PL EN
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Zobacz nadchodzące webinary:

    Brak wyników

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Zarządzanie prawami dostępu do plików

Active Directory Rights Management Services

Udostępnij
Drukuj:
Potrzeba ochrony zasobów plikowych w organizacji to jeden z ważnych elementów budowania zintegrowanego systemu zarządzania IT. Usługa zarządzania prawami dostępu w Active Directory Rights Management Services to łatwy sposób uporządkowania dostępu do poufnych informacji i plików poprzez szyfrowanie i system uprawnień. Wdrożenie AD RMS to droga do bezpiecznego przechowywania elektronicznych dokumentów służbowych.
 

Wstęp

W dzisiejszych czasach standardem jest posiadanie jakiejś formy zabezpieczenia dostępu do firmowych zasobów danych. Poczynając od najprostszych, jak np. firewall, poprzez mechanizmy wykrywania intruza (Intrusion Detection Systems). W takim modelu nadal jednak musimy się opierać na dużej dozie zaufania do dobrych intencji użytkownika końcowego. Powyższe mechanizmy nie chronią przed uzyskaniem dostępu do danych dla kogoś, kto już znalazł się w sieci firmowej.

Oczywiście możemy chronić zasoby sieciowe przed nieautoryzowanym dostępem, np. poprzez założenie hasła na plik, ograniczenie dostępu ACL lub szyfrowanie zasobów (np. mechanizm EFS). Zwróćmy jednak uwagę, że gdy raz udzielimy użytkownikowi dostępu do konkretnego pliku, może on na nim wykonać praktycznie dowolne działanie (np. przesłać dalej e-mailem z informacją, jak otworzyć, wydrukować itp.).

Powstało wiele standardów chroniących przed wyciekiem danych (ang. information leakage), np. HIPAA (Health Insurance Portability and Accountability Act), GLBA (Gramm Leach Bliley Act), Sarbanes-Oxley Act czy UK Data Protection Act. Wszystkie wymienione regulacje bezpośrednio wymuszają na biznesie ochronę wartości intelektualnej i danych poufnych poza standardowymi mechanizmami.

Mechanizm Active Directory Rights Management Services (AD RMS) jako jedna z technologii informatycznych bardzo dobrze wpisuje się w powyższe standardy.

Usługa zarządzania prawami dostępu w Active Directory RMS to łatwe w zarządzaniu rozwiązanie służące do ochrony poufnych informacji i plików w organizacji. Wykorzystując tę technologię, firmy mają możliwość szyfrowania informacji w plikach, a następnie – poprzez zawarte w pliku polityki – nadania konkretnego poziomu uprawnień dostępu do interesującej zawartości.

Zagrożenia

Jednym z najbardziej typowych przykładów możliwych zagrożeń i incydentów, które wskazują na ogromną potrzebę ochrony zasobów plikowych, jest np. pozostawienie pendrive z tajnymi danymi szwedzkich służb specjalnych w bibliotece w Sztokholmie w roku 2008. Innym przykładem może być skopiowanie przez naukowca koncernu DuPont dokumentów firmowych o łącznej wartości prawie 400 mln dolarów w celu rozpoczęcia współpracy z konkurencją.

W roku 2011 Ponemon Institute poinformował, że statystyczny koszt utraconej pojedynczej informacji (Personally Identifiable Information) wynosi około 194 dolary.

AD RMS jest przykładem zastosowania w praktyce technologii Information Rights Management (IRM). IRM to ogólna nazwa technologii informatycznych służących do ograniczania dostępu do dokumentów elektronicznych objętych różnymi formami utajnienia.

Szczególnym przypadkiem zarządzania prawami do informacji są systemy Digital Rights Management, stosowane do ochrony przed nieuprawnionym kopiowaniem filmów, muzyki czy e-booków. Główna różnica polega na tym, że systemy DRM są przeznaczone do ochrony plików multimedialnych w zastosowaniach masowych, a systemy IRM do ochrony dokumentów elektronicznych w środowiskach korporacyjnych i instytucjonalnych.

