Zabezpečení dat pomocí služby RMS for Individuals

  • Article

RMS for Individuals je cloudová služba založená na Microsoft Azure určená pro koncové uživatele, kteří nemají O365 nebo Azure subscription. Služba je dostupná zdarma a je primárně určená ke konzumaci obsahu chráněného pomocí Azure RMS. K tvorbě zabezpečeného obsahu jsou mnohem vhodnější placené varianty, nicméně i tato bezplatná verze v rámci v tuto chvíli časově neomezené trial funkcionality umožnuje zabezpečit jak dokumenty, tak e-maily.

Podívejme se tedy na modelový případ, kdy uživatel má dokument, který potřebuje zabezpečenou cestou sdílet s jiným koncovým uživatelem přes internet. Nejprve si je třeba založit účet na https://portal.aadrm.com/. Založení účtu spočívá v zadání e-mailové adresy, na kterou vám následně přijde odkaz, na němž si zvolíte heslo ke službě.

z1

Po registraci je možné stáhnout aplikaci (RMS Sharing Application) umožňující práci se zabezpečenými dokumenty a e-maily. Případně lze aplikaci stáhnout přímo zde.

Následující text dále předpokládá instalaci na operačním systému Windows (aplikace je dostupná rovněž pro MacOS, iOS, Android a Windows Phone). Po stažení aplikace je nutné spustit instalační soubor s administrátorským oprávněním.

z2

Během instalace dojde k integraci aplikace s průzkumníkem ve Windows a přidání příslušné možnosti zabezpečení dokumentů do MS Office. Po dokončení instalace je možné aplikaci začít používat přes kontextové menu v průzkumníku. Na výběr jsou dvě možnosti: „Share Protected“, jež slouží ke sdílení zabezpečeného dokumentu e-mailem, a „Protect in-place“, jež zabezpečí dokument na lokálním disku. Pro tuto chvíli zvolíme možnost „Protect in-place“ a volbu „Custom Permissions“.

z3

Při prvním použití aplikace je nutné se přihlásit ke cloudové službě (zde použijeme účet, který jsme vytvořili na začátku) a následně si již jen zvolíme oprávnění, jež má dokument mít.

z4

Ve výše uvedeném případě tedy user1@company1.cz bude smět dokument pouze číst, ale kopírování obsahu, tisk ani editace nebudou povoleny. Dále máme možnost zvolit expiraci dokumentu nebo dostat e-mail pokaždé, když někdo poprvé otevře či se pokusí otevřít dokument. Poslední volbu „Revoke access“ není možné v bezplatné variantě využít. Po potvrzení volby stiskem „Apply“ dojde k vložení oprávnění do hlavičky dokumentu a zašifrování pomocí AES (délka klíče je nastavena dle typu dokumentu na 128, nebo 256 bitů). Dokument zůstane na stejném místě, kde byl, ale od této chvíle je chráněn pomocí RMS. Vlastník dokumentu má k němu i nadále neomezený přístup a ve výše uvedeném příkladu ještě uživatel user1@company1.cz, ten však pouze pro čtení. Na rozdíl od klasických NTFS práv, bitlockeru nebo EFS je šifrován pouze dokument a nastavená práva jsou uvnitř dokumentu. Pokud tedy dokument zkopírujeme mimo vlastní počítač, ochrana tím není anulována.

Když stejný dokument otevře uživatel s právy pouze ke čtení, MS Office automaticky dešifruje dokument a zakáže prvky aplikace, pro které dotyčný nemá oprávnění. Tedy v tomto případě save, save as a print. Zároveň dojde k zakázání příslušných API na úrovni operačního systému, umožňujících zachytávání obrazovky. Obejití ochrany pomocí Print screen a vytištění z jiné aplikace není tedy většinou rovněž možné.

z5

Share Protected

Pokud zvolíme volbu „Share Protected“ z kontextového menu Průzkumníka, dokument sám o sobě na disku zůstane v nešifrované podobě, ale aplikace vytvoří chráněnou kopii dokumentu s příslušnými právy a tu vloží do těla e-mailové zprávy. Spolu s vysvětlujícím textem, jak postupovat při dešifrování. V tomto případě příjemce dostane nešifrovaný e-mail s vysvětlujícím textem a přílohou, kde je zabezpečená verze dokumentu.

Do Not Forward

RMS je možné rovněž použít k zabezpečení vlastního e-mailu. Ve vyšších edicích služby je možná relativně velká škálovatelnost a integrace s podnikovým Exchange serverem, ale i základní varianta umožňuje zaslání e-mailu z MS Outlook, který bude na pozadí šifrován, a příjemce bude mít možnost zprávu pouze přečíst a případně odpovědět adresátovi. Možnosti forward, print a save budou zakázány.

Tato funkcionalita je dostupná přímo z Outlooku v menu Options|Permissions a následně volba „Do Not Forward“.

z6

Použití RMS for Individuals oproti freemailům

  • Služba RMS for Individuals v tuto chvíli oficiálně nepodporuje účty založené na freemailech. Jak na straně autora, tak příjemce by tedy měla být použita firemní adresa. Při pokusu o zadání adresy na Gmail.com, Hotmail.com nebo Outlook.com portál vrátí chybu a nedovolí účet vytvořit. Důvody tohoto omezení jsou primárně bezpečnostní. Administrátor freemailu by mohl přejít s celou doménou na placenou variantu služby, a tím získat možnost správy daného tenantu (v tomto případě e-mail domény). Centrální správa firemního prostředí je zajisté přínosem, ale umožnit administrátorům freemailu získat práva uživatele super user, a tím i možnost dešifrovat všechny dokumenty všech uživatelů dané domény není zajisté žádoucí.
  • Vyšší varianty služby umožňují vytvářet vlastní serverové šablony (RMS template), free varianta služby má ihned po přihlášení dvě šablony. Šablona s názvem „Confidential“ slouží ke sdílení dokumentů uvnitř firmy (pouze zaměstnanci mají možnost dokument otevřít) a „Confidential View Only“, jež je ekvivalentem první, ale pouze pro čtení. Při použití s freemailem (české freemaily nejsou rovněž podporovány, ale systém je aktivně neblokuje) pak dojde k vytvoření šablony freemail confidential, její použitelnost je však značně diskutabilní. E-mail nebo dokument zabezpečený touto šablonou by totiž mohli otevřít pouze uživatelé na stejném freemailu.

z7

V některém z dalších článků se zaměříme na funkce dostupné v Azure RMS Premium, případně O365.

- Jaroslav Zikmund, Microsoft, Senior Premier Field Engineer