Yrityksen liikkuvuus- ja turvallisuuspaketti eli Enterpise Mobility + Security – Osa 4

Centeron pitkän linjan asiantuntija, Juha Haapsaari, on kirjoittanut mainion blogisarjan Microsoftin Enterprise Mobility + Security -tuoteperheen mahdollisuuksista. Blogisarjan viimeisessä osassa tutustutaan sisällönsuojaukseen.

Esimerkkinä käytämme meidän omaa luokitteluamme, ja kerromme siitä, miten me itse käytännössä sisältöämme suojaamme.

Löydät blogisarjan aiemmat osat tästä:

Sisältöä on vaikea pitää turvassa tietyssä paikassa

Perinteisesti sisältöä, jota tuotetaan (tiedostot, sähköpostit jne.), on suojattu sen perusteella mihin tieto tallentuu eli kuka pääsee esimerkiksi lukemaan tiettyä kansiota tai sähköpostilaatikkoa. Kun sisältö viedäänkin suojatusta kohteesta muualle kuten esimerkiksi kannettavan levylle tai muistitikulle, poistuu myös suojaus samalla.

Nykyään, kun päätelaitteita tulee lisää, ja sisältöä käsitellään paljon myös muualla, kuin organisaation omilla laitteilla tai omissa tiloissa, perinteiset suojaukset eivät välttämättä ole enää se luontevin tai käytännöllisin tapa suojata sisältöä.

Azure Information Protection suojaa sisältöä

Entiseltä nimeltään Azure Rights Management Service (eli Azure RMS) ja nykyisin Azure Information Protection (AIP) -nimeä kantava palvelu kuuluu osana Microsoftin EM+S (Enterprise Mobility + Security) -pakettiin. Riippuen EM+S-paketin tasosta, AIP:sta tulee joko P1- tai P2-tasoinen käyttöoikeus. Tässä blogissa käydään läpi P1-tason ominaisuuksia. P2-tasoisessa paketissa tulee lisäksi mahdollisuus automaattiseen sisällön luokitteluun ylläpitäjän tekemien säännösten mukaan, sekä mahdollisuus käyttää salausavainta, joka ei ole tallennettuna Azure-palvelussa.

Jos jakaa AIP:n ominaisuuden tärkeimpiin osasiin, löytyy sieltä kaksi eri palvelua:

  1. Sähköpostin salaus
    Office 365 Message Encryption
    -palvelulla voidaan Office 365 -ympäristön kautta kulkevat sähköpostit salata. Tämä on käytettävissä sekä organisaation sisäisille, että ulkopuolisille vastaanottajille
  2. Sisällön salaus
    RMS-teknologiaa tukevien sovellusten tuottama sisältö voidaan salata. Tuettuna on esimerkiksi Office-työkalut. Suojattu sisältö on aina salattua, riippumatta siitä missä itse sisältö on tallennettuna.

Sähköpostin salaus

Office 365 Message Encryption -palvelussa ylläpitäjä määrittelee Exchange Online -palveluun säännöt, jossa kuvataan milloin sähköpostiviesti pitää salata. Kun sähköpostiviesti täyttää säännön ehdot, ei viestiä välitetä sellaisenaan SMTP-protokollalla vastaanottajan sähköpostipalvelimelle, vaan viesti salataan ja tallennetaan Microsoftin datakeskukseen, missä Exchange Online -palvelukin sijaitsee.

Vastaanottajalle lähetetään ainoastaan viesti, jossa kerrotaan, että hän on saanut salatun sähköpostin. Samassa viestissä on linkki, mistä vastaanottaja pääsee lukemaan viestin.

Viestin lukeminen ja siihen vastaaminen tapahtuu siis selaimella, ja jotta viestin saa auki, pitää tunnistautua joko henkilökohtaisella Microsoft-tunnuksella, Microsoftin organisaatiotunnuksella (Azure AD -tunnus, jota esimerkiksi Office 365 -palvelussa käytetään käyttäjätunnuksena) tai kertakäyttöisellä koodilla. Tällöin salattu sähköpostiviesti ei siis koskaan ”fyysisesti” poistu Microsoftin datakeskuksesta.

