Technische Grundzüge von Microsoft Azure RMS

Sicherheit für den Austausch von Daten

20. August 2015Thomas Reimer und Thomas Bayer

Im ersten Teil dieses Artikels, Sicherheit und Datenschutz verbessern…, haben wir beschrieben, dass durch den immer globaler werdenden Austausch von Daten eine Reihe von Problemen im Bereich der Zusammenarbeit entstehen. Microsoft stellt mit Azure RMS einen Dienst bereit, der das Potenzial hat, diese zu lösen.

Grundsätzlich handelt es sich bei Azure RMS um ein Rights-Management-System, das dabei hilft, sensible und schutzwürdige Informationen eines Unternehmens dauerhaft vor unerwünschten Zugriffen abzuschirmen. Dieser Schutz besteht unabhängig davon, ob die Information innerhalb oder außerhalb der eigenen Organisation verwendet wird. Durch die große Bandbreite an unterstützten Geräten werden auch alle relevanten mobilen Zugriffsszenarien, zum Beispiel Zugriffe via Handy oder Tablet, geschützt.

Bei Azure RMS werden die Daten basierend auf Richtlinien für Autorisierung und Identitäten verschlüsselt. Im Gegensatz zu klassischen Peer-to-Peer-Ansätzen, erlaubt diese Verschlüsselung entsprechend autorisierten Diensten und Personen Zugriff auf Informationen. So lassen sich zum Beispiel verschlüsselte Dateien weiterhin für eine Suche indizieren. Darüber hinaus behalten die Unternehmen jederzeit Zugriff und Kontrolle über ihre Daten, unabhängig davon, ob die Mitarbeiter, die ursprünglich die Verschlüsselung angestoßen haben, noch im Unternehmen sind.

Das nachfolgende Bild zeigt grob den Aufbau einer Azure-RMS-Umgebung:

Foto 1
Abbildung 1: Aufbau einer Azure-RMS-Umgebung

Zentral ist dabei das von Azure bereitgestellte Rights-Management-System. Die Anwender eines Unternehmens werden via Directory-Synchronisation für das System freigeschaltet. Dateien, die in Office 365 oder auch auf lokalen File- oder SharePoint Servern liegen, lassen sich durch Verschlüsselung so schützen, dass nur bekannte Anwender Zugriff bekommen. Bei angebundenen Exchange Servern – egal ob Online oder On-premises – besteht außerdem die Möglichkeit, den Schutz auf E-Mails zu erweitern. Der Zugriff auf das RMS erfolgt über normale PCs, Notebooks oder eben mobile Endgeräte.

Der Mehrwert des Cloud-Ansatzes

Etwas versteckt zeigt das Bild oben auch die Schwäche des klassischen RMS-Ansatzes. Basis einer jeden verschlüsselten Kommunikation ist die eindeutige und gesicherte Authentifikation der beteiligten Anwender. Das klappt gut, solange man innerhalb einer geschlossenen Organisation kommuniziert. Soll die Kommunikation dagegen organisationsübergreifend funktionieren, beginnt das Dilemma. Entweder fügt man an sich externe Anwender einer internen Gruppe hinzu oder man geht eine direkte Vertrauensbeziehung mit anderen Organisationen ein. Die direkte Beziehung kann sinnvoll sein, wenn gleich mehrere Anwender der anderen Organisation eingebunden werden.

Diese direkte Anbindung kann für einen eng begrenzten Kreis von Organisationen eine gute Lösung sein. Im Rahmen der immer weiter um sich greifenden Globalisierung, kann die Anzahl daraus entstehender Vertrauensbeziehungen aber schnell in unübersichtliche Größen steigen.

Foto 2
Abbildung 2: Punkt-zu-Punkt-Verbindungen zum Aufbau der Vertrauensstellung

Zu diesen Punkt-zu-Punkt-Vertrauensbeziehungen bietet Azure RMS eine Alternative. Statt jedem – potenziellen – Kommunikationspartner einzeln zu vertrauen, wird nur eine Vertrauensstellung zu Microsoft beziehungsweise zum Azure RMS benötigt. Auf diese Weise wird indirekt die Vertrauensbeziehung zu allen anderen an Azure RMS angebundenen Organisationen aufgebaut.

