En Office 365, no solo podemos proteger el acceso a los archivos, sino que también podemos proteger la información contenida en el mismo. Para esto utilizamos Azure Information Protection.
¿Que es Azure Information Protection?
Azure Information Protection (a veces denominado AIP) es una solución basada en la nube que ayuda a una organización a clasificar y, opcionalmente, proteger sus documentos y correos electrónicos mediante la aplicación de etiquetas. Las etiquetas pueden ser aplicadas automáticamente por los administradores que definen las reglas y condiciones, manualmente por los usuarios, o una combinación donde los usuarios reciben recomendaciones.
Ejemplo de información Confidencial
Para esta etiqueta, vamos a suponer que contiene información que solo puede accedida por 3 usuarios :
- Tony Stark
- Steven Rogers
- Nick Fury.
Sin embargo existe un cuarto usuario que no debe tener acceso a la información, para este ejemplo ese usuario sera :
- Scott Lang
Creado la etiqueta con protección.
Ya que tenemos el requerimiento funcional básico establecido, podemos comenzar a realizar la configuración. Para este ejercicio se da por entendido que Azure Information Protection o de ahora en adelante AIP, ya se encuentra configurado, se encuentra instalado el cliente AIP en los equipos de los usuarios y se cuenta con el licenciamiento necesario. los usuarios de este ejemplo tienen licenciamiento Office 365 E5 + Enterprise Mobility + Security E5.
Como primer paso, nos dirigimos a https://portal.azure.com, luego nos dirigimos al panel de AIP, seleccionamos Etiquetas y luego agregar nueva etiqueta.
Al hacer clic en agregar nueva etiqueta, se abrirá una nueva tarjeta de configuración para la etiqueta, le damos un nombre, una descripción y un color para ser clasificada.
luego, vamos a aplicar la protección de la información, para ellos seleccionamos la opción “Proteger”
se abrirá una nueva tarjeta con la configuración de protección para la etiqueta. En la primera opción, “Configuración de protección”, mantenemos “Azure (clave de nube)” ya que nuestro ambiente es full cloud y en el tipo de acción de protección seleccionamos “Establecer Permisos” y luego damos clic en “+ Agregar permisos”.
Al presionar en “+ Agregar permisos”, tendremos una nueva tarjeta de configuración, donde podemos seleccionar los usuarios y aplicar los permisos de protección. Este escenario solo los usuarios Tony Stark, Steven Rogers y Nick Fury tendran acceso a la información de los documentos marcados con esta etiqueta. Para continuar damos clic en “Examinar Directorio” bajo la opción “Especifcar usuarios y grupos”. Para este ejemplo usaremos un grupo llamado “Crisis” que contiene a los usuarios mencionados, lo buscamos y damos clic en aceptar.
Luego de seleccionar los usuarios o grupos, debemos especificar los permisos que se asignaran junto con la etiqueta. para este ejemplo, asignamos el rol de Co-Owner y damos clic en aceptar. Con esta indicación solo los usuarios miembros del grupo “Crisis” serán los co propietarios del documento etiquetado y ningún otro usuario tendrá acceso a la información.
Una vez asignado los permisos, volvemos a la tarjeta de configuración de la protección. Si necesitamos que los accesos al contenido de los archivos tenga expiración podemos configurar esta opción. en este ejemplo, lo mantendremos en el defecto, es decir “Nunca”. También configuraremos el acceso a los archivos durante un periodo sin conexión, para este ejemplo, lo configuraremos en 7 días, es decir, que si el usuario no tiene conexión a Internet en 7 días, al 8 no podrá acceder a la información del archivo a menos que inicie sesión en linea.
Una vez finalizada la configuración de protección de la etiqueta, validamos que todo se haya configurado correctamente y damos clic en “Aceptar” para volver a la configuración general de la etiqueta.
Continuando con la configuración de la etiqueta, luego de la protección, configuramos los distintivos visuales o marcas al documento. para esta etiqueta activamos las 3 opciones, es decir :
- Encabezado
- Pie de página
- Marca de agua.
Según nuestro plan de configuración, para el encabezado y pie de pagina se debe usar el texto “Solo para grupo de crisis” , y usaremos las demás opciones por defecto.
También configuramos la marca de agua con el texto “CRISIS” y todas las demás opciones por defecto.
Para la configuración de las condiciones de etiquetado automático, no configuramos nada. Validamos que la configuración de la etiqueta sea correcta y damos clic en “Guardar”.
En el warning que se nos muestra damos clic en Aceptar, para guardar y publicar nuestra etiqueta. Al finalizar el proceso, se nos enviara nuevamente al panel principal de AIP, donde podremos ver la etiqueta creada exitosamente.
