quinta-feira, 9 de maio de 2019

Protegendo conteúdo com AD RMS - Parte III

Continuando a série de artigos sobre proteção de conteúdo utilizando o AD RMS, hoje tratarei sobre o Azure RMS.

Em alguns cenários, uma empresa pode não possuir recursos suficientes para implementar uma infraestrutura local do AD RMS e nesses casos sim, é possível ter o serviços de RMS na nuvem.

A implementação do AD RMS em uma infraestrutura de rede local e em uma única floresta do AD DS certamente ajuda a proteger informações sensíveis, mas pode ser ineficiente em cenários em que o conteúdo protegido pelo AD RMS deve ser compartilhado entre organizações selecionadas ou com pessoas de fora da organização. 

Além de estabelecer relações de confiança ou utilizar uma conta da Microsoft, é possível utilizar os recursos do AD RMS em nuvem pública no Azure, dispensando a implementação e o gerenciamento de uma infraestrutura local para o AD RMS.

Usando o Azure RMS, pode-se atribuir políticas e restrições de uso a documentos e compartilhá-los com outras organizações que também assinam o serviço do Azure.

Como o Azure RMS se integra a todos os serviços e aplicativos do Office 365, você pode usar todos os recursos do RMS da nuvem e do ambiente local. 

O Azure RMS está disponível nas assinaturas do Office 365 Enterprise E3 e do Office 365 ProPlus. Também é possível comprá-lo como um serviço separado e utiliza-lo com sua nuvem ou recursos locais. 

O Azure RMS fornece as seguintes funcionalidades: 

Integração do Gerenciamento de Direitos de Informação (IRM) com o Office => Todos os aplicativos do Office implantados localmente podem utilizar o Azure RMS para ajudar na proteção de conteúdo.

Integração do Exchange Online IRM => O Azure RMS oferece a capacidade de ajudar a proteger e consumir mensagens de e-mail no Outlook Web ou no Outlook. Também é possível consumir mensagens protegidas por IRM por meio do Exchange ActiveSync em dispositivos como o Windows 10 Mobile ou dispositivos baseados em iOS. Além disso, os administradores podem usar as regras de proteção do Outlook e as regras de transporte do Exchange para proteção e descriptografia, para evitar o vazamento de dados.

Integração de IRM do SharePoint Online => Utilizando o Azure RMS, os administradores podem configurar a proteção automática de IRM de documentos em bibliotecas do SharePoint.

Infraestrutura de classificação de arquivos do Windows Server (FCI) => Se o computador executar o Windows Server e tiver o recurso Gerenciador de recursos de servidor de arquivos (FSRM), você terá FCI. O FSRM pode digitalizar arquivos no servidor e executar uma ação configurada. Por exemplo, você pode marcar arquivos confidenciais como sensitive. Após classificar um arquivo ou pasta, você pode executar outra tarefa FSRM para aplicar um modelo do Azure RMS para o arquivo ou pasta, com base na classificação. Assim, se o FSRM encontrar uma pasta denominada “folha de pagamento” e classificá-la como sensitive, você poderá fazer com que o FSRM aplique um modelo do Azure RMS para corresponder ao tipo de dados. Nesse caso, você pode usar um modelo que limita o acesso ao arquivo ao departamento de folha de pagamento.

Benefícios organizacionais


As funcionalidades do Azure RMS oferecem vários benefícios para as organizações, incluindo:

Ajudar as organizações a cumprir metas de conformidade => O Azure RMS é certificado para vários programas da indústria, incluindo a lei de portabilidade e responsabilidade de seguro de saúde (HIPAA) e o nível 1 de segurança de dados da indústria de cartões de pagamento (PCI) Standard (DSS). Muitas organizações são necessárias para armazenar dados confidenciais com criptografia e podem usar o Azure RMS para fazer isso.
Reduzir de vazamento de dados => Em muitas organizações, os usuários podem divulgar dados corporativos sem autorização. Por exemplo, uma organização pode estar se preparando para anunciar um novo produto e essa informação pode ser vazada por meios diversos, de forma intencional ou não. O Azure RMS ajuda a minimizar o vazamento de dados, dificultando a transferência de informações para funcionários de fora da organização sem serem rastreadas. Diferentemente do AD RMS, que é implantado localmente, o Azure RMS fornece a você a capacidade de rastrear geograficamente o local em que um arquivo é usado.
Permite o compartilhamento de dados confidenciais com parceiros de organizações externas => Como o Azure RMS permite uma colaboração praticamente perfeita com usuários fora da sua organização, as organizações podem aprimorar a segurança para colaboração e compartilhamento de dados.

Em https://docs.microsoft.com/pt-br/azure/information-protection/compare-on-premise é possível consultar com exatidão as diferenças entre as versões do AD RMS.

Abraço e até a próxima publicação!!!

quinta-feira, 2 de maio de 2019

Protegendo conteúdo com AD RMS - Parte II

Na parte I (que pode ser acessada clicando aqui) dessa série de artigos sobre o AD RMS apresentei o produto e expus alguns cenários onde essa ferramenta pode ser útil.

Nesse artigo, tentarei explicar o funcionamento do AD RMS. Vamos lá ...

Como funciona o AD RMS?

Quando um usuário protege o conteúdo de um arquivo ou tenta acessar conteúdo protegido pelo AD RMS, várias tarefas são executadas em segundo plano, de forma invisível aos olhos.

Para diagnóstico e solução de problemas, é importante entender como o AD RMS funciona. Embora não esteja diretamente relacionado aos Serviços de Certificados do Active Directory (AD CS), o AD RMS usa certificados e recursos de criptografia de forma bastante intensa.

Basicamente, o AD RMS funciona da seguinte maneira:

1 - A primeira vez que um autor configura a proteção de direitos para um documento, um certificado de licenciante para cliente é solicitado ao servidor AD RMS. O cliente localiza o servidor AD RMS através do uso ponto de conexão de serviço (SCP) no AD DS.

2 - Após isso, o servidor emite um certificado de licenciador do cliente para o cliente, a menos que este seja membro da lista de exclusões do AD RMS.

3 - Após receber o certificado de licenciante do servidor AD RMS, o autor poderá configurar direitos de uso no documento. Essa configuração pode ser efetuada manualmente ou utilizando modelos pré-definidos.

4. Quando o autor configura os direitos de uso, o aplicativo habilitado para AD RMS criptografa o arquivo com uma chave simétrica que é gerada no dispositivo do cliente. Quando a proteção do AD RMS é aplicada ao documento, o documento está realmente criptografado.

5. Essa chave simétrica é criptografada utilizando a chave pública do servidor AD RMS que o autor está acessando. Essa chave simétrica criptografada é distribuída para o servidor AD RMS e armazenada nele. Como ele é criptografado com a chave pública do servidor, ele só pode ser descriptografado usando a chave privada do servidor.

6. O autor do conteúdo protegido por AD RMS distribui o arquivo ao destinatário. O destinatário do arquivo pode abri-lo utilizando um aplicativo associado à extensão do arquivo ou navegador do AD RMS. Não é possível abrir conteúdo protegido pelo AD RMS, a menos que o aplicativo ou navegador suporte o AD RMS. Se o destinatário não tiver um certificado de conta no dispositivo atual, será emitido um para o usuário neste momento. O aplicativo ou navegador transmite uma solicitação ao servidor AD RMS do autor para a emissão de uma licença de uso.

7. O servidor AD RMS determina se o destinatário está autorizado a acessar o conteúdo protegido. Se o destinatário estiver autorizado, o servidor AD RMS emitirá a respectiva licença de uso.

8. O servidor AD RMS, em seguida, descriptografa a chave simétrica que foi criptografada na etapa 5 usando sua chave privada.

