Role služby Azure Information Protection při zabezpečení dat

  • Článek

Azure Information Protection (AIP) poskytuje zákazníkům možnost klasifikovat, označovat jejich data a chránit je pomocí šifrování. Azure Information Protection umožňuje it Správa istrátorům:

  • Automatická klasifikace e-mailů a dokumentů na základě přednastavených pravidel
  • Přidání značek k obsahu, jako jsou vlastní záhlaví, zápatí a vodoznaky
  • Ochrana důvěrných souborů společnosti pomocí služby Rights Management, která jim umožňuje:
    • K podepisování operací používejte 2048bitové klíče RSA pro kryptografii veřejných klíčů a SHA-256.
    • Šifrování souborů konkrétní sadě příjemců uvnitř organizace i mimo ni
    • Použití konkrétní sady práv k omezení použitelnosti souboru
    • Dešifrování obsahu na základě identity a autorizace uživatele v zásadách práv

Tyto funkce umožňují podnikům mít větší ucelenou kontrolu nad daty. V tomto kontextu hraje Azure Information Protection důležitou roli při zabezpečení dat společnosti.

Důležité

Další informace o tom, jak Azure Information Protection funguje, najdete v tématu Jak funguje Azure RMS? Pod kapotou.

Stav podnikové ochrany dnes

Mnoho podniků dnes nemá žádnou technologii ochrany, protože dokumenty a e-maily se sdílejí v jasném textu a správci dat nemají přehled o tom, kteří uživatelé mají přístup k privilegovanému obsahu. Technologie ochrany, jako je SMIME, jsou složité a seznamy ACL nemusí nutně cestovat s e-maily a dokumenty.

No document protection.

V převážně nechráněném prostředí poskytuje Služba Azure Information Protection míru zabezpečení, která nebyla dříve dostupná. I když je zabezpečení neustále se vyvíjejícím předmětem a žádná organizace nemůže v každém okamžiku nárokovat 100% ochranu, azure Information Protection při správném nasazení zvyšuje nároky organizace na zabezpečení.

Principy zabezpečení pro sdílení obsahu

Při používání služby Azure Information Protection v organizaci mají správci IT úplnou kontrolu nad klientským zařízením a správou identit uživatelů a vytvářejí správnou platformu důvěryhodnosti pro sdílení v rámci organizace. Odesílání informací mimo organizaci je ze své podstaty méně důvěryhodné. Při úvahách o přístupu k ochraně informací existují některé principy, které musíte provést posouzení rizik. Při posuzování rizik zvažte následující body:

  • Příjemce má fyzický přístup k nespravovanému zařízení, a proto má kontrolu nad vším, co se na zařízení děje.
  • Příjemce se ověřuje v určité míře spolehlivosti související s nezosobněním.

V situaci, kdy správce IT neřídí zařízení nebo identitu, nemůže IT řídit, co se stane s chráněnými informacemi. Jakmile se uživatel ověří a otevře chráněné informace, nebudou už vaše informace řídit. V tomto okamžiku důvěřujete příjemci, že dodržují zásady uložené v obsahu.

Externí příjemce se zlými úmysly s autorizovaným přístupem k chráněnému obsahu není možné úplně zastavit. Azure Information Protection pomáhá stanovit etické hranice a s využitím podporujících aplikací pomáhá udržet lidi upřímné při přístupu k dokumentu. Azure Information Protection pomáhá v případech, kdy existuje implicitní vztah důvěryhodnosti v rámci definované hranice přístupu uděleného na základě identity.

Zjišťování a zmírnění budoucího přístupu je ale jednodušší. Funkce Sledování dokumentů služby Azure Information Protection může sledovat přístup a organizace může jednat odvoláním přístupu ke konkrétnímu dokumentu nebo odvoláním přístupu uživatele.

Pokud je obsah velmi citlivý a organizace nemůže příjemci důvěřovat, stane se nejdůležitějším zabezpečením obsahu. Doporučujeme obrátit vytáčení ve prospěch zabezpečení a umístit řízení přístupu do dokumentu.

Zabezpečení na základě identit

Následující části prozkoumávají tři hlavní scénáře útoků na chráněný obsah a způsob použití kombinace ovládacích prvků prostředí a služby Azure Information Protection ke zmírnění škodlivého přístupu k obsahu.

Útoky neoprávněnými uživateli

Základem ochrany ve službě Azure Information Protection je to, že přístup k chráněnému obsahu je založený na ověřené identitě a autorizaci. To znamená, že bez ověřování nebo autorizace azure Information Protection neznamená žádný přístup. Toto je primární důvod nasazení služby Azure Information Protection, umožňuje podnikům přejít ze stavu neomezeného přístupu do stavu, kdy je přístup k informacím založený na ověřování a autorizaci uživatele.

Pomocí této funkce služby Azure Information Protection můžou podniky informace rozčlenit do oddílů. Příklad: udržování citlivých informací oddělení lidských zdrojů (HR) izolovaných v rámci oddělení; data finančního oddělení jsou omezena na finanční oddělení. Azure Information Protection poskytuje přístup založený na identitě, nikoli na nic.

