering, som er basert på Azure Information Protection.
Office 365-meldingskryptering
Du kan bruke Pretty Good Privacy (PGP) for å kryptere e-post. Du kan legge til en hengelås med Secure/Multipurpose Internet Mail Extensions (S/MIME), som det er innebygd støtte for i Exchange Online. PGP bruker et tillegg, mens både PGP og S/MIME krever sertifikater som må distribueres, og kan være tungvint å vedlikeholde. Med Office 365-meldingskryptering slipper du dette.
En melding sendes fra min private konto til e-postadressen på jobben. Under fanen Alternativer kan vi klikke på Tillatelse og velge opsjonen Bare krypter. Dette er en av fire maler med policyer som legges til automatisk når du aktiverer Azure Information Protection. Den sier: Krypter melding og vedlegg. Gi mottaker retten til å dekryptere e-posten. Her kunne vi også ha valgt Ikke videresend, noe som også hadde kodet e-postmeldingen, men samtidig pålagt mottaker restriksjoner.
E-posten mottas. Outlook er en såkalt «opplyst» klient. Det betyr at appen inneholder kode som automatisk dekrypterer meldingen. All videre kommunikasjon i denne meldingstråden foregår kryptert. Andre opplyste klienter er skrivebordsversjonene av Word, Excel og PowerPoint, foruten Outlook på nett (OWA) og Outlook for iOS og Android. Ved bruk av tredjeparts e-postapper må du åpne en kobling som bringer deg inn i et webbasert grensesnitt.
Sett opp en transportregel i Exchange for krypterte meldinger
Det kan være hendig å konfigurere en regel for meldingsflyt i Exchange som sikrer at alle meldinger til en bestemt person, en gruppe eller et domene krypteres. Gå inn i administrasjonssenteret for Exchange og velg e-postflyt. Klikk på pluss-tegnet for å opprette en ny regel. Her finner du Bruk Office 365-meldingskryptering og rettighetsbeskyttelse på meldinger.
Transportregelen ‘Krypter meldinger til Lillevik IT’ sier: Hvis mottakerens adresse tilhører domenet lit.no, beskytt meldingene med RMS-malen ‘Krypter’. RMS står for Azure Rights Management, som er den underliggende mekanismen som sørger for rettighetshåndtering og kryptering.
Azure Rights Management
Men hvordan virker egentlig denne teknologien? I bakgrunnen arbeider Azure Rights Management (Azure RMS). Her deles et ubeskyttet dokument som inneholder den hemmelige oppskriften for cola. En policy definerer den autoriserte bruken av det. Dokumentet er beskyttet av en symmetrisk innholdsnøkkel (grønn nøkkel i figuren) som er unik for hver fil, og som krypteres ved hjelp av rotnøkkelen for organisasjonen din (rød nøkkel). Når et beskyttet dokument åpnes av en legitim bruker eller det behandles av en autorisert tjeneste, dekrypteres dataene. Så håndheves rettighetene definert i retningslinjene. Ingen ellers kan få tilgang til innholdet i dokumentet.
Data sendes aldri til Microsoft. De er uleselige for alle andre – også for en global administrator, med mindre hun eller han tildeler seg rettigheter som superbruker. Beste praksis er å la denne funksjonen være deaktivert og bare benytte den når du trenger en bakdør, som når en ansatt har sluttet. Brukere du sender meldinger til og deler data med, betegnes som konsumenter av Azure Information Protection og trenger ingen lisens. De kan autentisere seg mot Azure Active Directory om de har en egen Office 365- eller Azure-tenant, eller bruke en gratis Microsoft-konto. Du kan også logge deg på som Google- eller Yahoo-bruker. Microsoft har opprettet føderasjoner mot deres katalog- og identitetstjenester. For å lese kryptert e-post er det i tillegg støtte for engangspassord.
Klienten for Azure Information Protection
Klienten for Azure Information Protection utvider Windows filutforsker med opsjoner for å klassifisere og beskytte. Du kan velge en eller flere dokumenter og hele mapper. På den måten får du også rettighetsstyrt andre filer enn bare Office-formater. For TXT- og JPG-filer er det native støtte; ellers er det bare generisk beskyttelse.
Her har vi valgt å beskytte dokumentet «Hva er egentlig nettskyen» med egendefinerte tillatelser. Min kjære hustru har fått rollen som kontrollør eller korrekturleser – hun kan vise, redigere og dermed også lagre. Tilgangen er satt til å utløpe 22. april 2019, for deadline for bloggen er dagen i forveien. Obs! Den grå knapperaden med etikkene behandles i del II av denne bloggen.
Om hun klikker på Vis tillatelse, ser det sånn ut for henne. Hun kan verken kopiere eller skrive ut dokumentet. Etter 22. april har hun ingen tilgang lenger. Legg merke til at du kan krysse bort alle opplysninger Azure Information Protection viser i de gule feltene. Beskyttelsen fungerer uansett om filen ligger på et delt område i Dropbox eller er kopiert over til en minnepinne. Samtidig kan vi på en langt mer fingranulær måte angi tilganger enn med standard filtillatelser i Windows. Dette blir enda tydeligere ved gjennomgangen av dokumentklassifiseringer med maler og policyer i del II.
