La protezione dei documenti è una cosa importante, non solo per le grandi aziende ma anche per quelle più piccole, si perché la proprietà intellettuale è un problema di tutti. In un’epoca in cui i social impazzano e la sicurezza diminuisce, non per mancanza di strumenti ma perché l’aumentare incredibile dei siti web ha portato gli utenti a semplificare, o peggio a standardizzare, le credenziali di accesso. Questo si traduce in un rischio enorme per tutte quelle aziende che consentono ai propri di dipendenti di poter accedere ai dati aziendali, come la posta elettronica, tramite il proprio device (l’ormai noto BYOD).
Una soluzione offerta da Microsoft, presente ormai da oltre 10 anni, è Right Management Services (RMS) che consiste nell’applicazione di un set di policy per utenti o gruppi di Active Directory; queste regole consentono di decidere cosa può fare, o meno, un singolo utente (es. se stampare o meno il documento).
La messa in opera di RMS è sicuramente difficile e richiede un’architettura più mirata a scenari medio-grandi.
Tra le tante funzionalità presenti all’interno di Microsoft Azure c’è anche la funzionalità di protezione, chiamata per l’occasione Azure RMS. Il prodotto però era limitato e si trattava di una versione poco più evoluta del sistema RMS on-premise.
Proprio in virtù di questo, il prodotto ha iniziato un processo di evoluzione che comincia dal cambio di nome. Azure Information Protection, figura 1, è la nuova soluzione di protezione delle informazioni, frutto anche delle varie acquisizioni fatte da Microsoft nel corso di questi anni, come Secure Islands (azienda specializzata nella protezione e classificazione dei documenti aziendali).
Figura 1 – Azure Information Protection
I piani disponibili per Azure Information Protection sono:
- Azure Information Protection Premium P1
- Azure Information Protection Premium P2
Il dettaglio è riportato nella figura 2.
Figura 2 – Dettaglio Piani
Entrambi i piani sono integrati in un bundle più ampio chiamato Enterprise Mobility + Security E3/E5 che contengono diversi strumenti per la gestione dei device, dell’identity e delle informazioni.
Configurazione
La configurazione è molto semplice e se qualcuno volesse iniziare da subito, senza avere troppa esperienza, non dovrebbe fare nulla se non attivare il servizio in quanto tutte le regole base sono già presenti. In questo articolo, però, vedremo la creazione avanzata di regole e label.
Policy
Le policy consentono di creare un set di etichette che possono essere attivate per utenti e/o gruppi e questo significa poter configurare regole diverse per i vari reparti, a seconda di quello che devono proteggere.
Etichette
Le label, figura 3, sono le classificazioni che intendiamo dare ai nostri documenti e che possono attivare o meno delle funzionalità: potrebbe esserci una regola che impedisce di modificare un documento o di inoltrarlo via mail.
Figura 3 – Elenco Label
Ovviamente possiamo creare delle regole nostre, figura 4, in base ai nostri requisiti. Per farlo è necessario impostare un nome, un colore, un template di sicurezza, decidere se applicare un watermark o un riferimento della label nell’intestazione/piè di pagina del documento.
Figura 4 – Nuova Label
Come si può notare, è possibile scegliere un template anche da un’infrastruttura RMS on-premise e quindi Azure Information Protection si presta anche in scenari ibridi.
Template
I template determinano le opzioni disponibili quando un documento viene aperto (es. la copia del testo nel documento). In questo momento non è possibile gestire i template all’interno del nuovo portale e quindi bisogna tornare nel vecchio Azure Portal, come mostra la figura 5.
Figura 5 – RMS Templates
La creazione è composta da due parti, una prima dove inserire il nome della regola ed una seconda in cui definire le opzioni, come mostra la figura 6. Tra le altre opzioni troviamo anche la possibilità di far scadere il documento dopo un certo periodo di tempo da quando viene protetto.
Figura 6 – Regole Custom
Le modalità di applicazione sono diverse: si può creare un gruppo che racchiude un reparto, oppure un gruppo che racchiude le persone che devono lavorare ad un determinato progetto, insomma non esiste una regola esatta ma è bene definire da subito la linea guida da seguire per evitare problemi nel futuro. Altra cosa importante è legata alla configurazione dei gruppi, che devono essere tassativamente di tipo Office 365 (o Distribution Groups); altro consiglio è quello di creare i gruppi all’interno del portale di Office 365 perché non è possibile gestire a pieno gli oggetti creati dal vecchio portale Azure.
Una volta creato il template sarà possibile applicarlo alla label creata in precedenza. Ricordate che l’utente che crea il documento è sempre Owner dello stesso e quindi è consigliato aggiungere anche un Super-User con funzionalità di Co-Owner all’interno del template, in modo da poter intervenire in qualsiasi momento sui documenti (per esempio se l’utente principale viene cancellato).
Per aumentare la sicurezza è possibile anche impostare uno Scope per il template, in modo da mostrarlo solo a coloro che ne hanno realmente i permessi.
Default Settings
Una delle funzionalità ereditate dalle soluzioni Secure Islands è la possibilità di applicare le policy in modo automatico, cosa che consente di elevare la sicurezza in modo trasparente per gli utenti. Dal portale Azure, l’amministratore ha la possibilità di scegliere se tutti i documenti/email devono avere una label applicata e quale deve essere il profilo di default, come mostra la figura 7.
Figura 7 – Advanced Settings
Protezione Documenti
Per proteggere i documenti è necessario installare un client, per Windows 7/8/10 chiamato Azure Information Protection, che consente alle macchine di visualizzare le policy create da parte dell’amministratore. Le regole sono visualizzate subito sotto la Ribbon Bar, figura 8, in modo che l’utente possa selezionarle.
Figura 8 – Client Windows
Il client è disponibile anche per iOS ed Android, figura 9, ma con le sole funzionalità di lettura e quindi non è possibile creare documenti applicando regole particolari, ma applicando un template predefinito tutto quello che sarà salvato dentro SharePoint, o nel device, sarà gestito con un predeterminato criterio di sicurezza.
Figura 9 – Client Android
Conclusioni
Azure Information Protection è sicuramente la soluzione perfetta per la protezione dei documenti aziendali e grazie alle nuove funzionalità, è possibile creare policy di automazione che consentono agli IT Admin di applicare delle regole in modo trasparente, aumentando il livello di sicurezza di uno degli elementi più preziosi per un’azienda.