Optimalizované IT - portál pro IT pro komunitu

GDPR na platformě Microsoft - jak pomáhá Azure, OMS, EMS, Office 365 a Windows 10 - část 2

Vytisknout E-mail

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V předchozím díle seriálu jsme načali problematiku GDPR, zde je slíbené pokračování.

Přístupy

Zde se jedná také o velmi specifické téma a rozdělil bych jej tedy na 2 úrovně a to přístup na běžné infrastrukturní servery a na terminálové servery (RDS). Nejprve začněme tedy terminálovými servery. Je běžné, že společnosti, aby snížily náklady, anebo z neznalosti publikují servery přímo do internetu a pouze změní port pro přístup na daný server a to na firewallu, kde nastaví nějaký Port Forward. Já bych osobně doporučil implementovat technologii, která stojí pouze licenci Windows Serveru a nějaký veřejný certifikát a to Remote Desktop Gateway, která dělá to že „zabalí“ RDP přístup do protokolu HTTPS, který je v tomto směru bezpečný, jelikož je celá komunikace zabezpečena pomocí nějakého veřejného nebo privátního certifikátu (tento certifikát musí být pro klienta důvěryhodný a proto bych doporučil použít určitě certifikát vydaný veřejnou autoritou. Další možností je zabezpečit přihlašování na servery pomocí Kerberos autentizace a tím zajistit, že je ochráněn i vlastní přenos oprávnění k serveru, odkud uživatelé přistupují například do Sharepoint, CRM, ERP, atd..

Dalším způsobem je zajištění bezpečnosti na úrovni infrastrukturních serverů. Zde je nutno říci, proč přistupovat přímo na servery, když můžete mít pro konfiguraci konzole pro správu systému na jiném serveru, konzole otevírat s účtem, který nemá práva pro přímé přihlášení na servery a jehož heslo a jméno není nikde využíváno. Případně je možno využít více faktorové ověřování (dále také MFA) nebo jak by řekl náš kolega Ondra Výšek, tak nejbezpečnější je ověření pomocí Smart Card. Ale i tak to nemění fakt, že je nutno vše logovat a vyhodnocovat.

Zabezpečení a implementaci MFA vám pomůže zajistit aplikace Enterprise Mobility + Security v rámci, které máte k dispozici lokální MFA server, který vám bude pro přístup poskytovat One Time Password do mobilního zařízení, pošle vám SMSku nebo vám zavolá automat a řekne vám PIN pro přístup.

Další věcí je určitě i komplexita tohoto hesla a správná délka hesla, toto je kapitola spíše o nastavení skupinových politik v doméně, ale stejně příjemnou službu vám také nabídne

imageimage

A v neposlední řadě tedy logování přístupu na servery, které můžete mít opět v aplikaci Operation Management Suite a sledovat například přístupy z vnější sítě a vyhodnocovat tak, kdo a odkud přistupuje k vaší infrastruktuře.

imageimage

V neposlední řadě je určitě velice vhodné, abychom věděli kam naši uživatelé přistupují z pohledu sociálních sítí, kam mohou nahrávat svá data a celkově jaké služby v internetu využívají. Abychom mohli provést detailní kontrolu, zajistit a dát jim jednotnou identity, což v tomto případě má jako vedlejší efekt zvýšení spokojenosti uživatele, jelikož si nemusí pamatovat spousty přihlašovacích údajů, máme zde možnost využít ještě nástoje jako je Cloud App Security, který velice napomáhá tomu, aby byla služba do které uživatelé přistupují scorována společností Microsoft z pohledu bezpečnosti a také můžeme vidět kteří uživatelé a z jakých IP Adres přistupují do oněch služeb. Kdybychom šli asi do úplného důsledku, můžeme pak služby zaintegrovat do Azure AD pomocí API a využívat tak jednotné přihlášení na sociální sítě, youtube, Google Apps, atd..

image

Databáze

A nyní přecházíme tedy postupně od té infrastrukturní vrstvy k té aplikační, která nemůže být opomenuta. Každá společnost provozuje nějakou databázi, a jelikož nejsem úplně člověk na databáze, tak omluvte mé schopnosti v tomto směru. Pevně věřím, že existuje mnoho možností pro zabezpečení dat. Každopádně začněme nejprve s přístupy a jmény a hesly pro přístup do nějakého webového systému.

Rozhodně je nutné správně ošetřit všechny vstupy z aplikace do databáze vlastní, takže na začátku začněte nějakým obyčejným vulnerability scannem, který vám ukáže, jestli na vaši databázi není možné udělat SQL injection útok. Dále je pak nutné zabezpečit jména a hesla zapsaná v databázi, zde by bylo určitě více než vhodné použít nějaký hash a salt pro zabezpečení hesel uložených přímo v DB.

Na úrovni operačního systému je možno nastavit na disku, kde jsou databáze umístěny například Bitlocker a Applocker, aby nemohl být systém kompromitován nějakých cizím software a opět sbírat logy, vyhodnocovat a měřit. MS SQL ještě nabízí možnosti pro zabezpečení databáze přímo z SQL Serveru. Tudíž zde je na místě se určitě podívat na Guide pro SQL Server, který je dostupný na technetu nebo nějaký Guide pro hardening SQL serveru.

