EMS a Azure RMS

  • Article

V minulých dílech tohoto seriálu o Enterprise Mobility Suite (EMS) jsme tento nový produkt obecně představili. Pokud bychom volili nějaký příměr, pak jsme EMS ukázali jako závodní stáj, která ve své garáži má hned několik závoďáků, kteří se společně ženou úspěšně k cíli. A v tom cíli stojí spokojený zákazník, firma, organizace. Představili jsme si dokonce už dvě ze závodních aut, které mají na svých kapotách loga cloud produktů:  Microsoft Intune a Azure Active Directory Premium. Ale bok po boku jim stojí ještě soutěžák s barvami Azure RMS. Neboli Azure Rights Management Services. A právě tohoto člena fantastické trojky si dnes představíme na následujících řádcích.

Co to Azure RMS je?

Slovo Azure napovídá, že se budeme bavit o cloud službě, ostatně není se co divit, EMS je z cloud služeb složen jako celek. Se zkratkou RMS se totiž můžeme setkat i v serverovém prostředí, které organizace provozují ve svých serverovnách. Od Windows Server 2008 je totiž služba Active Directory Rights Management Services plně integrována jako serverová role do serverového operačního systému. Ale to se bavíme o tzv. on-premise prostředí. No a co to tedy už konečně to RMS je? Je to nástroj z oboru IRM (Information Rights Management), který poskytuje ochranu dokumentům proti neoprávněnému užití a nakládání s informacemi uvnitř tohoto dokumentu. Pár příkladů:

  1. Organizace chce, aby její dokumenty byly šifrovány = RMS
  2. Organizace chce, aby ochrana dokumentu měla stejnou letenku jako dokument. Tedy, aby ochrana byla nezávislá na tom, jestli byl dokument někam vykopírován = RMS
  3. Organizace chce zamezit určitý způsob nakládání s dokumentem (tisk, print screen, Ctrl+C…) pro určité skupiny lidí = RMS
  4. Organizace chce, aby chráněný dokument byl čitelný jen do nějaké doby = RMS
  5. Organizace chce, aby chráněný dokument nešlo číst offline = RMS
  6. Organizace chce šifrovat jakýkoliv typ dokumentu = RMS
  7. Organizace chce, aby mohla sdílet chráněná data s dalšími organizacemi = RMS

Organizace toho chtějí mnoho. Pravdou ale je, že v mnoha a mnoha organizacích se ochrana dat stále ještě řeší jen na úrovni zabezpečení souborového systému. Tedy pomocí práv NTFS. Jenže to má svoje poměrně zásadní nedostatky. Opět použijme fantazii a příměr. S NTFS řešíte zabezpečení tak, že se zaměřujete jen na vstupní vrata od garáže. Má anebo nemá dotyčný právo vstoupit. Ano, pravda, pak lze ještě trochu práva granulovat (čtení/změna/zápis), ale to vše platí, jen když je dokument v garáži. Jakmile ho vykopírujete do vedlejší garáže, už je to váš dokument s právy vlastníka a tadáá, můžu si v dokumentu sochat, co chci. A to není v pořádku, pokud bych pak zase našel způsob, jak editovaný dokument vrátit na původní uložiště, že? Naopak s RMS se ochrana dokumentu realizuje tak, že se dokument jako takový zašifruje a přístup k němu mají pouze ti, kdo byli uvedeni v seznamu oprávněných. Ano, dobrá, zde to je relativně podobné, jako u souborového systému, jenže u RMS se ochrany nezbavíte tím, že dokument vykopírujete do jiného uložiště. Ba co více, i když má někdo k dokumentu právo jej číst, můžete pomocí speciálních RMS práv definovat, co přesně onen člověk (či skupina) může s dokumentem dělat. U zmíněného práva „číst“ totiž můžete zamezit, aby dotyčný dokument mohl vytisknout nebo obsah kopírovat přes Ctrl+Cizí a Ctrl+Vlastní. Samozřejmě zakázat print screen a další věci. Pak už zbývá jen mobil s foťákem a kopírka s monitorem. Ale berte takhle 300 stránkovou výroční zprávu .

Toto je ochrana pomocí RMS a její základní odlišnosti oproti NTFS u dokumentů. Ale to není vše. Azure RMS je možné integrovat s dalšími cloud nástroji, jako je Exchange Online, Sharepoint Online nebo váš souborový server, který provozujete na Windows Serveru.

Samozřejmě se asi ptáte, jaký druh dokumentů se dá vlastně chránit s Azure RMS. Tak v základu jsou to dokumenty Word, Excel, PowerPoint, InfoPath a Outlook. No a pak PDF, JPG, GIF, TIFF, TXT a další. Přes aplikaci RMS Sharing a tzv. „Generic protection“ se pak dá chránit libovolný typ dokumentu. Tyto jsou pak ale chráněny tak, že jsou součástí zašifrovaného souboru, ale není možné u nich nastavovat nějaká detailní práva.

Azure RMS a Exchange online

  • RMS v Exchange Online umožňuje uživatelům číst (i když správně se říká „konzumovat“) a vytvářet chráněný obsah v aplikaci Outlook, pomocí Outlook Web App (OWA) přímo z internetového prohlížeče nebo pomocí aplikace OWA pro iPad a iPhone.
  • Jste teď trochu v šoku, že o řádek výš není zmíněn Windows Phone? Nebuďte, všechna zařízení, která ke schránce přistupují pomocí Exchange Active Sync mají možnost zobrazovat chráněný obsah. Tedy i například Windows Phone 8. Pro vytváření je pak určena aplikace RMS Sharing. Ta je rovněž dostupná nejen pro iPhone, ale i telefony s Android OS.

Zmíněné je hlavně o uživatelích a možnostech práce s RMS a chráněným obsahem v případě, že ho chtějí zobrazit nebo vytvářet vědomě. Ale co když organizace chce rovněž předcházet možnostem úniku informací. Tedy scénář, kdy chcete primárně zamezit nechtěnému úniku informací nebo celý proces automatizovat. Stejně jako u on-premise Exchange, tak i v Azure RMS mohou správci vytvářet transportní pravidla, která zprávu ochrání bez součinnosti s uživatelem. Tedy, když uživatel odesílá e-mail, transportní pravidlo může hledat různé informace (podmínky) jako třeba označení důležitosti, rodná čísla, údaje k online platbám. V momentě, kdy jsou taková data identifikována, a tedy jsou splněna kritéria pro spuštění transportního pravidla, e-mail je automaticky ochráněn pomocí Azure RMS. Využije k tomu přednastavenou RMS šablonu. Tedy, vámi (správcem) nastavenou šablonu. To znamená, že transportních pravidel může mít organizace celou řadu a používat různé stupně ochrany pro rozličně identifikované zprávy či obsah.

Zároveň s tím, dále fungují funkce jako indexování zpráv nebo žurnálování, Exchange Online se stává tzv. super userem, který má právo libovolně zprávy dekryptovat. Zprávy však nejsou následně ponechány rozšifrované. V žurnálovacím mailboxu končí sice jako nešifrovaný e-mail, ale se zašifrovanou přílohou, kterou je chráněný email.

Sharepoint Online

Azure RMS je podporováno i v Sharepoint Online. Konkrétně v dokumentových knihovnách Sharepointu. U Sharepointu funguje obecně RMS ochrana tak, že se obsah chrání (šifruje) až v momentě, kdy jej uživatel chce zobrazit. A je v tu chvíli jedno, jestli jen pro čtení, nebo i editaci. Jak u cloudového, tak i on-premise Sharepoint tedy platí, že data jsou v databázi Sharepointu nešifrovaná, samotná ochrana se aplikuje až při interakci s uživatelem na read operaci. Nikoliv při write v momentě, kdy se soubor do dokumentové knihovny nahrává. Pro práci s chráněným obsahem a Sharepoint Online slouží samozřejmě kancelářský balík Office. Uživatel, který nemá počítač vybaven tímto balíkem, může pro čtení a zobrazení obsahu využít Office Web Access přímo v internetovém prohlížeči. Obecně však u Sharepoint ale platí, že se politika RMS (tedy systém práv) dědí z nastavení ACL nad knihovnou. Vytváří se ekvivalent RMS práv. Tedy, když má uživatel právo read v ACL, bude mít RMS právo view. Když má v ACL change, bude mít automaticky právo view/copy a save a save as v RMS. Ale pozor na práva tisku, ta se nastavují pro všechny uživatele (výjimkou jsou ti, co mají plný přístup k dokumentům). Tedy bez ohledu na to, jestli mám právo read nebo change, mohu nebo nemohu tisknout podle toho, jestli to správce nastavil či nikoliv.

Pro ochranu dat v uživatelských složkách je Azure RMS podporován i v OneDrive for business.

Azure RMS a Office

Rights Management Services je podporován v Office 2010 a Office 2013. U Office 2013 je velmi příjemné, že konfigurace je u uživatele tzv „on-click“ u Office 2010 musí ještě správce nastavit kde je RMS server. Tedy ten Azure RMS server. Nebo instalovat RMS App. A když už jsme u toho, společně s kancelářským balíkem Office může být použita právě aplikace RMS Share App, kterou jsme popisovali v minulém TechNet Flash. Ve zkratce, tato aplikace funguje ve Windows Exploreru, Microsoft Office a hlavně na dnes mnoha rozšířených zařízeních díky podpoře Androidu, iOSu a Windows Phone 8.

RMS Sharing App Windows

Tato aplikace se stane takovým středobodem hlavně pro ty, kdo budou využívat službu Azure RMS. Jedná se o desktop aplikaci, která významně rozšiřuje možnosti využití RMS pro další druhy a formáty souborů. V neposlední řadě pak umožňuje velmi snadné sdílení chráněných informací s dalšími organizacemi či spolupracovníky. V systému Windows je aplikace viditelná pomocí kontextové nabídky nad souborem nebo adresářem.

Pokud uživatel využívá Azure RMS, uvidí v seznamu šablon „název firmy“ a dvě přednastavené výchozí šablony, plus všechny další, které daná organizace vytvořila. Tyto šablony může organizace používat pro vnitrofiremní účely. Tedy pro příjemce z jejich organizace. Nelze je používat pro sdílení dokumentů s třetí stranou. K tomu slouží konfigurace práv přímo v aplikaci.

Jak chránit soubor pomocí Windows RMS Sharing App

Po vyvolání kontextové nabídky můžeme zvolit, jestli chceme chránit místně (jen šifruje), nebo chránit a rovnou sdílet. Rozdíl mezi tím je, že u druhé možnosti se ještě automaticky vytvoří e-mailová zpráva, kde bude chráněný soubor vložen jako příloha.

Zvolením možnosti „Protect in-place“ spustíme průvodce, kam zadáme e-mailové adresy těch, kteří mají mít právo se souborem nějakým způsobem nakládat. Je zde nutno však brát ohled na to, že není možno odlišovat od sebe jednotlivé příjemce a práva k nim vztažená. Tedy, všichni jmenovaní budou mít vůči souboru a informacím stejná práva. Dále je možné nastavit datum, kdy vyprší platnost obsahu. Po uplynutí nastaveného data si již příjemci daný soubor neotevřou. Soubor bude otevíratelný pouze autorovi, který danému soboru nastavil ochranu. Ideální pro dokumenty, které mají omezenou platnost.

image

Výčet práv, kterými lze soubor chránit vidíte na posuvníku. Ale ještě jste si možná všimli možnosti „Povolit používání na všech zařízeních“. Pokud ne, všimněte si jí na obrázku výše :-). V tomto případě je soubor „zabalen“ do souboru s koncovkou .pfile (protected file) a je rovněž šifrován. Není však možné mu nastavovat různé sady práv (viz posuvník). V tomto režimu se všichni příjemci stanou automaticky „spoluvlastníky“. Tedy, výhodou je, že můžete šifrovat jakýkoliv typ souboru a otevřít ho na kdejakém zařízení. Nevýhodou pak, že v tomto režimu nejste schopni určit míru ochrany. Ale to je vlastnost, která zmizí s rozšiřujícím se portfoliem podporovaných aplikací.

In-Place pak samozřejmě znamená, že soubor zůstává v chráněné podobě uložen na vašem počítači.

Do pole příjemců můžete zadat libovolného uživatele registrovaného ve službě Azure RMS nebo RMS for individuals. Což jak již bylo zmíněno, mohou být i uživatelé služeb Office365, Outlook (ne Outlook.com) nebo dalších mail hosterů, a to značně rozšiřuje možnosti použití.

Jak to je s PDF?

PDF a RMS, to je hodně žádaná funkcionalita již od dob AD RMS. Abyste mohli tuto funkcionalitu využívat, je nutné k tomu zvolit patřičný program. I u MS RMS platí, že je nutné s chráněným obsahem pracovat pouze skrze aplikace, které to umí. U PDF máte na výběr buď Foxit PDF, Nitro Pro nebo Adobe Reader s rozšiřujícím doplňkem od Gigatrust. Způsob ochrany je pak v podstatě stejný, jako je u Office formátů. Můžete nastavit ochranu přímo v programu nebo skrze Microsoft Sharing App

clip_image004

Na obrázku výše vidíte, jak se dá nastavit ochrana obsahu přímo ve Foxit PDF. Nutno však dodat, že jak ve Foxit, Nitro Pro i u Gigatrustu je tato funkcionalita výrobcem zpoplatněna licenčními poplatky. Nicméně, například na řešení Foxitu je příjemné to, že ovládání je prakticky totožné s tím, jak se ochrana informací pomocí RMS řeší v aplikacích Microsoft Office.

Příjemce pak získá chráněný soubor, který po ověření i proti Microsoft RMS řešení 100% funguje. Na paměti je však potřeba míti, že pro otevření je samozřejmě potřeba konektivita do internetu, respektive proti MS RMS infrastruktuře. Jinak vás čeká následující:

clip_image006

Pokud chcete se souborem pracovat offline, musíte jej alespoň jednou otevřít s konektivitou do internetu. Pak už k němu získáte offline „licenci“. Stejné to je s formáty Office.

Šifrovat PDF ale můžete zdarma skrze aplikaci RMS Sharing nebo například Sharepoint Online.

Závěr

Článek ukázal, že v rámci EMS jsou vám dostupné i takové funkce, jako ochrana informací pomocí Azure RMS. Tedy funkcionalita, která byla ještě donedávna doménou vlastních řešení a stavěla se výhradně v privátních cloudech nebo vlastních serverovnách. Doporučujeme se zamyslet, jestli by se nehodila i vám. Nebo neřešíte zabezpečení dokumentů a firemních informací?

- Jan Pilař, KPCS CZ

KPCS CZ je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.