AIP på 1-2-3

Innføring i Azure Information Protection

Beskytt den sensitive informasjonen din bedre – når som helst, hvor som helst

Så, hva er Azure Information Protection (AIP) spør du? Godt spørsmål!

Spør du Microsoft, vil de si noe slikt som at AIP er en skybasert teknologi som kan sikre informasjon, gi deg oversikt over hvor dataene er og hvem som har tilgang til det.

Her er en kjapp innføring i hva Azure Information Protection er, og hvorfor din bedrift bør vurdere å ta i bruk teknologien.

En videreføring av Azure RMS

Azure Information Protection er Microsofts videreføring av Azure Rights Management (RMS) – som igjen kan sies å være en videreføring av AD RMS, for de som har vært borte i dette tidligere.

AIP oppstod da Microsoft kjøpte Secure Islands, og implementerte klassifiserings- og etikett-teknologien inn i Azure RMS. Microsoft gikk så bort fra Azure RMS som et rent sikkerhetsprodukt som krypterte og sikret informasjon, til å etablere AIP. I tillegg til å benytte seg av kryptering og sikring fra RMS, kan AIP også klassifisere og merke informasjonen ut fra hva den inneholder, og hvor sensitiv den er.

Microsoft bruker ofte den følgende animasjonen for å demonstrere hva AIP er;

  • Classification: Vurdering av dataene med en avgjørelse på hvor sensitive eller lite sensitive dataene er.
  • Labeling: “Merking” av dataene med utgangspunkt i klassifiseringen over. Disse kan kobles til RMS-maler om det er ønskelig, og dermed merke og sikre dataene samtidig.
  • Encryption: RMS-sikring av dataene ut fra bestemte regler som er etablert på bakrunn av hvor sensitive de er.
  • Access Control: AIP sikrer tilgang ved hjelp av rettigheter. Vi gir rettigheter til epostadresser (brukere eller grupper) og disse må verifisere sin identitet.
  • Policy Enforcement: Reglene dataene har fått basert på klassifiseringen/merkingen over, vil avgjøre om dataene kan leses eller ei.
  • Document Revocation: Dersom vi ser mistenkelig adferd kan vi velge å trekke tilbake tilgang via RMS-portalen. Vi kan også på forhånd definere om denne tilbaketrekkingen skal skje øyeblikkelig eller ei.

Er dataene sensitive?

Microsoft bruker altså klassifiseringsbegrepet som en måte å kategorisere data på. Er dataene sensitive? Bør de sikres fra “prying eyes”?

Ut fra hvilke data vi har kan vi legge på en merkelapp eller en “label”. Det kan for eksempel være Confidential eller Public, alt ettersom hva vi mener dataene bør ha. I utgangspunktet beskytter ikke disse merkelappene dataene som merkes, men vi kan velge å la én eller flere av dem være koblet til en beskyttelse.

I det vi aktiverer AIP i Azure-portalen opprettes det to standardmaler automatisk. Det er “Confidential” og “Confidential View Only”. Disse kan vi bruke som de er for å sikre dataene, men de gir da kun rettigheter internt og kan altså ikke brukes til å dele informasjon ut av organisasjonen. En organisasjon er i dette tilfellet en Azure “tenant”.

Når dataene er kryptert kan vi kontrollere hvem som har tilgang til dem. Deler vi en beskyttet fil, kan vi følge den gjennom Azure RMS-portalen, hvor vi kan se hvem som har åpnet eller forøkt å åpne den, og samtidig få en del annen informasjon. Dersom vi ser at det foregår noe merkelig, for eksempel at dokumentet forsøkes åpnes fra en del av verden som ikke bør ha tilgang til det, så kan vi trekke tilbake tilgangen.

Avhengig av hvilke regler vi har lagt på beskyttelsen, kan dokumenttilgangen bli trukket tilbake øyeblikkelig eller over litt tid.

Kommentarer