Ochrana informací IRM v SharePoint Online s Azure RMS

Problematika ochrany podnikových informací, firemního know-how, statistických dat a kdo ví čeho všeho ještě je, ať se nám to líbí nebo ne, velmi důležitá. A občas je až trestuhodné jak neobezřetně k bezpečnosti dat přistupujeme. Za ta léta „zabezpečování“ jsme si tak nějak zvykli, že nejdůležitější součástí zabezpečovacího kosmíru je nastavit přístupové listy neboli „ácéelka“. Když bychom se však na chvilku zastavili a zamysleli se nad svými činy, přijdeme vlastně na to, že tím jenom chráníme dveře od komnaty s korunovačními klenoty. Rozdali jsme sadu klíčů mezi lid, tedy uživatele a ke dveřím jsme nepostavili strážného, který by dozoroval, co lid v té komnatě provádí nebo jestli si něco neodnáší domů. My jsme totiž zabezpečili přístup, nikoliv obsah. A přesně takhle žije bezpečnost velká část firem. Nastavuje přístupováoprávnění a nikoliv ochranu informací. Že byste se chtěli na chvilku zastavit a zamyslet se, jestli by to nešlo jinak? Pak buďte vítání v tomto článku o ochraně informací pomocí technologie Azure RMS ve spojení s SharePoint Online.

Asi první informací, kterou byste se chtěli dozvědět, co to je to Azure RMS. Zkráceně řečeno, jedná se o technologii ochrany informací, která za pomocí přístupových listů umožňuje přístup k chráněnému obsahu. Aha, moment! Že by jistá podobnost například s NTFS? Pravda, ten zásadní rozdíl je ovšem v tom, že když je soubor chráněný pomocí RMS, tak je také šifrovaný a na rozdíl od NTFS, ochrana RMS cestuje s dokumentem. Tedy bez ohledu na to, kde se soubor nachází, je chráněn. Dalším zásadním rozdílem jsou možnosti ochrany. Není to jen o klasickém Read/Write, u RMS se dá například zakázat tisk nebo používání nástrojů pro snímání obrazovky (print screen…). To jen tak na okraj. Pro více informací co to je RMS doporučuji projít si články, které jsme publikovali v minulosti. Například RMS v oblacích, aneb jak na ochranu informací v Office. V tomto článku se zaměříme na nastavení ochrany informací přímo v SharePoint Online.

Co přesně vám ochrana RMS nabízí?

  • Pomáhá předejít tomu, aby uživatel, který má práva na čtení dokumentu nemohl informace z chráněného dokumentu kopírovat, měnit, tisknout, faxovat, či kopírovat a vložit do nechráněného dokumentu.
  • Pomáhá předejít tomu, aby uživatel, který má práva na čtení dokumentu nemohl „vyfotit“ nástrojem pro snímání obrazovky (print screen, Výstřižky…).
  • Pomáhá zajistit, aby neoprávněný uživatel mohl otevírat chráněný obsah poté, co mu byl (i třeba omylem) zaslán e-mailem.
  • Pomáhá nastavit, jak často se musí uživatel ověřovat a potvrzovat tím, že stále má práva vůči danému dokumentu.
  • Pomáhá omezovat platnost obsahu, tedy definovat, jak dlouho po zašifrování má obsah být viditelný oprávněným uživatelům (např. 10 dní od zapnutí ochrany) nebo ke kterému přesnému datu lze dokument otevírat (soubor je otevíratelný pouze např. do 31. 8. 2015).

Jak se RMS v SharePoint Online aktivuje?

První věcí, kterou je nutné v SharePoint Online je propojit jej s RMS. Není to nic těžkého a samozřejmě tento krok předpokládá, že ve svém Office365 tenantu máte aktivovanou službu Rights Management. V SharePointu se RMS zapíná v jeho administraci, ke které se dostanete například z Office 365 Admin Portálu.

