post

De titelvraag houdt menig organisatie bezig. Steeds vaker zijn datalekken, ransomware en hackers onderwerp van gesprek. Het belang van informatiebeveiliging wordt steeds groter. De verandering van de werkplek naar “het nieuwe werken” en de komst van cloud oplossingen biedt nieuwe mogelijkheden, maar ook uitdagingen.Data moet vanaf iedere locatie benaderbaar zijn, maar de inhoud van deze data is niet voor iedereen bestemd. Hoe houd je als organisatie controle op deze data en beperk je de risico’s, zonder dat het afbreuk doet aan de beschikbaarheid? Met behulp van Azure Information Protection is dit mogelijk.

Met behulp van Azure Information Protection krijgen organisaties grip op de inhoud van data door deze te beveiligen voor ongeautoriseerde toegang. De opslaglocatie van de data is dan niet meer van belang. Met deze cloud-gebaseerde oplossing kunnen datastromen geclassificeerd, gelabeld, beveiligd en bewaakt worden. Dit kan automatisch worden uitgevoerd op basis van vooraf ingestelde regels en/of voorwaarden of handmatig door gebruikers. Azure Information Protection kan zowel on-premise als in de cloud toegepast worden. Azure Information Protection is onderdeel van de Enterprise Mobility + Security Suite. Het bevindt zich in de laag Access & Information Protection.

Azure Information Protection wordt multiplatform ondersteund en kan zowel in de cloud als on-premise gebruikt worden. Om het on-premise te kunnen gebruiken is de installatie van de Azure RMS-connector on-premise wel vereist. Dit stukje software fungeert als relay tussen de on-premise infrastructuur en de Azure tenant en zorgt voor naadloze integratie.

Wat kan Azure Information Protection?

Azure Information Protection bevat de onderstaande functionaliteiten, opgedeeld in drie onderwerpen: classificatie/labelen, beveiliging en monitoren/acteren.

Classificatie en labelen

Een van de mogelijkheden is het classificeren van documenten en e-mails aan de hand van labels. Aan deze labels kunnen vervolgens beleidsregels gekoppeld worden vanuit de Azure Portal. Het labelen kan zowel automatisch gebeuren door vooropgestelde regels/condities of handmatig door de eindgebruiker. Bij het handmatig wijzigen van een label kan afgedwongen worden dat de gebruiker dit moet verantwoorden. Dit genereert een event ID waarop gemonitord kan worden.

Naast het toepassen van labels op documenten en e-mails, kunnen er ook transportregels aangemaakt worden binnen Exchange. Deze regels zorgen ervoor dat mailverkeer automatisch geclassificeerd wordt. Wanneer een e-mail bijvoorbeeld een creditcardnummer bevat, wordt deze automatisch geclassificeerd als vertrouwelijk en wordt een specifiek template toegepast.

Een andere mogelijkheid is om de Azure RMS (Rights Management Service)-functionaliteiten te combineren met File Classification Infrastructure (FCI). Op deze manier kan data op de fileserver automatisch geclassificeerd worden wanneer deze bijvoorbeeld op een specifieke locatie opgeslagen wordt. De data op deze locatie wordt dan vervolgens versleuteld door de Azure RMS-template die geconfigureerd staat.

Beveiliging

Achter het classificeren en labelen hangt de beveiligingstechnologie Azure Rights Management Service (RMS). Deze beveiligingstechnologie maakt gebruik van beleidsregels voor versleuteling, identiteit en verificatie. De beveiliging blijft van kracht op documenten en e-mail, onafhankelijk van de locatie. Azure RMS biedt twee beveiligingsniveaus: systeem eigen en algemeen. Onder systeemeigen vallen tekst-, afbeelding-, Microsoft Office- (Word, Excel, Powerpoint, Outlook) en .pdf-bestanden. Deze bestandstypen ondersteunen het gebruik van de Rights Management Service en worden beveiligd met zowel versleuteling als handhaving van de rechten. Alle overige bestandstypen krijgen een algemene beveiliging. Het bestand wordt dan voorzien van een .pfile-bestandsextensie, en kan pas geopend worden wanneer verificatie van de gebruiker succesvol is afgerond. Het is mogelijk om bepaalde bestandstypen uit te sluiten voor encryptie. De Azure Rights Management Service zal deze bestandstypen dan negeren. Dit kan een nodig zijn wanneer een specifiek beveiligingssysteem niet overweg kan de .pfile bestanden. In de onderstaande afbeelding en begeleidende tekst wordt toegelicht hoe Azure RMS werkt.