Do ograniczenia dystrybucji informacji stanowiących tajemnicę stosuje się najczęściej dwie techniki:

  • Ochrona logiczna dokumentów elektronicznych za pomocą praw dostępu. Ochrona jest egzekwowana przez aplikację, wewnątrz której przetwarzane są dokumenty, lub przez system operacyjny (dokumenty w plikach). Skuteczność takiej ochrony jest ograniczona do granic aplikacji lub systemu – uprawnienia tracą moc po przeniesieniu dokumentu poza środowisko egzekwujące te prawa.
  • Ochrona kryptograficzna – przetwarzanie dokumentów elektronicznych wyłącznie w postaci zaszyfrowanej. Dokument jest rozszyfrowywany w momencie otwarcia go przez osoby lub systemy uprawnione i posiadające odpowiedni klucz kryptograficzny. Proces ten jest zwykle transparentny z punktu widzenia użytkownika, a dystrybucja kluczy odbywa się w sposób automatyczny. Jeśli dojdzie do skopiowania dokumentu poza uprawniony system, to będzie to nadal forma zaszyfrowana, a więc nieczytelna, bez odpowiedniego oprogramowania i klucza kryptograficznego.

Głównym ograniczeniem systemów IRM jest możliwość skopiowania chronionej informacji w postaci nieobjętej mechanizmami ochronnymi, np. wykonanie zdjęcia ekranu monitora podczas jej wyświetlania.

Wdrożenie rozwiązania AD RMS

Przed uruchomieniem mechanizmu AD RMS w organizacji powinniśmy mieć świadomość, jaką ogólną architekturę należy uwzględnić w naszych pracach. Podzielenie mechanizmu na główne elementy składowe ukazuje potrzebę zapewnienia trzech narzędzi:

  1. serwera AD RMS, który jest serwerem aplikacyjnym IIS z usługami:
    • administracji,
    • certyfikacji konta,
    • licencjonowania (ang. CLC, Client Licensing Certificate),
    • publikowania,
    • certyfikatów kont praw dostępu (ang. RAC, Rights Account Certificate),
  2. serwera bazy danych:
    • baza konfiguracji – krytyczna baza danych służąca do przechowywania certyfikatów, licencji i informacji o usługach publikacji,
    • baza logowania,
    • baza usług katalogowych – przechowuje tymczasowo wszelkie identyfikatory (np. adresy e-mail), Security ID (SID), przynależność do grup; informacja jest odpytywana protokołem LDAP do serwera usług katalogowych (Active Directory Domain Controller) i przechowywana przez 12 godzin (wartość domyślna),
  3. serwera usług katalogowych (Active Directory Domain Controller).

W kolejnym kroku należy się zastanowić, jaki model obsługi, dostępu do plików oraz zarządzania platformą AD RMS jest dla nas najbardziej użyteczny. Poniżej przedstawiono dwa podejścia do wdrożenia usługi AD RMS:

  • w jednej organizacji,
  • z możliwością kooperacji z inną organizacją.

Wdrożenie AD RMS w jednej organizacji

Przy wdrożeniu rozwiązania AD RMS w jednej organizacji w celu zabezpieczenia plików szyfrowanych mechanizmem AD RMS dobrze jest zastosować mocno restrykcyjne podejście. Zakłada ono, że możliwość odszyfrowania plików będzie dostępna tylko dla użytkowników domenowych, będących członkami firmowej domeny. W takim podejściu mechanizm AD RMS działa, jak przedstawiono na schemacie poniżej.

Działanie rozwiązania AD RMS w jednej organizacji

Wdrożenie AD RMS z możliwością kooperacji z inną organizacją

W wypadku gdy dwie organizacje (firmy) chcą ze sobą współpracować, można wdrożyć rozwiązanie wspierające mechanizm RMS, czyli ADFS (Active Directory Federated Services). Pozwala to organizacjom udostępniać zabezpieczony kontent bez kolejnej relacji zaufania lub wdrażania kolejnych serwerów AD RMS.