9. O servidor AD RMS criptografa novamente a chave simétrica usando a chave pública do destinatário e, em seguida, adiciona a chave de sessão criptografada à licença de uso. A licença de uso e a chave simétrica criptografada são então distribuídas para o destinatário. O destinatário usa sua chave privada para descriptografar a chave simétrica. Depois disso, a chave simétrica é usada para descriptografar conteúdo protegido por AD RMS.

Complexo, né? Pois é ... mas esse é só o começo.

Para entender como o AD RMS funciona, também é necessário estar familiarizado com seus diferentes certificados e tipos de licença. Cada certificado e licença funciona de maneira diferente. Alguns certificados, como certificados de licenciante de servidor, são extremamente importantes e você deve fazer backup regularmente deles.

Certificado de licenciante para servidor

O certificado de licenciante para servidor é gerado na criação do cluster AD RMS e possui validade de 250 anos. Esse certificado permite que um cluster AD RMS emita:

• Certificados de licenciante de servidor para outros servidores no cluster.
• Certificados de Conta de Direitos (RACs) para clientes.
• Certificados de licenciante para clientes.
• Licenças de publicação (PLs).
• Licenças de uso.
• Modelos de política de direitos.

A chave pública do certificado de licenciante servidor criptografa a chave de conteúdo em um PL. Isso permite que um servidor AD RMS extraia a chave de conteúdo e emita licenças de usuário final em relação à chave de publicação

Certificado de máquina AD RMS

O certificado de máquina do AD RMS é usado para identificar um computador ou dispositivo confiável. A chave pública do certificado de máquina criptografa a chave privada do RAC. A chave privada da máquina descriptografa RACs.

RAC

O RAC identifica um usuário específico. O período de validade padrão para um RAC é de 365 dias e podem ser emitidos somente para usuários do AD DS que possuem endereços de e-mail associados a suas contas. 

Um RAC é emitido na primeira vez que um usuário tenta acessar conteúdo protegido pelo AD RMS ou executar uma tarefa do AD RMS, como por exemplo, a criação de um documento protegido. O período de validade padrão pode ser ajustado conforme a necessidade.

Um RAC temporário tem um período de validade de 15 minutos e é emitido quando um usuário acessa o conteúdo protegido pelo AD RMS a partir de um computador que não é membro da mesma floresta que o cluster AD RMS ou a floresta confiável. O período de validade padrão para RACs temporários também pode ser ajustado conforme a necessidade.

Certificado de licenciante para cliente

Esse certificado permite que um usuário publique conteúdo protegido pelo AD RMS quando o computador cliente não estiver conectado à mesma rede que o cluster do AD RMS. A chave pública do certificado de licenciante cliente criptografa a chave de conteúdo simétrica e a inclui no PL por ela emitido. 

A chave privada do certificado de licenciante cliente assina quaisquer PLs emitidos quando o cliente não está conectado ao cluster do AD RMS.

Os certificados de licenciante de cliente estão vinculados ao RAC de um usuário específico. 

Se outro usuário que não tenha sido emitido um RAC tentar publicar conteúdo protegido pelo AD RMS do mesmo cliente, ele não poderá fazê-lo até que o cliente esteja conectado ao cluster do AD RMS e possa emitir um RAC para esse usuário.

PL

Um PL determina os direitos que se aplicam ao conteúdo protegido pelo AD RMS. Por exemplo, o PL determina se um usuário pode editar, imprimir ou salvar um documento. 

O PL contém a chave de conteúdo, que é criptografada usando a chave pública do serviço de licenciamento. Também contém a URL e a assinatura digital do servidor AD RMS.


Licença de usuário final

É necessária uma licença de usuário final para consumo de conteúdo protegido pelo AD RMS. O servidor AD RMS emite uma licença de usuário final por usuário e por documento. Licenças de usuário final são armazenadas em cache por padrão.

Bom ... por hoje é só e tudo isso.

Retornarei muito em breve com mais informações, até que possamos efetivamente fazer a instalação e configuração da ferramenta.

Gostou??? Compartilhe e me ajude a disseminar o conhecimento.

Abraços e até a próxima publicação.