Windows Azure Güvenlik Çözümleri: 3 – Rights Management Service (RMS)

Buluttan sağlanan güvenlik çözümleri günden güne artmakta. MFA (Çoklu Faktörlü Kimlik Doğrulama) servisinden sonra şimdi de Windows Azure RMS (Microsoft RMS) servisi geldi. Temelde Microsoft AD RMS fonksiyonelitesinde çalışmakta olan RMS’in en büyük farkı korunmuş bir içeriği dış organizasyon ve bireylerle herhangi bir entegrasyona gerek kalmadan paylaşabilmesidir. E-posta, SkyDrive, DropBox, USB, FTP P2P Torrent ile de içerik paylaşımı gerçekleştirilebilmektedir. Dolayısıyla bu kadar genel ve dağınık yapıda kullanılan bir servisin her noktadan erişilebilir, sürekli ayakta ve yükü kaldırabilir esneklikte bir platformda olması gerekiyor.

DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF, TXT, XML, JPG, JPEG, TIFF, GIF, BMP, PSD dosyalarını destekleyen bu servis aynı zamanda IOS, Android, Windows Phone, Windows RT,  Apple OSX, Windows destekli birçok farklı cihazdan da kullanılabilmektedir.

Tabi böyle bir sistemde akla ilk gelen soru içeriğin buluta çıkıp çıkmadığı oluyor. Windows Azure RMS’in yarattığı bir diğer fark da burada işte; içerik buluta kesinlikle çıkmıyor.

Windows Azure RMS Nasıl Çalışır?

Azure_RMS_1_622

Windows Azure RMS servisini kullanabilmek için cihaza uyumlu “RMS Uygulamasına” ihtiyaç duyulmaktadır. Eğer kurulum masaüstüne gerçekleşiyorsa, kurulum esnasında Office ürünlerinin içine bir eklenti olarak kendini ekliyor.

İçeriği ister Office uygulamasının içinden isterseniz de dışından dosya sisteminde herhangi bir Office ürünü kullanmadan koruyabiliyorsunuz. Dosya sistemindeyken önünüze iki adet seçenek çıkıyor; ilki “Protect In-Place (Yerinde Koru)” ile paylaşılacak döküman için istenilen koruma politikasını herhangi bir arayüze gerek kalmadan uygulayabiliyorsunuz. İkincisi “Share Protected (Korunmuşu Paylaş)” ile kendi arayüzünden dökümana (Otomatik olarak bir kopyası üzerinden hareket edilir) istenilen koruma politikasını uygulayıp, alıcıya e-posta içerisinde şifreli bir şekilde gönderebiliyorsunuz.

Azure_RMS_2_622

Windows Azure RMS servisi, alıcı tarafından dökümanın açılabilmesi için şifre anahtarlarının paylaşımı dışında bir görev yapmamaktadır.

Alıcı dökümanı aldıktan sonra açabilmek için aygıtına uygun Windows Azure RMS uygulamasına sahip olması ve Windows Azure RMS servisi tarafından kimliğinin doğrulanması gerekmektedir. Bu küçük uygulama kurum içinde MSI paketi olarak da kurulabilmektedir.

Windows Azure RMS servisi temelde Windows Azure Active Directory ile çalışmaktadır. Dilerseniz kurum içi Active Directory’nizi buraya senkronize edebilirsiniz. Etmek istemiyorsanız federasyonla entegrasyon sağlayabilirsiniz. Böylece kurum içi kullanıcıların sürekli servisi kullanmak için giriş yapması gerekmez.

Microsoft hesabı (LiveID) ve GoogleID entegreli de çalışmaktadır.

Ancak kuruma bağlı değil, bireysel kullanıcı iseniz, servise kayıt yapmak ve kullanım sırasında da giriş yapmanız gerekmektedir. Bireysel olarak https://portal.aadrm.com/ adresinden kayıt olunabilir.

Azure_RMS_3_622

Kullanıcı kimliği doğrulandıktan sonra buluttaki şifre anahtarına ulaşır ve dökümanı açar.

Azure_RMS_4_622

Windows Azure RMS Servisinde Güvenlik

Yukarıda da bahsettiğimiz gibi buluttaki bu servis, şifre anahtarı tutmaktan ve gerektiği anda paylaşmaktan başka bir görev yapmaz. Dolayısıyla korunması gereken en önemli öge burada şifreleme anahtarı oluyor.

Windows Azure RMS hizmeti, şifreleme anahtarları için özel bir depolama kullanır. Güvenlik sektöründe kendini kanıtlamış Thales tarafından geliştirilen FIPS uyumlu “Donanım Güvenlik Modülü” (HSM) sayesinde bu anahtarlar “Anahtar Yönetim Hizmeti” (KMS) tarafından oldukça güvenli bir biçimde saklanır. Bu anahtarlara ne Microsoft ne de başkası tarafından erişilemez ve görüntülenemez. Anahtarların kullanımı, erişimi ile ilgili bir log hizmeti almak da mümkündür.