W dużym uproszczeniu ADFS jest standardem pozwalającym na autoryzację i uwierzytelnienie (autentykację) pomiędzy różnymi lasami domen. Działa to na zasadzie żądania autentykacji zaufanym tokenem. Federacja pomiędzy dwiema organizacjami jest zestawiana na zasadzie relacji zaufania pomiędzy dwoma strefami bezpieczeństwa (tzw. security realms). Serwer jednej strony zaufania (ADFS-ACCOUNT) uwierzytelnia się użytkownikiem Active Directory Domain Services i wystawia token zawierający serię informacji o użytkowniku. Serwer ADFS po drugiej stronie relacji zaufania (tzw. ADFS-FESOURCE) weryfikuje token i wystawia oddzielny token, który akceptują lokalne serwery. Pozwala to na dostęp użytkownika do interesującego go zasobu.

Dzięki temu mechanizmowi użytkownicy nie muszą się autoryzować bezpośrednio do zaufanych środowisk, a organizacje nie muszą współdzielić informacji o użytkowniku i jego hasła. W takim podejściu mechanizm AD RMS działa, jak przedstawiono na schemacie poniżej.

Działanie AD RMS w kooperacji z inną organizacją

Role, uprawnienia, szablony

AD RMS jest platformą elastyczną, jeśli chodzi o nadawanie uprawnień do zarządzania środowiskiem oraz tworzenia dedykowanych szablonów w celu zaszyfrowania plików.

Domyśle role i uprawnienia:

  • Enterprise Administrators – mają pełnie prawa do zarządzania platformą AD RMS,
  • Template Administrators – mają prawo do tworzenia, edycji i usuwania szablonów uprawnień,
  • Auditors – mają prawo do generowania raportów z wykorzystania platformy.

Działające środowisko AD RMS najlepiej dostosować do potrzeb organizacji poprzez przygotowanie szablonów użycia. Powinno być to poprzedzone stworzeniem koncepcji wykorzystania, np. szablon dla zarządu, szablon dla IT, szablon regulaminy itp.

Można sobie wyobrazić, że dokumenty zaszyfrowane szablonem zarządu będą dostępne do edycji, odczytu, zmiany i wydrukowania tylko dla jego członków. Z kolei szablon regulaminy może zabezpieczać plik poprzez możliwość odczytu dla wszystkich pracowników w organizacji, a edycja leży np. tylko w gestii działu kadr.

Zabezpieczenie pliku przy wykorzystaniu AD RMS

Technologia AD RMS doskonale integruje się z narzędziami MS Office.

Dla użytkownika końcowego zabezpieczenie danego pliku polega na ograniczeniu dostępu przez wybranie dedykowanego szablonu lub opcji Dostęp ograniczony, pozwalającej dowolnie modyfikować dostęp do pliku.

W przykładzie zaprezentowano zabezpieczenie pliku MS Word 2013 szablonem o nazwie Support. Osoba, która otworzy zabezpieczony plik (o ile posiada uprawnienie do jego otwarcia), może wyświetlić dostępne dla siebie uprawnienia (zobacz zrzuty ekranu poniżej.

Przykład zastosowania technologii AD RMS w programie MS Word

Dokumenty – bezpieczne

W artykule przedstawiono koncepcję wdrożenia technologii AD RMS w wariancie dla jednej oraz kilku organizacji. Zaprezentowano praktyczne użycie technologii w codziennej pracy użytkownika końcowego. Nie poruszono zagadnień licencyjnych, jednak należy podkreślić ich wagę, szczególnie w wypadku wdrożenia rozwiązania w przedsiębiorstwie.

Wdrożenie AD RMS to droga do bezpiecznego przechowywania elektronicznych dokumentów służbowych.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:
#}

Formularz kontaktowy





    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    Napisz maila lub zadzwoń

    E-mail: office.pl@snpgroup.com
    Tel. 61 827 7000

    SNP Poland Sp. z o.o.

    Centrala:
    Złotniki, ul. Krzemowa 1
    62-002 Suchy Las k. Poznania

    Skontaktuj się z nami

    W czym możemy pomóc?
    Napisz do nas
    Wyślij email
    Zadzwoń





      1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
      2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
      3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
      4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
      5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
      6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
      7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

      Kontakt ogólny do firmy
      office.pl@snpgroup.com

      Pytania o produkty i usługi
      info.pl@snpgroup.com

      Pytania na temat pracy i staży
      kariera@snpgroup.com

      61 827 70 00

      Biuro jest czynne
      od poniedziałku do piątku
      w godz. 8:00 – 17:00