Wstęp

W dzisiejszych czasach standardem jest posiadanie jakiejś formy zabezpieczenia dostępu do firmowych zasobów danych. Poczynając od najprostszych, jak np. firewall, poprzez mechanizmy wykrywania intruza (Intrusion Detection Systems). W takim modelu nadal jednak musimy się opierać na dużej dozie zaufania do dobrych intencji użytkownika końcowego. Powyższe mechanizmy nie chronią przed uzyskaniem dostępu do danych dla kogoś, kto już znalazł się w sieci firmowej.

Oczywiście możemy chronić zasoby sieciowe przed nieautoryzowanym dostępem, np. poprzez założenie hasła na plik, ograniczenie dostępu ACL lub szyfrowanie zasobów (np. mechanizm EFS). Zwróćmy jednak uwagę, że gdy raz udzielimy użytkownikowi dostępu do konkretnego pliku, może on na nim wykonać praktycznie dowolne działanie (np. przesłać dalej e-mailem z informacją, jak otworzyć, wydrukować itp.).

Powstało wiele standardów chroniących przed wyciekiem danych (ang. information leakage), np. HIPAA (Health Insurance Portability and Accountability Act), GLBA (Gramm Leach Bliley Act), Sarbanes-Oxley Act czy UK Data Protection Act. Wszystkie wymienione regulacje bezpośrednio wymuszają na biznesie ochronę wartości intelektualnej i danych poufnych poza standardowymi mechanizmami.

Mechanizm Active Directory Rights Management Services (AD RMS) jako jedna z technologii informatycznych bardzo dobrze wpisuje się w powyższe standardy.

Usługa zarządzania prawami dostępu w Active Directory RMS to łatwe w zarządzaniu rozwiązanie służące do ochrony poufnych informacji i plików w organizacji. Wykorzystując tę technologię, firmy mają możliwość szyfrowania informacji w plikach, a następnie – poprzez zawarte w pliku polityki – nadania konkretnego poziomu uprawnień dostępu do interesującej zawartości.

Zagrożenia

Jednym z najbardziej typowych przykładów możliwych zagrożeń i incydentów, które wskazują na ogromną potrzebę ochrony zasobów plikowych, jest np. pozostawienie pendrive z tajnymi danymi szwedzkich służb specjalnych w bibliotece w Sztokholmie w roku 2008. Innym przykładem może być skopiowanie przez naukowca koncernu DuPont dokumentów firmowych o łącznej wartości prawie 400 mln dolarów w celu rozpoczęcia współpracy z konkurencją.

W roku 2011 Ponemon Institute poinformował, że statystyczny koszt utraconej pojedynczej informacji (Personally Identifiable Information) wynosi około 194 dolary.

AD RMS jest przykładem zastosowania w praktyce technologii Information Rights Management (IRM). IRM to ogólna nazwa technologii informatycznych służących do ograniczania dostępu do dokumentów elektronicznych objętych różnymi formami utajnienia.

Szczególnym przypadkiem zarządzania prawami do informacji są systemy Digital Rights Management, stosowane do ochrony przed nieuprawnionym kopiowaniem filmów, muzyki czy e-booków. Główna różnica polega na tym, że systemy DRM są przeznaczone do ochrony plików multimedialnych w zastosowaniach masowych, a systemy IRM do ochrony dokumentów elektronicznych w środowiskach korporacyjnych i instytucjonalnych.

Do ograniczenia dystrybucji informacji stanowiących tajemnicę stosuje się najczęściej dwie techniki:

  • Ochrona logiczna dokumentów elektronicznych za pomocą praw dostępu. Ochrona jest egzekwowana przez aplikację, wewnątrz której przetwarzane są dokumenty, lub przez system operacyjny (dokumenty w plikach). Skuteczność takiej ochrony jest ograniczona do granic aplikacji lub systemu – uprawnienia tracą moc po przeniesieniu dokumentu poza środowisko egzekwujące te prawa.
  • Ochrona kryptograficzna – przetwarzanie dokumentów elektronicznych wyłącznie w postaci zaszyfrowanej. Dokument jest rozszyfrowywany w momencie otwarcia go przez osoby lub systemy uprawnione i posiadające odpowiedni klucz kryptograficzny. Proces ten jest zwykle transparentny z punktu widzenia użytkownika, a dystrybucja kluczy odbywa się w sposób automatyczny. Jeśli dojdzie do skopiowania dokumentu poza uprawniony system, to będzie to nadal forma zaszyfrowana, a więc nieczytelna, bez odpowiedniego oprogramowania i klucza kryptograficznego.

Głównym ograniczeniem systemów IRM jest możliwość skopiowania chronionej informacji w postaci nieobjętej mechanizmami ochronnymi, np. wykonanie zdjęcia ekranu monitora podczas jej wyświetlania.

Wdrożenie rozwiązania AD RMS

Przed uruchomieniem mechanizmu AD RMS w organizacji powinniśmy mieć świadomość, jaką ogólną architekturę należy uwzględnić w naszych pracach. Podzielenie mechanizmu na główne elementy składowe ukazuje potrzebę zapewnienia trzech narzędzi:

  1. serwera AD RMS, który jest serwerem aplikacyjnym IIS z usługami:
    • administracji,
    • certyfikacji konta,
    • licencjonowania (ang. CLC, Client Licensing Certificate),
    • publikowania,
    • certyfikatów kont praw dostępu (ang. RAC, Rights Account Certificate),
  2. serwera bazy danych:
    • baza konfiguracji – krytyczna baza danych służąca do przechowywania certyfikatów, licencji i informacji o usługach publikacji,
    • baza logowania,
    • baza usług katalogowych – przechowuje tymczasowo wszelkie identyfikatory (np. adresy e-mail), Security ID (SID), przynależność do grup; informacja jest odpytywana protokołem LDAP do serwera usług katalogowych (Active Directory Domain Controller) i przechowywana przez 12 godzin (wartość domyślna),
  3. serwera usług katalogowych (Active Directory Domain Controller).

