Innofactor Blogg

Sikkerhet i skyen, og hvordan funksjonalitet i Azure Active Directory og Azure Information Protection kan hjelpe oss

Written by Pål-Erik Winther | 10.4.2019

Det føles kanskje ikke så lenge siden sikkerhet innebar en god brannmur og et godt antivirus. Fremdeles er det selvsagt nødvendig og viktig, men etterhvert som informasjonen vår flytter seg ut av datarommene og til OneDrive, Google Drive, Dropbox og mobile enheter, endres også kravene til sikkerhet. Hvordan skal vi sikre informasjonen når den ikke lenger ligger på et sted? Når det ikke er nok å sette rettigheter på et filområde, eller låse serverrommet?

Det er jo også verd å nevne at disse problemstillingene ikke bare gjelder for dem som har tatt steget helt eller delvis til skyen. Dette er utfordringer for alle som tar del i dagens informasjonssamfunn. Begreper som GDPR og BYOD blir mer og mer fremtredende og gjør det nødvendig å tenke nytt.

Ved hjelp av funksjonalitet som ligger i Azure Active Directory (AAD) og Azure Information Protection (AIP), kan man implementere kraftige sikkerhetsløsninger, som minimerer angrepsflaten, synliggjør sikkerhetsrisikoer, gir oss oversikt over – og lar oss sikre informasjonen i organisasjonen og en rekke andre ting. Sensitive data kan spores, deling kan stoppes og om noen har mottatt eller fått tak i informasjonen ved en feiltakelse eller innbrudd, så ligger det funksjonalitet i AIP som gjør det mulig å kalle tilbake denne tilgangen og sørge for at informasjonen aldri mer kan leses.

Basisfunksjonaliteten til AAD og AIP, er også nyttig, men i denne artikkelen skal vi konsentrere oss om det som ligger i pakkene over. Lisensmodellene til Microsoft kan få enhver til å bli svimmel til tider, men det som mange omtaler som Azure Active Directory P2 og Azure Information Protection P2 kan kjøpes som enkeltstående produkter, men er også bakt inn i andre pakker, som for eksempel Microsoft 365 E3/E5. For de med interesse for lisens, kan vi nevne at AIP P2 funksjonalitet kan fås gjennom pakker som:

For enkelthetens skyld vil vi bruke AIP P2 når vi under skal omtale den inkluderte funksjonaliteten.
Under skal vi forsøke å vise hvordan man med relativt enkle grep kan få sikrere jobbhverdag.

Azure Information Protection P2 beskytter dokumentene dine
Vi begynner altså med Azure Information Protection (AIP). AIP har masse funksjonalitet, altfor mye til å gå gjennom her, men fokuset i denne artikkelen blir beskyttelse, og da primært den som ligger inkludert i AIP P2. Selve beskyttelsen er ikke ny, men et resultat av en lang utvikling helt fra Microsoft startet med sin «Rights Management Service» i Windows Server 2003, til Azure RMS fikk klassifiseringsfunksjonalitet fra Microsofts oppkjøp av Secure Islands i 2016.

Siden da har tjenesten bare blitt bedre, og nå er den ansett som en av flere viktige bestanddeler under Microsoft Information Protection «paraplyen». Beskyttelsen i AIP er rett og slett en svært kraftig kryptering som gjør det umulig for andre enn de vi har spesifisert, å lese vår sensitive informasjon. Denne sikkerheten er inkludert både i AIP P1 og P2, men med P2 åpner det seg muligheter for å sette opp en del automatiske regler, som både kan øke sikkerheten og hindre brukerfeil.

AIP gir oss muligheten til å bestemme hvordan informasjonen håndteres, både den som vi deler eller den som vi lagrer.
Ved hjelp av AIP sin skanner funksjon kan du for eksempel søke gjennom filservere etter spesifikke ord eller fraser i ethvert dokument, ord du selv definerer. Det kan være kredittkortdata, eller ord som «konfidensielt» eller «hemmeligstemplet» - eller til og med «svarene på julebord-quizen». Når disse ordene blir funnet av AIP P2, kan man velge å sikre dokumentene automatisk, eller du som systemansvarlig kan få en oversikt over informasjonen og hva den inneholder slik at du selv kan avgjøre hva du ønsker.

I en tid hvor de fire bokstavene «GDPR» kan få store konsekvenser for bedrifters og organisasjoners juridiske dekningsgrad, kan AIP-scanner lete gjennom filområder mm. etter alle dokumenter som måtte være relevante for personvern og persondata, og beskytte disse i henhold til EUs direktivkrav.