SPO1

Tím se dostanete do administrace SharePoint Online a tam se přepněte do sekce „Settings“.

spo2

Z nabídky možností nastavení, která se vám zobrazí, najděte sekci „Information Rights Management (IRM)“ a přepněte na „Use the IRM service specified in your configuration“. Pak už jen klepněte na „Refresh IRM Settings“ a hurá, máte propojený SharePoint Online s Azure RMS. Nic těžkého, že?

spo3

Od této chvíle mohou uživatelé využívat RMS, tedy nastavit ochranu na knihovny dokumentů nebo SharePoint listy.

Jak je v SharePointu IRM řešeno?

SharePoint obecně přistupuje k ochraně informací pomocí RMS tak trochu po svém. Proto je dobré si to trochu popsat. Obecně, když se s RMS chrání dokument, tak je po nastavení ochrany okamžitě zašifrován. To platí pro nastavení ochrany skrze balík Office nebo na souborovém serveru. U SharePointu, jak už bylo zmíněno výše, se samotná ochrana dokumentů zapíná na úrovni dokumentové knihovny nebo SharePoint listu. Tedy ne přímo na souboru nebo složce. Nicméně když je ochrana zapnutá, což se provede například skrze nastavení dané knihovny, pak jakýkoliv soubor podporovaného formátu, který je do takové knihovny nahrán, není v tu chvíli šifrován. Ano, skutečně není. Samotné šifrování a zabezpečení informace a obsahu se provede až v momentě, kdy uživatel chce daný obsah otevřít. Pokud byste chtěli, aby soubor byl přímo v SharePoint zašifrován, museli byste jej šifrovat před nahráním, tedy zapnout ochranu například v Office a až pak jej nahrát do SharePoint. To má ovšem negativní dopad například na vyhledávání.

Další specialitou pak je nemožnost využívání RMS Templates, které si může organizace nastavit skrze Azure Admin Portal. Takto definované šablony jsou použitelné v Office, umí s nimi spolupracovat Exchange nebo být využity pro automatickou ochranu informací při propojení se souborovým serverem. Ale ne v SharePoint Online. Tam se šablona vytváří právě v nastavení dokumentové knihovny a je platná pro všechny složky a dokumenty (podporovaných formátů), které se v knihovně (nebo listu) nacházejí. A k tomu se váže ještě jedna, poměrně důležitá záležitost. V této šabloně totiž nedefinujete „kdo může co“, to si SharePoint bere z nastavení ACL dané knihovny dokumentů. V nastavení této šablony IRM definujete rozšířená nastavení ochrany. Jako je možnost uživatelů chráněný obsah tisknout atd. Ale pozor, SharePoint toto zapne/vypne pro všechny uživatele bez rozdílu. Tedy pro všechny, kdo mají View/Change práva. Uživatelé s právy „Full Control“ mohou být v klidu, ti si nadále mohou dělat, co chtějí. V rámci designu ochrany informací je to ale zásadní. V tomto scénáři totiž není možné určit, která skupina uživatelů bude mít právo tisku a která toto právo mít nebude. Pokud toto společnost určovat chce, musí dokumenty šifrovat předem pomocí klasických RMS šablon, které se mohou nastavit v Azure Admin Portalu.

Jak SharePoint pracuje s IRM oprávněními?

V předchozí kapitole zaznělo, že SharePoint „překlápí“ svá vlastní ACL na IRM práva. Ano, je to tak. A z toho vyplývá, jak se nastaví kdo má jaká IRM práva vůči danému dokumentu. Ta práva, která cestují s dokumentem a ta práva, která se aplikují při zobrazení dokumentu v SharePoint nebo při pokusu o stažení dokumentu z SharePoint. Více napoví následující tabulka.