Säännöt, joiden perusteella salaus tehdään, voidaan määritellä tarpeen mukaan. Yleisin sääntö varmaan on se, että otsikkokentästä etsitään tekstiä Salattu, ja jos se löydetään, viesti salataan. Voidaan myös salata esimerkiksi tiettyyn kumppaniorganisaatioon menevät viestit tai käyttäjän tekemään luokitteluun pohjautuva salaus.

Sisällön salaaminen

Kun sisältöä salataan käyttäen RMS-teknologiaa, tarkoittaa se sitä, että salauksen jälkeen sisältöä voi käyttää vain henkilö, jolla siihen on oikeus. Tunnistautuminen tapahtuu Azure AD -palvelussa ja oikeudet, mitä henkilö saa sisällölle tehdä, tarkastetaan RMS-palvelusta. Varsinainen salaaminen ja tieto siitä, kuka sisältöön pääsee kiinni, perustuu RMS-pohjiin (template), joita voidaan määritellä useita. Oletuksena pohjat on määritelty vain organisaation omaan käyttöön, mutta pohjiin on myös mahdollista valita mitä tahansa Azure AD -organisaatioita ja niiden käyttäjiä, jotka voivat salattua sisältöä avata.

Azure Information Protection -palvelussa sisällön suojaaminen tehdään joko automaattisesti sääntöjen perusteella tai käyttäjän toimesta. Tämä on toteutettu luokittelulla, jonka ylläpitäjät määrittävät vapaasti oman organisaationsa tarpeiden mukaan. Luokittelussa voi sitten vaikkapa Salainen-luokkaan pakottaa sisällön salaamisen käyttäen Azure RMS -teknologiaa ja sinne määritettyjä pohjia hyödyntäen. Luokittelussa voidaan sisältöä suojata myös ilman salausta, vaikkapa pelkästään lisäämällä sisältöön otsikkotietoihin teksti Sisäiseen käyttöön.

Miten homma sitten oikeasti toimii?

Jotta homma avautuu hieman toiminnan kannalta enempi, niin tässä meidän omat ohjeistukset sisällön suojaukseen. Kannattaa huomata, että tämä on meidän näköinen malli, ja politiikat tulee aina rakentaa kunkin organisaation näköiseksi huomioiden organisaation yksilölliset tarpeet ja tavoitteet.

Päätelaitteiltamme löytyy Azure Information Protection Client niminen sovellus, joka lisää Office-työkaluihin sekä tiedostoresurssienhallintaan (File Explorer) laajennuksen tiedon luokitteluun. Oletuksena sisältöä tuotettaessa käytämme General-luokitusta. Luokitusta voidaan kuitenkin vaihtaa käyttäjän toimesta tai sisällön perusteella automaattisesti esimerkiksi, jos sisällöstä löytyy suomalainen sosiaaliturvatunnus.

Kaikkien työntekijöidemme käytettävissä ovat seuraavat sisällönluokitukset seuraavasti ohjeistettuna:

Personal

Laita tämä luokitus, jos sisältö on henkilökohtaista eikä se liity Centeron toimintaan. Tällaisella luokituksella olevaan sisältöön ei ole Centerolla, eikä sen ylläpitäjillä asiaa ilman käyttäjän lupaa. Mikäli esimerkiksi tilanteessa, jossa käyttäjän OneDrive for Business -sisältöön annetaan ylläpitäjälle pääsy, sisältöä joka on luokiteltu henkilökohtaiseksi (Personal), ei ylläpitäjä (työnantaja) saa missään olosuhteissa lukea eikä käsitellä. Salausta tai merkintää tämä luokitus ei sisältöön lisää, joten sisältöä voi jakaa normaalisti.

Public

Laita tämä luokitus, jos sisältö on julkista siten että sisältö on tarkoitettu kenelle tahansa, eikä pelkästään Centeron, asiakkaiden tai kumppaneiden käyttöön. Salausta tai merkintää tämä luokitus ei sisältöön lisää, joten sisältöä voi jakaa normaalisti.

