Andmete turvalisus liitseadmes ja Azure Rights Management Andmete turvalisus liitseadmes ja Azure Rights Management

Pole mitu aastat näinud ühtegi IT valdkonna uuringut, kus vastajad poleks nõustunud, et andmete turvalisus on prioriteet. Kui jutt läheb aga turvalisust tagavate lahendusteni, siis vaatavad kõik nõutult ringi, sest terviklikku lahendust ei paista. Põhjus ei ole mitte selles, et IT firmad ei tahaks lahendust pakkuda, vaid sihtmärk liigub kiiresti edasi ja tavaliselt on lahendused kasutusküpsed alles siis, kui kliendid ootavad juba järgmisi asju.

Vaataks korra ajas tagasi. Kui viis-kuus aastat tagasi arvutist rääkides tekkis inimestes kujutlus komplektist arvuti kast, klaviatuur/hiir ja monitor, siis praegu tähendab arvuti sülearvutit. “Arvuti kasutamine” on seejuures üha vähem seotud arvutiga ja üha enam eristuvad tegevused – internetis surfamine, meili lugemine, Facebooki kasutamine, skaipimine jne. Tegevuse jaoks kasutatav seade ei ole oluline. Mõttemalli muutusega koos on arenenud ka haldusmudel – paar aastat tagasi oli kuum teema mobiilide haldus (MDM – Mobile Device Management). Seejärel saadi aru, et seadmeid on eri tüüpi, seadmete sees on rakendused ja rakenduste sees on andmed – nii sündis laiahaardelisem mobiilsuse haldus (EMM – Enterprise Mobility Management).

Kasutusmudeli muutumise kirjeldamiseks tuli Gartner umbes aasta tagasi välja ideega liitseadmest. See tähendab, et inimene kasutab infosüsteemi just nimelt selle seadmega, mis hetkel on kõige sobivam. Näiteks sorteerib ta laekunud meilid ära telefonis, eraldades tähtsamad ja vastamist vajavad meilid. Seda saab ta teha kodus, bussis, rongis või lõunalauas. Arvuti taha jõudes tegeleb ta juba keskendunult vaid oluliste kirjadega. Inimene ei kasuta seadmed, vaid teenuseid ning kasutamiseks valitakse antud hetkel kõige mugavam viis.

mitmest seadmest koosnev liitseade

Infotehnoloogias ei kasutata seadmeid, vaid teenuseid

Nii kaua kui liitseade koosneb arvutist ja nutitelefonist, on olukord lihtne ja saab rääkida seadmete haldusest. Telerite, kellade ja muude vidinate jõudluse kiire kasv kasvatab aga kontaktipinda eksponentsiaalselt. Asjade internetis tahavad lambilülitid ja termostaadid ka andmetele ligi pääseda ja seadmete haldus senise praktika järgi ei saa enam toimuda.

Seadmetele keskendumise asemel tuleb kaitsta andmeid

Kuna seadmeid kaitsta ja kontrollida on keeruline, siis tuleb kaitsta andmeid. Siiani kasutatud andmete kaitsmise meetodid on olnud liiga ranged, mille tulemuseks on nende vähene kasutamine. Näiteks Eesti ID-kaardiga saab adressaadile edastatavaid faile krüpteerida, kuid avada saab ainult konkreetse sertifikaadiga. Kui adressaadil on ID-kaart, digitaalne isikutunnistus ja Mobiil-ID, siis peab nende kõigi sertifikaadid konteinerisse lisama. Lisaks ei ole arvuti otsingumootor suuteline konteineris olevaid faile indekseerima ja seega otsingus neid üles ei leia. Või kui konteineris on dokumendid, mis peavad olema ligipääsetavad juhatuse liikmetele, siis kuidas korraldada konteinerite haldus kui juhatuse liikmed peaksid muutuma? Paindumatus, mis on omane pea kõigile krüpteerimislahendustele, tuleb absoluutse turvalisuse ihalusest, mida äritehingutes peaaegu kunagi vaja ei lähe. Äritehingutes on põhiline, et adressaat on koostööpartnerina tuvastatud (isikutuvastus ei ole oluline), teekond adressaadini on turvaline ning andmeid ei ole võimalik kolmandale osapoolele lekitada. Selle eesmärgi saavutamiseks on vaja oluliselt vähem ranget turvapoliitikat.

Paindlik ligipääsupoliitika lubab rohkem mugavust

Sellise paindlikuma poliitika rakendamiseks sobib Microsofti Azure Rights Management Service. Teenus võimaldab seada dokumentidele ligipääsupiiranguid, mis on ettevõtte sees reguleeritud Active Directory õiguste süsteemiga ning väljaspool koostööpartneri e-maili aadressiga. Sisuliselt toimib teenus selliselt, et kõik edastatavad dokumendid krüpteeritakse ja neile seatakse ligipääsupoliitika.

Azure Rights Management Service

Azure Rights Management Service’i toimimine skemaatiliselt

Kaitstud dokumentide jagamine äripartneritega

Rights Management Service’i teeb eriti põnevaks just võimalus jagada dokumente ka nende inimestega, kelle organisatsioonis ei ole RMSi rakendatud. Dokumentide vastuvõtja peab omama e-maili aadressi ning Office 2013 kontoritarkvara. Kui soovite jagada dokumente teises formaadis või inimesega, kelle arvutis ei ole Office 2013 kontoritarkvara, on vaja paigaldada Rights Management teenuse klientrakendus.

Office 2013 dokumentidele on võimalik seada õigusi granulaarselt alates vaatamisest kuni omanikuõiguseni välja.

Andmete kaitsmine SharePointis

Azure RMS annab võimaluse kaitsta andmeid ka väljaspool dokumendihalduse süsteemi. Senised dokumendihalduse lahendused on piiranud dokumendile ligipääsu kasutusõigustega, millega saab määrata kasutajad, kellel on õigus dokumente luua, avada, muuta jne. Kui dokument on aga dokumendihalduse süsteemist arvutisse tõmmatud, kaob selle üle täielik kontroll. Näiteks on sagedane olukord, kus müügitöötaja tõmbab dokumendihalduse süsteemist alla klientidele tehtud müügipakkumised. Lahkudes teise firmasse saab ta neid dokumente jätkuvalt kasutada ja selliselt osutada eelmisele tööandjale konkurentsi. Taolist pahatahtlikku konkureerimist on seniste lahendustega võrdlemisi keeruline takistada.

Kui dokumendihalduse süsteemis olevale teegile aga rakendada Azure RMS andmekaitsepoliitika, siis saab palju täpsemalt reguleerida dokumentide kaitset. Näiteks saab seada reegli, et dokumenditeegist alla laetud dokumendid automaatselt krüpteeritakse, määratakse tähtaeg, milleni need dokumendid on avatavad ja kasutajad, kes on autoriseeritud dokumente avama. Sellise poliitika rakendamisel:

  • Saab SharePointist alla laetud dokumente kasutada ainult see töötaja, kes need alla laadis talle eraldatud õiguste piires.
  • Kui dokumendile on rakendatud ka tähtajaline luba, läheb dokument töötaja arvutis peale tähtaja möödumist lukku;
  • Kui töötaja õigused süsteemis  peatatakse, ei saa ta enam dokumenti avada.

Lisaks eelnevale on dokumendile võimalik seada ka logimine, see tähendab, et kõik dokumendi avamised või püüud avada logitakse turvasüsteemis.