Mikä on AIP – Azure Information Protection
Microsoft Azure Information Protection – nykyisin AIP Unified Labeling – ja tuttavallisemmin AIP on tietoturvalisäosa, jonka avulla voidaan suojata Office 365 -sovellukset ja pilvessä käsiteltävät tiedostot. Tiedostot tai sähköpostiviestit voidaan suojata merkitsemällä ne organisaation ennalta määrittelemien tietoluokkien avulla. Tietoluokkiin voidaan liittää käyttöoikeusrajoituksia käyttäen Office 365 -ryhmiä.
AIP edustaa tiedon suojausta yksinkertaisimmillaan. Erityisen siitä tekee se, että tiedostojen ja sähköpostien luokittelu voidaan tehdä yksinkertaisella klikkauksella sähköpostin lähettämisen tai tiedoston luomisen yhteydessä.
Esimerkiksi salaiseksi merkitty tieto säilyy salattuna koko sen elinkaaren niin pitkään kuin merkintää ei poisteta tai luokittelua oteta kokonaan pois käytöstä. Mikäli sähköpostilla jaettu viesti tai tiedosto kopioidaan esimerkiksi Wordiin, periytyy sen luokka ja käyttöoikeudet mukana.
Tiedostojen ja sähköpostiviestien suojaaminen
AIP mahdollistaa tiedostojen suojaamisen organisaation omien tietoluokitusten mukaisesti. Käytännössä tämä tarkoittaa sitä, että tiedostojen luokitukset määritellään käyttäjäryhmittäin sen mukaan, mihin dataan tietyillä käyttäjillä ja ryhmillä tulee olla pääsy. Yksinkertaisimmillaan luokkina voivat olla esimerkiksi sisäinen, julkinen ja salainen.
Tiedostojen luokittelu voidaan tehdä manuaalisesti Office-työkaluissa työkaluriviltä löytyvän painikkeen avulla. Käyttäjän näkymässä vaihtoehtoina ovat kaikki ne tietoluokat, joihin hän kuuluu.
Luokittelun jälkeen dokumentin luokitus kulkee sen mukana niin pitkää kuin luokittelu on organisaatiossa käytössä tai luokitus poistetaan. Tiedostoja voidaan luokitella manuaalisen luokittelun lisäksi myös automaattisesti sisällön mukaisesti.
Kuva 1: AIP:n avulla tiedostojen suojaustaso voidaan merkitä määriteltyjen tietoluokitusten mukaan. Esimerkiksi kuvan johtoryhmä salainen -luokituksella merkittyn tiedoston voisi avata vain kyseiseen tietoluokkaan liitetyn käyttäjäryhmän jäsenet.
Azure Information Protection mahdollistaa lisäksi salattujen sähköpostien lähettämisen ja sen avulla voidaan määrittää esimerkiksi, ketkä pääsevät käsiksi sähköpostitse lähetettäviin tiedostoihin. Salattuja sähköposteja voidaan lähettää sekä WebAcces-webmailin että Outlook-työpöytäohjelmiston kautta yksinkertaisesti merkitsemällä sähköposti salaiseksi viestiä lähettäessä.
Samoin kuin tiedostoja, sähköpostiviestejä voidaan luokitella manuaalisesti tai automaattisesti sisällön mukaan. AIP:n avulla käyttäjä voi suojata lähtevän sähköpostin aina halutessaan. Lisäksi, organisaatiotasolla voidaan määrätä, että tietyn tyyppinen materiaali luokitellaan automaattisesti.
Kuva 2: Sähköpostia lähetettäessä viestin luokitus voidaan määritellä helposti yhdellä klikkauksella.
Organisaatio voi määritellä, että sähköpostiviesti luokitellaan aina automaattisesti salaiseksi esimerkiksi silloin, kun se sisältää tietyn yksittäisen termin tai luottokortti- tai henkilönumeron. Salausasetukset määritetään sisältötyypeittäin ja Office 365 tarkistaa sisältävätkö lähtevät sähköpostit salattavaksi määriteltyä tietoa ja salaa ne tarpeen mukaan.
AIP:n avulla voidaan myös määrittää, mitä toimintoja sähköpostin vastaanottaja voi viestille suorittaa. Esimerkiksi viestin välittäminen, sisällön kopiointi tai tulostus voidaan estää.
Tiedon luokittelu käyttötapausten mukaan
AIP:n avulla tietoluokitukset voidaan määritellä eri käyttötapausten mukaan: organisaation tiedon luokittelun ei tarvitse olla monimutkaista, vaan tietoa voidaan luokitella eri ryhmiin ja erilaisiin tarpeisiin.
Esimerkiksi johtoryhmälle voidaan luoda oma luokka ja liittää kyseiselle tietoluokalle rajattu käyttäjäryhmä, jolloin vain kyseisen käyttäjäryhmän jäsenet voivat merkitä tiedostoja johtoryhmä-luokkaan ja käyttää johtoryhmä-luokiteltuja tiedostoja.
Organisaatioissa, joissa on paljon henkilöstöä ja tarkasti määritelty, mitä asiakirjoja kukakin saa nähdä ja jakaa, voitaisiin AIP:n avulla helpottaa arjen työtä. Työntekijöiden ei tarvitse erikseen tarkistaa kenelle tietyn tiedoston voi jakaa, kun tietoluokat ja niiden käyttäjäryhmät on määritelty valmiiksi.
Tietoluokitusten avulla voidaan yksinkertaisesti suojata ja helpottaa tiedon käsittelyä ja jakamista esimerkiksi arkaluontoista tietoa, henkilötietoja, pankkitunnuksia tai muuta yksityisyydensuojan alaista tietoa käsittelevissä organisaatioissa.
Mikäli sinulla heräsi kysymyksiä tai ajatuksia, niin keskustelen mielelläni organisaatiosi tietoturvatarpeista. Voit olla minuun yhteydessä sähköpostilla reijo.appelroth@twoday.fi tai puhelimitse +358 505273662.