Krypteringen av disse dataene er per i dag så sikker at den ikke kan knekkes.

Merk eller beskytt dokumentene dine – eller gjør begge deler 

Med AIP P2 funksjonalitet kan altså systemansvarlig automatisere en del av funksjonaliteten. Et eksempel på dette er å opprette regler som, uten brukerinnblanding, vil beskytte alle nyopprettede Office dokumenter, eller hver eneste e-post, slik at kun medlemmer av din organisasjon kan lese innholdet. Dette kan sikre oss mot brukerfeil i en rekke tilfeller, f.eks. der vi sender e-post til feil mottaker fordi Outlook autofullfører en adresse. 

Nå vi har brukt AIP til å sikre informasjon blir den merket. Denne merkingen vil følge informasjonen gjennom hele sin livssyklus. Dette kan brukes til å spore data og se hvem som åpner eller forsøker å åpne dem. Havner informasjon på avveie, kan du kalle tilbake tilgang, slik at ikke uvedkommende får tilgang til dem.  

Med de mest sensitive dataene våre kan vi sette opp regler som gjør at brukere må verifisere identiteten sin hver eneste gang de åpner et dokument. Dette gjør det mulig å kalle tilbake tilgang øyeblikkelig. Uansett hvordan noen forsøker, om de er på nett, eller ei, om de har tatt dataene med seg på en minnepinne eller hva de enn har gjort, så vil de aldri kunne åpne dokumentene igjen.  

Med dette oppsettet, som riktignok er for de mest sensitive dataene våre, så MÅ du med andre ord ha nettforbindelse, for å lese dem 

AIP P2 hjelper oss å sikre det som er aller viktigst for oss. Historier om sensitive data på avveie, bedrifter som lar passordene ligge i klartekst på en internserver, eller skoler som blir hacket av sine egne elever kunne også vært unngått dersom AIP hadde blitt brukt til å sikre informasjonen. 


Azure Active Directory Premium P2 beskytter brukerne

Alle gode ting er tre. Det vet alle som har lest eventyr for barna sine. Tretallet har magiske egenskaper. Med Azure Active Directory Premium P2 (AAD P2) får du tre helt essensielle sikkerhetsfunksjoner som tar vare på brukernes sikkerhet – og dermed også virksomhetens sikkerhet.

Brukersikkerheten er nemlig under kontinuerlig press. Passordlekkasjer, sleipe telefonselgere fra falske supporttjenester, og eposter som forsøker å lokke deg til å klikke på slemme lenker som skal høste brukernavn og passord. Eksemplene er mange, og alvorlige.

1. «Identity protection» gir forutsigbarhet 

Den første funksjonen AADP2 tilbyr er «identity protection» - identitets-beskyttelse. Den gir en mye bedre innsikt i brukernes aktiviteter enn mange vil være vant med, og her, som i AIP P2, er regler nøkkelordet. 

Reglene kan du lage selv, og når du kombinerer disse reglene med en av grunnpillarene innenfor datasikkerhet – forutsigbarhet – vil du raskt få automatisk beskjed om avvik i brukermønster.

La oss si at en bruker de siste 18 månedene alltid har logget seg på fra et kontor i Oslo. Hvis vedkommende plutselig logger seg på fra Sveits eller Mexico, eller kanskje han eller hun begynner å bruke applikasjoner som aldri ellers brukes, da kan det være fare på ferde.

Da vil administrator få avviksmeldinger, og deretter kan han eller hun sette i gang ulike sikkerhetstiltak – hvis nødvendig kan en automatisk blokkere brukerkontoen, en kan be vedkommende bytte passord, eller få ham eller henne til å verifisere brukeren sin en gang til, for eksempel gjennom flerfaktor-autentisering.

Ettersom AAD P2 er trendbasert, vil det likevel ikke være slik at brukeren plages med sikkerhets-forespørsler i tide og utide. Første gang en bruker logger seg på med jobb-PC-en fra sitt feriepalass på 24m2 på Gran Canaria, vil brukeren riktig nok bli bedt om å bekrefte identiteten. Etter hvert som AAD P2 skjønner at Gran Canaria-besøkene er en regelmessig hendelse, vil sikkerhetsaspektet tones ned, mens brukervennligheten tones opp, slik at brukeren til slutt ikke vil gjøre annet enn å logge seg på som vanlig.

Såkalte «impossible scenarios» kan en naturligvis også beskytte seg mot. Er brukeren logget inn i Stavanger, samtidig som det blir registrert aktivitet på brukerkontoen i et annet land? Det skal selvfølgelig ikke være mulig, og det skjønner også AAD P2.

