O papel da Proteção de Informações do Azure na proteção de dados

A Proteção de Informações do Azure (AIP) fornece aos clientes a capacidade de classificar, rotular seus dados e protegê-los usando criptografia. A Proteção de Informações do Azure permite que os administradores de TI:

• Classifique automaticamente e-mails e documentos com base em regras predefinidas
• Adicionar marcadores ao conteúdo, como cabeçalhos, rodapés e marcas d'água personalizados
• Proteja os arquivos confidenciais da empresa com o Rights Management, que permite:
  • Use chaves RSA de 2048 bits para criptografia de chave pública e SHA-256 para operações de assinatura.
  • Criptografar os arquivos para um conjunto específico de destinatários dentro e fora da organização
  • Aplicar um conjunto específico de direitos para restringir a usabilidade do arquivo
  • Descriptografar conteúdo com base na identidade e autorização do usuário na política de direitos

Esses recursos permitem que as empresas tenham um maior controle de ponta a ponta sobre seus dados. Nesse contexto, a Proteção de Informações do Azure desempenha um papel importante na proteção dos dados da empresa.

Importante

Para obter mais informações sobre como a Proteção de Informações do Azure funciona, leia Como funciona o Azure RMS? Sob o capô.

O estado da proteção empresarial hoje

Muitas empresas hoje não têm nenhuma tecnologia de proteção em vigor, com documentos e e-mails sendo compartilhados em texto claro e os guardiões de dados não têm a clareza sobre quais usuários têm acesso a conteúdo privilegiado. Tecnologias de proteção como SMIME são complicadas e ACLs não necessariamente viajam com e-mails e documentos.

Em um ambiente amplamente desprotegido, a Proteção de Informações do Azure fornece uma medida de segurança que não estava disponível anteriormente. E embora a segurança seja um assunto em constante evolução e nenhuma organização possa reivindicar 100% de proteção em qualquer momento, a Proteção de Informações do Azure, quando implantada corretamente, aumenta a pegada de segurança de uma organização.

Princípios de segurança para compartilhamento de conteúdo

Ao usar a Proteção de Informações do Azure na organização, os administradores de TI têm controle total sobre o dispositivo cliente e sobre o gerenciamento de identidades do usuário, e isso cria a plataforma de confiança certa para compartilhamento dentro da organização. O envio de informações para fora da organização é inerentemente menos confiável. Ao pensar na abordagem de proteção de informações, existem alguns princípios que você deve realizar uma avaliação de risco. Ao realizar essa avaliação de risco, considere os seguintes pontos:

• O destinatário tem acesso físico a um dispositivo não gerenciado e, portanto, está no controle de tudo o que acontece no dispositivo.
• O destinatário é autenticado com um grau de confiança relacionado à não falsificação de identidade.

Em uma situação em que o administrador de TI não controla o dispositivo ou a identidade, a TI não pode controlar o que acontece com as informações protegidas. Depois que um usuário autentica e abre informações protegidas, elas não são mais suas informações a serem controladas. Neste ponto, você está confiando ao destinatário que ele respeita as políticas colocadas no conteúdo.

Não é possível parar completamente um destinatário externo mal-intencionado com acesso autorizado ao conteúdo protegido. A Proteção de Informações do Azure ajuda a estabelecer limites éticos e, com o uso de aplicativos esclarecidos, ajuda a manter as pessoas honestas sobre como acessam o documento. A Proteção de Informações do Azure ajuda quando há confiança implícita dentro do limite definido de acesso fornecido com base na identidade.

No entanto, detectar e mitigar o acesso futuro é mais simples. O recurso Controle de Documentos do serviço Proteção de Informações do Azure pode controlar o acesso e a organização pode agir revogando o acesso ao documento específico ou revogando o acesso do usuário.

Se o conteúdo for muito confidencial e a organização não puder confiar no destinatário, a segurança adicional do conteúdo se tornará fundamental. A recomendação é virar o dial a favor da segurança e colocar controles de acesso no documento.

Segurança baseada em identidade

As seções a seguir explorarão três cenários principais de ataques a conteúdo protegido e como uma combinação de controles de ambiente e Proteção de Informações do Azure pode ser usada para mitigar o acesso mal-intencionado ao conteúdo.

Ataques de usuários não autorizados

A base da proteção na Proteção de Informações do Azure é que o acesso ao conteúdo protegido é baseado em identidade autenticada e autorização. Isso significa que, com a Proteção de Informações do Azure, nenhuma autenticação ou autorização implica nenhum acesso. Esse é o principal motivo para implantar a Proteção de Informações do Azure, ela permite que as empresas passem de um estado de acesso irrestrito para um estado em que o acesso às informações é baseado na autenticação e autorização do usuário.

Usando esse recurso de Proteção de Informações do Azure, as empresas podem compartimentar informações. Por exemplo: manter informações sigilosas do departamento de Recursos Humanos (RH) isoladas dentro do departamento; e manter os dados do departamento financeiro restritos ao departamento financeiro. A Proteção de Informações do Azure fornece acesso com base na identidade, em vez de nada.

O diagrama abaixo tem um exemplo de um usuário (Bob) enviando um documento para Tom. Neste caso, Bob é do departamento de Finanças e Tom é do departamento de Vendas. Tom não pode ter acesso ao documento, se nenhum direito foi concedido.