Creando la directiva
Luego de crear la etiqueta para el grupo de usuarios específicos, generaremos una directiva, para asignar esta etiqueta solo a los usuarios escogidos. par esto desde el mismo panel de AIP, seleccionamos la opción “Directiva” y luego “+Agregar una directiva”.
Al dar clic en agregar directiva, se abrirá la nueva tarjeta de configuración de la directiva. En primera instancia debemos escribir el nombre, una descripción y seleccionar los usuarios o grupos a los que se les asignara la directiva y las etiquetas contenidas en ella. para este ejemplo continuamos con el grupo “Crisis”, lo seleccionamos y aceptamos par agregar el grupo.
para continuar, en Agregar o quitar etiquetas, damos clic en agregar.
En la tarjeta siguiente, seleccionamos la etiqueta que creamos en el paso anterior, “Crisis” y la seleccionamos, damos clic en aceptar para guardar.
Luego, en la configuración de la directiva, seleccionamos “Crisis” como la etiqueta predeterminada (27) y activamos la opción “Agregar el botón No reenviar a la cinta de Outlook” (28). el resto de las opciones las mantenemos por defecto y damos clic en el botón guardar.
Nuevamente se nos mostrara un warning o alerta, si todo es correcto damos clic en Aceptar para guardar nuestra directiva.
Probando la directiva y sus etiquetas.
Para probar el correcto funcionamiento de la etiqueta, iniciamos sesión en el equipo del usuario Tony Stark y abrimos un nuevo documento de Word. Si prestamos atención a la barra de AIP en Word, podremos ver la aplicación de la directiva que creamos, solo con la etiqueta “Crisis”, y la descripción de la misma.
al presionar sobre la etiqueta y aplicarla al documento , automáticamente se agregaran la marca de agua, el encabezado y el pie de pagina. también se nos mostrara un tip indicando la etiqueta que protege al documento.
Para probar la etiqueta, el usuario Tony Stark, comparte el documento con los usuarios Steven Roger y Nick Fury que son partes del grupo indicado en la etiqueta como co propietarios del documento, pero adiciona en copia al usuario Scott Lang, el cual no tiene permisos sobre el documento etiquetado.
El usuario Scott Lang, descarga el adjunto e intenta abrirlo y obtiene el siguiente mensaje indicando que debe iniciar sesión con una cuenta con permisos sobre el archivo.
Si no agrega una cuenta con permisos seguirá recibiendo el mensaje, hasta que presione el botón cancelar y Word no abrirá el documento.
Incluso, si intentamos abrir el documento con el visor de AIP en el equipo local, tendremos un error de acceso por permisos.
Ahora, intentemos abrir el mismo documento, pero al momento de solicitar las credenciales , escribiremos las del usuario Steven Rogers, quien si tiene permisos de co propietario dentro de la etiqueta de AIP aplicada al documento.
Word valida las credenciales de protección del documento
y muestra el documento con los permisos asignados, los cuales podemos ver dando clic en el botón “Permisos”
Con esta etiqueta, nos aseguramos que solamente las personas necesarias tienen acceso a la información, e incluso en caso de fuga del archivo, la información dentro de el se mantiene segura. Esta protección no solo puede ser utilizada con los usuarios del mismo tenant, si no que se puede ocupar con usuarios externos.
Modificaremos la etiqueta para incluir un usuario de hotmail con el permiso de “Solo lectura”, entonces tendremos 2 permisos separados dentro de la misma etiqueta, Co propietario para el grupo “Crisis” y solo lectura para el usuario de hotmail.
Cuando el usuario de hotmail recibe el documento, lo descarga e intenta abrirlo, sera desafiado a ingresar sus credenciales.
Al ingresar correctamente las credenciales del usuario hotmail, puede abrir el archivo en modo solo lectura. Como esta en modo solo lectura no es posible realizar capturas de pantalla, ya que se muestra todo completamente negro, pero si se puede observar en los permisos, como solo tiene asignado el permiso de lectura.
Este es el resultado de una captura de pantalla en modo solo lectura.
En conclusión, con la implementación de Azure Information Protection, podemos frenar la filtración de información privilegiada en archivos protegidos con AIP, utilizando Azure RMS para el control del acceso a la información, si esto lo sumamos a un correcta generación de políticas DLP podemos controlar de manera efectiva el flujo y seguridad de la información sensible dentro de las organizaciones.
En otro post veremos como etiquetar documentos automáticamente basado en condiciones, y como utilizar las etiquetas de AIP en las reglas de transporte de Exchange Online.
Saludos
Samuel.