Oprávnění v SharePoint IRM oprávnění v SharePoint
Manage PermissionsManage Web Site Full Control: tak jak je toto právo chápáno klientským programem (např. Word). Toto oprávnění umožňuje uživateli obsah číst, měnit, kopírovat, ukládat, a měnit oprávnění chráněného dokumentu
Edit Items Manage Lists Add and Customize Pages Edit, Copy a Save: Uživatel může obsah tisknout jen v případě, že je zapnutá možnost „Allow users to print documents“ v rozšířeném nastavení IRM v knihovně dokumentů nebo listu.
View Items Read: Uživatel může dokument zobrazovat, ale nemůže jej kopírovat nebo měnit. Uživatel může tisknout jen v případě, že je zapnutá možnost „Allow users to print documents“ v rozšířeném nastavení IRM v knihovně dokumentů nebo listu.
Jakékoliv další Nemá ekvivalent v IRM právech v SharePoint

Jaké další možnosti IRM oprávnění nabízí?

Když se podíváme do rozšířených možností šablony IRM v rámci SharePointu, nalezneme zde řadu zajímavých možností, jak dále rozšiřovat úroveň ochrany informací. Nejprve kde vlastně toto nastavení najdete. V Library Settings > Správa přístupových práv k informacím.

spo4 spo5

Zde již můžete zapnout samotnou ochranu dokumentů (informací, obsahu chcete-li). Dosud jsme RMS (IRM) pouze aktivovali pro Office 365 jako tenant nebo jsme jej propojovali, aby jej SharePoint Online uměl vůbec využít. Toto už je zapnutí té samotné ochrany dokumentů.

spo6

Zátržítkem „Při stahování z této knihovny omezovat oprávnění“ se zapne IRM a běžná SharePoint ACL práva jsou „překlopena“ na IRM oprávnění. Tak jak je popsáno v tabulce výše. To je transparentní proces, který správce nijak neovlivňuje. V toto kroku je nutné IRM šablonu pojmenovat a připsat k ní popis. Zajímavé jsou pak zejména možnosti, které šablona nabízí pomocí tlačítka „zobrazit možnosti“.

spo7

Pojďme si nyní jednotlivé položky rozebrat podrobněji.

  • Nepovolit uživatelům odesílat dokumenty, které nepodporují technologii IRM: Tato volba v praxi znamená, že uživatel nemůže do knihovny nebo listu nahrát formát souboru, který není možné šifrovat pomocí IRM. Pro každý typ souboru je v SharePoint tzv. protector, který se stará o podporu daného formátu z pohledu šifrování a podpory IRM. Pokud SharePoint Online nemá protector pro daný typ souboru, nepovolí uživateli nahrát takový soubor do knihovny. Stejně tak nepůjdou nahrát soubory, které byly šifrovány v jiném programu.
  • Ukončit omezení přístupu do knihovny k: Toto nastavení vám umožňuje automatické ukončení podpory IRM v rámci knihovny. Po tomto datu již nebudou data pomocí IRM chráněna.
  • Blokovat otevírání dokumentů v prohlížeči pro tuto knihovnu dokumentů: Pomocí tohoto nastavení vypnete možnost použití Office Web Apps jako nástroje pro čtení obsahu. Čtení a editace pak bude možná pouze pomocí klientských aplikací instalovaných na počítači uživatele.
  • Povolit uživatelům tisk: Uživatelům s IRM oprávněními Read a Edit, Copy a Save umožní tisk chráněných dokumentů.
  • Umožnit uživatelům ve stažených dokumentech spouštět skript a nástroj pro čtení obrazovky: Povolí uživatelům v chráněných dokumentech spouštět skripty a hlavně umožní používat nástroj pro snímání obrazovky. Již onen zmíněný nástroj Výstřižky nebo print screen.
  • Povolit uživatelům psát do kopie staženého dokumentu: Umožní uživatelům stáhnout dokumenty a provádět v nich změny. Neumožní však jejich opětovné nahrání do chráněné knihovny.
  • Ukončit platnost přístupových práv k dokumentu za tento počet dnů od stažení (1–365) : Nastavuje platnost obsahu. Tedy dobu, po jejíž uplynutí již nebude možné dokument otevřít. Výchozí stav je 90 dní. Tedy po 90ti dnech od nahrání dokumentu do knihovny už nebude možné dokument otevřít. Toto nestavení neplatí na uživatele s plnými IRM právy.
  • Uživatelé musí ověřit své přihlašovací údaje v tomto intervalu (dny) : Tímto nastavením omezujete offline práci s chráněným souborem. Ke každému souboru náleží tzv. licence. Držení této licence umožňuje uživateli pracovat s chráněným obsahem offline. Nastavujete počet dní, po kolika musí uživatel znovu ověřit své oprávnění vůči danému souboru a tím získat licenci. Příliš velká hodnota však snižuje úroveň ochrany, protože uživatel může v jednu chvíli mít práva, ale za týden již ne. A i když je nemá a k souboru již má vydanou licenci, může s ním pracovat dále, pokud je offline. Naopak příliš nízká hodnota může snižovat uživatelský komfort. Správná hodnota je průsečíkem mezi těmito dvěma kritérii v závislosti na citlivosti informací v dokumentu.
  • Povolit ochranu skupiny. Výchozí skupina: Tímto nastavením umožníte přímé sdílení chráněného dokumentu mezi uživateli, i když daný uživatel vůbec nemá přístup do dané knihovny dokumentů. Bude mít přístup k danému souboru na základě členství ve specifikované skupině. Poměrně šikovné nastavení.

