[資安小常識] 透過 Azure Rights Management 服務在雲端上安全地管理文件

編者:Cho-Han Wu   圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件  (圖片來源)   Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟,讓使用者可以直接透過 Azure 雲端服務來進行權限的驗證,也讓 RMS 的建置成本大幅下降。本次的資安小常識,將提供您如何透過 Azure RMS 來管理雲端上的機敏文件。   不管在資料庫管理和伺服器管理,撰寫系統記錄 (logging) 都是保護及監控系統安全最簡單的好方法。系統記錄會記錄下管理者的動作以及文件讀取的歷史紀錄。因此監控系統記錄可以達到以下三個目的: 1. 監控資料是否被濫用 建議的系統記錄時間應該小於15分鐘,這樣可以提供一個針對您的 RMS 資料的連續性監控。若某特定對象在非業務時間大量的存取機敏資料,或是在同一個時間區段內 (15分鐘) 從不同的 IP 登入,抑或是在沒有辦公據點的 IP 位置登入,那這些舉動即可能被視為資料的濫用。 2. 分析資料讀取記錄,了解讀取背後的意義 您可以藉由讀取記錄了解某特定使用者的資料讀取記錄,以及讀取的地點訊息等等,這些資源方便您了解使用者的行為。 3. 當做事件發生的證物 當資安事件發生時,管理者可以藉由系統記錄來查詢最後存取系統的使用者,並了解他所讀取的東西。這些訊息方便管理者對機敏資料流向得掌控。    …


