Information Security und Data Management in der Microsoft Cloud und in hybriden Umgebungen Georg Bommer, Martin Hüsser
Agenda Einführung hybride Szenarien Anforderungen und Herausforderungen Was bietet Microsoft Security in Azure und Office365 Azure Information Protection AIP Zusammenfassung und Fazit Evtl. kurze Demo Transparenz und Kontrolle ein information-centric Ansatz Page 2
Hybride Szenarien - Informationssicherheit - Datenschutz - Datenmanagement - Rolle vom Benutzer Page 3
Anforderungen - Herausforderungen Information Security Daten Klassifizierung Automatisierung, Verifikation Schutz der Daten in Use, in Motion, at Rest Policy Enforcement Umsetzung, Überprüfung Überwachung Logging, Auditing Zertifikats-Management Authentisierung, Autorisierung, Verschlüsselung Datenschutz Korrekte Aufbewahrung Auffinden, Schützen und Löschen von relevanten Informationen Page 4
Anforderungen - Herausforderungen Data Management Übersicht Inventar Kontrolle Tracking, History Information Lifecycle Retention, Data Clean-up Benutzer Erfahrung Mehr Möglichkeiten, mehr Verantwortung Verschlagworten, Klassifizieren, Schützen, Rechtevergabe Transparenz und Effizienz Informationen verwalten und gezielt finden Kompatibilität und Qualität der Daten Dateiformate, Meta- Informationen, Verlinkungen Page 5
Microsoft Information Protection Strategie Azure Perimeter Office365 External Sharing Mobility Page 6
Übersicht Information Protection Funktionen and Services Office 365 DLP Azure Information Protection Cloud App Security Conditional Access User / Group Message Encryption Windows Information Protection Cloud Application Device State Azure Disk Encryption. Azure Directory Key Vault Intune EDM Location (IP range) Client Application Sign-in-Risk TDE SQL Server Advanced Data Governance Office365 DLP Page 7
Azure Information Protection AIP RMS CLASSIFICATION LABELLING ENCRYPTION ACCESS CONTROL POLICY ENFORCEMENT DOCUMENT TRACKING DOCUMENT REVOCATION Highlights Schützt Data at Rest, in Motion, Use Integriert in Office365 Ready to go Client für Windows 7/8/10/Mobile/RT, MacOS, IOS, Android IRM Funktionen: Read, Edit, Print, Extract, Forward, Reply Key Management durch Microsoft External Sharing (Azure Account oder RMS for Individuals) Limitationen Transparenter, umfassender Schutz und IRM nur für Office Applikationen Eingeschränkte Funktionen für andere Anwendungen und Filetypen Die Klassifizierung und das Labelling sind user-orientiert und skalieren nicht Labels bieten keine Transparenz Page 8
Zusammenfassung Microsoft hat eine Security Vision und bietet ein umfassendes, durchgängiges Konzept für den Schutz von Daten und Informationen on Premise, Cloud, Mobility, External Sharing Szenarien für Data in Use, at Rest, in Motion, in Process für Systeme, virtuellen Storage, Mobile Devices, Applikationen In der Azure Cloud sind die besten Security Controls implementiert. Microsoft macht diese auch ihren Kunden zugänglich integriert oder als Zusatz-Services Durch das Angebot in Azure von integrierten Security Funktionen in Kombination mit den Key Management Services sind Kunden in der Lage, sehr schnell Massnahmen umzusetzen und einen guten Sicherheitsstandard zu erreichen Page 9
Zusammenfassung Es gibt jedoch einige Lücken und Schwachstellen in der Microsoft Information Protection Strategie: Die Altlasten der Kunden sind nicht berücksichtigt Was passiert mit den Millionen Datenobjekten und den vielen Datei- Typen, die nicht unterstützt sind? Organisationen und Data Owner haben keine Transparenz und keine Kontrolle über die unstrukturierten Daten Welche Daten existieren, wo sind diese gespeichert, wie sind sie geschützt? Information Lifecycle Management (ILM) Wie wird sichergestellt, dass Datenobjekte entsprechend Policies, Regulatorien oder Business-Relevanz aufbewahrt rsp. gelöscht werden Klassifizierung, Labelling und Verschlagwortung Wie wird sichergestellt, dass alle Mitarbeiter konsistent Daten schützen, korrekt labeln und nach einheitlichen Kriterien verschlagworten? Wie kann das überprüft werden? Page 10
Transparenz und Kontrolle ein information-centric Ansatz Kurze Demo gbo@datagovernance.tech Page 11
System-Übersicht Page 12