Sikring av informasjon on-premise eller i Office 365THOMAS AURESENIORRÅDGIVERUTENRIKSDEPARTEMENTET

Agenda

Datakryptering Meldingskryptering

Rights management

(RMS)

Data loss prevention (DLP)

Mobile Device Management

(MDM)… I tillegg har vi

også…

DATAKRYPTERING

Datakryptering

Data-i-ro (Office 365)• BitLocker kryptering (drive)• Per-fil kryptering

• SharePoint Online• OneDrive for Business

• Filer fordeles over flere “Azure Storage containers”

• Oversikt over fillokasjon er også kryptert (Map)

• Krypteringsnøkler er fysisk lokalisert et annet sted

Data-i-bevegelse (Office 365)

• TLS for alle arbeidslaster• TLS 1.2 støtte

• SSL 3.0 støtte er trukket

MELDINGSKRYPTERING

Meldingskryptering

Krypterte meldinger forlater ALDRI serveren

Mottager får melding med link og må autentisere seg for å lese og svare på meldingen.

Enkel prosess for validering av konto.

Kan etableres i Exchange Online med regler for e-post flyt.

Eksempel på melding

Konfigurasjon av meldingskryptering

Aktiver Rights Management i Azure/Office 365 Konfigurer “RMS Online key sharing location” i Exchange Online

Set-IRMConfiguration -RMSOnlineKeySharingLocation "https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc"

Importer Trusted Publishing Domain (TPD) fra RMS Online Import-RMSTrustedPublishingDomain -RMSOnline -name "RMS

Online" Skru på IRM i Exchange Online

Set-IRMConfiguration -InternalLicensingEnabled $true

https://technet.microsoft.com/library/dn151475(v=exchg.150).aspx

MELDINGSKRYPTERING DEMO

INFORMATION RIGHTS MANAGEMENT

Hvorfor trenger vi IRM?

Fokus er ofte sterkt knyttet mot perimeter baserte sikkerhetsmekanismer som skal forhindre uautorisert adgang. Brannmur, IDS/IPS, Proxy, AS/AV etc.

I-bevegelse-basert sikkerhet (e-post kryptering, IPSec, osv.) beskytter kun ved overføring fra et sted til et annet

ACL er også effektivt for å begrense adgang

Problemet med disse mekanismene er at de ikke kan forhindre at autoriserte personer “lekker” dokumentene ut av organisasjonen via e-post, utskrifter, minnepinner eller copy/paste.

Risiko oppstår ved autorisert aksess

Perimetersikring, aksesskontrollister og transportsikring har ingen virkning etter at data er levert til autoriserte individer.

Ansatte som deler/sender på e-post eller skriver ut interne dokumenter er bare en liten del av problemet. Lagring av data i ulike typer private skytjenester. Stjålne/tapte Pcer. ‘lekkasje’ av data til minnepinner. Smartelefoner osv. kan være en bekymring om de blir stjålet.

Azure RMS

Azure RMS er en variant av Digital Rights Management (DRM) teknologi, som ofte benyttes for å beskytte innhold. RMS er et subset av DRM som kalles Enterprise Rights Management RMS er beskyttelse av informasjon basert på kryptering, identitet og

autorisasjonsregler. Basert på X.509 sertifikater,

tilsvarende som SSL kryptering, IPSec, eller andre former for kryptering basert på PKI teknologier.

Dokumenter kan kun benyttes av gitte mottagere og til angitte formål.

Dokumentsporing: https://portal.azurerms.com

Azure RMS gir kontroll til forfatteren

Forfatteren av dokumentet kan definere hvem som kan gjøre følgende; Lese dokumentet Redigere dokumentet Skrive ut dokumentet Copy/Paste

Hva er Azure RMS?

Hvordan virker RMS?

Azure RMS versus AD RMS

Azure RMS har mer funksjonalitet og tjenester, som f.eks: Innebygget støtte for Mobile enheter Default Templates Dokumentsporing, tilbaketrekking og e-post varsling

Hovedforskjellene på Azure RMS og AD RMS ligger i oppsett og forvaltning - AD RMS krever relativ kompleks infrastruktur og konfigurasjon.

