Work Folders

Parafrazujac slynne zdanie Einsteina o nieskonczonosci mozna stwierdzic, ze kreatywnosc userów jest tym obszarem, w którym watpliwosci miec nie mozna. Jezeli uzytkownik sieci firmowej zechce skorzystac z firmowych informacji poza firma, to powstrzymac bedzie go naprawde trudno. Niekoniecznie trzeba zakladac od razu zle intencje. Nieraz wynoszenie informacji poza siec firmowa wynika z checi oddania wlasnego wolnego czasu czy zasobów prywatnego komputera po to, zeby jeszcze lepiej pomóc pracodawcy. Mozna próbowac na wiele sposobów: szyfrowac dyski, blokowac porty USB, zabezpieczac dokumenty przez RMS czy kombinowac z firewallem. Ale przeciez chcemy uzytkownikom dac dostep do informacji, której potrzebuja do pracy! Nawet, gdy wszystko totalnie zabezpieczymy od strony IT, uzytkownik wyciagnie komórke z aparatem i zainstalowanym prostym OCRem i w ten sposób zabierze, co zabrac potrzebuje. Zeby zabezpieczenie bylo skuteczne, srodki techniczne trzeba polaczyc z uregulowaniami: politykami, regulaminami, szkoleniami i innymi podobnymi metodami nie majacymi nic wspólnego z techologia. I tu pojawia sie jedno bardzo wazne pytanie: czy faktycznie (jako wlasciciel informacji) chcemy, zeby dane pod zadnym pozorem nie wyplywaly poza firme? Mamy oczywiscie do takiej decyzji prawo a czasem wrecz przymus wynikajacy na przyklad z przepisów prawa. Ale z cala pewnoscia, decyzja nie nalezy do dzialu IT! Informatycy nigdy nie powinni zapomniec, ze sa tylko "bibliotekarzami" a nie wlascicielami ksiazek. Warto tez przemyslec, czy przyjete podejscie jest konsekwentne – zdalny dostep do firmowej poczty uznawany jest obecnie za akceptowalny. Zdalny dostep do dokumentów juz niekoniecznie. A przeciez zazwyczaj uzytkownik moze wyslac dokument sam do siebie i otworzyc go w domu! Pomijam juz wyslanie z poczty firmowej na prywatna skrzynke, webowy dostep do skrzynki prywatnej u mniej lub bardziej egzotycznego providera, komunikatory, czy bardziej wyszukane scenariusze jak na przyklad tunelowany w https dostep przez pulpit zdalny do domowego komputera i mapowanie zdalnych dysków. Mozna tak wymieniac dlugo, ale trzeba caly czas pamietac o najwazniejszym: zanim zaczniemy w ogóle spogladac w strone technologii, musimy od wlasciciela informacji (byc moze pomagajac mu bardzo mocno) zdobyc jasne stanowiska jak informacja firmowa chce sie dzielic. Technologia potem to juz drobiazg.

Po tym nieco przydlugim wstepie (poteoretyzowalem sobie o bezpieczenstwie informacji, ale ja to naprawde lubie), spróbuje przejsc do meritum: otóz jednym z ciekawych, nie-tak-zupelnie-trywialnych, wygodnym dla uzytkowników mechanizmem przekraczania granicy firma-dom sa wszelkie "wirtualne dyski". Istnieje tego w Internecie niemalo: SkyDrive, SkyDrive Pro, ASUS Web Storage, DropBox, Sugar Sync, Google Drive, Ubuntu One, SpiderOak i jeszcze pewnie kilkadziesiat mniej lub bardziej egzotycznych. Gdy na takie dyski patrzy osoba zajmujaca sie bezpieczenstwem informacji w organizacji, zwykle zaczyna rwac wlosy z glowy. Nawet, gdy stosowane protokoly sieciowe sa wzglednie bezpieczne, zagadka zwykle pozostaje miejsce, gdzie trafiaja synchronizowane dane. Wiadomo, ze gdzies leza i sa dostepne z Internetu. Próba dotarcia do bardziej szczególowej informacji na ten temat zwykle konczy sie niepowodzeniem. Wyjatkiem jest tu SkyDrive Pro, który moze byc hostowany w firmie, ale to tak naprawde drobny fragment funkcjonalnosci SharePointa, wiec choc bardzo ciekawy – raczej nie jest wdrazany jako samodzielne rozwiazanie do przesylania plików.
I tutaj z pomoca przychodza tytulowe Work Folders. Mechanizm ten (wbudowany w Windows Server 2012 R2) pozwala na synchronizowanie plików miedzy kilkoma urzadzeniami jednego uzytkownika. Koniec powyzszego zdania jest tu kluczowy: Work Folders zakladaja, ze pliki kazdy udostepnia sam sobie i ze dzieli je miedzy kilka swoich urzadzen. Co szczególnie istotne, zalozeniem Work Folders jest, ze nie wszystkie urzadzenia musza byc z punktu widzenia firmy zaufane. Ani dodane do domeny, ani zarzadzane przez firmowe IT, ani szczególnie mocno chronione. Mozna na takim niezaufanym urzadzeniu wymusic jedna z dwóch prostych polityk:

