O papel do Azure Information Protection na proteção de dadosThe role of Azure Information Protection in securing data

O Azure Information Protection (AIP) permite que os clientes classifiquem, atribuam etiquetas e protejam os seus dados através de encriptação.Azure Information Protection (AIP) provides customers with the ability to classify, label their data, and protect it using encryption. O Azure Information Protection permite aos Administradores de TI:Azure Information Protection enables IT Administrators to:

  • Classificar automaticamente e-mails e documentos com base em regras predefinidasAutomatically classify emails and documents based on preset rules
  • Adicionar marcadores a conteúdos, tais como cabeçalhos, rodapés e marcas d'águaAdd markers to content like custom headers, footers, and watermarks
  • Proteger ficheiros confidenciais da empresa com o Rights Management, que permite:Protect company's confidential files with Rights Management, which allows them to:
    • Utilizar chaves RSA de 2048 bits para a encriptação de chaves públicas e chaves SHA-256 para operações de assinatura.Use RSA 2048-bit keys for public key cryptography and SHA-256 for signing operations.
    • Encriptar os ficheiros num conjunto específico de destinatários dentro e fora da respetiva organizaçãoEncrypt the files to a specific set of recipients both inside and outside their organization
    • Aplicar um conjunto específico de regas para restringir a utilização do ficheiroApply specific set of rights to restrict the usability of the file
    • Desencriptar conteúdos com base na autorização e identidade do utilizador na política de direitosDecrypt content based on the user’s identity and authorization in the rights policy

Estas funcionalidades proporcionam às empresas um maior controlo ponto a ponto sobre os seus dados.These capabilities enable enterprises to have a greater end-to-end control over their data. Neste contexto, o Azure Information Protection desempenha um papel importante na proteção dos dados das empresas.In this context, Azure Information Protection plays an important role in securing company's data.

Importante

Para obter mais informações sobre como o Azure Information Protection funciona, leia o artigo Como funciona o Azure RMS? Os bastidores.For more information on how Azure Information Protection works, read How does Azure RMS work? Under the hood.

A realidade atual da proteção de dados empresariaisThe state of enterprise protection today

Atualmente, muitas empresas não utilizam tecnologias de proteção implementadas: os documentos e e-mails são partilhados em texto simples e os responsáveis pela gestão de dados não sabem ao certo quais são os utilizadores com acesso aos conteúdos confidenciais.Many enterprises today do not have any protection technology in place, with documents and emails being shared in cleartext and data custodians not having the clarity on which users have access to privileged content. As tecnologias de proteção, como o SMIME, são complexas e as ACLs não vêm necessariamente incluídas nos e-mails e documentos.Protection technologies like SMIME are complicated and ACLs do not necessarily travel with emails and documents.

Sem proteção de documentos

Num ambiente que se apresenta bastante desprotegido, o Azure Information Protection fornece uma medida de segurança que não se encontrava anteriormente disponível.In a largely unprotected environment, Azure Information Protection provides a measure of security that was not available earlier. Embora a segurança seja um tema em constante evolução e nenhuma organização possa garantir uma proteção absoluta e constante dos seus dados, o Azure Information Protection aumenta os requisitos de segurança das organizações, quando implementado de forma adequada.And while security is a constantly evolving subject and no organization can claim 100% protection at any point in time, Azure Information Protection when properly deployed increases the security footprint of an organization.

