sikring av informasjon i office 365 eller on-premise
TRANSCRIPT
Sikring av informasjon on-premise eller i Office 365THOMAS AURESENIORRÅDGIVERUTENRIKSDEPARTEMENTET
Agenda
Datakryptering Meldingskryptering
Rights management
(RMS)
Data loss prevention (DLP)
Mobile Device Management
(MDM)… I tillegg har vi
også…
DATAKRYPTERING
Datakryptering
Data-i-ro (Office 365)• BitLocker kryptering (drive)• Per-fil kryptering
• SharePoint Online• OneDrive for Business
• Filer fordeles over flere “Azure Storage containers”
• Oversikt over fillokasjon er også kryptert (Map)
• Krypteringsnøkler er fysisk lokalisert et annet sted
Data-i-bevegelse (Office 365)
• TLS for alle arbeidslaster• TLS 1.2 støtte
• SSL 3.0 støtte er trukket
MELDINGSKRYPTERING
Meldingskryptering
Krypterte meldinger forlater ALDRI serveren
Mottager får melding med link og må autentisere seg for å lese og svare på meldingen.
Enkel prosess for validering av konto.
Kan etableres i Exchange Online med regler for e-post flyt.
Eksempel på melding
Konfigurasjon av meldingskryptering
Aktiver Rights Management i Azure/Office 365 Konfigurer “RMS Online key sharing location” i Exchange Online
Set-IRMConfiguration -RMSOnlineKeySharingLocation "https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc"
Importer Trusted Publishing Domain (TPD) fra RMS Online Import-RMSTrustedPublishingDomain -RMSOnline -name "RMS
Online" Skru på IRM i Exchange Online
Set-IRMConfiguration -InternalLicensingEnabled $true
https://technet.microsoft.com/library/dn151475(v=exchg.150).aspx
MELDINGSKRYPTERING DEMO
INFORMATION RIGHTS MANAGEMENT
Hvorfor trenger vi IRM?
Fokus er ofte sterkt knyttet mot perimeter baserte sikkerhetsmekanismer som skal forhindre uautorisert adgang. Brannmur, IDS/IPS, Proxy, AS/AV etc.
I-bevegelse-basert sikkerhet (e-post kryptering, IPSec, osv.) beskytter kun ved overføring fra et sted til et annet
ACL er også effektivt for å begrense adgang
Problemet med disse mekanismene er at de ikke kan forhindre at autoriserte personer “lekker” dokumentene ut av organisasjonen via e-post, utskrifter, minnepinner eller copy/paste.
Risiko oppstår ved autorisert aksess
Perimetersikring, aksesskontrollister og transportsikring har ingen virkning etter at data er levert til autoriserte individer.
Ansatte som deler/sender på e-post eller skriver ut interne dokumenter er bare en liten del av problemet. Lagring av data i ulike typer private skytjenester. Stjålne/tapte Pcer. ‘lekkasje’ av data til minnepinner. Smartelefoner osv. kan være en bekymring om de blir stjålet.
Azure RMS
Azure RMS er en variant av Digital Rights Management (DRM) teknologi, som ofte benyttes for å beskytte innhold. RMS er et subset av DRM som kalles Enterprise Rights Management RMS er beskyttelse av informasjon basert på kryptering, identitet og
autorisasjonsregler. Basert på X.509 sertifikater,
tilsvarende som SSL kryptering, IPSec, eller andre former for kryptering basert på PKI teknologier.
Dokumenter kan kun benyttes av gitte mottagere og til angitte formål.
Dokumentsporing: https://portal.azurerms.com
Azure RMS gir kontroll til forfatteren
Forfatteren av dokumentet kan definere hvem som kan gjøre følgende; Lese dokumentet Redigere dokumentet Skrive ut dokumentet Copy/Paste
Hva er Azure RMS?
Hvordan virker RMS?
Azure RMS versus AD RMS
Azure RMS har mer funksjonalitet og tjenester, som f.eks: Innebygget støtte for Mobile enheter Default Templates Dokumentsporing, tilbaketrekking og e-post varsling
Hovedforskjellene på Azure RMS og AD RMS ligger i oppsett og forvaltning - AD RMS krever relativ kompleks infrastruktur og konfigurasjon.
2x front-end 2x SQL back-end SPNs publisert i AD Eksterne revers proxy forbindelser Federering Kompleks konfigurasjon av SharePoint On-Premise og Exchange On-Premise
Microsoft har utviklet en migreringsplan fra AD RMS til Azure RMS (http://is.gd/mig2azrms)
WS 2012/2016 Filklassifisering
Exchange Online DLP Regler
DLP Policies can be created in Exchange that automatically protect content based on certain criteria
One example would be protecting emails that have SSNs in them
Azure RMS effektive rettigheter i SharePoint Online
“Skru på” RMS i Office 365
“Skru på” RMS i Exchange Online
“Skru på” RMS i SharePoint Online
Azure RMS i Office 365Plan RMS inkludert?Office 365 Business Essentials NoOffice 365 Business Premium NoOffice 365 E1/A1 NoOffice 365 K1 NoSharePoint Online Plan 1/2 NoExchange Online Plan 1/2 NoOffice 365 E3/A3/G3 YesOffice 365 E4/A4/G4 YesOffice 365 E5/A5 Yes
• Azure RMS is included only in specific SKUs of Office 365
• Organizations that do not include licenses can purchase standalone licenses of Office 365
• List pricing is $2.00 USD per user per month for standalone Azure RMS licenses
Azure RMS LisensieringFeature RMS for
Office 365Azure RMS Premium
Users can create and consume protected content by using Windows clients and Office applications X XUsers can create and consume protected content by using mobile devices X XIntegrates with Exchange Online, SharePoint Online, and OneDrive for Business X XIntegrates with Exchange Server 2013/Exchange Server 2010 and SharePoint Server 2013/SharePoint Server 2010 on-premises via the RMS connector X XAdministrators can create departmental templates X XOrganizations can create and manage their own RMS tenant key in a hardware security module (the Bring Your Own Key solution) X XSupports non-Office file formats: Text and image files are natively protected; other files are generically protected X XRMS SDK for all platforms: Windows, Windows Phone, iOS, Mac OSX, and Android X XIntegrates with Windows file servers for automatic protection with FCI via the RMS connector XUsers can track usage of their documents XUsers can revoke access to their documents X
AZURE RIGHTS MANAGEMENT TJENESTER
Konfigurasjon av RMS
Aktiver Rights Management i Office 365 tenant
Opsjon: Konfigurer RMS maler Skru på “Information Rights Management” i SharePoint Online Installer “Rights Management sharing application”
http://go.microsoft.com/fwlink/?LinkId=303970
Azure RMS Opsjoner
Exchange Online/On-Premises Do not forward, Confidential og Confidential – View Only default policies Custom organizational policies og DLP Policies
SharePoint Online/On-Premises IRM policies defineres per dokumentbibliotek
Office Client (Word, Excel, PowerPoint) Per-dokument policies applied to individual documents and enabled directly
from the client Windows Server 2012/2016 File Classification Infrastructure
File-server level policies that stay with the documents even if they are moved Office 365 Meldsingskryptering
RIGHTS MANAGEMENT (RMS) DEMO
DATA LOSS PREVENTION (DLP)
Data loss prevention
Identifisering og beskyttelse av spesifikt innhold. F.eks personlig, finansiell eller konfidensiell informasjon.
Basert på regler / Bruk “policy tips” for å varsle brukere om potensielle treff.
Tilgjengelig i Exchange Online og SharePoint Online Støtter “fingerprinting”
DATA LOSS PREVENTION (DLP) DEMO
MOBILENHETHÅNDTERING (MDM)
MDM
Beskyttels av data på brukers enhet “Conditional” tilgang Enhetshåndtering Selektiv sletting av informasjon (wipe)
Konfigurasjon av MDM
“Skru på” tjenesten Installer “Apple Push Notification Certificate”
MOBILE DEVICE MANAGEMENT (MDM) DEMO
I tillegg finnes også….
Passord regler Multi-Factor autentisering Exchange Online Advanced Threat Protection (ATP)
Beskyttelse mot ukjent skadevare og virus Sanntids, “time-of-click” beskyttelse mot skadelige URLs Rapportering og URL sporingskapasiteter