V poslední řadě můžete použít pro lepší pohled na data opět nástroj Operation management Suite, který disponuje modulem SQL Assessment, který vám ukáže veškeré chybné konfigurace, případně je zašle do Security centra v Operation Management Suite, kde jsou kontrolovány pomocí Best Practises společnosti Microsoft.

imageimage

Pokud bychom se rozhodli, že budeme přesouvat naše databáze do prostředí Azure a využívat službu Azure SQL, můžeme počítat s novými možnostmi zabezpečení, které nám dává platforma Microsoft Azure k dispozici a to zejména nástroj s názvem „Azure SQL Database Threat Detection“, který nám umožní zabezpečit databáze například proti SQL Injection a také mnoho dalších věcí. Tento nástroj je implementován a ovládán z Azure Security Centera, a proto máme vždy jediné místo kam se podívat a co sledovat.

image

Souborové servery – Office365, ARM, IRP

Souborový file systém je sám o sobě velmi náročný na správu a na analýzu. Většina společností má nasazen souborový server, někdy je replikován pomocí DFS a někdy jsou na něm nastavena až neuvěřitelná oprávnění. Postupem času (horizont třeba 5 let) se tento systém stane velmi těžko auditovatelným, tak aby bylo možno rychle a efektivně reagovat na vzniklé situace a případně zjistit zda nám někdo krade data z tohoto systému. Řízení dat je veliký problém ve světě všeobecně a i když je nasazena klasifikace dat je to hodně o odpovědnosti zaměstnanců, neboli tvůrců obsahu. Souborový systém na platformě Microsoft umožňuje logovat všemožné přístupy k souborovému systému, ale pokud jste někdy zkoušeli nastavit logování, zjistili jste, že server pak má co dělat, aby dokázal odbavit všechny požadavky, logy jsou v tu chvíli obrovské a je potřeba s těmito daty nějak efektivně pracovat a vyhodnocovat je. Tento článek je hodně zaměřen na logování, jelikož i to zákon říká, musím logovat a šifrovat. Takže co s tím?

Souborový systém tedy umožňuje logování níže uvedených aktivit

AccessMask Value

Constant

Description

0 (0x0)

FILE_READ_DATA

Grants the right to read data from the file.

0 (0x0)

FILE_LIST_DIRECTORY

Grants the right to read data from the file. For a directory, this value grants the right to list the contents of the directory.

1 (0x1)

FILE_WRITE_DATA

Grants the right to write data to the file.

1 (0x1)

FILE_ADD_FILE

Grants the right to write data to the file. For a directory, this value grants the right to create a file in the directory.

4 (0x4)

FILE_APPEND_DATA

Grants the right to append data to the file. For a directory, this value grants the right to create a subdirectory.

4 (0x4)

FILE_ADD_SUBDIRECTORY

Grants the right to append data to the file. For a directory, this value grants the right to create a subdirectory.

8 (0x8)

FILE_READ_EA

Grants the right to read extended attributes.

16 (0x10)

FILE_WRITE_EA

Grants the right to write extended attributes.

32 (0x20)

FILE_EXECUTE

Grants the right to execute a file.

32 (0x20)

FILE_TRAVERSE

Grants the right to execute a file. For a directory, the directory can be traversed.

64 (0x40)

FILE_DELETE_CHILD

Grants the right to delete a directory and all the files it contains (its children), even if the files are read-only.

128 (0x80)

FILE_READ_ATTRIBUTES

Grants the right to read file attributes.

256 (0x100)

FILE_WRITE_ATTRIBUTES

Grants the right to change file attributes.

65536 (0x10000)

DELETE

Grants the right to delete the object.

131072 (0x20000)

READ_CONTROL

Grants the right to read the information in the security descriptor for the object.

262144 (0x40000)

WRITE_DAC

Grants the right to modify the DACL in the object security descriptor for the object.

524288 (0x80000)

WRITE_OWNER

Grants the right to change the owner in the security descriptor for the object.

1048576 (0x100000)

SYNCHRONIZE

Grants the right to use the object for synchronization.

Číslo nebo jeho výpočtová kombinace je uvedena vždy v Event Logu pod položkou Access Mask, ale ve chvíli kdy toto logování zapnete, zjistíte, že server nedělá nic než jen loguje, ale i tak je velmi vhodné logování na File Systému zapnout.

Další možností je přechod v nějaký Dokument Management Systém, a jelikož se pohybujeme mezi produkty z rodiny Microsoft, pak to není nikdy jiný nežli Sharepoint a jelikož chceme vynaložit co nejmenší úsilí a časovou náročnost na implementaci, pak to bude Sharepoint Online.

