Microsoft Azure Information Protection ( AIP ) ile Veri Sınıflandırma
Son zamanlar da artan siber güvenlik tehditleri, veri ihlalleri dolayısıyla KVKK, GDPR gibi kavramlar çok daha fazla önem kazanmış oldu. Artık KVKK ile birlikte şirketler, kullanıcılarının, müşterilerinin kişisel verileri ile daha fazla ilgilenmek durumundalar. Kişisel verilerin korunması amacıyla DLP ürünleri mevcut fakat sadece DLP ürünleri verilerin korunmasına, saklanmasına yeterli gelmemektedir. Bunun için ise DLP korumayı sağlarken, Classification (Sınıflandırma) denilen kavram da dosyaların ve verilerin yönetici tarafından belirlenen sınıflandırmalar ve etiketlemeler sayesinde zorunlu ya da isteğe bağlı olarak etiketlenmesini, önemli olan verilerin bulunmasını ve sınıflandırılmasını sağlamaktadır.
Microsoft’un sunduğu Azure Informaiton Protection’da, Bolden Jomes, Titus vb. gibi classification yapan bir çözümdür. Farklı olarak ise veri sınıflandırması ile birlikte Azure RMS sayesinde veri korumasını da sağlamaktadır.
Azure Information Protection(AIP)’ı Etiketleme, Sınıflandırma ve Veri koruma başlıkları şeklinde belirtebiliriz.
Etiketlerden başlamak gerekirse, etiketler; filigranlar, altbilgi veya üstbilgi gibi görsel anlamda içerikleri olan işaretlerdir. Bu görsel işaretlerin içerisinde bulunan meta veriler, dosyalara veya E-Postalara bir açık metin olarak eklenirler ve bu açık metin ile birlikte veri sınıflandırmasına uygun olarak, verilerin korunması için ilk adım gerçekleşmiş olur. Bu etiketler örneğin, gizli, personel ya da IT gibi etiketler olabilir. Ve bu etiketler Metadata olarak eklendiği için, dokuman paylaşılsa da o etiketler silinmemekte ve dosya korunması da sağlanmış olmaktadır.
Veri sınıflandırma ile etiketleme ortak olarak çalışmaktadır. Veri sınıflandırma ile birlikte, örneğin IBAN numarası, TC Kimlik Numarası gibi veriler bizim için hassas veridir diyerek sınıflandırma yapabilmekte ve TC Kimlik Numarası bulunan belgelerin etiketlemesi sağlanarak veri güvenliği gerçekleştirilebilmektedir.
Üçüncü olarak ise veri koruması başlığı incelenebilmektedir. Veri korumasını Azure Information Protection’da, Azure RMS(Azure Right Management Service) karşılamaktadır. Azure RMS, AIP ile birlikte gelen bir özelliktir ve herhangi farklı bir lisanslama gerektirmez. Azure RMS aslında sizlere bir hak yönetimi sunmaktadır. Bu hak yönetimi ile birlikte belirlenen verilerin kullanım hakları’nın nasıl olması gerektiğine, hangi kullanıcıların bu verileri görebilmesi veya değiştirebilmesine karar verilmiş olur. Bu sayede, hassas verilerin yetkisiz kişiler tarafından incelenmesi, değiştirilmesi ortadan kalkmakta ve aynı zamanda veri güvenliği de sağlanmış olmaktadır.
Kimlik doğrulama ile E-Posta ve dosyalar’ın güvenliğini sağlamak dışında Azure RMS şifreleme de yaparak veri güvenliğini sağlamaktadır. Ayrıca şirket içerisinde bulunan serverlarda, mobil cihazlarda, tabletlerde de kimlik doğrulaması yoluyla veri korumasını da sağlamaktadır.
Azure Information Protection veri korumasını, etiketlemesi sağlarken belirli özellikler kullanabilmektedir.
Azure Information Protection Özellikleri;
Manuel ya da otomatik sınıflandırma;
Sınıflandırma yapılırken kullanıcı bazlı olarak, manuel bir şekilde el ile sınıflandırma veya direkt yetkili bir kişi tarafından kurallar belirlenerek otomatik olarak sınıflandırma yapılabilmektedir. Örneğin otomatik sınıflandırma da yöneticiler, kullanıcılar’a öneriler belirterek belirli bir sınıflandırmayı seçmesini önerebilmekte ya da zorunlu olarak da belirlenen sınıflandırmayı seçmesini isteyebilmektedir.
Paylaşılan veriler üzerinde görünürlük ve denetim;
Bir dosyanın veya E-Postanın etiketlemesi, sınıflandırması yapıldıktan sonra, o dosya veya E-Posta’nın kimler tarafından görüntüleneceğini, okunabileceğini veya kimlerin bu dosyayı değiştirebileceğine karar verilerek, veri güvenliği sağlanmaktadır. Alıcı örneğin dokümanı okuyabilir fakat başkasına iletemez gibi kurallar sağlanmaktadır.
>Track ve Revoke Özelliği
Track özelliği ile birlikte belirlediğiniz paylaştığınız dosyaların kim tarafından ve ne zaman erişilmeye çalışıldığını, erişilmeye çalışırken hangi aksiyonu aldığını ve erişim bilgilerinin ne olduğu görülebilmektedir. Ayrıca erişim sağlayan kişilerin veya erişim sağlamaya çalışan kişilerin nerede olduklarını MAP özelliği ile izleyerek dosyalar hakkında bilgiler edilinebilmektedir.
Revoke ile birlikte ise belgelere olan erişim durdurulabilmektedir. Track ve Revoke ile verilerin izlenmesini erişim kısıtlamalarını https://track.azurerms.com adresine login olarak sağlayabilirsiniz.
Lokalde veya Bulutta koruma;
Sadece bulutta değil, kurum içinde de depolanmış olan kişisel verilerin de korunması sağlanabilmektedir.
Basit kullanım;
Diğer etiketleme çözümleri ile karşılaştırıldığında, çok basit bir şekilde işlemleri gerçekleştirmeyi sağlayan bir ara yüze sahip olan AIP, kullanıcıya veri güvenliği ile ilgili önerilerde de bulunarak basit bir kullanım sağlamaktadır. Bu öneriler sayesinde, ürün içi bildirimler ile kullanıcıların doğru bir şekilde karar vermeleri sağlanmış olmaktadır.
AIP, Office ile birlikte yaygın bir şekilde kullanılan uygulamalar üzerinde de korumayı ve sınıflandırmayı sağlayabilmektedir. Ve bu sayede kullanıcılar tek bir tıklama ile çalışmakta oldukları verilerin korunmasını sağlamış olurlar.
Azure Information Protection Nasıl çalışır?
AIP çalışma mantığı olarak clientlara bir agent kurulumu ile başlar. Bu agent kurulumu ile birlikte kullanıcı bilgisayarında, belirlenen dosya sistemlerinde Şekil 1.1 de ki gibi bir bar oluşur. Bu etiket barı sayesinde AIP portalın da oluşturulan ve belirlenen duruma göre dağıtılan etiketleri kullanıcıya ya zorunlu bir şekilde ya da öneri şeklinde sunarak, dosyaların ve E-Postaların etiketlenmesi sağlanmaktadır. AIP Client, portalda oluşturulan policyler’i buluttan çekerek kullanıcıların kullanmasını sağlamaktadır. Ayrıca AIP Client, Windows 10, 8, 7 gibi işletim sistemlerini desteklemektedir.
Son kullanıcı kısmından bakıldığında AIP Client haricinde bir de belgelerin, dokümanların şirket içerisinde veya şirket dışında paylaşılabilmesini sağlamak amacıyla Right Managenent Sharing Application kullanılmaktadır. Bu sayede AIP tarafından desteklenen dokümanların ve desteklenmeyen dokümanların da korunması sağlanmış olmaktadır.
AIP Client ile birlikte kullanıcılara yüklenen agent sayesinde, kullanıcıda ki veriler sınıflandırılıp, korunmasını da sağlanmaktadır fakat Exchange server, file server gibi sistemler de sadece bu agent ile sınıfladırma işlemi yeterli gelmemektedir. Bu sebeple burada AIP Scanner Servisi kullanılmaktadır. Bu servis ile birlikte bu ve benzeri ortamlarda bulunan verilerin taranması ve etiketlenmesi sağlanmış olmaktadır.
AIP Scanner ile birlikte File Server, Sharepoint, Exchange server gibi sistemlerde etiketleme yapılabilmektedir. AIP Scanner ilk olarak Windows server üzerinde kurulmakta, taranmasını istediğiniz serverlar ile bağlantısı yapılmakta ve daha sonrasında bulut da yönetim konsolu üzerinden yapılan sınıflandırmaları alınarak veri sınıflandırması yapılmış olmaktadır.
AIP Scanner otomatik sınıflandırmayı, Regex kayıtlarını, Pattern tabanlı olarak yapılan policyleri de desteklemektedir. Ayrıca AIP Scanner ile birlikte ortak alanlarda ki belgeleri, AIP Scanner servisinin çalıştığı server da bulunan Local Belgelerinizi, paylaşım alanlarında ki belgeleri de sınıflandırarak güvenlik sağlanabilmektedir.