הצפנות, סיווג ותיוג המידע AIP

סדרת מאמרים אשר ממוקדת בהצפנה, חיתום, תיוג וסיווג המידע בשירות Azure Information Protection בסביבה המקומית ובסביבת הענן. מאמר זה מתמקד בהפעלת השירות.

ישנם דרכים רבות המאפשרות לבצע הצפנה, חיתום, תיוג וסיווג של המידע אשר נמצא ברשותינו, בין אם מדובר על דואר, קבצים רגילים או בסיסי נתונים. המטרה של כל אותן יכולות הם למנוע זליגת מידע, לוודא שהמידע נשאר אצל גורם מוכר ובכדי לשמור על אמינות ושלמות המידע מול כלל הגורמים.

הקדמה

בחזרה לשנת 2008 כאשר יצאה גרסת Windows Server 2008 הושק רכיב Information Protection הראשון שנקרא בזמנו AD RMS ומאז נמצא באופן מובנה בגרסאות Windows Server השונות. (לפני כן היה רכיב נפרד בלבד)

10 שנים אחרי Microsoft משיקה רכיב Information Protection בענן שנקרא Azure RMS ועושה את החיים הרבה יותר קלים לאדמינים, מאז אותה השקה התבצעה רכישה של Secure Island אשר לקחה את Azure RMS למקום טוב יותר על גבי Azure Information Protection עם יכולות נוספות של תיוג, סיווג והרבה אוטומציה.

מאז אותה הכרזה על שירות Azure Information Protection, הטכנולוגיה של AIP קיבלה יכולות חדשות, אינטגרציה עם מערכות ענן נוספות, אפשרויות צריכה מול צד שלישי ועוד.

חווית הניהול של האדמינים וחווית הצריכה של משתמשי קצה היא בהחלט שונה ממה שהיה עם RMS ומביאה עמה בכל עת לאחרונה חידושים ושיפורים רבים, אחד השיפורים המשמעותיים הוא שיתוף מידע באופ מאובטח עם צד שלישי על גבי Secure Email.

שירות Azure Information Protection

תשתית Azure Information Protection או בקצרה AIP היא תשתית מבוססת ענן המסייעת לארגונים לתייג, לסווג ולהגן על סוגי מידע שונים הם מפריטי דואר, דרך מסמכים ועד קבצים שונים בין אם אותו מידע נמצא בענן או נמצא בסביבה המקומית.

כל אותן פעולות הצפנה יכולות להיות פעולות אוטומטיות או ידניות (ואפילו שילוב של שניהם) אשר נעשות ע"י מדיניות ארגונית או ע"י משתמשי הקצה, ופעולות אלה מבוססות על גבי חוקים ותנאים שונים בתשתית AIP.

תשתית AIP מבוססת בין היתר על היכולות הבאות:

  • הגנה על המידע – אפשרויות הצפנה, תיוג וסיווג המידע לפי מדיניות ארגונית המבוסס על חוקים, תנאים ומאפיינים שונים. המידע עובר בדיקה בהתאם אותם תנאים וקורלציה של אותם מאפיינים ובהתאם לכך מבצע פעולות שונות על המידע
  • שליטה ונראות על המידע – בצד המשתמש ניתן לעקוב אחר המסמכים ופעולות שנעשות על המסמכים בכל עת ולבטל את הגישה במידת הצורך, בצד אנשי IT ניתן לעקוב אחר מסמכים מוגנים באמצעות לוגים ודוחות שנותנים מענה לניטור וניתוח המידע בכל עת.
  • יישום רחב – ניתן ליישם AIP באופן שיאפשר הגנה על מידע ארגוני בענן ובסביבה המקומית ולבחור היכן נגדיר וננהל את מפתחות ההצפנה ולעשות בשימוש בטכנולוגית Bring Your Own Key או לחלופין Hold Your Own Key.
  • אימוץ והטמעה אצל משתמשי קצה – AIP משולב באפליקציות ויישומי אופיס השונים באופן כזה המאפשר למשתמשי קצה ללמוד איך להשתמש בו ללא ידע מוקדם ע”י אפשרויות פשוטות (one click).
  • שיתוף המידע – שיתוף מידע עם ארגונים, לקוחות וספקים מעולם לא היה פשוט יותר ומאפשר יכולות נוספות בצד המשתמש לפי פוליסי שנקבע ע”י השולח, כדוגמת עריכה בצד הנמען אך לא העברה אל נמען אחר.

איך מידע מסווג ומתויג

AIP מבצע סיווג ותיוג למסמכים ופריטי דואר בכל עת.  כאשר אנו מגדירים פוליסי עם AIP השירות מבצע ברקע כל הזמן בדיקה וזיהוי של מסמכים או פריטי דואר אשר סווגו לפי חוק ותנאי מסוים ללא קשר היכן המידע ממוקם.
התיוגים שנעשים שנעשים ע”י פוליסי מכילים בנוסף סימונים כדוגמת: כותרת עליונה, כותרת תחתונה וסימונים נוספים. בנוסף אליהם מתווסף מידע נוסף אודות הקצבים או פריטי הדואר בטקסט רגיל בכדי שמערכות אחרות יידעו לזהות, לסווג ולבצע פעולה על המידע.

