簡介 Windows Server 2012 動態存取控制

  • Article

一直以來,我們都致力於減少您完成各種任務所需要的操作步驟。Windows Server 2012 之所以能夠成為一個出色的伺服器版本,其中一個重要的理由就是我們花費了大量時間聽取使用者們的意見反應,瞭解他們的使用情境和需求重點。如果從技術/功能 的角度來建構各個開發團隊,那麼團隊之間的合作將會變得非常困難,因為幫助其他團隊通常表示必須放下自己手頭上的工作。因為我們在使用者需求及營運情境上達成的共識,各個團隊很樂意互相合作並且提供幫助,所以能夠達成高水準的技術整合和跨團隊合作。當各個團隊朝向一個共同的目標攜手前進時,整個局面便發生翻天覆地的變化,各種難題都迎刃而解。今天的部落格文章就向您展示我們在這方面所取得的成就。  
在資訊安全或資料存取安全領域稍有涉獵的人都會瞭解這樣的一個事實,就是傳統的安全模型和機制並不具備足夠的靈活性,無法滿足目前所面臨的問題和情境。無論是滿足法規性要求,降低資料外洩對企業產生的影響,或是管理超大型規模的資料,目前的存取控制機制都有待改進,以便管理人員和使用者能夠更加輕鬆的解決這些難題。Windows Server 2012 的動態存取控制功能由多個團隊所合作開發。我相信您將會發現,與 Windows Server 2012 包含的許多其他功能一樣,該功能對您來說正好是雪中送炭。   
如果您尚未下載測試版本,請先閱讀本部落格文章內容並且觀看相關影片,之後根據自己的行程安排該測試版本的下載和試用。   
本部落格文章由檔案伺服器團隊的專案經理 Nir Ben-Zvi 所撰寫。

–Cheers! Jeffrey

大家好! 我是 Nir Ben-Zvi,在 Windows Server 團隊中任職。今天,我將懷著激動的心情向大家介紹新的「動態存取控制(Dynamic Access Control)」功能集合。  
我將會深入淺出的為您介紹整體的規劃流程,討論新的集中存取原則模型,並且描述 Windows Server 2012 中內建的 End-to-End 檔案伺服器解決方案。我還將介紹我們所採用的增量部署模型,您無需將整個運作環境遷移到 Windows Server 2012 便可以使用該功能集合。此外,我還將會談到在這個領域方面與合作夥伴的合作內容。   
您可以在 TechNet網站 觀看有關動態存取控制的相關影片。

簡介
在目前日益複雜的 IT 環境當中,資料在分佈的系統上以驚人的速度產生,並且透過五花八門的設備進行存取。因此,滿足相關法規和標準的法規性要求,並且防止關鍵的營運資料和個人資料的外洩,成為企業和 IT 部門面臨的主要難題。控制使用者的資訊存取權限並產生針對特定資訊的存取記錄報告,對於達成資料法規性和洩露防護非常重要。   
這也正是我們在數年前開始規劃 Windows Server 2012 時所觀察到的情況。在規劃期間,使用者意見反應當中頻繁出現的要點如下:

· 根據營運及法規性需要,集中管理對資訊的存取行為。

· 對於資訊的存取需要經過審核,以滿足法規性要求以及用於分析。

· 敏感資訊應該始終要獲得保護。

· 內容擁有人應該對自己的資訊負起責任,IT 管理人員不應該事必躬親。

· 確保資訊工作者的工作效率對於企業來說非常重要。

之後,我們也針對企業不同崗位上的工作人員展開相關調查,瞭解他們如何參與滿足資料法規性監管和營運要求工作,以便提供適當的技術和解決方案以組合説明解決資料法規性的難題。  
最初牽涉其中的是負責確定營運及監管法規性需求的 CSO/CIO 管理階層人員。接下來,負責管理系統的 IT 管理人員和控制實際資訊的企業擁有者也加入此一行列。最後,企業希望盡可能降低對資訊工作人員的影響(最好都沒有影響)。

clip_image001[5]

為了説明企業達成資料法規性,我們最後決定將著重點集中在以下項目:

· 確定滿足營運及法規性要求所需管理的資訊。

· 採用適當的資訊存取原則。

· 審核對資訊的存取行為。

· 加密資訊。

接著我們將這些重點項目轉換為一系列 Windows 功能,以便透過合作夥伴和針對 Windows 解決方案提供資料法規性功能。

· 增加在 Active Directory 中設定集中存取和稽核原則的功能。針對條件運算式的原則將考慮以下因素,以便幫助企業將營運需求轉換為高效率的原則執行,並且大幅度減少存取控制所需要的安全群組:

o 使用者身份

o 他們正在使用的 設備

o 正在存取的 資料

· 整合至 Windows 身份驗證 (Kerberos),這樣使用者及設備不僅可以透過安全群組,同時還將透過描述例如:“使用者來自財務部門”和“使用者的安全等級為高”。

· 改進檔案分類基礎結構,允許企業擁有者和使用者標示(加標籤)其資料,以便 IT 管理人員能夠根據標籤分配原則。此功能可以根據內容以及其他特徵自動分類檔案,並且與檔案分類基礎結構結合使用。