A principal conclusão nesse cenário é que a Proteção de Informações do Azure pode impedir ataques de usuários não autorizados. Para obter mais informações sobre controles criptográficos na Proteção de Informações do Azure, leia Controles criptográficos usados pelo Azure RMS: algoritmos e comprimentos de chave.

Acesso por programas maliciosos em nome dos usuários

O acesso a programas maliciosos em nome de um usuário geralmente é algo que ocorre sem o conhecimento do usuário. Cavalos de Tróia, vírus e outros malwares são exemplos clássicos de programas maliciosos que podem agir em nome do usuário. Se esse programa puder representar a identidade do usuário ou aproveitar os privilégios do usuário para executar uma ação, ele poderá usar o SDK da Proteção de Informações do Azure para descriptografar conteúdo em nome de um usuário involuntário. Como essa ação ocorre no contexto do usuário, não há uma maneira simples de evitar esse ataque.

A intenção aqui é aumentar a segurança da identidade do usuário, isso ajudará a mitigar a capacidade de aplicativos desonestos de sequestrar a identidade do usuário. O Microsoft Entra ID fornece várias soluções que podem ajudar a proteger a identidade do usuário, por exemplo, usando a autenticação de dois fatores. Além disso, há outros recursos que vêm como parte da Proteção de Identidade do Diretório de Atividades do Azure que devem ser explorados para manter a identidade do usuário segura.

A proteção de identidades está fora do escopo da Proteção de Informações do Azure e se enquadra no âmbito da responsabilidade do administrador.

Importante

Também é importante se concentrar em um ambiente "gerenciado" para remover a presença de programas maliciosos. Isso será abordado no próximo cenário.

Usuários mal-intencionados com autorização

O acesso por um usuário mal-intencionado é essencialmente um comprometimento da confiança. O ativador nesse cenário precisa ser um programa criado para escalar os privilégios do usuário, porque, ao contrário do cenário anterior, esse usuário fornece voluntariamente credenciais para quebrar a confiança.

A Proteção de Informações do Azure foi projetada para tornar os aplicativos localizados no dispositivo cliente responsáveis por impor os direitos associados ao documento. Por todas as medidas, o elo mais fraco na segurança do conteúdo protegido hoje está no dispositivo cliente, onde o conteúdo é visível para o usuário final em texto sem formatação. Os aplicativos cliente, como o Microsoft Office, honram os direitos corretamente e, portanto, um usuário mal-intencionado não pode usar esses aplicativos para escalar privilégios. No entanto, com o SDK da Proteção de Informações do Azure, um invasor motivado pode criar aplicativos que não honram os direitos, e essa é a essência de um programa mal-intencionado.

O foco desse cenário é proteger o dispositivo cliente e os aplicativos, para que aplicativos não autorizados não possam ser usados. Algumas etapas que o administrador de TI pode seguir estão listadas abaixo:

• Use o Windows AppLocker para ajudar a garantir que programas indesejados não possam ser executados
• Use o Intune e o Microsoft Endpoint Configuration Manager para ajudar a garantir que o dispositivo esteja 'íntegro'
• Verifique se o antivírus no dispositivo está atualizado
• Usar aplicativos que oferecem suporte a Microsoft Identity Brokers para autenticação e SSO

Uma conclusão importante desse cenário é que proteger computadores e aplicativos cliente é uma parte importante da confiança que sustenta a Proteção de Informações do Azure.

Como a Proteção de Informações do Azure não foi projetada para proteger contra o uso indevido mal-intencionado por usuários que recebem acesso ao conteúdo, não se pode esperar que ela proteja o conteúdo contra modificações mal-intencionadas por esses usuários. Embora qualquer tipo de modificação do conteúdo exija, na prática, que o usuário tenha acesso aos dados protegidos em primeiro lugar, e que as políticas e direitos associados a um documento sejam devidamente assinados e invioláveis, uma vez que um usuário tenha acesso às chaves de criptografia/descriptografia necessárias, o usuário pode ser considerado tecnicamente capaz de descriptografar os dados, modificá-lo e criptografá-lo novamente. Há muitas soluções que podem ser implementadas para fornecer assinatura de documentos, atestado de autoria, inviolável e não repúdio a documentos do Office, tanto em produtos da Microsoft (por exemplo, suporte à assinatura de documentos do Office, suporte a s/MIME no Outlook) quanto de terceiros. Você não deve confiar apenas nos recursos de proteção do AIP para protegê-lo contra modificações maliciosas por usuários autorizados.

Resumo

A segurança total vai além de uma tecnologia. Por meio de uma variedade de meios interdependentes, um administrador de TI pode reduzir a superfície de ataque ao conteúdo protegido no mundo real.

• Proteção de Informações do Azure: impede o acesso não autorizado ao conteúdo
• Microsoft Intune, Microsoft Endpoint Configuration Manager e outros produtos de gerenciamento de dispositivos: permite um ambiente gerenciado e controlado livre de aplicativos mal-intencionados
• Windows AppLocker: habilita um ambiente gerenciado e controlado livre de aplicativos mal-intencionados
• Microsoft Entra Identity Protection: aumenta a confiança na identidade do usuário
• Acesso condicional do EMS: aumenta a confiança no dispositivo e na identidade