Tiedon suojaus Office 365 -pilvipalvelussa


Tiedon suojaus Office 365 -pilvipalvelussa



CloudsPilvipalvelujen vahvuus on tiedon helppo jakaminen, ja tietoon pääsee käsiksi käsiksi ajasta ja paikasta riippumatta. Kun tähän yhdistetään entistä laajempi kirjo laitteita, niin yrityksen omistamia kuin omiakin, kriittiseen tiedon käsittelyyn on kiinnitettävä erityishuomiota. Tiedon turvaamisessa on suureksi osaksi kysymys vahinkojen estämisestä, ja siinä teknologisilla ratkaisuilla voidaan saavuttaa pienillä ponnisteluilla suuria tuloksia.

Tämän kevään Office 365 -päivitys tarjoaa mahdollisuuden suojata tietoa siten, että käyttäjä- tai käyttäjäryhmäkohtaisesti määritetään sisällölle erilaisia käytön ja jakamisen rajoituksia sekä ehtoja. Näitä voivat olla vaikka:

  • Viestin lähetyksen estäminen yrityksen ulkopuolelle
  • Dokumentin sisällön kopioinnin estäminen
  • Dokumentin käytön estäminen vanhenemispäivämäärän perusteella

Ratkaisu on Office 365-palvelun taustalla olevan hakemistopalvelun, Windows Azure Active Directoryn, uusi Rights Management -ominaisuus. Käytettäköön siitä tästä eteenpäin epävirallista lyhennettä ADRM. Pilvipohjainen hakemistopalvelu mahdollisuuksineen on nyt erityisen akuutti kehitysalue koska Windows Azure Active Directory tuli yleisesti saataville eilen!

Tiedon turvaamisen ratkaisuna ADRM poikkeaa ”perinteisestä” käyttöoikeushallinnasta ja salauksesta. Seuraavaksi selitän lyhyesti mistä on kysymys ja erityisesti mitä mahdollisuuksia ADRM tarjoaa moderneissa tietotyöympäristöissä kuluttajistumisen haasteiden keskellä. Office 365 Exchange -palvelussa on myös muuta teknologiaa tietovuotojen estämiseksi (Data Leak Protection), mutta niistä ei enempää tässä yhteydessä.

Windows Azure AD Rights Management – mikä se on ja miten se toimii

Office 365 -käyttäjien identiteetti perustuu siis Windows Azure Active Directory k-äyttäjätunnukseen. ADRM-palvelun tiedon kontrollointi perustuu tähän identiteettiin. Sen mukaan kuka sinä olet tai mihin käyttäjäryhmään kuulut, voidaan sisällölle määrittää käyttö- ja jakamismahdollisuuksia. Tällaisia toimintoja ovat mm. lue, kopioi, tulosta, talleta, lähetä edelleen ja muokkaa. Koska Office 36 5-palvelussa kaikki asiakkaat ovat saman palvelun piirissä, tiedon suojaus toimii myös muiden Office 365 -asiakkaiden kesken.

ADRM salaa tiedon, eikä tietoon voi kohdistaa toimenpiteitä ellei avaaja ole tunnistettu Office 365 -käyttäjä asianmukaisine oikeuksineen. Ohittamalla tietoturva-alan kryptinen kielenkäyttö, voi yleistäen sanoa että ei ole olemassa jaettavaa yleisavainta jonka tietämällä ulkopuolinen käyttäjä saisi tiedon auki. Ei ole myöskään mahdollista avata tietoa siirtämällä se vaikkapa eri järjestelmään ja ohittamalla perinteiset tiedostokohtaiset käyttöoikeudet. Toisin kuin perinteiset tiedonturvaamistavat, ADRM kontrolloi tiedon pääsyn hallinnan lisäksi sen jakamista sekä tukee ehtoja, kuten vanhentumispäivämäärää.

On kuitenkin huomattava että Azure Active Directory -palvelussa on olemassa käyttäjärooli jonka haltijoilla on oikeudet kaikkeen yrityksen ADRM-suojattuun tietoon.

Käytännön esimerkkejä

ADRM-palvelu tukee Officella tuotettuja dokumentteja. Word, Excel, PowerPoint, Outlook ja InfoPath mahdollistavat suojausmärittelyt suoraan valikoista tehtynä.

ADRM

Käytännön esimerkkejä ratkaisun hyödyntämisestä:

  • Sähköpostiviestejä voidaan määritellä erilaisten mallien mukaan, kuten ”luottamuksellinen” joka estää viestin lähettämisen yrityksen ulkopuolelle sekä sen sisällön kopioinnin. Kannattaa muistaa, että palvelu ei estä viestin kuvaamista digikameralla, mutta esimerkiksi kuvaruutukaappauksia ei voi ottaa, mikäli ruudulla on vaikkapa muiden ikkunoiden takanakin avoinna luottamauksellinen viesti.
  • Outlook Web App on tuettu, kuten myös suurin osa puhelimien ActiveSync-perustaisista sähköposticlienteista. Windows Phone 7.x ja 8, iPhone, iPad, Nokian N ja E -sarjat sekä jotkut Android-laitteet mahdollistavat suojattujen viestien käsittelyyn.
  • SharePoint -kirjastossa olevat tuotedokumentit voidaan määritellä vanhenemaan määrättynä päivänä. Näin varmistetaan että esim. asiakkaat eivät saa vanhentunutta tietoa.
  • SharePoint -palvelussa tapahtuvien keskitettyjen määritysten lisäksi käyttäjä voi itse määritellä suojauksia dokumenttiinsa.
  • Jos käyttäjä saa kopioida dokumentin itselleen, vanhenemisen lisäksi voidaan määrittää, että käyttäjän on joka tapauksessa tunnistauduttava määrätyin aikavälein käyttääkseen dokumenttia.
  • Officella PDF-muodossa talletetut suojatut dokumentit voidaan avata tuetuilla PDF-lukuohjelmistoilla.
  • Pääkäyttäjä voi määrittää tiedonsuojaamiseen valmiita malleja tarpeen mukaan. Käyttäjä löytää mallit Office-ohjelmiston valikosta.

Mahdollisuudet

Tiedon luokittelu on ensimmäinen askel tiedon suojaamiseksi ja modernin, kuluttajistumista tukevan tietotyöympäristön rakentamiseksi. Vaikka kokonaisvaltaista tiedon läpikäyntiä ei olisikaan mahdollista tehdä, on parempi aloittaa toimenpiteet tiedon turvaamiseksi niiltä osin kun se on mahdollista – ainakin uuden tiedon osalta. ADRM on Office 365- palvelun sisäänrakennettu toiminnallisuus E3- ja E4-asiakkaille ja sen tekninen käyttöönottokynnys on matala. Palvelu soveltuu hyvin päivittäisen liiketoimintatiedon turvaamiseen. Viranomaismääräysten mukainen tai erittäin pitkän arkistointiajan vaatima data voi muodostaa oman haasteensa, ja näissä tapauksissa palvelun sopivuutta on arvioitava erikseen.

Palvelu edellyttää yhteensopivuutta ohjelmistotasolla (Office 2010 ja Office 2013, puhelinten sähköpostiohjelmat) sekä käyttöjärjestelmien osalta (Windows-pohjaiset käyttöjärjestelmät). Täydellinen Bring Your Own Device -malli ei siis ole suojausmaailmassa vielä mahdollista, mutta liikkuva tietotyö kuitenkin onnistuu puhelinten ja tablettien tuen avulla.