Veiliger met Azure Information Protection

Publicatiedatum: afbeelding bij

Onze data staat tegenwoordig overal: op verschillende apparaten, bij verschillende personen en op diverse cloud platformen. Organisaties werken
meer samen in teams en hebben daardoor data gedeeld met klanten, partners en bijvoorbeeld met ingehuurde medewerkers. Hierdoor werken organisaties efficiënter en zijn ze veel productiever. Alleen hoe houden we controle op onze data? Hoe weten we waar de data staat of wie er mee werkt en of deze persoon daar wel voor gemachtigd is? Zeker voor 'gevoelige' data is dit belangrijk en wil je controle houden wie er met deze data werkt.

Traditionele beveiliging

De laatste jaren wordt er veel gebruik gemaakt van verschillende cloud platformen. Daarnaast heeft het samenwerken en documenten delen een enorme vlucht genomen. Het is niet meer zoals in het verleden waar organisaties enkel een file server actief hadden en daarop NTFS rechten had bepaald. Zo werd een gedeelde map middels 'Share' en 'NTFS' permissies beveiligd. Zodra een document als bijlage werd verzonden via de e-mail was deze voor de ontvanger volledig vrij om te openen, door te sturen en te bewerken. Er was geen mogelijkheid controle op dit document te houden.

Naast NTFS rechten op de file share beveiligden organisaties ook hun endpoints (zoals laptops, desktop etc), datacenters en netwerken tegen dataverlies door bijvoorbeeld malware of hackers. Dit wordt zowel fysiek (USB met pincode, deuren met sloten of fingerprint, Kensington locks, bunkers en jawel soms zelfs complete slotgrachten, etc.) als virtueel (Bitlocker, Firewalls, SIEM systemen, 802.1X, Microsegmentation met behulp van Software-Defined-Networking van VMware NSX) gedaan. Hiermee lijkt het probleem opgelost. Helaas; de ontwikkeling binnen de hackers community staat ook niet stil. En wat doe je als een systeembeheerder graag van zijn gokschulden af wil en daarom belangrijke data kopieert en zijn spoor vervolgens simpelweg uitwist? Dat overkomt ons niet zal de gedachte zijn, zo’n vaart zal het wel niet lopen, maar stel dat het wel gebeurt; wat dan? Hopelijk blijven het alleen ‘doom’ scenario’s, maar heb je er ooit bij stil gestaan dat dataverlies ook op kan treden door simpelweg een mailtje te sturen aan de verkeerde persoon met net dat belangrijke document?

Azure Information Protection

Azure Information Protection (AIP) geeft jouw organisatie de mogelijkheid om documenten en e-mails te classificeren en te beveiligen middels vooraf geconfigureerde labels. Deze labels kunnen, afhankelijk van de licentie, eventueel zelfs automatisch gezet worden als een document of een e-mail bepaalde inhoud bevat. AIP is een 'cloud-based' oplossing van Microsoft en is een techniek op basis van Azure RMS (Right Management Servcie), waarbij de beveiliging (encryptie) plaatsvindt op het bestand zelf en niet op de locatie, endpoint, datacenter of netwerk. Mocht deze data om wat voor reden dan ook in handen vallen van een ongeautoriseerd persoon dan is het simpelweg onmogelijk om het document te openen. Kort omschreven zal AIP bij het openen van het document of e-mail welke beveiligd is, eerst valideren tegen de Azure RMS omgeving of de huidige gebruiker geautoriseerd is om het document of e-mail te openen. Is hij/zij dat niet dan wordt het verzoek afgewezen en is hij/zij dat wel, dan kan het document worden geopend met de bijbehorende rechten.