Foto 3
Abbildung 3: Microsoft Azure als Ersatz für die Punkt-zu-Punkt-Beziehungen

Diese Indirektion der Vertrauensbeziehung hat gerade in der Praxis einen sehr großen Vorteil.
Sollen zum Beispiel Verträge mit einem neuen Dienstleister ausgetauscht werden, müssen sich die IT-Abteilungen nicht erst aufwändig über den Aufbau der Vertrauensbeziehungen austauschen. Im einfachsten Fall ist auch der neue Dienstleister bereits an Azure angebunden, wodurch der Dateiaustausch direkt verschlüsselt erfolgen kann. Selbst ohne diese Anbindung des Dienstleisters kann es ohne Zeitverzug losgehen: Microsoft bietet ein Portal, bei dem sich einzelne Anwender einer Organisation kostenfrei mit ihrer geschäftlichen E-Mail-Adresse registrieren können, um Azure RMS zu nutzen. So lassen sich die Daten auch mit Anwendern von Firmen austauschen, die sich selbst noch nicht mit dem Thema beschäftigt haben.

Soll Microsoft wirklich meine geheimen Daten sehen?

Eine auf Azure RMS basierende Sicherheitsarchitektur setzt natürlich sehr stark auf das Vertrauen, dass man Microsoft als Betreiber der zentralen Dienste entgegenbringt. Es gibt viele Bedenken, ob man in Zeiten der NSA-Affären seine geheimen Daten wirklich einem US-amerikanischen Anbieter anvertrauen sollte. Die Antwort darauf ist ganz einfach: Nein – und das ist selbstverständlich auch nicht nötig. Beim Einsatz von Azure RMS werden die sensiblen Daten, die geschützt werden sollen, zu keinem Zeitpunkt an Azure beziehungsweise Microsoft übertragen und schon überhaupt nicht dort gespeichert. Es sei denn, man tut das bewusst, um zum Beispiel die verschlüsselten Inhalte über Azure oder Office 365 auszutauschen. Bereits auf Anwendungsebene werden die Dateien verschlüsselt und sind damit nicht für „unerwünschte“ Benutzer lesbar.

Erst bei einem autorisierten Zugriff – sei es durch einen Anwender oder einen Dienst wie zum Beispiel einen Such-Crawler – werden die Informationen wieder entschlüsselt.

Einen guten Überblick über diese Vorgehensweise bietet folgende Darstellung von Microsoft:

Foto 4
Abbildung 4: Verschlüsselte Dateien werden erst nach autorisiertem Zugriff entschlüsselt (Quelle: Microsoft TechNet, „Was ist Azure Rights Management?“, URL: https://technet.microsoft.com/de-de/jj585026.aspx, Aufruf am 02.08.2015)

Wichtigster Garant für die Sicherheit der Daten ist dabei der private Schlüssel eines Unternehmens (im Bild rot dargestellt). Dieser schützt die tatsächlich für die Verschlüsselung zuständigen Inhaltsschlüssel, die für jedes Dokument eindeutig sind. Im einfachsten Fall generiert und verwaltet Microsoft diesen Schlüssel. Aus Sicherheitsüberlegungen sollte allerdings dieser sogenannte Mandantenschlüssel durch das Unternehmen selbst erzeugt und verwaltet werden. In diesem Fall hat Microsoft selbstverständlich keinen Zugriff auf den Schlüssel.

Natürlich lässt sich noch viel mehr über das Thema Sicherheit bei Azure RMS schreiben. Das würde allerdings den Rahmen dieses Blogs sprengen. Wenn Sie mehr erfahren wollen, stehen wir Ihnen aber natürlich gerne für Ihre Fragen zur Verfügung.

Nach diesem Ausflug in eher technische Themen werden wir uns im nächsten und letzten Teil dieser Blog-Serie noch mit möglichen fachlichen Einsatzszenarien für Azure RMS beschäftigen. Schauen Sie bald wieder vorbei!

Thomas Reimer und Thomas Bayer Thomas Reimer und Thomas Bayer sind bei adesso tätig. Thomas Reimer arbeitet als Manager Business Development für Microsoft-Themen und ist darüber hinaus Partner Manager für die Partnerschaft mit Microsoft. Thomas Bayer ist Senior Business Developer im Bereich Microsoft. Sein Schwerpunkt liegt auf der Konzeption kundenspezifischer Lösungen für Office 365 und Microsoft Azure. Zusätzlich berät er zu Microsoft-SharePoint-Themen.
Artikel bewerten:
1 Star2 Stars3 Stars4 Stars5 Stars
Loading...

Kommentar hinzufügen:

Ihr Kommentar: