Veiliger met Azure Information Protection

Peter van der MeijdenBlog

Onze data staat tegenwoordig overal: op verschillende apparaten, bij verschillende personen en op diverse cloudplatformen. Organisaties werken meer samen in teams en delen data met klanten, partners en ingehuurde medewerkers. Hierdoor werken organisaties efficiënter en zijn ze veel productiever. Alleen hoe houden we controle op onze data? Hoe weten we waar de data staat of wie er mee werkt en of deze persoon daar wel voor gemachtigd is? Zeker voor ‘gevoelige’ data is dit belangrijk en wil je controle houden wie er met deze data werkt.

Traditionele beveiliging

De laatste jaren maakt men veel gebruik van verschillende cloudplatformen. Daarnaast heeft het samenwerken en delen van documenten een enorme vlucht genomen. Het is niet meer zoals in het verleden waar organisaties slechts een fileserver hadden en daarop NTFS-rechten hadden bepaald. Zo werd een gedeelde map middels ‘Share’- en ‘NTFS’-permissies beveiligd. Zodra een document als bijlage werd verzonden via de e-mail was deze voor de ontvanger volledig vrij om te openen, door te sturen en te bewerken. Er was geen mogelijkheid controle op dit document te houden.

Naast NTFS-rechten op de fileshare beveiligden organisaties ook hun endpoints (zoals laptops en desktops), datacenters en netwerken tegen dataverlies door bijvoorbeeld malware of hackers. Dit wordt zowel fysiek (USB met pincode, deuren met sloten of fingerprint, Kensington-sloten, bunkers en soms zelfs complete slotgrachten) als virtueel (Bitlocker, Firewalls, SIEM-systemen en 802.1X) gedaan. Hiermee lijkt het probleem opgelost. Helaas: de ontwikkeling binnen de hackerscommunity staat ook niet stil. En wat doe je als een systeembeheerder graag van zijn gokschulden af wil en daarom belangrijke data kopieert en zijn spoor vervolgens simpelweg uitwist? ‘Dat overkomt ons’, is de gedachte al snel. Maar stel dat het wel gebeurt; wat dan? Hopelijk blijven het alleen doom scenarios, maar heb je er ooit bij stilgestaan dat dataverlies ook kan optreden door simpelweg een mailtje te sturen aan de verkeerde persoon met net dat belangrijke document?

Azure Information Protection

Azure Information Protection (AIP) geeft je organisatie de mogelijkheid om documenten en e-mails te classificeren en te beveiligen met vooraf geconfigureerde labels. Deze labels kunnen, afhankelijk van de licentie, eventueel zelfs automatisch gezet worden als een document of een e-mail bepaalde inhoud bevat. AIP is een cloud-based-oplossing van Microsoft en is een techniek op basis van Azure RMS (Rights Management Service), waarbij de encryptie plaatsvindt op het bestand zelf en niet op de locatie, endpoint, datacenter of netwerk. Mocht deze data om wat voor reden dan ook in handen vallen van een ongeautoriseerd persoon dan is het simpelweg onmogelijk om het document te openen. Kort omschreven zal AIP bij het openen van het document dat beveiligd is, eerst valideren tegen de Azure RMS-omgeving of de huidige gebruiker geautoriseerd is om het document of e-mail te openen. Is de gebruiker dat niet, dan wordt het verzoek afgewezen en is hij dat wel, dan kan het document worden geopend met de bijbehorende rechten.

Classify, Label & Protect

De eerste stap is dat er bepaald moet worden wat die ‘gevoelige’ data is? Organisaties moeten bepalen welk type of welke inhoud er beschermd moet worden. Misschien zijn er wel verschillende niveaus die gehanteerd moeten worden.

Data kan na classificatie voorzien worden van een label. Dit label geeft de gevoeligheid aan voor bijvoorbeeld een opgeslagen document. Andere gebruikers die eventueel toegang hebben tot dit document kunnen aan de hand van het label zien of deze onder bepaalde ‘gevoeligheid’ is gecategoriseerd. Het label kan bijvoorbeeld een watermerk of een header/footer toevoegen.

Aan de hand van het label met de daarbij horende classificatie kan er een policy bepaald worden welke aan het label gekoppeld wordt. In deze policy is opgenomen wat er met het document moet gebeuren. Dit is het ‘protect’-gedeelte en is alleen van toepassing als dat geactiveerd is op de policy. Het is onder andere mogelijk om bepaalde handelingen in een document te blokkeren. Zo kun je  bijvoorbeeld een read only-document maken dat niet kan worden uitgeprint. De eigenaar van het document behoudt wel alle rechten en kan te allen tijden het document weer anders classificeren door een ander label te kiezen. De beheerder kan afdwingen dat er een uitleg gegeven moet worden waarom de classificatie verlaagd wordt. Inmiddels is het via Azure centraal te monitoren dat labels en daarmee de classificatie verlaagd worden.

azure process

Wat kun je als gebruiker doen?

Gebruikers kunnen of moeten elk document of e-mail voorzien van een label wat van toepassing is op het object. De gebruiker zal zelf moeten classificeren of het document bijvoorbeeld belangrijke informatie bevat of dat het publiek gedeeld kan worden. Zodra dit bepaald is dan kan de gebruiker het juiste label selecteren in de Office-client:

azure protect
Na deze keuze wordt de policy die van toepassing is op het label van kracht en hierna is het document geclassificeerd, gelabeld en al dan niet voorzien van beveiliging. Naast handmatige classificatie is het ook mogelijk om automatisch te classificeren. Dit houdt in dat AIP op basis van de inhoud van het document automatisch een label geeft. Hiermee worden gebruikers ontlast en worden documenten ook beter geclassificeerd zonder dat de gebruiker hier moeite voor hoeft te doen. Dit is echter alleen mogelijk met een Azure AIP P2-licentie, maar daarover later meer.