  1. Het document wordt beveiligd door de gebruiker of service
  2. Het document is beveiligd met een inhoudssleutel (groen). Voor ieder document is dit een unieke sleutel die in de bestandsheader staat
  3. De inhoudssleutel wordt beveiligd door de basissleutel van de Azure Information Protection-tenant (rode sleutel), maar kan ook een uit AD RMS geïmporteerde sleutel zijn
  4. Wanneer een gebruiker of service aan de voorwaarden voldoet, wordt het document ontsleuteld en het beleid toegepast dat voor deze gebruiker of service geldt

De gegevens worden nooit verzonden naar of opgeslagen in Microsoft Azure. De gegevens worden onleesbaar gemaakt en zijn alleen zichtbaar voor gemachtigde gebruikers en of services. De cryptografische besturingselementen van Azure RMS voldoen aan de industrienormen: AES voor documentbeveiliging, RSA voor sleutelbeveiliging en SHA-256 voor certificaatondertekening.

Monitoren en acteren

Een unieke mogelijkheid is het delen van Azure RMS beveiligde bestanden met externe partijen en het monitoren ervan. Als de inhoud van een bestand is geclassificeerd dan kan er gecontroleerd worden hoe het bestand wordt gebruikt. De gegevensstromen en riskant gedrag kunnen geanalyseerd worden en toegang tot het bestand of misbruik van gegevens kan worden voorkomen.

Wanneer de externe partij een RMS beveiligd document ontvangt, kan dat geopend worden aan de hand van de meegeleverde instructies. De Azure tenant heeft hiervoor het mailaccount van de ontvanger nodig om te verifiëren of deze gerechtigd is. Daarnaast moet de RMS Sharing Application geïnstalleerd zijn op het device dat het document wil openen. Wanneer aan alle voorwaarden is voldaan dan wordt het document ontsleuteld.

Via de website https://track.azurerms.com kan er gevolgd worden wie welk document geopend heeft en vanaf waar. Ook het aantal mislukte opvragen is zichtbaar. Vanuit deze portal kan ook bepaald worden om de machtigingen in te trekken van een document, mits dit aangegeven is bij het versturen ervan.

Wat heb je nodig?
Om de onderwerpen classificatie, labelen en beveiliging te kunnen implementeren binnen je organisatie is het volgende nodig:

  • Een Azure Tenant met minimaal de Enterprise Mobility + Security E3 licentie. Deze licentie is opgenomen in Office 365 E3 en E5
  • Azure Active Directory Premium 1
  • Microsoft Office 2010, 2013 SP1 of 2016
  • RMS sharing application, Azure Information Protection client
  • Windows 10, Windows 8.1, Windows 8 of Windows 7 SP1

Om ook te kunnen monitoren en acteren op RMS gedeelde bestanden, is het noodzakelijk dat de organisatie de volgende twee licenties upgrade:

  • Enterprise Mobility + Security van E3 naar E5
  • Office 365 van E3 naar E5

Verder gelden de voorwaarden zoals eerdergenoemd. Azure Information Protection wordt gedeeltelijk ook ondersteund op de volgende platformen:

  • OS X 10.9 en hoger
  • Android 4.4 en hoger
  • iOS 8.0 en hoger
  • Windows 10 mobile
  • Windows Phone

Het product wordt in een hoog tempo verbeterd door Microsoft. Om een actueel overzicht te hebben van wat er op welk platform ondersteund wordt, is het raadzaam de sites van Microsoft te raadplegen.

Totale controle
Azure Information Protection is op dit moment de beste oplossing om als organisatie documenten en e-mailverkeer inhoudelijk te beveiligen. Het biedt controle en beperkt de risico’s zonder dat het afbreuk doet aan de beschikbaarheid van data. Daarnaast is Azure Information Protection als onderdeel van de Enterprise Mobility + Security Suite, eenvoudig uit te breiden met Mobile Device Management en Mobile Application Management. Het biedt op die manier een totaaloplossing voor de toekomst waarbij men niet alleen de data inhoudelijk beveiligd, maar ook op device- en applicatie niveau.

Hieronder vind je links naar demo’s van de in dit blog besproken onderwerpen:

Leave a comment