4. Datakryptering
Data-i-ro (Office 365)
• BitLocker kryptering (drive)
• Per-fil kryptering
• SharePoint Online
• OneDrive for Business
• Filer fordeles over flere
“Azure Storage containers”
• Oversikt over fillokasjon er
også kryptert (Map)
• Krypteringsnøkler er fysisk
lokalisert et annet sted
Data-i-bevegelse (Office 365)
• TLS for alle arbeidslaster
• TLS 1.2 støtte
• SSL 3.0 støtte er trukket
6. Meldingskryptering
Krypterte meldinger forlater ALDRI
serveren
Mottager får melding med link og
må autentisere seg for å lese og
svare på meldingen.
Enkel prosess for validering av
konto.
Kan etableres i Exchange Online
med regler for e-post flyt.
11. Hvorfor trenger vi IRM?
Fokus er ofte sterkt knyttet mot perimeter baserte
sikkerhetsmekanismer som skal forhindre uautorisert adgang.
Brannmur, IDS/IPS, Proxy, AS/AV etc.
I-bevegelse-basert sikkerhet (e-post kryptering, IPSec, osv.) beskytter
kun ved overføring fra et sted til et annet
ACL er også effektivt for å begrense adgang
Problemet med disse mekanismene er at de ikke kan forhindre at
autoriserte personer “lekker” dokumentene ut av organisasjonen via
e-post, utskrifter, minnepinner eller copy/paste.
12. Risiko oppstår ved autorisert aksess
Perimetersikring, aksesskontrollister og transportsikring har ingen
virkning etter at data er levert til autoriserte individer.
Ansatte som deler/sender på e-post eller skriver ut interne
dokumenter er bare en liten del av problemet.
Lagring av data i ulike typer private skytjenester.
Stjålne/tapte Pcer.
‘lekkasje’ av data til minnepinner.
Smartelefoner osv. kan være en bekymring om de blir stjålet.
13. Azure RMS
Azure RMS er en variant av Digital Rights Management (DRM)
teknologi, som ofte benyttes for å beskytte innhold.
RMS er et subset av DRM som kalles Enterprise Rights Management
RMS er beskyttelse av informasjon basert på kryptering, identitet og
autorisasjonsregler.
Basert på X.509 sertifikater,
tilsvarende som SSL kryptering, IPSec, eller andre former for kryptering
basert på PKI teknologier.
Dokumenter kan kun benyttes av gitte mottagere og til angitte
formål.
Dokumentsporing: https://portal.azurerms.com
14. Azure RMS gir kontroll til forfatteren
Forfatteren av dokumentet kan definere hvem som kan gjøre
følgende;
Lese dokumentet
Redigere dokumentet
Skrive ut dokumentet
Copy/Paste
17. Azure RMS versus AD RMS
Azure RMS har mer funksjonalitet og tjenester, som f.eks:
Innebygget støtte for Mobile enheter
Default Templates
Dokumentsporing, tilbaketrekking og e-post varsling
Hovedforskjellene på Azure RMS og AD RMS ligger i oppsett og forvaltning - AD
RMS krever relativ kompleks infrastruktur og konfigurasjon.
2x front-end
2x SQL back-end
SPNs publisert i AD
Eksterne revers proxy forbindelser
Federering
Kompleks konfigurasjon av SharePoint On-Premise og Exchange On-Premise
Microsoft har utviklet en migreringsplan fra AD RMS til Azure RMS
(http://is.gd/mig2azrms)
19. Exchange Online DLP Regler
DLP Policies can be created in Exchange that automatically protect
content based on certain criteria
One example would be protecting emails that have SSNs in them
24. Azure RMS i Office 365
Plan RMS inkludert?
Office 365 Business Essentials No
Office 365 Business Premium No
Office 365 E1/A1 No
Office 365 K1 No
SharePoint Online Plan 1/2 No
Exchange Online Plan 1/2 No
Office 365 E3/A3/G3 Yes
Office 365 E4/A4/G4 Yes
Office 365 E5/A5 Yes
• Azure RMS is included only in
specific SKUs of Office 365
• Organizations that do not
include licenses can purchase
standalone licenses of Office
365
• List pricing is $2.00 USD per user
per month for standalone Azure
RMS licenses
25. Azure RMS Lisensiering
Feature RMS for
Office 365
Azure RMS
Premium
Users can create and consume protected content by using Windows clients and Office
applications
X X
Users can create and consume protected content by using mobile devices X X
Integrates with Exchange Online, SharePoint Online, and OneDrive for Business X X
Integrates with Exchange Server 2013/Exchange Server 2010 and SharePoint Server
2013/SharePoint Server 2010 on-premises via the RMS connector
X X
Administrators can create departmental templates X X
Organizations can create and manage their own RMS tenant key in a hardware security module
(the Bring Your Own Key solution)
X X
Supports non-Office file formats: Text and image files are natively protected; other files are
generically protected
X X
RMS SDK for all platforms: Windows, Windows Phone, iOS, Mac OSX, and Android X X
Integrates with Windows file servers for automatic protection with FCI via the RMS connector
X
Users can track usage of their documents X
Users can revoke access to their documents X
26.
27. Konfigurasjon av RMS
Aktiver Rights Management i Office 365 tenant
Opsjon:
Konfigurer RMS maler
Skru på “Information Rights Management” i SharePoint Online
Installer “Rights Management sharing application”
http://go.microsoft.com/fwlink/?LinkId=303970
28. Azure RMS Opsjoner
Exchange Online/On-Premises
Do not forward, Confidential og Confidential – View Only default policies
Custom organizational policies og DLP Policies
SharePoint Online/On-Premises
IRM policies defineres per dokumentbibliotek
Office Client (Word, Excel, PowerPoint)
Per-dokument policies applied to individual documents and enabled
directly from the client
Windows Server 2012/2016 File Classification Infrastructure
File-server level policies that stay with the documents even if they are moved
Office 365 Meldsingskryptering
31. Data loss prevention
Identifisering og beskyttelse av spesifikt innhold.
F.eks personlig, finansiell eller konfidensiell informasjon.
Basert på regler / Bruk “policy tips” for å varsle brukere om
potensielle treff.
Tilgjengelig i Exchange Online og SharePoint Online
Støtter “fingerprinting”