Använda Azure RMS med minimalt i Azure

Azure Rights Management har kommit med revolutionerande nyheter jämfört med tidigare AD RMS. Den absolut största fördelen med RMS som molntjänst är att vi numera kan dela känslig information med så gott som vem som helst på ett säkert sätt. Till skillnad från AD RMS där vi tidigare behövt federationer och höga krav på en extern part för att kunna dela information.

Ett krav för att köra Azure RMS är att vi behöver få upp våra användare och grupper som skall nyttja RMS tjänsten till Azure Active Directory. Självklart vill vi leverera en SSO-lösning åt våra användare för att de skall få ett användarvänligt arbetssätt.

Vissa är restriktiva över att  lägga upp information till molnet av olika anledningar och i denna artikel beskrivs hur man idag kan komma igång med Azure RMS med så lite information som möjligt i Azure.

För att komma igång med Azure RMS krävs följande två steg:

Steg 1: Synkronisera de användare och grupper som skall nyttja RMS till Azure Active Directory

Tidigare har man använt sig av verktyget DIRSYNC för att synkronisera AD objekt till Azure AD. Nackdelen med DirSync är att det saknats möjlighet att skräddarsy vilka AD-attribut som skall synkroniserats till Azure AD. Sedan några månader tillbaka har vi ett nytt verktyg vid namn Azure AD Sync. Via detta verktyg får vi möjlighet att välja vilka/vilken Azure-tjänst som vi tänkt använda, vilket ger oss en lista på rekommenderade attribut. Vi har även möjlighet att modifiera dessa vid behov.

clip_image002clip_image004

Rent krasst synkroniserar vi enbart upp lika mycket information till molnet som vi redan lämnar ifrån oss när vi skickar ett epost till en mottagare!

Steg 2: är att se till att autentisera våra användare. Ett alternativ är att synkronisera våra AD-lösenord till Azure Active Directory. Vill vi där emot behålla lösenordet i vårat lokala Active Directory löser vi detta genom att sätta upp en federation där vi styr autentiseringen mot det lokala ADt.
För att åstadkomma detta behövs Active Directory Federation Services (ADFS) sättas upp i vår lokala miljö. För att vår ADFS skall vara nåbar från Internet vill vi skydda denna med en ADFS proxy vid namn Web Application Proxy (WAP).

Med den här designen ställer vi höga tillgänglighetskrav på vår lokala miljö och därför bör både ADFS och WAP implementeras med redundans och minst två ADFS och WAP servrar.

Azure RMS och dess krypteringsnycklar

Krypteringsnycklarna för Azure RMS behöver i nuläget finnas i Azure, och idag finns även alternativ för att skapa egna nycklar på egen HSM och via det som kallas BYOK (Bring Your Own Key) överföra dessa krypterat till motsvarande HSMer hos Microsoft. Av förklarliga skäl behöver nycklarna finnas i Azure för att kryptering/dekryptering skall vara möjlig.

BYOK konceptet ställer höga krav på organisationen runt rutiner och processer för HSM hantering. Återkom om ni önskar stöttning runt detta införande.

Annonser
Det här inlägget postades i Informationssäkerhet, RMS. Bokmärk permalänken.

En kommentar till Använda Azure RMS med minimalt i Azure

  1. Ping: Skydda mail oavsett mottagare och enhet | IT-Säkerhetsguiden

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s