General

Tämä on oletus luokitus kaikelle sisällölle mitä tuotetaan. Sisältö tässä luokassa on tarkoitettu Centeron henkilöille tai meidän asiakkaille ja kumppaneille. Salausta tai merkintää tämä luokitus ei sisältöön lisää, joten sisältöä voi jakaa normaalisti.

Confidential\Management Board

Tämä luokitus on käytettävissä vain henkilöillä, jotka kuuluvat Centeron hallitukseen. Laita tämä luokitus, jos sisältö on tarkoitettu vain Centeron hallituksen jäsenille, ja liittyy Centeron hallituksen toimintaan. Sisältö salataan sekä merkitään Confidential-footerilla, joten sisältöä ei voi jakaa muille, kuin Centeron hallituksen jäsenille.

Confidential\Management Group

Tämä luokitus on käytettävissä vain henkilöillä, jotka kuuluvat Centeron johtoryhmään. Laita tämä luokitus, jos sisältö on tarkoitettu vain Centeron johtoryhmän henkilöille, ja liittyy Centeron johtoryhmän toimintaan. Sisältö salataan sekä merkitään Confidential-footerilla, joten sisältöä ei voi jakaa muille, kuin Centeron johtoryhmän jäsenille.

Confidential\All Employees

Laita tämä luokitus, jos sisältö on tarkoitettu vain Centeron henkilöille, ja sisältää tietoa joka tulisi salata, kuten esimerkiksi henkilötietoja, tunnuksia tms. Sisältö salataan sekä merkitään Confidential-footerilla, joten sisältöä ei voi jakaa, kuin Centeron henkilöille.

Confidential\Anyone

Laita tämä luokitus, jos sisältö on tarkoitettu Centeron ulkopuolisille, ja se sisältää tietoa jota tulee suojella, kuten esimerkiksi henkilötietoja, tunnuksia tms. Sisältöä ei salata, mutta se merkitään Confidential-footerilla, joten sisältöä voidaan jakaa normaalisti. Tällä luokituksella merkityt sähköpostilla organisaation ulkopuolelle lähtevät viestit salataan. Käytä tätä luokittelua harkiten dokumenteissa!

Highly Confidential\Management Board

Tämä luokitus on käytettävissä vain henkilöillä, jotka kuuluvat Centeron hallitukseen. Laita tämä luokitus, jos sisältö on tarkoitettu vain Centeron hallituksen henkilöille, se liittyy Centeron hallituksen toimintaan ja on erittäin arkaluontoista. Sisältö salataan sekä merkitään Confidential-footerilla, että vesileimalla, joten sisältöä ei voi jakaa kuin Centeron hallituksen jäsenille.

Highly Confidential\Management Group

Tämä luokitus on käytettävissä vain henkilöillä, jotka kuuluvat Centeron johtoryhmään. Laita tämä luokitus, jos sisältö on tarkoitettu vain Centeron johtoryhmän henkilöille, se liittyy Centeron johtoryhmän toimintaan ja on erittäin arkaluontoista. Sisältö salataan sekä merkitään Confidential-footerilla, että vesileimalla, joten sisältöä ei voi jakaa kuin Centeron johtoryhmän jäsenille.

Mitä seuraavaksi?

Sisällön suojaaminen on merkittävä parannus monen organisaation tietoturvaan ja tietosuojaan. Sen avulla voidaan myös osaltaan taklata toukokuusta 2018 alkaen sovellettavan EU:n tietosuoja-asetuksen vaatimuksia. Kannattaa tutustua aiheeseen esimerkiksi Centeron GDPR-webinaarisarjan avulla. Jos olet kiinnostunut tutustumaan tarkemmin Microsoftin EM+S-pakettiin, tai haluat lähteä implementoimaan sitä tai jotain sen osasista, me autamme mielellämme.

Voit katsoa webinaarejamme myös alta:

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Muutoksia Office 365 -palvelun järjestelmävaatimuksiin sekä päivitysrytmiin
» Seuraava artikkeli: Windows 10 saa syksyllä seuraavan ison päivityksen