Ochrana informací pomocí Azure Information Protection

Ať už se nám to líbí nebo ne, svět IT se v posledních letech výrazně proměnil. Ještě před pár lety jsme se mohli soustředit pouze na ochranu našeho perimetru, který tvořil hranici mezi internetem a našimi interními systémy, které obsahovaly klíčová firemní data. V dnešní době společnosti běžně využívají celé škály různých cloudových služeb a k tomu všemu rychle roste objem tzv. Shadow IT, v rámci kterého uživatelé běžně ukládají firemní data do svých soukromých cloudových služeb jako je Google Drive, OneDrive, Dropbox a mnohých dalších. Ochrana perimetru již dávno nezajišťuje dokonalé zabezpečení firemních dat, a tak tato nová situace vyžaduje změnit přístup k ochraně informací a technologie AIP (Azure Information Protection) je jeden ze stavebních prvků nové formy bezpečnosti dat.


Co je vlastně přesně to AIP?

Azure Information Protection (někdy označované jako AIP) je cloudové řešení společnosti Microsoft, které pomáhá organizacím klasifikovat, označovat a chránit své dokumenty a e-maily. Můžou to automaticky provádět správci, kteří definují pravidla a podmínky, také to můžou ručně provádět uživatelé nebo může jít o kombinaci obojího a uživatelé v takové situaci dostanou jen doporučení, které by měli následovat.

Ochrana informací AIP je založena na 2 základních principech:

  • Šifrování

  • Přidělení digitálních oprávnění

Než se na obě tyto oblasti podíváme ve větším detailu, ukážeme si, jak AIP vypadá z pohledu uživatele. Na obrázku vidíme excelovský soubor s osobními údaji včetně rodných čísel. Tvůrce informace si je vědom citlivosti těchto údajů, a tak dokument ochránil pomocí AIP šablony „KPCS CZ – důvěrné“. V tuto chvíli se stala ochrana nedílnou součástí dokumentu, a ať se tento soubor později objeví na jakémkoliv zařízení nebo cloudovém úložišti bude platit:

  • Soubor je zašifrovaný a klíč k dešifrování, a tím pádem otevření souboru, získá pouze uživatel, který se ověří platným účtem z domény kpcs.cz

  • Uživatel, který obsah otevře, bude mít k dispozici pouze akce dle předem definovaných oprávnění. V tomto případě si bude moci obsah zobrazit, změnit ho, ale nesmí ho tisknout, kopírovat ani odstranit nastavenou ochranu.

Obrázek 1 Příklad ochrany excelovské tabulky

Šifrování obsahu

Jako kdekoliv jinde, kde se používá asymetrická kryptografie, i zde hraje hlavní roli jakýsi master klíčový pár (veřejný a soukromý), který ve výchozím nastavení pro Vás prvotně generuje a následně spravuje Microsoft v bezpečném úložišti umístěném v Microsoft Azure. Alternativně je možné zvolit i scénáře BYOK (Bring Your Own Key) nebo HYOK (Hold Your Own Key). Detailní popis těchto scénářů je ale již mimo rozsah základního popisu AIP v tomto článku.

Pokud zapneme ochranu pomocí AIP nad konkrétním souborem nebo e-mailem, dojde k vygenerování unikátního symetrického klíče a pomocí algoritmu AES se celý soubor zašifruje. K zašifrovanému obsahu se navíc připojí tzv. publikační licence. Publikační licence obsahuje dešifrovací symetrický klíč k odemknutí dokumentu a soubor oprávnění pro toho, kdo bude data konzumovat. Publikační licence je zašifrovaná veřejným klíčem AIP služby Vaší organizace.

Pokud se Vám do ruky dostane takto chráněný dokument, musíte tedy nutně kontaktovat AIP službu Vaší organizace s žádostí o poskytnutí dešifrovacího klíče. AIP služba Vás ale nejprve provede autentizačním procesem. Pokud se v pořádku ověříte a zašlete AIP službě danou publikační licenci, AIP služba publikační licenci otevře pomocí svého privátního klíče. Následně zkontroluje, zda Vám autor dané informace přidělil právo k přečtení dokumentu. Pokud ano, dostanete zpět seznam oprávnění a dešifrovací klíč. Aplikace Vám v tuto chvíli obsah zobrazí, ale zakáže všechny akce, na které nemáte právo.

Obrázek 2 princip použité kryptografie

Přidělení digitálních oprávnění

Digitální oprávnění může autor definovat pro jednotlivé příjemce nebo dokonce na úrovni celých partnerských organizací. Oprávnění je možné přidělovat až na úrovni jednotlivých práv např. upravit obsah, zobrazit obsah, uložit, tisknout, zkopírovat atp. Pro zjednodušení AIP umí pracovat s předpřipravenými rolemi jako je např. vlastník, recenzent atp.

Pro maximální komfort uživatelů je dokonce možné připravit šablony, které již v sobě obsahují konkrétní sadu oprávnění. Uživatel se tak rozhoduje jen mezi výběrem z přichystaných šablon typu Interní, Veřejné, Tajné, Přísně tajné atp.

Obrázek 3 Možnosti řízení oprávnění pomocí AIP

Největší přínos přidělení oprávnění pomocí AIP vidím v tom, že na rozdíl od např. NTFS práv, se AIP práva stávají nedílnou součástí informace bez ohledu na to, kde budou ve finále chráněná data uložena.

Budoucnost použití práv AIP je v navázání na systém popisků (labels), který bude unifikovaný napříč celou platformou Office 365 a Microsoft Azure.

AIP a kompatibilita

Typy podporovaných souborů

Častým a správným dotazem je to, jaké typy souborů můžeme pomocí AIP chránit. V dnešní době naštěstí platí, že pomocí AIP jsme schopni chránit jakýkoliv typ souborů. Nicméně u některých typů se jedná o podporu nativní, pro ostatní potřebujeme doinstalovat na klientské počítače jakýsi doplněk, který se jmenuje Azure Information Protection client. Je k dispozici pro všechny primární platformy jako je Windows, iOS, Android a existuje i aplikace pro MacOS.

Mezi nativně podporované soubory (tedy bez nutnosti instalace AIP klienta) patří:

  • Text & image files

  • Microsoft Office (Word, Excel, PowerPoint) files

  • Portable document format (.pdf)

Detailní popis podporovaných typů souborů je uveden v Admin Guide: File types supported by the Azure Information Protection client.

Podporované aplikace

Aplikace musí být schopná kontaktovat AIP službu a vynutit na straně příjemce informace sadu přidělených oprávnění. Asi překvapením nebude podpora napříč Microsoft aplikacemi typu Office 2010/2013/2016, Outlook for iOS/Android. Nicméně je dnes na trhu mnoho dalších aplikací třetích stran pro všechny běžně používané platformy, které s AIP plně spolupracují. Jejich přesný výčet naleznete v Applications that support Azure Rights Management data protection.

Obrázek 4 aplikace s podporou AIP v různých OS

Závěr

Již dnes je AIP základním stavebním prvkem sytému ochrany informací v podání společnosti Microsoft. Využití AIP je pro uživatele velmi komfortní a zajišťuje ochranu dat bez ohledu na místo uložení dat i bez ohledu na klienta, na kterém s chráněnou informací pracuji. Pro Microsoft je AIP strategickou prioritou a v následujících měsících se dočkáme určitě velkého množství dalších inovací, které rozšíří scénáře použití AIP, a tak je nejvyšší čas se s touto technologií minimálně začít seznamovat.

Miroslav Knotek, KPCS CZ, knotek@kpcs.cz

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Previous Post