W kolejnym kroku należy się zastanowić, jaki model obsługi, dostępu do plików oraz zarządzania platformą AD RMS jest dla nas najbardziej użyteczny. Poniżej przedstawiono dwa podejścia do wdrożenia usługi AD RMS:

  • w jednej organizacji,
  • z możliwością kooperacji z inną organizacją.

Wdrożenie AD RMS w jednej organizacji

Przy wdrożeniu rozwiązania AD RMS w jednej organizacji w celu zabezpieczenia plików szyfrowanych mechanizmem AD RMS dobrze jest zastosować mocno restrykcyjne podejście. Zakłada ono, że możliwość odszyfrowania plików będzie dostępna tylko dla użytkowników domenowych, będących członkami firmowej domeny. W takim podejściu mechanizm AD RMS działa, jak przedstawiono na schemacie poniżej.

Działanie rozwiązania AD RMS w jednej organizacji

Wdrożenie AD RMS z możliwością kooperacji z inną organizacją

W wypadku gdy dwie organizacje (firmy) chcą ze sobą współpracować, można wdrożyć rozwiązanie wspierające mechanizm RMS, czyli ADFS (Active Directory Federated Services). Pozwala to organizacjom udostępniać zabezpieczony kontent bez kolejnej relacji zaufania lub wdrażania kolejnych serwerów AD RMS.

W dużym uproszczeniu ADFS jest standardem pozwalającym na autoryzację i uwierzytelnienie (autentykację) pomiędzy różnymi lasami domen. Działa to na zasadzie żądania autentykacji zaufanym tokenem. Federacja pomiędzy dwiema organizacjami jest zestawiana na zasadzie relacji zaufania pomiędzy dwoma strefami bezpieczeństwa (tzw. security realms). Serwer jednej strony zaufania (ADFS-ACCOUNT) uwierzytelnia się użytkownikiem Active Directory Domain Services i wystawia token zawierający serię informacji o użytkowniku. Serwer ADFS po drugiej stronie relacji zaufania (tzw. ADFS-FESOURCE) weryfikuje token i wystawia oddzielny token, który akceptują lokalne serwery. Pozwala to na dostęp użytkownika do interesującego go zasobu.

Dzięki temu mechanizmowi użytkownicy nie muszą się autoryzować bezpośrednio do zaufanych środowisk, a organizacje nie muszą współdzielić informacji o użytkowniku i jego hasła. W takim podejściu mechanizm AD RMS działa, jak przedstawiono na schemacie poniżej.

Działanie AD RMS w kooperacji z inną organizacją

Role, uprawnienia, szablony

AD RMS jest platformą elastyczną, jeśli chodzi o nadawanie uprawnień do zarządzania środowiskiem oraz tworzenia dedykowanych szablonów w celu zaszyfrowania plików.

Domyśle role i uprawnienia:

  • Enterprise Administrators – mają pełnie prawa do zarządzania platformą AD RMS,
  • Template Administrators – mają prawo do tworzenia, edycji i usuwania szablonów uprawnień,
  • Auditors – mają prawo do generowania raportów z wykorzystania platformy.

Działające środowisko AD RMS najlepiej dostosować do potrzeb organizacji poprzez przygotowanie szablonów użycia. Powinno być to poprzedzone stworzeniem koncepcji wykorzystania, np. szablon dla zarządu, szablon dla IT, szablon regulaminy itp.

Można sobie wyobrazić, że dokumenty zaszyfrowane szablonem zarządu będą dostępne do edycji, odczytu, zmiany i wydrukowania tylko dla jego członków. Z kolei szablon regulaminy może zabezpieczać plik poprzez możliwość odczytu dla wszystkich pracowników w organizacji, a edycja leży np. tylko w gestii działu kadr.

Zabezpieczenie pliku przy wykorzystaniu AD RMS

Technologia AD RMS doskonale integruje się z narzędziami MS Office.

Dla użytkownika końcowego zabezpieczenie danego pliku polega na ograniczeniu dostępu przez wybranie dedykowanego szablonu lub opcji Dostęp ograniczony, pozwalającej dowolnie modyfikować dostęp do pliku.

W przykładzie zaprezentowano zabezpieczenie pliku MS Word 2013 szablonem o nazwie Support. Osoba, która otworzy zabezpieczony plik (o ile posiada uprawnienie do jego otwarcia), może wyświetlić dostępne dla siebie uprawnienia (zobacz zrzuty ekranu poniżej.

Przykład zastosowania technologii AD RMS w programie MS Word

Dokumenty – bezpieczne

W artykule przedstawiono koncepcję wdrożenia technologii AD RMS w wariancie dla jednej oraz kilku organizacji. Zaprezentowano praktyczne użycie technologii w codziennej pracy użytkownika końcowego. Nie poruszono zagadnień licencyjnych, jednak należy podkreślić ich wagę, szczególnie w wypadku wdrożenia rozwiązania w przedsiębiorstwie.

Wdrożenie AD RMS to droga do bezpiecznego przechowywania elektronicznych dokumentów służbowych.