Následující diagram obsahuje příklad uživatele (Boba) odesílajícího dokument tomovi. V tomto případě je Bob z finančního oddělení a Tom je z prodejního oddělení. Tom nemůže získat přístup k dokumentu, pokud nebyla udělena žádná práva.

No access.

Klíčovým aspektem v tomto scénáři je, že Azure Information Protection může zabránit útokům neoprávněných uživatelů. Další informace o kryptografických ovládacích prvcích ve službě Azure Information Protection najdete v tématu Kryptografické ovládací prvky používané službou Azure RMS: Algoritmy a délky klíčů.

Přístup k škodlivým programům jménem uživatelů

Škodlivý program, který přistupuje jménem uživatele, je obvykle něco, co probíhá bez vědomí uživatele. Trojské koně, viry a další malware jsou klasickými příklady škodlivých programů, které mohou jednat jménem uživatele. Pokud takový program může zosobnit identitu uživatele nebo využít oprávnění uživatele k provedení akce, může pomocí sady SDK služby Azure Information Protection dešifrovat obsah jménem uživatele bezwittingu. Vzhledem k tomu, že tato akce probíhá v kontextu uživatele, neexistuje jednoduchý způsob, jak zabránit tomuto útoku.

Malicious programs.

Záměrem je zvýšit zabezpečení identity uživatele, což pomůže zmírnit schopnost podvodných aplikací zneuživatele zneuživatele identity. Microsoft Entra ID poskytuje několik řešení, která můžou pomoct zabezpečit identitu uživatele, například pomocí dvojúrovňového ověřování. Kromě toho existují další funkce, které jsou součástí služby Azure Activity Directory Identity Protection, které by se měly prozkoumat, aby byla identita uživatele zabezpečená.

Zabezpečení identit spadá mimo rozsah služby Azure Information Protection a spadá do sféry odpovědnosti správce.

Důležité

Je také důležité zaměřit se na "spravované" prostředí, abyste odstranili přítomnost škodlivých programů. To se bude probít v dalším scénáři.

Uživatelé se zlými úmysly s autorizací

Přístup uživatelem se zlými úmysly je v podstatě kompromisem důvěryhodnosti. Povolení v tomto scénáři musí být program vytvořený tak, aby eskaloval oprávnění uživatele, protože na rozdíl od předchozího scénáře dobrovolně poskytuje přihlašovací údaje k narušení důvěryhodnosti.

Malicious users.

Služba Azure Information Protection byla navržena tak, aby aplikace umístěné na klientském zařízení odpovídaly za vynucování práv přidružených k dokumentu. Ve všech mírách je dnes nejslabší odkaz v zabezpečení chráněného obsahu na klientském zařízení, kde je obsah viditelný koncovému uživateli ve formátu prostého textu. Klientské aplikace, jako je systém Microsoft Office správně dodržovat práva, a proto uživatel se zlými úmysly nemůže tyto aplikace použít k eskalaci oprávnění. S využitím sady Azure Information Protection SDK ale motivovaný útočník může vytvářet aplikace, které nedotknou práv, a to je podstata škodlivého programu.

Cílem tohoto scénáře je zabezpečit klientské zařízení a aplikace, aby se nedají použít podvodné aplikace. Některé kroky, které může správce IT provést, jsou uvedené níže:

Důležitým aspektem tohoto scénáře je zabezpečení klientských počítačů a aplikací důležitou součástí důvěryhodnosti, která je základem služby Azure Information Protection.

Vzhledem k tomu, že Služba Azure Information Protection není navržená tak, aby chránila před škodlivým zneužitím uživatelů, kteří mají udělený přístup k obsahu, nelze očekávat, že bude chránit obsah před škodlivými úpravami od uvedených uživatelů. I když jakákoli úprava obsahu vyžaduje v praxi, že uživateli byl udělen přístup k chráněným datům na prvním místě a zásady a práva spojená s dokumentem jsou samy o sobě řádně podepsané a manipulovány, jakmile uživatel udělí přístup k požadovaným šifrovacím/dešifrovacím klíčům, může se předpokládat, že uživatel bude technicky schopný data dešifrovat, upravte ho a znovu ho zašifrujte. Existuje mnoho řešení, která je možné implementovat, aby poskytovala podepisování dokumentů, ověřování autorství, manipulaci s dokumenty Office a nevrací je v rámci produktů Microsoftu (např. podpora podepisování dokumentů Office, podpora s/MIME v Outlooku) a od třetích stran. Neměli byste se spoléhat na možnosti ochrany AIP samotného, abyste ochránili před škodlivými úpravami autorizovanými uživateli.

Shrnutí

Úplné zabezpečení přesahuje jednu technologii. Prostřednictvím různých vzájemně závislých prostředků může správce IT omezit prostor pro útoky na chráněný obsah v reálném světě.

  • Azure Information Protection: Brání neoprávněnému přístupu k obsahu.
  • Microsoft Intune, Microsoft Endpoint Configuration Manager a další produkty pro správu zařízení: Umožňuje spravované a řízené prostředí bez škodlivých aplikací.
  • Windows AppLocker: Umožňuje spravované a řízené prostředí bez škodlivých aplikací.
  • Microsoft Entra Identity Protection: vylepšuje důvěru v identitu uživatele.
  • Podmíněný přístup EMS: vylepšuje důvěryhodnost zařízení a identity.