Classify, Label & Protect

De eerste stap is dat er bepaald moet worden wat die 'gevoelige' data is? Organisaties moeten bepalen welk type of welke inhoud er bescherm moet worden. Misschien zijn er wel verschillende niveaus die gehanteerd moeten worden. Zo kunnen er verschillende classificaties ontstaan.
Data kan na classificatie voorzien worden van een label. Dit label geeft de gevoeligheid aan voor bijvoorbeeld een opgeslagen document. Andere gebruikers die eventueel toegang hebben tot dit document kunnen aan de hand van het label zien of deze onder bepaalde ‘gevoeligheid’ is gecategoriseerd. Het label kan bijvoorbeeld een watermerk of een header/footer toevoegen.

Aan de hand van het label met de daarbij horende classificatie kan er een policy bepaald worden welke aan het label gekoppeld wordt. In deze policy is opgenomen wat er met het document moet gebeuren. Dit is het ‘protect’ gedeelte en is alleen van toepassing als dat geactiveerd is op de policy. Het is onder andere mogelijk om zaken zoals print, reply (e-mail), forward (e-mail), save-as, copy, etc. niet toe te staan op het document, waardoor bijvoorbeeld een ‘read-only’ document of e-mail ontstaat welke niet kan worden uitgeprint. De eigenaar van het document behoudt wel alle rechten en kan ten alle tijden het document weer anders classificeren door een ander label te kiezen. De beheerder kan afdwingen dat er een uitleg gegeven moet worden waarom de classificatie verlaagd wordt. Inmiddels is het via Azure centraal te monitoren als labels en daarmee de classificatie verlaagd wordt (Preview).

Wat kun je als gebruiker doen?

Gebruikers kunnen of moeten (dit is af te dwingen in AIP) elk document of e-mail voorzien van een label wat van toepassing is op het object. De gebruiker zal zelf moeten classificeren of het document bijvoorbeeld belangrijke informatie bevat of dat het publiek gedeeld kan worden. Zodra dit bepaald is dan kan de gebruiker het juiste label selecteren in de Office client:

Na deze keuze zal de policy die van toepassing is op het label van kracht worden en hierna is het document geclassificeerd, gelabeld en al dan niet voorzien van beveiliging. Naast handmatige classificatie is het ook mogelijk om automatisch te classificeren. Dit houdt in dat AIP op basis van de inhoud van het document, bijvoorbeeld een creditcard-nummer wat tenminste 2 keer voorkomt, automatisch het document het label geeft waarin dit is ingesteld (policy). Hiermee worden gebruikers ontlast en worden documenten ook beter geclassificeerd zonder dat de gebruiker hier moeite voor hoeft te doen. Dit is echter alleen mogelijk met een Azure AIP P2 licentie, maar daarover later mee.

Track & Revoke

Zodra een document beveiligd is met AIP en aangemeld is bij de Track & Revoke website kun je deze “volgen” en zien welke gebruikers het document hebben geprobeerd te openen. Hier zijn verschillende overzichten te vinden waaronder een tijdslijn of een geografische weergave van de locaties waar vandaan documenten zijn geraadpleegd.

Indien een document niet meer beschikbaar mag of moet zijn, kan deze te allen tijde worden ingetrokken vanaf dit online portaal. Het Track and Revoke center is te bereikbaar via https://track.azurerms.com/ .

Deze functie is vooral bedoeld voor het versturen van documenten naar derden om zo grip te houden op het document en dat deze niet verder verspreid wordt en gelezen wordt door onbevoegden.

Licenties

Voor het gebruik van AIP is een licentie nodig; echter veel bedrijven maken al gebruik van de volgende licentie: EM+S (Enterprise Mobility + Security) E3 of E5 voor bijvoorbeeld Intune of Azure Multi Factor Authentication (MFA). Binnen de EM+S licentie is AIP opgenomen waardoor er zonder extra kosten gebruik van gemaakt kan worden. Mooi meegenomen zouden we zeggen! Bij een EM+S E3 omvat het AIP P1 en bij een EM+S E5 is dat de P2 variant, maar uiteraard kunnen de AIP P1 & P2 licenties ook los afgenomen worden. Het belangrijkste verschil tussen een AIP P1 & P2 licentie is dat P2 automatische classificatie en labeling ondersteund.

