Egyre sürgetőbb az igény az IT-információvédelmi megoldásokra

Védelmi megoldás alapjai, M365 segítségével

A megbízható üzleti működéshez manapság elengedhetetlen feltétel az információvédelem megléte. Külső partnerekkel történő együttműködés igénye, és a jogszabályi megfelelőség mind-mind arra ösztönzi a szervezeteket, hogy legyen megoldásuk a kihívásra.

A M365-ben lévő információvédelmi megoldással a szervezet digitális információvagyona kezelhető és megvédhető a felhőben, on-premise környezetben, felhasználói eszközökön egyaránt.

Sok esetben kevesen tudják, de az M365 E3 (és O365 E3 + EMS E3, ez utóbbi népszerű licenszkonstrukció a hazai vállalatoknál) beépítetten tartalmaz sok képességet, amivel lefektethető egy információvédelmi rendszer alapja. A megoldás neve a Microsoft Information Protection, röviden MIP.

A védelem életciklusa a következőképpen épül fel:

  • discover: az érzékeny adatok felderítése
  • classify: adat megfelelő kategóriába helyezése (pl. céges adat, szenzitív információ)
  • protect: az adat védelemmel történő ellátása manuálisan vagy automatikusan (label)
  • monitor: a védett adat felhasználásának követése


Nézzünk egy fikítv példát, hogyan működik a fenti folyamat, GDPR-megfelelősséggel:

Andrea foglalkozik a HR-folyamatokkal, dolgozói belépésekkel. Emiatt sok személyes adattal dolgozik Word- és Excel fileokban.

Discover: a rendszergazda beállította a MIP-et, hogy felismerje a szenzitív információkat (pl. személyi igazolvány számokat), és policyket rendeljen hozzá.

Classify: a MIP alkalmazza a megfelelő címkét, a policy előírásoknak megfelelően.

Protect: MIP automatikusan ellátja a megfelelő védelemmel a fájlt, amivel megakadályozható, hogy illetéktelenek férjenek hozzá a tartalomhoz. A védelem maga a fájl részévé válik. Ebben az esetben, ha a fájl ki is kerül a szervezetből (véletlen vagy szándékos adatszivárgás során), az információ védett marad.

Monitor: a felhasználó vagy a rendszergazda nyomon tudja követni, ki nyitotta meg a fájlt (sikeresen vagy sikertelenül, jogosultság hiányában). Amennyiben úgy tűnik, hogy sok a sikertelen hozzáférés - ez lehet biztonsági probléma is- , a hozzáférés könnyen visszavonható.

A következő leírásban bemutatom, hogyan lehet egy nagyon alap megoldást létrehozni, amivel a céges dokumentumokat lehet védeni, hogy közben a felhasználók zavartalanul dolgozhassanak.

Elvárás a megoldással szemben:

  • minden, céges accounttal rendelkező dolgozó teljeskörűen hozzáférhessen a dokumentumokhoz, szerkeszthesse-nyomtathassa stb, fennakadás nélkül.
  • ha a dokumentum kikerül a szervezetből (emailen elküldve, usb-re kimásolva, stb), a védelem maradjon rajta és illetéktelenek ne tudjanak hozzáférni a tartalmához.


Lépések:

Sensitvity Label létrehozása az O365 Security&Compliance Centerben (https://protection.office.com/sensitivity?viewid=sensitivitylabels)

A labelt nevezzük el, pl Internal Use Onlynak:


No alt text provided for this image


Az Encryption részen lehet beállítani, hogy védelmi címke alkalmazódjon. Az "Assign permission now" részben tudjuk a jogosultságokat megszabni, kiknek legyen jogosultsága.

A "Choose permission" résznél pedig definiálható, hogy milyen jogosultság legyen hozzárendelve (save, print, copy stb)


No alt text provided for this image


A content marking (itt lehetne vízjelet, headert-footert tenni a dokumentumokba), site and group settings, auto-labeling opciókat ebben a példában nem használjuk, csak el kell menteni a labelt.

Az elkészült label megjelenik a felületen:


No alt text provided for this image


A label létrehozása után meghatározhatjuk, hogy kinek legyen elérhető. Ezt a label policy beállításban lehet megtenni. Válasszuk a "Publish labels" opciót:


No alt text provided for this image


Válasszuk a "Choose sensitivity labels to publish" részt:


No alt text provided for this image


A Publish users and groups résznél kiválaszthatjuk, milyen felhasználóknak vagy csoportoknak szeretnénk elérhetőve tenni:


No alt text provided for this image


A Policy settings résznél hagyjuk meg az alapbeállításokat:


No alt text provided for this image


Nevezzük el a policyt, majd mentsük el:


No alt text provided for this image


Az így létrejött policyt láthatjuk a label publishing policynél:


No alt text provided for this image


Következő lépésként a felhasználók gépére telepíteni az Azure Information Protection klienst, ami letölthető a Microsoft oldaláról: https://www.microsoft.com/en-us/download/details.a...

A telepítést követően az Office-alkalmazásokban megjelenik egy új menüsor, benne a publikált labellel:


No alt text provided for this image


Felhasználói élmény:

A felhasználó innentől kezdve tudja használni az információvédelmi megoldást, a dokumentumra rátéve a labelt, mentés után a következő információt látja:


No alt text provided for this image


Megjegyzendő, hogy a "tartalomfogyasztás" maga az ingyenes, tehát a védett dokumentumok megnyitásához nincs szükség az Azure Information Protection kliens telepítésére és AIP P1 licensz hozzárendelésére.

Az alapszintű információvédelemi megoldásunk tehát elkészült, a felhasználók tudnak dolgozni vele. Nézzük meg, hogy mi történik, ha egy ilyen "Internal Use Only" védett dokumentum kikerül a szervezeten kívülre.

A példában egy ilyen védett dokumentumot egy melléütés miatt rossz emailcímre küldtek ki. A fogadó megpróbálja megnyitni a fájlt a Wordjében, de az bejelentkezési ablakot dob fel.


No alt text provided for this image


Mivel nincsen céges accountja, ezért a dokumentum tartalmához sem tud hozzáférni:


No alt text provided for this image


Levelezés esetében is hasonlóképp működik a védelem, ha emailt küldünk és rátesszük az Internal Use Only labelt, csak a cégen belüli felhasználók tudják megnyitni:


No alt text provided for this image


A fenti leírás alapján látható, hogy nagyon könnyű egy alapszintű védelmi rendszert beállítani, amit természetesen lehet tovább finomítani (további labelek, külsősökkel történő adatcsere esetére pl), illetve adott esetben automatizmusokkal ellátni.


Istvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer

Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com|My LinkedIn Profile