Princípios de segurança para a partilha de conteúdosSecurity principles for sharing content

Ao utilizar o Azure Information Protection dentro da organização, os administradores de TI têm controlo total sobre o dispositivo cliente e sobre a gestão de identidades do utilizador, o que ajuda a criar a plataforma fidedigna mais adequada para a partilha de conteúdos na organização.When using Azure Information Protection within the organization, IT administrators have full control over the client device and over user identity management, and this builds the right platform of trust for sharing within the organization. O envio de informações para fora da organização é inerentemente menos fidedigno.Sending information outside the organization is inherently less trustworthy. Ao planear a abordagem à proteção de informações, existem alguns princípios a ter em conta ao realizar uma avaliação de riscos.In thinking about the approach to information protection, there are some principles that you must perform a risk assessment. Ao realizar esta avaliação de riscos, tenha os seguintes pontos em consideração:While performing this risk assessment, consider the following points:

  • O destinatário tem acesso físico a um dispositivo não gerido e, por conseguinte, tem controlo sobre tudo aquilo que acontece no dispositivo.The recipient has physical access to an unmanaged device, and is therefore in control of everything that happens on the device.
  • O destinatário é autenticado com um nível de confiança suficiente para garantir a sua legitimidade.The recipient is authenticated to a degree of confidence related to non-impersonation.

Numa situação em que o administrador de TI não controla o dispositivo ou a identidade, as TI não conseguem controlar o que acontece às informações protegidas.In a situation where the IT administrator doesn’t control the device or the identity, IT cannot control what happens to the protected information. A partir do momento em que um utilizador conclui a autenticação e abre as informações protegidas, você deixa de poder controlá-las.Once a user authenticates and opens protected information, it’s no longer your information to control. Nesta fase, resta-lhe confiar que o destinatário respeite as políticas aplicadas aos conteúdos.At this point, you’re trusting the recipient that they honor the policies placed on the content.

É impossível impedir na totalidade o acesso de um destinatário externo autorizado com intenções maliciosas aos conteúdos protegidos.It is not possible to completely stop a malicious external recipient with authorized access to the protected content. O Azure Information Protection ajuda a estabelecer limites éticos e a utilização de aplicações otimizadas ajuda a garantir a veracidade sobre a forma como as pessoas acedem ao documento.Azure Information Protection helps establish ethical boundaries and with the use of enlightened applications helps keep people honest on how they access the document. O Azure Information Protection ajuda nos casos em que existe uma confiança implícita no limite definido do acesso que é atribuído com base na identidade.Azure Information Protection helps when there is implicit trust within the defined boundary of access given based on identity.

No entanto, a deteção e mitigação de acessos futuros tornou-se mais simples.However, detecting and mitigating future access is simpler. A funcionalidade de Controlo de Documentos do serviço Azure Information Protection consegue controlar o acesso e a organização pode tomar medidas ao revogar o acesso ao documento em particular ou ao revogar o acesso do utilizador.The Document Tracking feature of the Azure Information Protection service can track access and the organization can act by revoking access to the specific document or revoking the access of the user.

Se os conteúdos forem extremamente confidenciais e a organização não puder confiar no destinatário, torna-se fundamental aplicar medidas de segurança adicionais aos conteúdos.If the content is very sensitive and the organization cannot trust the recipient, additional security of the content becomes paramount. Por isso, é recomendável que opte por apostar na segurança e incluir controlos de acesso no documento.The recommendation is to turn the dial in favor of security and place access controls on the document.

Segurança com base em identidadesIdentity based security

As seguintes secções irão explorar três dos principais cenários de ataques feitos aos conteúdos protegidos, para além da forma como os controlos de ambiente e o Azure Information Protection podem ser utilizados em conjunto para mitigar o acesso malicioso ao conteúdo.The sections that follow will explore three major scnearios of attacks on protected content, and how a combination of environment controls and Azure Information Protection can be used to mitigate malicious access to the content.

Ataques por parte de utilizadores não autorizadosAttacks by unauthorized users

O princípio fundamental da segurança no acesso a conteúdos protegidos no Azure Information Protection assenta na autorização e autenticação da identidade.The basis of protection in Azure Information Protection is that access to protected content is based on authenticated identity and authorization. Isto significa que, no Azure Information Protection, a ausência de autenticação ou de autorização implica que não tem acesso.This means that with Azure Information Protection no authentication or authorization implies no access. A principal razão para implementar o Azure Information Protection é que o mesmo permite às empresas passar de um estado de acesso sem restrições para um estado de acesso às informações com base na autenticação e autorização do utilizador.This is the primary reason to deploy Azure Information Protection, it enables enterprises to go from a state of unrestricted access to a state where access to information is based on user authentication and authorization.