KMS ayrıca müşteriye kendi anahtarını kullanma olanağı da sunmaktadır. Kurum içi HSM tarafından her iki saatte bir anahtarı bulut tarafındaki KMS’ye gönderilebilir. Böylece sürekli anahtarın bulutta tutulmasına gerek kalmaz.

Azure_RMS_5_622

Hibrit Yaklaşım

Windows Azure RMS servisi kendi başına e-posta ve SharePoint desteği sağlamaz. “RMS Bağlayıcı” uygulaması ile kurum içi Exchange ve SharePoint iş yükleri için AD RMS sunucusu olarak davranır. Gelen tüm istekleri buluttaki RMS servisine yönlendirir.

Windows Server 2012 veya Windows Server 2008 R2’ya kurulan bu yazılım, kurum içi IRM aktif sunucular ve bulut servisi arasında arayüz olarak çalışır.

Exchange Server 2010/2013 ve Microsoft Office SharePoint Server 2010/2013 desteklidir.

Windows Azure RMS ve Microsoft Active Directory RMS Arasındaki Farklılıklar

 

Windows Azure RMS

 

Microsoft AD RMS

     
Bilgi hakları yönetimi (IRM) özelliklerini Microsoft online hizmetler ve sunduğu servisleri Exchange Online, SharePoint Online, bunun yanı sıra Microsoft Exchange Server ve SharePoint sunucuları gibi geleneksel kurumsal sunucu ürünlerini desteklemektedir. Öncelikle kurum içi Microsoft sunucu ürünleri olan Dosya Sınıflandırma Altyapısı (FCI), Microsoft Office SharePoint Server ve Exchange Server için tasarlanmıştır.
Kullanıcı, Microsoft Office 365, Windows Azure RMS veya bireysel RMS hesaplarını kullanarak bir içeriği aynı kuruluş içinde veya dış bir kuruluştaki kullanıcılar ile güvenli bir şekilde paylaşabilir. Dış sistemler ile güvenlik TUD veya ADFS aracılığı ile sağlanır. İçerik ancak o zaman dış sistemler ile paylaşılabilir.
Hak politikası önceden tanımlanmış bir dizi kullanım şablonları sağlar. Bu dizi, şirket içi erişimi engelleyen iki adet şablon, sadece okuma izinli bir adet şablon ve yazma/değiştirme izinli bir adet şablondan oluşmaktadır.Ayrıca kullanıcılar “RMS Paylaşım Uygulaması” kullandığında, önceden tanımlanmış bu politika şablonları yeterli olmadığında kendi hak dizilerini tanımlayabilirler. Kendi hak politika şablonunu oluşturabilir ve tanımlayabilirsin. Kullanmak için tanımlama olanağı sağlar.Ayrıca kullanıcılar “RMS Paylaşım Uygulaması” kullandığında, önceden tanımlanmış bu politika şablonları yeterli olmadığında kendi hak dizilerini tanımlayabilirler.
Microsoft Office 2010/2013 desteklenmektedir. Mac için olan Microsoft Office 2011 desteklenmemektedir. Microsoft Office 2007/2010/2013 desteklenmektedir.Windows Vista , Windows XP, Windows 7, Windows 8 desteklidir.
Windows 7 ve Windows 8 desteklidir. Windows Vista ve Windows XP destekli değildir.
Windows Phone, Android, iOS ve Windows RT desteklidir. Exchange ActiveSync destekli E-Posta kullanan tüm mobil aygıtlar desteklidir. Sadece Windows Phone desteklidir. Ancak, E-Posta Exchange ActiveSync IRM destekli E-Posta kullanan tüm mobil aygıtlar desteklidir.
Cryptographic Mode 2’yi ek bir ayar gerektirmeden destekler. (Daha güçlü güvenlik anahtarı boyutu ve şifreleme algoritması destekler.) Cryptographic Mode 1’i ek bir ayar gerektirmeden destekler. Cryptographic Mode 2 icin ek bir ayar gerektirmektedir.
Sadece Windows Azure Rights Management’tan Active Directory Rights Management Services (AD RMS)’a bir geçişi destekler. İki taraflı geçişi de destekler.

 

Çoklu Faktörlü Kimlik Doğrulama (MFA – Multi Factor Authentification) çözümünün ayrıntılarını bu yazıda , Windows Azure Active Directory (WAAD) çözümünün ayrıntılarını ise bu yazıda bulabilirsiniz.