Microsoft Azure Information Protection
Azure Information Protection (AIP) ist eine cloudbasierte Lösung, die Organisationen beim Klassifizieren und oder auch beim Schützen von Dokumenten und E-Mails, unter Anwendung von Bezeichnungen, unterstützt. Die Bezeichnungen können automatisch durch von den Administratoren erstellten Regeln und Bedingungen definiert und/oder manuell auch durch den Benutzer (oder auch als Kombination) angewendet werden.
Die folgende Abbildung zeigt ein Beispiel für AIP auf dem Computer eines Benutzers. Der Administrator hat eine Bezeichnung mit Regeln konfiguriert, welche sensible Daten erkennt. (z.B. Kreditkarteninformationen). Wenn ein Benutzer ein Word-Dokument speichert, das eine Kreditkartennummer enthält, wird eine benutzerdefinierte QuickInfo angezeigt, in der die vom Administrator konfigurierte Bezeichnung empfohlen wird. Die Bezeichnung klassifiziert das entsprechende Dokument und schützt es damit.
Nachdem der Inhalt klassifiziert (und optional geschützt) wurde, kann man nachverfolgen und steuern, wie der Inhalt verwendet wird. Sie können Datenflüsse analysieren, um Einblicke in das ganze Unternehmen zu erhalten, riskante Verhalten zu erkennen und Korrekturmassnahmen zu ergreifen, z.B. den Zugriff auf Dokumente verfolgen und Datenverluste oder Missbrauch verhindern usw.
Klassifizierung mittels Bezeichnungen
Sie verwenden die Bezeichnungen in Azure Information Protection, um die Klassifizierung auf Dokumente und E-Mails anzuwenden. Damit ist die Klassifizierung identifizierbar und bleibt erhalten, egal wo die Daten gespeichert sind oder für wen sie freigegeben werden. Die Bezeichnungen können optische Kennzeichnungen wie Kopfzeilen, Fusszeilen oder Wasserzeichen enthalten. Metadaten werden im Datei- und E-Mail-Header als Klartext hinzugefügt. Dieser Klartext stellt sicher, dass andere Dienste (z.B. Lösungen zur Verhinderung von Datenverlusten) die Klassifizierung identifizieren und entsprechende Massnahmen ergreifen können.
Die folgende E-Mail-Nachricht wurde beispielsweise als „Allgemein“ klassifiziert. Die Bezeichnung hat eine Fusszeile „Vertraulichkeit: Allgemein“ hinzugefügt. Dieser Fusszeile ist ein visueller Indikator für alle Empfänger, dass die E-Mail nicht an Empfänger ausserhalb der Organisation gesendet werden darf. Die Bezeichnung wird in die E-Mail-Header eingebettet, sodass E-Mail-Dienste dies überprüfen können, um z.B. einen Überwachungseintrag zu erstellen oder zu verhindern, dass sie an Empfänger ausserhalb der Organisation gesendet werden.
So werden die Daten geschützt
Diese Schutztechnologie verwendet Azure Rights Management (oft auch mit Azure RMS abgekürzt). Diese Technologie ist in Microsoft-Cloud-Diensten und -Anwendungen bereits integriert, z.B. Office 365 und Azure Active Directory. Sie kann auch in Branchenanwendungen und Informationsschutzlösungen von anderen Softwareherstellern verwendet werden. Dabei kann es sich sowohl um interne als auch um Cloud-Anwendungen und -lösungen handeln.
Diese Schutztechnologie verwendet Verschlüsselung, Identitäten und Autorisierungsrichtlinien. Durch die Bezeichnungen, die angewendet werden, bleibt der mithilfe von Azure RMS angewendete Schutz unabhängig vom Speicherort an die Dateien und E-Mails gebunden – sowohl innerhalb oder als auch ausserhalb Ihrer Organisation bzw. Netzwerke, Dateiserver und Anwendungen. Beispielsweise kann ein Dokument oder eine Excel-Tabelle mit Verkaufsprognosen so konfiguriert werden, dass nur Personen in der Organisation darauf zugreifen können.Oder man steuert, ob das Dokument bearbeitet werden kann, als schreibgeschützt gilt oder ob es gedruckt werden darf. Ebenso können E-Mails ähnlich konfiguriert werden und zusätzlich kann man verhindern, dass eine Nachricht weitergeleitet wird, oder z.B. mit der Verwendung der Option „Allen antworten“ kann dies unterbunden werden.