2x front-end 2x SQL back-end SPNs publisert i AD Eksterne revers proxy forbindelser Federering Kompleks konfigurasjon av SharePoint On-Premise og Exchange On-Premise

Microsoft har utviklet en migreringsplan fra AD RMS til Azure RMS (http://is.gd/mig2azrms)

WS 2012/2016 Filklassifisering

Exchange Online DLP Regler

DLP Policies can be created in Exchange that automatically protect content based on certain criteria

One example would be protecting emails that have SSNs in them

Azure RMS effektive rettigheter i SharePoint Online

“Skru på” RMS i Office 365

“Skru på” RMS i Exchange Online

“Skru på” RMS i SharePoint Online

Azure RMS i Office 365Plan RMS inkludert?Office 365 Business Essentials NoOffice 365 Business Premium NoOffice 365 E1/A1 NoOffice 365 K1 NoSharePoint Online Plan 1/2 NoExchange Online Plan 1/2 NoOffice 365 E3/A3/G3 YesOffice 365 E4/A4/G4 YesOffice 365 E5/A5 Yes

• Azure RMS is included only in specific SKUs of Office 365

• Organizations that do not include licenses can purchase standalone licenses of Office 365

• List pricing is $2.00 USD per user per month for standalone Azure RMS licenses

Azure RMS LisensieringFeature RMS for

Office 365Azure RMS Premium

Users can create and consume protected content by using Windows clients and Office applications X XUsers can create and consume protected content by using mobile devices X XIntegrates with Exchange Online, SharePoint Online, and OneDrive for Business X XIntegrates with Exchange Server 2013/Exchange Server 2010 and SharePoint Server 2013/SharePoint Server 2010 on-premises via the RMS connector X XAdministrators can create departmental templates X XOrganizations can create and manage their own RMS tenant key in a hardware security module (the Bring Your Own Key solution) X XSupports non-Office file formats: Text and image files are natively protected; other files are generically protected X XRMS SDK for all platforms: Windows, Windows Phone, iOS, Mac OSX, and Android X XIntegrates with Windows file servers for automatic protection with FCI via the RMS connector   XUsers can track usage of their documents XUsers can revoke access to their documents X

AZURE RIGHTS MANAGEMENT TJENESTER

Konfigurasjon av RMS

Aktiver Rights Management i Office 365 tenant

Opsjon: Konfigurer RMS maler Skru på “Information Rights Management” i SharePoint Online Installer “Rights Management sharing application”

http://go.microsoft.com/fwlink/?LinkId=303970

Azure RMS Opsjoner

Exchange Online/On-Premises Do not forward, Confidential og Confidential – View Only default policies Custom organizational policies og DLP Policies

SharePoint Online/On-Premises IRM policies defineres per dokumentbibliotek

Office Client (Word, Excel, PowerPoint) Per-dokument policies applied to individual documents and enabled directly

from the client Windows Server 2012/2016 File Classification Infrastructure

File-server level policies that stay with the documents even if they are moved Office 365 Meldsingskryptering

RIGHTS MANAGEMENT (RMS) DEMO

DATA LOSS PREVENTION (DLP)

Data loss prevention

Identifisering og beskyttelse av spesifikt innhold. F.eks personlig, finansiell eller konfidensiell informasjon.

Basert på regler / Bruk “policy tips” for å varsle brukere om potensielle treff.

Tilgjengelig i Exchange Online og SharePoint Online Støtter “fingerprinting”

DATA LOSS PREVENTION (DLP) DEMO

MOBILENHETHÅNDTERING (MDM)

MDM

Beskyttels av data på brukers enhet “Conditional” tilgang Enhetshåndtering Selektiv sletting av informasjon (wipe)

Konfigurasjon av MDM

“Skru på” tjenesten Installer “Apple Push Notification Certificate”

MOBILE DEVICE MANAGEMENT (MDM) DEMO

I tillegg finnes også….

Passord regler Multi-Factor autentisering Exchange Online Advanced Threat Protection (ATP)

Beskyttelse mot ukjent skadevare og virus Sanntids, “time-of-click” beskyttelse mot skadelige URLs Rapportering og URL sporingskapasiteter