איך המידע מוגן

הטכנולוגיה שמבצעת הגנה על המידע עושה שימוש ביכולות Azure RMS ע”י אפשרויות של הצפנה, זיהוי ואישור המידע ע”י פוליסי שמוגדר מראש בונוסף מוודאת שאותו סיווג ותיוג נשאר עם המידע.
לדוגמא: ניתן להגן על מסמך שיהיה נגיש למשתמשי קצה בארגון ולשלוט האם ניתן לערוך את המסמך או לאפשר קריאה בלבד.

תבניות הם הפוליסי הארגוני שמשתקף אל משתמשי הקצה ומאפשר להם לבצע פעולות ולהגן על המידע, כדוגמת: קריאה בלבד, הגבלת הדפסה או העברה לנמען אחר.
כאשר מאקטבים שירות Azure RMS נוצרים תבניות המאפשרות להגביל את המידע, ולכן אנו יכולים לעשות שימוש באותם תבניות בכדי למנוע זליגת מידע. (בנוסף ניתן להגדיר ישנית תבניות לפי דרישה).
תבניות יכולות לכלול חוקים ותנאים רבים, כדוגמת: הגדרת תיוג מסמך וכאשר חל תיוג על מסמך אותו מסמך מוגן באופן אוטומטי וחל עליו סיווג.

מה מכיל שירות AIP

לאחר הפעלה ורישום לשירות AIP אנו עובדים עם מספר ממשקים:

  • פורטל AIP – פורל ניהול ברמת אנשי IT שם ניתן להגדיר את החוקים, פוליסי, תיוגים וכו’
  • Client – בצד המשתמש מותקן Client שמאפשר לבצע סיווג של המידע בין אם אוטומטי או ידני
  • אפליקציה למכשירים – אפליקציה שמחליפה את RMS Sharing ומאפשרת לעבוד עם מסמכים מוגנים

image

הפעלת AIP

מכיוון שתשתית AIP מבוססת על ענן היישום הראשוני הוא יחסית קצר ונחלק לשניים:

  • הפעלה והגדרה ראשונית בלבד של AIP
  • התקנת AIP Agent למשתמשי קצה

חייב להדגיש כי הגדרת תנאים וחוקים בתשתית AIP חייבת להיעשות לפי מדיניות ארגונית אשר כוללת בין היתר: מהו המידע המוצפן, האם ניתן לשתף מידע מול גורם חיצוני, האם משתמשים יכולים לתייג מסמכים באופן ידני ועוד המון שאלות מהותיות לתהליך הגדרת הצפנה.

הפעלה והגדרת יישום AIP יכולה להיעשות על גבי מספר ממשקים, בין אם הפעלה ידנית מתוך Azure Portal או באמצעות PowerShell.

הפקודות הבאות מאפשרות הפעלה של תשתית AIP, הפעלת יכולות IRM, בדיקת השירות והכנה מול הצפנת דואר.

##### Enable and Configure RMS including set Message Encryption for Office 365 #####
#———————————————————————#

### Connect to AADRM Service
Get-Command -Module aadrm
Install-Module AADRM -Force
$cred = Get-Credential
Connect-AadrmService -Credential $cred

### Connect Exchange Online PowerShell ###
$cred = Get-Credential
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $session

### Check and Activate AADRM Service ###
Get-AadrmConfiguration

###Collect configuration information needed for message encryption
$rmsConfig = Get-AadrmConfiguration
$licenseUri = $rmsConfig.LicensingIntranetDistributionPointUrl

### Collect IRM configuration for Office 365
$irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
if (!$list) { $list = @() }
if (!$list.Contains($licenseUri)) { $list += $licenseUri }

### Enable message encryption for Office 365
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -AzureRMSLicensingEnabled $true -InternalLicensingEnabled $true

### Enable the Protect button in Outlook on the web (Optional)
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

### Enable server decryption for Outlook on the web, Outlook for iOS, and Outlook for Android
Set-IRMConfiguration -ClientAccessServerEnabled $true

Test-IRMConfiguration -Sender eshlomo9@gmail.com

ניתן להפעיל את השירות מתוך ממשק AIP (גישה מתוך Azure POortal) ולפי הפעולות הבאות:

לאחר הפעלה ראשונית ניתן להפעיל Label או הצפנה ראשוניים, להוריד AIP Agent ולהתחיל בשליחת תוכן מוצפן, מסווג ומתויג.



:קטגוריותAzure Information Protection

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.