Diese Schutzeinstellungen können Teil der Konfiguration von Bezeichnungen sein, so dass Benutzer ihre Dokumente und E-Mails durch Hinzufügen einer Bezeichnung klassifizieren und schützen können. Diese Schutzeinstellungen können auch von Anwendungen und Diensten verwendet werden, die zwar den Schutz unterstützen, aber nicht die Anwendung von Bezeichnungen. Für diese Anwendungen und Dienste werden die Schutzeinstellungen als Rights-Management-Vorlagen bereitgestellt.
Rights-Management-Vorlagen
Sobald der Azure Rights Management-Dienst aktiviert ist, stehen zwei Standardvorlagen zur Verfügung, die den Datenzugriff auf Benutzer in der Organisation beschränken. Mit diesen Vorlagen kann verhindert werden, dass Daten ausserhalb der Organisation offengelegt werden. Alternativ können diese Standardvorlagen auch ergänzt werden, indem eigene Schutzeinstellungen konfigurierbar sind und dadurch noch restriktivere Kontrollen greifen.
Wenn eine Bezeichnung für Azure Information Protection erstellt wird, die die Schutzeinstellungen umfasst, erstellt diese Aktion im Hintergrund eine entsprechende Rights-Management-Vorlage. Die Vorlage kann auch ergänzend in Anwendungen und Diensten verwendet werden, die Azure Rights Management unterstützen.
Beispielsweise können Sie im Exchange Admin Center Regeln für Exchange Online zur Verwendung von Vorlagen konfigurieren:
Integration in Endbenutzer-Workflows für Dokumente und E-Mails
Azure Information Protection kann in vorhandene Endbenutzer-Workflows integriert werden, wenn ein Azure Information Protection-Client installiert ist. Dieser Client installiert die Information-Protection-Leiste für Office-Anwendungen und wird hier als Beispiel in Microsoft Excel angezeigt. Dieselbe Leiste wird ebenso als Information-Protection-Leiste in Microsoft Excel, Microsoft PowerPoint und Microsoft Outlook hinzugefügt.
Diese Information-Protection-Leiste erleichtert es dem Benutzer, Bezeichnungen für die richtige Klassifizierung auszuwählen. Bei Bedarf können Bezeichnungen auch automatisch angewendet werden. Die Auswahl für den Benutzer kann aber auch entfernt werden, damit die Bezeichnungen z.B. mit den Richtlinien der Unternehmung übereinstimmen.
Benutzer können mit der rechten Maustaste auf Dateien oder einen Ordner im Windows-Datei-Explorer klicken, um zusätzliche Dateitypen zu klassifizieren und zu schützen sowie mehrere Dateien gleichzeitig zu unterstützen:
Wenn ein Benutzer die Menüoption „Klassifizieren und schützen“ im Datei-Explorer auswählt, dann kann er eine Bezeichnung über die Information Protection-Leiste in seinen Office-Desktop-Anwendungen auswählen. Man kann nach Bedarf auch eigene benutzerdefinierte Berechtigungen festlegen.
Power User (und Administratoren) finden die Verwendung von PowerShell-Befehlen zum Verwalten und Festlegen von Klassifizierung und Schutz für mehrere Dateien möglicherweise effizienter. Die erforderlichen PowerShell-Befehle sind automatisch mit dem Client verfügbar, obwohl das PowerShell-Modul auch separat installiert werden kann.