· 整合授權管理服務 (Rights Management Services),以便自動保護(加密)伺服器上的敏感性資料,如此一來即使資訊離開伺服器後也仍將獲得保護。

集中存取原則
您可以將集中存取原則視為企業在伺服器中部署的安全網路。這些安全網路原則可以強化(而非取代)應用於資訊的本地端存取原則(例如自由選擇的 ACL)。如果針對某個檔案的本地端 DACL 允許特定使用者存取該檔案,但集中原則限制同一使用者的存取,則該使用者將無法存取該檔案(反之亦然)。   
部署和實施集中存取原則的原因各式各樣,並且可能來自企業的多個層級:

· 法規原則 : 本原則與法規性和營運要求互相關聯,在於保護對受管制資訊的正當存取原則。例如僅允許特定群組的使用者存取受到“US-EU Safe Harbor”法規保護的資訊。

· 部門授權原則 : 企業中每個部門都需要施行某些特殊的資料處理要求。這種情況在分散式企業中極為常見。例如財務部門希望僅允許財務人員存取財務資訊。

· 需知原則 : 本原則為針對原則來允許存取。例如:

o 供應商應僅能夠存取和編輯屬於自己所參與的專案其相關的檔案。

o 資訊隔離對於金融機構非常重要,它們需要確保分析師和經紀人彼此無法存取對方的資訊。

集中稽核原則
集中稽核原則是幫助企業保持安全性的利器。監管法規是安全審核的主要目標之一。SOX、HIPPA、PCI 等業界標準需要企業遵守與資訊安全和隱私相關的一系列嚴格的規則。安全審核可以幫助確認此類原則的存在(或缺點),並且證明對這些標準的法規(或違規)。此外,安全審核可以幫助檢測出異常行為,找出並且彌補安全性原則中的漏洞,同時透過建立用於取證使用者行為記錄來阻止不負責任的行為。   
Windows Server 2012 允許管理人員使用運算式建立稽核原則,考慮使用者正在存取的資訊和使用者的身份,以方便企業針對任意位置駐留的特定資訊執行審核。這將使制訂內容更加豐富、更具針對性且易於管理的稽核原則成為可能。這些情境在此之前全部都難以達成或者根本無法達成。例如您現在可以輕鬆建立如下所示的稽核原則:

· 審核所有不具備高安全性,卻嘗試存取“高敏感性”資訊的使用者。

· 審核所有嘗試存取其並未參與專案的相關檔案其合作廠商。

這將有助於調整稽核事件的數量並且將範圍限制在具備相關性的資訊/使用者 身上,以便您可以同時監控多台伺服器的資訊存取情況,同時不會產生難以管理的巨量稽核事件。  
此外,稽核事件中還會記錄資訊標籤,以便事件收集機制提供相關報告: 過去三個月內存取“高度敏性”資訊的所有使用者。

檔案伺服器解決方案
針對此一基礎結構,我們為 Windows Server 2012 Active Directory、Windows Server 2012 檔案伺服器和 Windows 8 使用者端建構了一整套針對 Windows 的 End-to-End 解決方案。該解決方案功能包括:

· 透過自動和手動檔案分類 識別資料

· 透過應用安全網路集中存取原則,控制跨越檔案伺服器的檔案存取行為。例如您可以控制哪些使用者可以存取企業當中的健康資訊。

· 透過用於法規報告和取證分析的集中稽核原則對檔案伺服器上的檔案進行 存取稽核 。例如,您可以找出在過去三個月內存取過高敏感性資訊的使用者。

· 透過自動對敏感的Microsoft Office 檔案應用授權管理服務(RMS) 資料加密 。例如 您可以將 RMS 設定為加密所有包含健康保險攜帶和責任法案 (HIPAA) 資訊的檔案。

clip_image002

為了支援跨企業的多台檔案伺服器進行部署,我們還提供了支援跨多個伺服器進行配置和報告的資料分類工具包。

增量部署概念
增量部署是動態存取控制的核心設計原則之一。採用此一原則是為了確保您能夠儘快開始使用該功能集合,以解決有關資訊存取和稽核的目標營運問題。   
籍由 Windows Server 2012 檔案伺服器和升級的 Active Directory 網域架構,您可以充分利用大部分動態存取控制功能。只需增加最少數量的 Windows Server 2012 網域控制站,即可達成 User Claims 等功能。您對系統各部分進行的升級都將為您提供更多功能,但您可以根據自己的情況來設定升級頻率。

clip_image003

合作夥伴解決方案
合作夥伴解決方案和營運應用程式可以進一步利用針對動態存取控制的 Windows 基礎架構,為使用 Active Directory 網域功能的企業創造出巨大的附加價值。我們去年在 //build/ 大會上展示過一些合作夥伴解決方案包括:

· 整合針對內容自動分類的資料外洩防護 (DLP)。

· 集中稽核分析作業。

· 透過集中存取原則進行授權管理服務(RMS)。

· 其它眾多解決方案…等。

一些可能對您有所幫助的其他資源:

l TechNet 技術文件庫 – Dynamic Access Control Scenario Overview

l Windows Sever 2012 Virtual Labs – Using Dynamic Access Control to Automatically and Centrally Secure Data

l Channel 9 – Dynamic Access Control Demo and Interview

Nir Ben-Zvi