Jaké typy souborů lze v SharePoint Online chránit pomocí IRM?

PDF: Umožňuje šifrování PDF souborů. Neřeší však čtení chráněného PDF. Pro otevření je nutné mít například NitroPDF, FoxitPDF s RMS Addin nebo Adobe Reader s RMS Addin od Gigatrust. Jinými slovy, musíte mít PDF reader s web addon, který je RMS aware a bude umět renderovat chráněný RMS obsah.

  • 97 – 2003 Microsoft Office formát souborů aplikací Word, Excel a PowerPoint.
  • Office Open XML formát souborů aplikací Word, Excel a PowerPoint
  • XML Paper Specification (XPS) formát

Ochranu dalších formátů lze zajistit například užitím aplikace RMS Sharing App, které je k dispozici pro Windows, MacOS a mobilní zařízení. V tomto případě se ale obsah chrání (šifruje) na počítači uživatele a může být do knihovny nahrán. Není to však ochrana na úrovni SharePointu. Může kolidovat s oprávněním IRM „Nepovolit uživatelům odesílat dokumenty, které nepodporují technologii IRM“. Prostě a jednoduše, to už je ta chvíle, kdy se člověk musí v klidu rozmyslet „jak chce tu bezpečnost žít“.

Jak vypadá práce s chráněným souborem?

Práci s chráněným souborem je třeba rozdělit do dvou rovin. Jedna rovina je práce skrze Office Web Apps a ta druhá skrze plnohodnotný balík kancelářských aplikací – Microsoft Office. V této kapitole použijeme modelovou situaci. Máme dva uživatele jmény Jan Pilař a Petr Vlk. Oba mají přístup do SharePoint Online organizace ITvCLOUDu. V knihovně dokumentů na SharePointu najdeme soubor pilar_2015_dp.docx. Tato knihovna je chráněna pomocí IRM a je nastavena tak, že uživatel Jan Pilař má právo číst soubor a uživatel Petr Vlk má právo změny. V rámci IRM šablony je rovněž nastaveno, že uživatelé mají právo tisku.

spo8

Nejprve se podívejme, jak se IRM projeví u Jana Pilaře, který může pouze dokument číst. Skrze Office Web Apps je schopen si soubor zobrazit. Ale to je asi tak vše.

spo9

Avšak nabízí se mu možnost si soubor stáhnout do počítače a otevřít pomocí desktop aplikace Word 2013 pomocí volby „Otevřít v aplikaci Word“. Pokud uživatel tuto možnost zvolí, bude pak dokument vypadat následovně.

spo10

Pomocí tlačítka pro zobrazení práv vidíte, že jsou IRM práva nastavená úplně přesně, jako jsou nastavená práva v SharePoint a je umožněn tisk.

