微软新推出的Azure信息保护(AIP)是公司对软件和服务的最新尝试,旨在帮助公司保护其知识产权(IP)并在当前的文档管理(DM)实施中添加更精细的安全层。 当前在Preview版本中,AIP建立在现有Microsoft服务的基础上,从当前的Azure权限管理服务(Azure RMS)退出。 它基于Microsoft通过最近对Secure Islands的收购而购买的技术。 AIP和Azure RMS的结合提供了一套文档保护工具,这将对大多数企业组织中的文档繁重的企业和首席安全官(CSO)有所帮助。
了解Azure RMS和AIP之间的区别是确定组织是否需要服务的重要方面。 利用Azure RMS,您可以保护文档免遭公司内部或外部的未经授权的访问。 例如,用户可以指定文档或电子邮件只能发送给公司内的同事,并且无法打印,这会阻止使用企业界中两种最常用的方法共享文档。 Azure RMS可以被视为业务资源的数字版权管理(DRM)。 相反,AIP只是以页眉,页脚或水印的形式将标签应用于文档。 AIP本身不会禁止用户在公司外部共享这些文档; 它是一种通知形式,并且可以直接影响安全策略。
AIP要求
三项关键服务捆绑在一起构成了AIP的基础。 Microsoft Office 365是许多人所熟悉的名称,因为它是IT世界中的领先服务之一。 提醒一下,Microsoft Office 365提供各种功能,包括Microsoft Exchange形式的电子邮件服务,使用Microsoft SharePoint的DM和共享,使用Microsoft OneDrive的文件存储,诸如Microsoft Skype for Business Microsoft Sway之类的协作工具以及其他一些工具和服务满足通用业务需求。 为了利用AIP或通过预览版开始工作,您需要受支持的Microsoft Office 365订阅。
除了Microsoft Office 365,AIP还需要订阅Microsoft的Azure RMS,这与RMS的本地实现不同。 RMS作为Microsoft产品的一部分已经有几年了,RMS提供基于策略的文档保护,例如能够保护电子邮件不被转发或防止敏感文档被打印。 RMS包含在几个较高级别的Microsoft Office 365层中,或者可以Azure权利管理高级版的形式添加到价格较低的Microsoft Office 365订阅中(每位用户每月2美元,每年收取一次费用)。 Enterprise Mobility Suite捆绑包的价格为每位用户每月$ 8.75,包括Microsoft Azure Active Directory Premium,Microsoft Intune,Microsoft Azure权限管理和Microsoft Advanced Threat Analytics。
一旦配置了Office 365和RMS,就可以激活AIP,从而使您可以利用RMS提供的功能,不仅可以保护电子邮件和文档,还可以在文档被处理后更彻底地分类和标记,跟踪甚至撤销访问。在组织外部共享。
基于门户的管理
管理用户可以使用标签(指示文档的敏感性)以及标记(将应用于包含该敏感性标签的文档)在AIP门户中定义策略。 标记可以包含页眉,页脚或水印的组合,每种标记都可以包括一些基本的自定义内容,例如对齐方式或标签文本,以及(在页眉和页脚的情况下)字体大小和颜色。 对于更复杂的组织要求,可以在层次结构中定义标签,从而能够进一步对一个或多个敏感度级别进行分类。
使AIP标签对安全专业人员如此吸引的原因在于其在标签上定义条件的能力。 这些情况可能会触发推荐的标签,从而提示用户正确标记文档。 或者,可以自动添加标签,这样就可以应用标签,而无需用户根据管理员创建的策略进行交互。 在撰写本文时,AIP包含五个内置条件:SWIFT代码,信用卡号,ABA路由号,美国社会保障号(SSN)和国际银行帐号(IBAN)。 还支持自定义条件,并且可以使用基本字符串搜索或正则表达式来满足更复杂的要求。 最小数量的出现次数也可以应用于内置条件和自定义条件,使管理员只有在达到特定阈值时才有机会触发标签(例如,五个SSN的列表,而不仅仅是一个SSN) 。
对于安全专家而言,更具吸引力的是AIP使其标签触发RMS模板的能力。 此功能可用于直接对文档加标签后的用户可以执行的RMS样式限制,例如转发,在组织外部发送或打印文档的能力。
因为这只是预览版,所以当前在AIP实施的顶层只有少数设置可用。 可以根据组织中的标准配置分类标题(默认为“敏感度”)。 此外,您可以要求所有文档和电子邮件都应用标签,定义默认标签,并要求用户在降低敏感度级别时提供辩护(例如,从“秘密”更改为“机密”)。 通过对AIP中的标签重新排序来管理此敏感度级别。
AIP的用户影响
在用户直接访问的层上建立新的安全技术的一个普遍问题是,在强制执行和最小化用户开销之间必须达到平衡。 否则,该系统最多会限制生产力,最坏的情况是会激发用户尝试避开新措施,只是为了更快地完成工作。 AIP在走钢丝方面做得非常好,并通过多种方式管理这种平衡。 首先,它只需单击几下,即可快速访问手动设置文档的敏感度。
AIP可以通过自动粘贴标签或提示用户在尝试保存文档时提示他们使用标签的条件使标签管理更进一步。 在每种情况下,可以快速应用标签,同时要求用户进行最少的交互。
一些局限性
除了必需的服务之外,AIP还需要一个兼容的客户端平台,该客户端平台目前受到相当大的限制,这可能是因为AIP仍是Preview版本(尽管Microsoft并未确认)。 通过与Office 2016,带有Service Pack 1的Office 2013或Office 2010一起下载Azure信息保护客户端,可以支持Windows 7和更高版本(x86和x64)。特别是,使用Microsoft Word,Microsoft Excel,Microsoft PowerPoint,和Microsoft Outlook支持使用AIP进行标记。 根据Microsoft的说法,非Office文件类型(例如PDF和多媒体文件)将在该服务进入常规可用性后获得支持。 尽管AIP的分类方面在Mac OS X,Windows Phone,Android,iOS甚至Office Web Apps等平台上均不可用,但值得注意的是,RMS的许多保护功能在所有平台。
Microsoft在AIP的预览版中要求的其他限制包括:缺少集中日志记录,对标签和工具提示的仅英语支持,以及标签条件仅限于短语或模式(以及无法通过Windows对文件进行分类)文件管理器)。
总体而言,AIP提供了一组令人印象深刻的功能,这些功能易于设置和配置,将用户的开销降至最低,并满足了多种行业常见的安全需求。 在理想环境下,我们希望看到AIP与RMS有所分离,因为许多公司可能会在不采用完整RMS的情况下很好地利用AIP标签。 但是,由于AIP与RMS基于策略的执行功能紧密相关,因此我们可能不会看到。 缺少移动客户端和Office Online支持是另外两个值得关注的方面,但是我们敢打赌,我们将在总体可用性阶段或此后不久看到这两个问题。
同样,由于AIP仅在预览版中,因此目前没有可用的定价信息,Microsoft也没有确切说明何时可以普遍使用AIP。 可以肯定地猜测,AIP的价格将与RMS相似,RMS包含在某些Office 365层中,或者按每用户每月2美元的价格提供。