Nachdem ein Dokument geschützt wurde, können Benutzer und Administratoren eine Website für die Dokumentenverfolgung verwenden, um zu überwachen, wer und wann auf die Dokumente zugegriffen hat. Wird eine missbräuchliche Verwendung vermutet, kann die Zugriffsberechtigung entzogen werden:
Zusätzliche Integration für E-Mails
Wenn Sie Azure Information Protection mit Exchange Online verwenden kann man geschützte E-Mails an Benutzer senden, mit der Gewissheit, dass diese auf jedem Gerät lesbar sind.
Dies kann der Fall sein, wenn Benutzer vertrauliche Informationen an persönliche E-Mail-Adressen wie Gmail-, Hotmail- oder Microsoft-Konto senden muss. Es kann auch sein, dass vertrauliche Informationen an Benutzer gesendet werden müssen, die kein Office 365- oder Azure AD-Konto besitzen. Diese E-Mails werden im ruhenden Zustand und bei der Übertragung verschlüsselt und können nur von den ursprünglichen Empfängern gelesen werden.
Für dieses Szenario sind die neuen Funktionen der Microsoft Office 365-Nachrichtenverschlüsselung erforderlich. Wenn der Empfänger die geschützte E-Mail nicht in einem nativen E-Mail-Client öffnen kann, so können die vertraulichen Informationen mithilfe einer Einmalkennung in einem Webbrowser als read-only angezeigt werden.
Ein Gmail-Benutzer sieht z.B. den folgenden Inhalt in einer E-Mail-Nachricht:
Geschützte E-Mails, die an einen Benutzer in derselben Organisation gerichtet sind, werden über den gewohnten Workflow zum Senden von E-Mails abgeschickt. Beispielsweise können sie die Schaltfläche „Nicht weiterleiten“ auswählen, die der Azure Information Protection-Client dem Outlook-Menü hinzugefügt hat. Die Funktion „Nicht weiterleiten“ kann auch in eine für Benutzer auswählbare Bezeichnung integriert werden, sodass die E-Mail klassifiziert und geschützt werden:
Alternativ können Sie anhand von E-Mail Regeln, bei denen der Schutz angewendet wird ebenso den automatischen Schutz für Benutzer gewährleisten. Wenn Sie Microsoft Office-Dokumente an diese E-Mails anhängen, werden diese Dokumente ebenfalls automatisch geschützt.
Klassifizieren und Schützen vorhandener Dokumente
Im Idealfall werden Dokumente und E-Mails direkt bei deren Erstellung mit einer Bezeichnung versehen. Bereits vorhandene Dokumente in Datenspeichern können auch nachträglich geschützt werden. Egal ob sich diese auf Datenspeicher in der lokalen Umgebung oder in der Cloud befinden.
Für lokale Datenspeicher kann eine Überprüfung mit Azure Information Protection erfolgen. AIP kann Dokumente in lokalen Ordnern, Netzwerkfreigaben und SharePoint Server-Standorten und -Bibliotheken erkennen, klassifizieren und schützen. Die Überprüfung wird als Dienst unter dem Windows Server ausgeführt. Man kann die gleichen Regeln in der Richtlinie verwenden, um vertrauliche Informationen zu erkennen und für Dokumente spezielle Bezeichnungen anwenden. Oder man hat eine Standardbezeichnung auf alle Dokumente in einem Daten-Repository ohne den Inhalt der Datei zu überprüfen. Zudem hat man die Möglichkeit, die Überprüfung auch nur im Berichterstellungs-Modus zu verwenden, um vertrauliche Daten zu finden, von denen Sie vielleicht nicht wissen, dass sie vorhanden sind.
Für Cloud-Datenspeicher kann Microsoft Cloud App Security für Dokumente in Box, SharePoint Online und OneDrive for Business verwendet werden.
(Sämtliche Bilder sind Eigentum der Microsoft Corporation)
Als zertifizierter Microsoft Enterprise Mobility + Security (EM+S) Partner und herstellerunabhängiger Managed Service Anbieter bietet Nomasis umfangreiche Beratungs- und Integrationsleistungen sowie Managed Services für Mobile IT und Mobile Security.
um mehr über Microsoft Azure Information Protection zu erfahren.