Track & Revoke

Zodra een document beveiligd is met AIP en aangemeld is bij de Track & Revoke website kun je het volgen en zien welke gebruikers het document hebben geprobeerd te openen. Hier zijn verschillende overzichten te vinden waaronder een tijdslijn of een geografische weergave van de locaties waarvandaan documenten zijn geraadpleegd.

Indien een document niet meer beschikbaar mag of moet zijn, kan deze altijd worden ingetrokken vanaf dit online portaal. Het Track and Revoke Center is hier te bereiken.

track & revoke

De functie is vooral bedoeld voor het versturen van documenten naar derden om zo grip te houden op de beveiliging van het document.

Licenties

Voor het gebruik van AIP is een licentie nodig. Veel bedrijven maken al gebruik van de volgende licentie: EM+S (Enterprise Mobility + Security) E3 of E5 voor bijvoorbeeld Intune of Azure Multi Factor Authentication (MFA). Binnen de EM+S-licentie is AIP opgenomen waardoor er zonder extra kosten gebruik van gemaakt kan worden. Mooi meegenomen. Bij een EM+S E3 omvat het AIP P1 en bij een EM+S E5 is dat de P2 variant, maar uiteraard kunnen de AIP P1 & P2 licenties ook los afgenomen worden. Het belangrijkste verschil tussen een AIP P1- en P2-licentie is dat P2 automatische classificatie en labeling ondersteunt.

Als een externe ontvanger van een AIP beveiligd document geen AIP-licentie heeft dan is het mogelijk om een gratis RMS for individuals and Azure Information Protection-licentie aan te vragen.

Clients

Om gebruik te maken van AIP is natuurlijk een Office-pakket nodig. De volgende worden ondersteund:

  • Office 2016/ Office 365 Pro Plus
  • Office 2013
  • Office 2010

Office 2016 en 2013 bieden native support voor Azure RMS, maar het is altijd aan te raden om gebruik te maken van de speciale AIP-client zodat gebruikers onder andere makkelijk documenten kunnen labelen. De client is eigenlijk niets meer dan een Office-plugin (zie afbeelding hierboven).

Naast de Office-clients is er ook een AIP-client voor iOS en Android welke handmatig geïnstalleerd kan worden door de gebruiker vanuit de verschillende app stores. Het is ook mogelijk om de client te distribueren en managen via Intune als het device enrolled is binnen Intune. Mocht er een andere Mobile Device Management-oplossing gebruikt worden dan zal nagegaan moeten worden of je deze applicaties kan installeren op de managed devices.

Beperkingen

Sinds de release van AIP in 2016 zijn er al veel stappen gemaakt, maar AIP heeft momenteel nog de volgende beperkingen:

  • Er is nog geen ondersteuning voor Office Online waardoor het labelen binnen bijvoorbeeld Word Online niet mogelijk is. Ook het online bekijken van AIP-beveiligde documenten is nog niet mogelijk. Een beveiligde e-mail kan wel in de browser bekeken worden.
  • De AIP-app voor iOS en Android kan alleen gebruikt worden voor het openen van bestanden en e-mails. Het toepassen van labels is niet mogelijk.
  • Binnen SharePoint Online en OneDrive for Business is het toepassen van labels niet mogelijk op een document library. Hiervoor dient IRM (Information Rights Management) gebruikt te worden.
  • Documenten met encryptie bieden geen ondersteuning voor Co-authoring, eDiscovery, Search, Delve, en andere samenwerkfuncties. DLP (Data Lost Prevention) werkt wel, maar alleen met metadata.

Best Practices

Voor de implementatie van AIP is de methode: keep it simple! Wanneer er heel veel verschillende labels beschikbaar zijn vergt dit veel beheer en ontstaat er verwarring bij de gebruikers. Het beperken van het aantal labels is daarom erg aan te bevelen.

Naast het beperken van de labels is het ook noodzaak om niet alle documenten binnen het bedrijf of organisatie te gaan beveiligen met encryptie. Doe dit dan ook alleen maar als er noodzaak voor is zoals bij persoonsinformatie, gevoelige bedrijfsinformatie etc. Overige documenten kunnen dan geclassificeerd worden als ‘public’ of ‘internal’ waarbij geen encryptie wordt toegepast. Gebruikers zijn zich dan wel bewust van het type document en kunnen deze eventueel later alsnog beveiligd worden.

Om de implementatie van AIP tot een succes te maken is gebruikersadoptie erg belangrijk. Gebruikers moeten geïnformeerd worden waarom documenten en e-mails gelabeld moeten worden en hoe ze dat moeten doen.

Conclusie

AIP biedt veel functionaliteiten om data verder te beveiligen en geeft meer controle. Is AIP een toevoeging op jouw organisatie? PQR gaat hierover graag met je in gesprek, we kijken dan samen naar wat het kan bieden voor jouw organisatie. Vraag uw PQR-contactpersoon naar meer informatie of de mogelijkheden.

Peter van der Meijden (Solution Architect) en Sebastiaan Baecke (Consultant) schreven dit artikel gezamenlijk.

Geplaatst door
Peter van der Meijden

Peter van der Meijden

Solution Architect