Sikkerhetsnivåer i AAD P2 er bestemt og er følgende:

  • «Low» vil i hovedsak bestå av at du får en rapport om at noe har skjedd, som du kanskje bør se på.
  • «Medium» kan føre til brukeren må bekrefte identiteten sin ved hjelp av AAD P2s tilgjengelige ID-verifiseringer.
  • «High» dreier seg ofte om kritiske hendelser, som det bør gjøres noe med umiddelbart – for eksempel hvis Microsofts automatiske databasesøk oppdager at brukernavn og passord finnes i lekkede passordlister på nettet, eller sikkerheten trues fra andre hold.

2. «PIM» gjør administrering enklere og sikrere

Den andre viktige funksjonen AAD P2 tilbyr er såkalt «privileged identity management», eller bare «PIM» hvis du ønsker å spare noen konsonanter og vokaler.

Den største fordelen med PIM er at administrator-rettigheter ikke deles ut på permanent basis, men kan gjøres tids- eller situasjonsavhengige.

Vanligvis vil slike rettigheter nemlig deles ut på mer eller mindre permanent basis, fordi det er enklest slik. Men det er langt fra gitt at dette er sikrest. En av risikofaktorene er for eksempel at noen som sitter på administrator-rettighetene, plutselig mister tilgangen til kontoen sin – eller at noen får tilgang til kontoen, som ikke skal ha det. 

Ved å gi punktvis, heller enn kontinuerlig, tilgang, kan PIM sørge for at enkeltpersoner får tilgang til administrator-rettigheter i en periode på kanskje 15 minutter, eller to timer – eller så kort- eller langvarig som det er ønskelig. Hvis en supportmedarbeider trenger å resette et passord eller to innimellom, eller bare har enkle supportoppgaver, kan vedkommende gå inn og be om denne rettigheten ved behov. 

På samme måte kan en motta regelmessige rapporter over brukere som har fått permanent tilgang til administrator-rettigheter, og deretter gjøre en vurdering om det faktisk er nødvendig at denne tilgangen er permanent. Utgangspunktet når en sitter med PIM er at permanent tilgang til bestemte ressurser ikke er en sikkerhetsmessig fordel. 

Kan tilgangen for eksempel kuttes ut helt for enkelte? Kan den gjøres midlertidig? Dette er spørsmål PIM og AAD P2 regelmessig vil at du skal ta stilling til.

Med PIM vil du også bli klar over når det finnes en eller flere brukere som sitter med faste tilganger, eller muligheten til å be om tilgang, men som aldri bruker dem. En månedlig rapport kan for eksempel fortelle deg at bare to av ti brukere i virksomheten har brukt admin-rettighetene sine siste tiden – hva gjør du da med de resterende åtte?


3. «Access reviews» gjør brukerne medansvarlig for egne behov

Tredje og siste hovedfunksjonen i AAD P2 er en direkte forlengelse av de siste punktene: «Access reviews».
Dette er rett og slett et verktøy for å spørre brukerne dine om tilganger, og hvilke behov de egentlig har for å ha tilgang til det ene eller andre.

Her skal en for så vidt tenke rettigheter og tilgang i bredest mulig forstand. Det trenger ikke være snakk om administrative tilganger, det kan like gjerne være ansattes medlemsskap i grupper, eller hvilke applikasjoner de har tillatelse til å kjøre.
La oss for eksempel si at du har gitt 30 brukere tilgang til en bestemt applikasjon. Disse brukerne kan du sende automatiske forespørsler til, slik at de regelmessig blir spurt om de faktisk bruker applikasjonen. Og, uavhengig om de har brukt den eller ei, så kan du for eksempel spørre om de fortsatt har behov for å bruke den. Hvor ofte disse forespørslene sendes ut styrer du selv, og brukerne kan svare ved behov – og eventuelt begrunne hvorfor de fortsatt trenger tilgangene sine.

Hvor streng du vil være, bestemmer du også selv.

Du kan håndheve tilgangs-regimet med jernhånd, slik at brukere som ikke svarer på forespørslene automatisk mister tilgangen til applikasjonen – eller kan du være litt mildere, og la brukeren beholde tilgangen, eller kanskje få en ny forespørsel. Det vil også være mulig å overlate kontrollen til eieren av applikasjonen.

Også grupper kan underlegges samme administrasjon som applikasjoner, der du kan stille de samme strenge, eller milde, kravene til brukerne. Eierne av grupper kan, på samme måte som med applikasjoner, overta ansvaret for å reagere overfor brukernes behover, og de kan ta affære hvis forespørsler ikke får respons.