Através desta funcionalidade do Azure Information Protection, as empresas têm a possibilidade de compartimentar as informações.By using this Azure Information Protection capability, enterprises are able to compartmentalize information. Por exemplo: manter as informações confidenciais do departamento de Recursos Humanos (RH) restritas a esse departamento e os dados do departamento financeiro restritos ao respetivo departamento.For example: keeping sensitive information of the Human Resources (HR) department isolated within the department; and keeping the finance department’s data restricted to the finance department. O Azure Information Protection proporciona um acesso com base na identidade, ao invés de um acesso indiscriminado.Azure Information Protection provides access based on identity, rather than nothing at all.

O diagrama abaixo mostra o exemplo de um utilizador (Bernardo) a enviar um documento para o Samuel.The diagram below has an example of an user (Bob) sending a document to Tom. Neste caso, o Bernardo pertence ao departamento de Finanças e o Samuel ao departamento de Vendas.In this case Bob is from the Finance department and Tom is from the Sales department. O Samuel não consegue aceder ao documento se não lhe tiverem sido concedidos direitos.Tom cannot get access to the document, if no rights were granted.

Sem acesso

O ponto a destacar neste cenário é que o Azure Information Protection pode impedir os ataques por parte de utilizadores não autorizados.The key takeaway in this scenario is that Azure Information Protection can stop attacks from unauthorized users. Para obter mais informações sobre controlos criptográficos no Azure Information Protection, leia Controlos criptográficos utilizados pelo Azure RMS: comprimentos de chave e algoritmos.For more information about cryptographic controls in Azure Information Protection, read Cryptographic controls used by Azure RMS: Algorithms and key lengths.

Acesso por parte de programas maliciosos em nome dos utilizadoresAccess by malicious programs on behalf of users

O acesso de programas maliciosos em nome de um utilizador é algo que normalmente ocorre sem o conhecimento do utilizador.Malicious program accessing on behalf of a user is usually something that takes place without the user's knowledge. Os trojans, vírus e outro tipo de software maligno são exemplos clássicos de programas maliciosos que podem agir em nome do utilizador.Trojans , viruses, and other malware are classic examples of malicious programs that can act on behalf of the user. Se um destes tipos de programa conseguir apoderar-se da identidade do utilizador ou utilizar privilégios do utilizador para efetuar uma ação, o mesmo conseguirá utilizar o SDK do Azure Information Protection para desencriptar os conteúdos em nome de um utilizador desprevenido.If such a program can impersonate the user's identity or leverage user's privileges to take an action, then it can use the Azure Information Protection SDK to decrypt content on behalf of an unwitting user. Uma vez que esta ação ocorre no contexto do utilizador, não existe uma forma simples de impedir este ataque.Since this action takes place in the user’s context, there isn’t a simple way to prevent this attack.

Programas maliciosos

O que se pretende aqui é melhorar a segurança da identidade do utilizador. Este passo irá ajudar a reduzir a probabilidade de a identidade do utilizador ser controlada por aplicações não autorizadas.The intent here is to enhance the security of the user's identity, this will assist in mitigating the ability of rogue applications to hijack user's identity. O Azure Active Directory fornece várias soluções que podem ajudar a proteger a identidade do utilizador, por exemplo a autenticação de dois fatores.Azure Active Directory provides several solutions that can help secure the user identity, for example, using two-factor authentication. Além disso, existem outras funcionalidades que integram o Azure AD Identity Protection e devem ser exploradas para manter a segurança da identidade do utilizador.In addition, there are other capabilities that come as a part of Azure Activity Directory Identity Protection that should be explored to keep the user identity secure.

A proteção de identidades encontra-se fora do âmbito do Azure Information Protection e recai sobre a responsabilidade do administrador.Securing identities falls outside the scope of Azure Information Protection, and falls in the realm of administrator responsibility.