Tento systém vám nabízí možnost uložit data, nastavit oprávnění ACL stejně jako souborový systém, ale s tím rozdílem, že jsou data uložena na SQL Serveru, případně jsou uložena jako Remote Blob Storage v Hashované podobě a SQL si drží pouze metadata těchto dokumentů. Velkým posunem je určitě automatické logování do Operation Management Suite.

image

Další možnosti přináší systém Office365 sám o sobě, jelikož v plánu „Enterprise Plan 5“ máte k dispozici 3 komponenty a to Customer LockBox, Auditní log a Advanced Security Management.

Advanced Security management vám dává možnost nastavit automatické alertování a to v případě, že byla porušena nějaká politika (např. uživatel se snaží zkopírovat více jak 5 souborů, uživatel přistupuje z podezřelé IP adresy, atd…) Tím vám dává možnost předcházet bezpečnostním incidentům a ochránit data a citlivé informace.

imageimage

Další možností je tzv. Customer Lockbox v rámci, kterého udělujete přístup zaměstnanci společnosti Microsoft při řešení incidentu, aby mohl pracovat ve vašem vlastním prostředí. Veškeré aktivity jsou v tomto případě podrobně auditovány a vy máte možnost se na daná aktivity podívat.

image

Ochrana dat není však jen o auditu logů a aktivity uživatelů, ale také o obsahu vlastním a proto je nutno zabezpečit obsah a nikoliv jen soubor, ve kterém je daný obsah uložen. ACL chrání soubory zvenčí, šifrování chrání soubory bitově, tudíž i zde je určitě správným řešením nasazení bitlockeru nad datovými disky i za cenu snížení výkonu, případně nastavit šifrování uvnitř disku. Další možností je však nasazení Right Management, který ochrání vaše data i po cestě na koncové zařízení. Primárně se bavíme o dokumentech z rodiny Office a PDF, které podporují šifrování přímo z aplikace a také její přečtení. Nicméně pomocí Right Management je možno zabezpečit jakýkoliv soubor.

Abychom mohli zajistit bezpečnost na maximální možné úrovni je určitě více než nutné chránit obsah a to buď tak, že jej klasifikuje sám autor daného dokumentu, či záznamu přímo z aplikace MS Office anebo automaticky na základě definovaného slova dokumentu. Společnost Microsoft má v rámci Office365 nějakou tu funkci pro zabezpečení obsahu. Jelikož se pohybujeme v podnikovém prostředí, tak zde přichází v úvahu určitě verze E3 a E5 pro Office365. To co budu ukazovat dále je v E5 obohaceno právě o automatickou klasifikaci dat na základě definovaných parametrů.

Máme tedy možnost použití tzv. DLP policy, kterou jistě znáte z Exchange 2013 a 2016, která se aplikuje na obsah v Sharepoint Online, Exchange Online a OneDrive for Business a nastavit akci, která bude provedena jako zamezení přístupu nebo zaslání reportu.

Další možností je nastavení Rights Management template v rámci Azure AD a tím umožnit funkcionalitu do aplikací MS Office, která stanoví, jakým způsobem bude dokument chráněn při jeho transferu příjemci daného obsahu. Můžeme například říci (nemůže být přeposláno, nemůže být proveden print screen, příjemce může obsah jen číst a nemůže upravovat, atd..)

image

A v aplikaci MS Office použít nástroje pro zabezpečení obsahu

image

Případně lze použít aplikaci přímo v Ribbonu MS Office

image

Mnohem zajímavější mi však přijde Azure Information Protection, který bude pravděpodobně jen v edici E3 a E5 Office365, ale aktuálně je v Preview verzi a spravuje se v novém portále Microsoft Azure. Tento nástroj vám dává možnosti právě pro automatickou klasifikaci dat a nastavení například Footer, Header, watermark nad dokumentem a použít vámi vytvořenou RMS politiku.

image

Bohužel toto lze využít pouze při komunikaci s interními lidmi, jelikož nastavená Information Protection vyhledává osoby pouze ve vlastním prostředí (tzv. tenantu). Poté co máte tuto funkcionalitu k dispozici a nainstalujete klienta, pak se vám v MS Office zobrazí nový pás pod ribbonem a můžete velmi snadno politiku nastavit.

image

Důležité je pro auditora, abyste věděli, kde se váš dokument nachází, a proto dává Microsoft možnost každý dokument chráněný politikou sledovat na mapě a v případě podezření k němu zneplatnit přístup. Zároveň je do dokumentu zaznamenáno i kdo se pokusil o jeho otevření, případně komu se připojení do dokumentu nepovedlo a v neposlední řadě můžete i říct, zda bude dokument možno otevřít Offline a nebo jen Online po přihlášení se k prostředí Office365. Popřípadě je zde ještě možno definovat jak dlouho bude dokument platný.

image

Myslím, že tímto bych asi souborové servery uzavřel a šel raději dále, jelikož je to velice obsáhlé téma a vydalo by na samostatný 10 stránkový článek a na hodiny a hodiny povídání si jak vše správně nastavit a ochránit data společnosti a citlivé informace.

Ještě stále nejsme u konce, vyčkejte na třetí, závěrečný díl.

O autorovi...
Author: Daniel Hejda
Senior konzultant KPCS and P-Seller Microsoft

Přihlašovací formulář