Pokud si stejný dokument otevře uživatel Petr Vlk, který má právo změn, pak v Office Web Apps bude stejný dokument vypadat úplně stejně, jako u uživatele Jan Pilař. Tedy Petr si bude moci pouze dokument zobrazovat.

spo11

 

Ale pokud Petr využije tlačítko pro otevření dokumentu ve Word 2013, stejně jako Honza, bude situace úplně jiná. Dokument bude renderován podle práv nastavených v SharePoint a IRM šabloně.

spo12

Petr může provádět změny a tisknout dokument. Z toho plyne, že skrze Office Web Apps můžeme s dokumentem pracovat na úrovni čtečky, ale skrze plnohodnotný Word můžeme se souborem pracovat tak, jak nám určují aktuální práva nastavena v ACL SharePoint a tedy ta překlopená do IRM práv, plus práva, která jsou určena explicitně v rámci IRM šablony na úrovni dokumentové knihovny nebo SharePoint listu.

A jak je to s externími uživateli, kterým jsme dali přístup skrze sdílení? Tedy sdílení uživatelům s Microsoft Account? V takovém případě platí, že tento uživatel může chráněný dokument zobrazit, i když je to pouze externí přístup. Ovšem nemůže se souborem pracovat skrze desktopový balík Office 2013, v takovém případě bude vždy například Word vyžadovat oprávnění. Jde o to, že na online úrovni renderuje dokument SharePoint a ten ví, že je dokument sdílen a jak má IRM oprávnění aplikovat. Jenže na desktop úrovni se o to samé stará Word, a ten není schopen sadu práv načíst. On není schopen uživatele ověřit. Zatím z dostupných zdrojů je tato cesta nepodporovaná. Řešením sdílení informací s externisty tak je aplikace RMS Sharing. Její výhodou je ovšem fakt, že lze sdílet chráněný obsah i s uživateli, kteří se ke službě Microsoft RMS registrovali pomocí e-mailu Seznam.cz nebo jiných.

Tedy v tomto modelovém příkladu sdílí Admin SharePoint Online DOCX dokument, stejný jako v předešlých případech. Akorát vyplňujeme adresu jméno Microsoft Account „wrcko@outlook.cz“. Tedy účet, který je zcela mimo Office365 organizaci ITvCLOUDu.cz.

spo13

Uživateli přijde e-mail, že je s ním dokument sdílen a pomocí odkazu si může dokument zobrazit. Což i s použitím IRM bez problémů funguje.

spo14 spo15

Z obrázku výše je zřejmé, že dokument lze zcela v pořádku zobrazit i s IRM právy a užitím externího účtu. Ale při použití tlačítka „Otevřít v aplikaci Word“ nebo „Stáhnout“ a při následném pokusu o otevření zobrazení dokumentu již možné není.

spo16

Závěr

Článek poměrně detailně popisuje fungování SharePoint Online a zabezpečení informací pomocí IRM. To je vynuceno skrze technologii Azure RMS a umožňuje společnostem poměrně zásadně vylepšit zabezpečení informací. Protože ať už je dokument kdekoliv, ať si ho stáhne kdokoliv, vždy bude chráněn pomocí IRM oprávnění, které s dokumentem cestují. Rozhodně si položte otázku, zda by se vám RMS nehodilo, vsadím se, že najdete spousty případů, kdy by vám pomohlo se zabezpečením dat a informací. A pokud máte otázky, neváhejte se mě zeptat. E-mail je pilar@kpcs.cz.

Jan Pilař, KPCS CZ