С корпоративными документами часто работает большое количество людей, но если документы содержат конфиденциальную информацию, то возрастает риск ее компрометации. Идеально было бы ограничить количество сотрудников в группах, работающих с документами, предоставив им права редактирования и удобную автоматизированную систему доступа. В реальности организовать работу подобным образом не так просто, и в этом помогает система управления правами доступа ERM. ERM в течение многих лет была доступна как внутрикорпоративная система, обеспечивая ограничение доступа к чтению и редактированию конфиденциальной информации.
ERM-системы активно используют механизмы криптографии. Большинство из этих систем включают в себя инфраструктуру открытых ключей PKI, электронные сертификаты и цифровые подписи, защищая документы и предоставляя ключи только доверенным пользователям. Кроме этого, Для защиты мастер-ключами и управления ими можно использовать аппаратные модули безопасности HSM. Нельзя забывать, что именно мастер-ключи лежат в основе всей системы информационной безопасности. Независимо от уровня защищенности внутри компании, системы ERM всегда имели недостаток – в случаях, когда информация выходит за пределы организации, ее безопасность оказывается под вопросом. Сегодня с ростом популярности облачных технологий и распространением собственных пользовательских девайсов (Bring Your Own Device или BYOD), работающих удаленно, вне системы компании, защита информации становится еще более трудной и вместе с тем актуальной задачей.
Microsoft решил эту задачу при помощи решения управления правами доступа Azure RMS (Rights management service). Так, для обеспечения безопасной работы облачной программы Office 365 компания сегодня предлагает своим пользователям улучшенную версию существующей RMS на базе облачной платформы Microsoft Azure. С этой платформой пользовательская аутентификация, авторизация и определение прав доступа происходят непосредственно в облаке, что является огромным преимуществом, когда речь заходит о пересылке документов и обмене информацией.
Безусловно, у облачных технологий есть один минус – пользуясь ими, вы можете оказаться по соседству с конкурентами. И здесь огромную роль играет, насколько доверительные у вас отношения с провайдером облачных сервисов. Сами ваши документы не хранятся в облаке RMS, но опасения могут возникать и по поводу безопасности мастер-ключей (или «первичных» ключей, как их называют в RMS) в облачных хранилищах Microsoft. Компания Microsoft решила эту проблему при помощи технологии “Bring you own keys”.
Ваша система может сама генерировать мастер-ключи, которые затем будут переданы в RMS.Microsoft защитит эти ключи при помощи HSM, и доступ к ним для посторонних лиц будет закрыт. Это позволяет создать безопасную среду «нулевого разглашения», в которой можно использовать ключ, но не иметь к нему прямой доступ. В этом случае пользователи спокойно могут доверить провайдеру защиту своих ключей от злоумышленников и конкурентов и при этом полностью контролировать ценную информацию.
Для реализации подобной системы безопасности в Azure RMS Microsoft выбрал аппаратные модули защиты данных (HSM) nShield разработки Thales e-Security. Система очень проста в интеграции. В скором времени будет реализована дистанционная проверка ключей: пользователи смогут самостоятельно заходить на сайт Thales e-Security и проверять защищенность своих ключей и информации.