Lisenser og funksjoner
Azure Information Protection kan kjøpes frittstående. Den følger også med i lisensseriene Enterprise Mobility + Security og Microsoft 365 Enterprise. Grunnpakken Azure Information Protection for Office 365 gir deg alle mekanismer for rettighetshåndtering og kryptering. Du må ha Premium P1 for å få avanserte funksjoner som manuell, standard og påkrevd dokumentklassifisering pluss sporing og tilbakekalling av dokumenter. Premium P2 lar deg konfigurere betingelser for automatisk og anbefalt klassifisering. Premium-utgavene gir deg i tillegg støtte for å integrere informasjonsbeskyttelsen med lokale servere – som er et kapittel for seg og ikke gjennomgås i disse innleggene.
Avslutning
Her har vi gitt en oversikt over Azure Information Protection og hvordan den kan bidra til å løse sikkerhetsutfordringene knyttet til skyen og endrede samarbeidsformer, der tredjeparter i mye høyere grad trekkes inn i team. Beskyttelsen sørger for trygg ende-til-ende-kommunikasjon for e-post. Ved et enkelt eksempel er det vist hvordan du kan sikre et Office-dokument og dele det. Gangen er at en bruker logger på Azure Active Directory og knytter en RMS-mal til dokumentet. Det sendes til mottaker og åpnes der. Så håndheves rettighetene som er definert i malen.
Dette er den grunnleggende teknologien og dét som følger med i basispakken Azure Information Protection for Office 365. Du får en beskyttelsestjeneste som bruker kryptering, identiteter og autoriseringspolicyer som hjelper deg med å holde filene og e-posten din unna uvedkommende. Det fungerer på tvers av flere enheter – mobiler, nettbrett og PCer. I del II av bloggen går vi videre på maler og policyer. Du får vite hvordan du kan benytte deg av dokumentklassifisering og etiketter. Her inngår visuelle markeringer som topp- og bunntekster og vannmerker. Til slutt demonstreres det hvordan du kan spore og tilbakekalle dokumenter. Alt dette bidrar til å forenkle bruken av Azure Information Protection, samtidig som det i vesentlig grad bidrar til å høyne sikkerheten.
Teknisk tillegg
Gangen i å implementere Azure Information Protection (AIP) er at du må legge til gyldige lisenser. Det vil automatisk aktivere AIP (tidligere måtte det gjøres manuelt). Så konfigurer du enkle policyer og ruller ut AIP-klienten til datamaskiner. Sluttbrukere bør få opplæring. Til slutt strammer du opp policyene. Du må dessuten sørge for at AIP er integrert med Exchange. For SharePoint og OneDrive for Business er dette ikke fullt så viktig. Du kan fint lagre AIP-beskyttede dokumenter der. Integrasjonen angår at du kan sette opp biblioteker som nedarver AIP-innstillinger.
Integrasjon med Exchange
Det er ikke sikkert at det er nødvendig å foreta en manuell integrasjon lenger. Det første du bør gjøre, er å teste oppsettet. Installer først PowerShell-modulen AADRM. Den vil du også trenge i andre sammenhenger. Install-Module er av de nye kommandoene i PowerShell v5, del av Windows Management Framework (WMF) 5.0. Dermed slipper vi mye leting. Standard er å laste ned fra https://www.powershellgallery.com/api/v2/. Du må kjøre PowerShell i elevert modus som administrator.
Install-Module Aadrm
Forhåpentlig bruker du multifaktor-autentisering (MFA). Da må du laste ned Exchange Online PowerShell-modulen fra administrasjonssenteret for Exchange. Du finner den under hybrid. Installasjonen feiler med Google Chrome, men virker med Internet Explorer. Så må du teste konfigurasjonen. Azure Information Protection, Azure Rights Management og Information Rights Management (IRM) betyr i denne sammenheng samme sak.
# Importer modulen
Import-Module AADRM
# Kontroller om policyen er satt til RemoteSigned
Get-ExecutionPolicy
# Koble deg opp mot Exchange Online med støtte for MFA
Connect-EXOPSSession -UserPrincipalName <e-postadresse>
# Test IRM-konfigurasjonen
Test-IRMConfiguration -Sender <e-postadresse>
Hvis alt er ok, behøver du ikke gjøre mer. Brukeren jonsmi@sildeviga.no er for øvrig beskyttet av MFA, Azure Privileged Identity Management og Azure Identity Protection – om du skulle lure på om det er smart å prisgi brukere på den måten offentlig. Hvis du ikke får PASS, må du kjøre denne kommandoen i PowerShell:
Set-IRMConfiguration -InternalLicensingEnabled $true