1. Dostep do urzadzenia musi byc chroniony haslem (ufamy prywatnym urzadzeniom, ale nie az tak, zeby dane na nich mogly byc uzywane przez kazdego, kto urzadzenie wezmie w rece)
2. Pliki na niezaufanym urzadzeniu musza byc szyfrowane (zabezpieczamy sie w ten sposób przed atakami offline na firmowe dane)

Poza tym – urzadzeniem rzadzi jego uzytkownik nawet, gdy przetwarza na nim sluzbowe dane.

Czy takie rozwiazanie jest bezpieczne? Oczywiscie nie! Nie istnieje w pelni bezpieczne rozwiazanie... A czy jest wystarczajaco bezpieczne? To zalezy od polityki, która firma ustalila dla przetwarzania informacji. Zanim jednak skresli sie Work Folders z listy potencjalnych rozwiazan, warto sie zastanowic, czy inne rozwiazania sa choc troche lepsze. Jezeli juz chcemy (a czasy i mody sa takie, ze niestety chcemy) dac zdalny dostep do firmowych informacji, to Work Folders wydaje sie byc najmniejszym zlem. Celowo i starannie zaprojektowanym tak, zeby dane udostepniac, unikajac przy tym tych wad, których tylko uniknac mozna. Udostepniajac dodatkowe, cenne funkcjonalnosci jak na przyklad zdalne usuniecie firmowych plików ze wszystkich urzadzen uzytkownika, który z jakiegos powodu przestal byc zaufany. I dziala!

A od strony technologii...? Work Folders charakteryzuje sie nastepujacymi cechami:

• Uzywa https, oczywiscie z certyfikatem zaufanym w Internecie, poniewaz wierzyc w niego musza niezarzadzane urzadzenia. Testowo mozna uzyc http, ale nie jest to najlepszy pomysl dla produkcyjnego wdrozenia.
• Domyslnie, klient laczy sie do hosta o nazwie workfolders w domenie takiej jak domena Active Directory w organizacji, mozna jednak to zmienic.
• Uzywa uwierzytelniania kontem i haslem domenowym, ale nie wymaga przynaleznosci urzadzenia do domeny.
• U podstawy ma serwer plików bazujacy na Windows Serwer, z cala jego potega – klasyfikacja plików, ACLami, quotami, file screeningiem czy raportami.
• Klient wbudowany jest w Windows 8.1, ale wszystko wskazuje na to, ze niedlugo pojawi sie w postaci paczki oprogramowania na inne, niekoniecznie microsoftowe systemy operacyjne.

Samodzielne zbudowanie laboratorium czy pilota nie jest specjalnie skomplikowane. Jak w kazdym tego typu rozwiazaniu, diabel tkwi w szczególach, w tym konkretnym przypadku ze sporym ich nagromadzeniem w okolicach udostepniania danych do Internetu przez reverse proxy oraz tam, gdzie mamy do czynienia z synchronizacja, w której serwery znajduja sie w wielu lokalizacjach (warto spojrzec na atrybut MSDS-SyncServerURL w AD).

Wiedzy na temat Work Folders nie jest jeszcze duzo, ale na poczatek, poza surowym TechNetem, zasugerowalbym dwie sesje z ostatniej edycji TechEd: WCA-B214 i WCA-B332. A potem polecam samodzielna zabawe, zawsze w scislym porozumieniu z wlascicielem danych. Naprawde ladnie to dziala.

Autor: Grzegorz Tworek [MVP]