資訊安全與文件保護

編者:Cho-Han Wu   圖一、 Share Point 2013  (來源) 前言:無論任何系統,只要涉及使用者文件或資訊儲存,都可能面臨個資洩漏,即便雲端系統也不例外;因此企業莫不期盼打造安全無虞的文件平台,並結合適當技術,讓各項重要資料即使攜出,也毋需擔心外洩問題。   個資法上路迄今屆滿一年,雖然這段期間,多數企業並非因觸法而慘遭鉅額求償,但這並不代表企業都已將個資保全做到滴水不漏,尚有很大進步空間。 環顧個資保全議題,不可諱言,文件的管理與保護確實是重要一環;只因企業的機密資訊,皆埋藏於一份份電子文件,若這些文件被有心或無意流傳出去,也意謂公司機密旁落外人之手,連同個資都可能因此而外洩。 著眼於此,台灣微軟舉辦的資安應用系列研討會之二,特別將主題訂於「資訊安全與文件保護」,旨在協助企業運用SharePoint 2013或SharePoint Online 2013,從最基本的身份驗證與權限控管、到外部系統安全連線,以及整個系統的稽核機制,循序打造安全的文件與系統平台,並結合RMS(Rights Management Services),確保各項重要資料即使攜出,也絕無外洩之虞。 值得一提的,新版RMS雖然尚在Preview階段,但蘊含重大玄機,其中最引人關注的,無非是支援加密的範圍,不再侷限於微軟Office,而是擴及到諸如PDF、AutoCAD…等形形色色的文件格式,讓不少IT人員亟欲先睹為快。 以下的篇幅,將先行鋪陳台灣微軟資深講師曹祖聖所闡述的「SharePoint 2013文件安全規劃與設定」內容,接著再緊扣台灣微軟技術經理蔡宗佑講述的「新版RMS在文件安全上實作與應用」內容   SharePoint 2013文件安全規劃與設定 曹祖聖指出,所謂文件安全不外三件事-Who、What與How,主要記載了讀取、修改、刪除、登入或登出等資訊的稽核記錄,記錄的事項也不脫三個W。SharePoint的權限架構亦是呼應此一脈絡,內含三大要素,其一是身份確認(Who),系統預設的確認範圍為Active Directory的User Account或Global Groups,但假使企業採用其他認證機制,也可經由ADFS(Active Directory Federation Services )予以納入,同樣受到支援;另基於方便管理,SharePoint自身也有群組設定機制,不論是否出自Active Directory的帳戶皆可加入,完成加入後,用戶可據此進行階層式權限設定。 SharePoint權限架構的第二要素,則是Securable Objects(What),也就是權限設定的標的物,包括了單一文件、資料夾或網站集合,其權限會隨著不同的人或群組而異。第三項要素是Permission(How),SharePoint可繼承上層網站(此指網站集合的根網站)的權限,其下所有網站與其他物件通通適用,但用戶若有其他考量,也可以選擇放棄繼承,全部予以重設;但SharePoint與NTFS在於權限繼承,有一個極大不同,後者容許既繼承、又修改,兩者可並存,SharePoint則僅容許二選一。   文件權限與版本控制 用戶進入SharePoint 2013網站,選定任一文件庫,即可開始設定權限,用以界定不同人或群組(預設身份包括了成員、訪客、擁有人),究竟能夠對它行使設計、編輯、讀取…等等權利;如前所述,用戶可選擇繼承上層網站的權限,否則即可點選「停止繼承權限」、或進入「管理上層」修改權限,運用這些途徑授予文件、文件庫或網站集合之權限。 不可否認,如果企業未做好版本控制,任何文件只要一經覆寫,原本內容即告消逝無蹤,避免此事發生,用戶即需善用SharePoint文件庫版本管理功能。曹祖聖表示,有關SharePoint版本設定,區分為「主要版本」(例如1、2、3、4)、「次要版本」(例如1.0、1.1、1.2、2.0;意指草稿),用戶可選擇是否建立版本。 一般而言,啟用文件庫版本控管的用戶,都會加上核准功能,因此任一份文件的主要與次要版本,舉凡編號、修改時間、修改者、大小、註解等細部資訊,都會透過「版本歷程記錄」清楚呈現。當然,為避免留存版本過多而佔用儲存空間,用戶可透過「選擇性限制要保留的版本數量」來設定上限,一旦版本多到超過此數值,較舊版本就會為系統自動清除。 此外,為滿足使用者的RSS訂閱需求,管理者可預先進行相關設定,包括定義RSS摘要的通道元素(例如是否截斷多行文字欄位為256個字元,並填入標題、描述、圖像URL),及設定RSS項目的連結與隨函附件。   存取稽核與資訊管理原則 值得一提的,SharePoint 2013提供完善的文件存取稽核、文件資訊管理原則、文件核准與發佈等機能。有關存取稽核,用戶可選擇是否自動為某網站修整稽核記錄,並指定要稽核的事件,譬如針對文件的開啟或下載、編輯、存回或取出、移動或複製、刪除或還原等項目,或是針對清單/文件庫/網站編輯內容類型及欄、搜尋網站內容、編輯使用者及權限;用戶可定期檢視稽核報告,但因報告日積月累數量必然龐大,因此曹祖聖建議,用戶可一個月做一次整理,選擇將舊報告加以封存、移至其他位置,或打包成為zip檔。 至於文件資訊管理原則,就好比Metadata編輯器,可允許產生可插入至微軟Office文件的標籤、唯一識別條碼,以方便搜尋文件(註:『標籤』另有助於確保列印文件時,都將包含文件摘要資訊或其他重要資訊),可允許啟動稽核,也允許透過「保留」設定來進行自動排程內容的處理,例如針對到期的文件版本或稽核報告,選擇將之移至資源回收筒、永遠刪除、移至其他位置,甚或啟動工作流程。 而在文件核准與發佈方面,是屬於文件生命週期(「建立」→「編輯檢視」→「發佈」→「核准」→「收藏」)其間重要環節。當文件進行發佈時,其狀態旋即從原本「草稿」變成「擱置」,準備接受核准,而當核准(或拒絕)結論產生,文件狀態又將轉變為「已核准(或已拒絕)」,一旦核准,所有授權使用者皆可看到此文件,然若是拒絕,則僅有建立者、審核者可以看得到。   新版RMS在文件安全上實作與應用 當然,藉由SharePoint,確實可滿足內部存取限制(文件權限)、監控與追究責任(文件稽核)、安全標示與封存(資訊管理原則),但企業若欲針對外部施行存取限制,便需結合資訊版權管理(IRM)功能,IRM旨在限制使用者對從清單或文件庫下載之檔案採取必要動作,一方面將下載的檔案加密,並限制能夠解密文件的使用者與程式功能,另一方面則進一步限制允許讀取檔案的使用者權限,譬如無法採取列印、複製、修改、傳真、Print Screen等動作,或設定使用期限,倘若逾期,使用者必須重新通過認證。 曹祖聖說明,欲啟用IRM,必須安裝PowerShell,其步驟很簡單,當系統管理者開啟PowerShell後,依序完成Import-Module AADRM、Connect-AadrmService、Enable-Aadrm與Disconnect-AadrmService等程序,再分別至Office 365管理中心啟動版權管理、至SharePoint文件庫執行資訊版權管理設定即可。…