Als een externe ontvanger van een AIP beveiligd document geen AIP licentie heeft dan is het mogelijk om een gratis “RMS for individuals and Azure Information Protection” licentie aan te vragen. Met deze licentie kunnen de documenten worden geopend.

Clients

Om gebruik te maken van AIP is er natuurlijk een Office pakket nodig. De volgende worden ondersteund:

  • Office 2016/ Office 365 Pro Plus
  • Office 2013
  • Office 2010

Office 2016 en 2013 bieden native support voor Azure RMS, maar het is altijd aan te raden om gebruik te maken van de speciale AIP client (verplicht voor Office 2010) zodat gebruikers o.a. makkelijk documenten kunnen labelen. Dit ziet er dan als volgt uit:

De client is eigenlijk niets meer dan een Office plug-in welke via de volgende methode geïnstalleerd kan worden:

  • Windows Update
  • Handmatig via de executable
  • Via een centraal deployment systeem zoals bijv. SCCM (System Center Configuration Mangement) of Intune

Naast de Office clients is er ook een AIP client voor iOS en Android welke handmatig geïnstalleerd kan worden door de gebruiker vanuit de verschillende app stores. Het is ook mogelijk om de client te distribueren en managen via Intune als het device enrolled is binnen Intune. Mocht er een andere MDM (Mobile Device Management) oplossing gebruikt worden dan zal nagegaan moeten worden of je deze applicaties kan installeren op de managed devices.

Beperkingen

Sinds de release van AIP in 2016 zijn er al veel stappen gemaakt, maar AIP kent momenteel nog de volgende (belangrijkste) beperkingen:

  • Er is nog geen ondersteuning voor Office Online waardoor het labelen binnen bijv. Word Online niet mogelijk is. Ook het online bekijken van AIP beveiligde documenten is nog niet mogelijk. Een beveiligde e-mail kan wel in de browser bekeken worden.
  • De AIP app voor iOS en Adroid kan alleen gebruikt worden voor het openen van bestanden en e-mails. Het toepassen van labels is niet mogelijk.
  • Binnen SharePoint Online en OneDrive for Business is het toepassen van labels niet mogelijk op een document library. Hiervoor dient IRM (Information Rights Management) gebruikt te worden.
  • Documenten met encryptie bieden geen ondersteuning voor Co-authoring, eDiscovery, Search, Delve, en andere samenwerk functies. DLP (Data Lost Prevention) werkt wel, maar alleen met metadata.

Best Practices

Voor de implementatie van AIP gebruiken we de methode: Keep it simple! Wanneer er heel veel verschillende labels beschikbaar zijn vergt dit veel beheer en ontstaat er verwarring bij de gebruikers. Het beperken van het aantal labels is daarom erg aan te bevelen.

Naast het beperken van de labels is het ook noodzaak om niet alle documenten binnen het bedrijf of organisatie te gaan beveiligen met encryptie. Doe dit dan ook alleen maar als er noodzaak voor is zoals bij HR documenten (AVG), zeer gevoelige bedrijfsinformatie etc. Overige documenten kunnen dan geclassificeerd worden als bijv. Public of Internal waarbij geen encryptie wordt toegepast. Gebruikers zijn zich dan wel bewust van het type document en kunnen deze eventueel later alsnog beveiligd worden.

Om de implementatie van AIP tot een succes te maken is gebruikersadoptie erg belangrijk. Gebruikers moet geïnformeerd worden waarom documenten en e-mails gelabeld moeten worden en hoe ze dat moeten doen.

Profiel PQR

PQR

PQR gelooft dat IT hét middel is voor organisaties om voorop te lopen in hun branche en hun ambities mogelijk te maken. Onze IT-professionals streven op een plezierige en verrassende manier, elke dag naar de hoogste kwaliteit producten, diensten en service voor hun klanten én hun eindgebruikers.

Profiel PQR ›