Importante

Também é importante que se concentre em manter um ambiente "gerido" de modo a eliminar todos os programas maliciosos.It is also important to focus on a “managed” environment to remove the presence of malicious programs. Este tópico será abordado no cenário seguinte.This will be covered in the next scenario.

Utilizadores mal intencionados com autorizaçãoMalicious users with authorization

O acesso por parte de um utilizador mal intencionado constitui essencialmente um risco de confiança.Access by a malicious user is essentially a compromise of trust. Neste cenário, o ativador tem de ser um programa concebido para aumentar os privilégios do utilizador porque, ao contrário do cenário anterior, este tipo de utilizador fornece credenciais voluntariamente com o intuito de comprometer a fidedignidade.The enabler in this scenario needs to be a program crafted to escalate user's privileges, because unlike the previous scenario, this user voluntarily provides credentials to break trust.

Utilizadores mal intencionados

O Azure Information Protection foi concebido para tornar as aplicações localizadas no dispositivo cliente responsáveis por impor os direitos associados ao documento.Azure Information Protection was designed to make applications located on the client device responsible for enforcing the rights associated with the document. Atualmente, o elo mais fraco presente na segurança de conteúdos protegidos reside no dispositivo cliente, onde os conteúdos se encontram visíveis para o utilizador final em texto simples.By all measures, the weakest link in the security of protected content today is on the client device, where the content is visible to the end user in plaintext. As aplicações cliente, como o Microsoft Office, respeitam adequadamente os direitos atribuídos, pelo que os utilizadores mal intencionados não podem utilizar estas aplicações para aumentar privilégios.The client applications like Microsoft Office honor the rights correctly, and so a malicious user cannot use these applications to escalate privileges. No entanto, com o SDK do Azure Information Protection, os atacantes mais persistentes podem criar aplicações que não respeitam esses direitos e isto é o que caracteriza a essência de um programa malicioso.However, with the Azure Information Protection SDK, a motivated attacker can create applications that do not honor the rights, and this is the essence of a malicious program.

O objetivo deste cenário visa a proteção de aplicações e dispositivos cliente e impedir que as aplicações não autorizadas sejam utilizadas.The focus of this scenario is to secure the client device and applications, so that rogue applications cannot be used. Abaixo estão indicados alguns dos passos que o administrador de TI pode efetuar:Some steps that the IT administrator can take are listed below:

Um ponto importante neste cenário é que a proteção de computadores e aplicações cliente representa uma parte fundamental da questão de fidedignidade que sustenta o Azure Information Protection.An important takeaway from this scenario is that securing client machines and applications is an important part of the trust that underpins Azure Information Protection.

ResumoSummary

Garantir uma segurança total não se resume a utilizar uma só tecnologia.Full security goes beyond one technology. Através de diversos meios interdependentes, os administradores de TI podem reduzir a superfície de ataque aos conteúdos protegidos no mundo real.Through a variety of interdependent means, an IT administrator can reduce the attack surface on protected content in the real world.

  • Azure Information Protection: impede o acesso não autorizado a conteúdosAzure Information Protection: prevents unauthorized access to content
  • Microsoft Intune, System Center Configuration Manager e outros produtos de gestão de dispositivos: permitem gerir e controlar um ambiente de forma a livrá-lo de aplicações maliciosasMicrosoft Intune, System Center Configuration Manager, and other device management products: enables a managed and controlled environment free of malicious apps
  • Windows AppLocker: permite gerir e controlar um ambiente de forma a livrá-lo de aplicações maliciosasWindows AppLocker: enables a managed and controlled environment free of malicious apps
  • Azure AD Identity Protection: melhora a fidedignidade da identidade do utilizadorAzure AD Identity Protection: enhances trust in the user identity
  • Acesso Condicional de EMS: melhora a fidedignidade do dispositivo e da identidadeEMS Conditional Access: enhances trust in the device and identity