Review: Azure AIP Scanner

Publicado a 2/28/2018 por Knowledge Inside em Review
image

Foi anunciada há poucos dias a versão final do Microsoft Azure information Protection (AIP) Scanner. Já estava disponível em Public Preview desde Outubro do ano passado, e dia 22 deste mês passou para General Availability, graças ao muito feedback recebido por parte de clientes e parceiros, que assim ajudaram a moldar esta ferramenta às necessidades dos utilizadores.

Esta ferramenta de Information Rights Management (IRM) da Microsoft vem suprir uma necessidade das empresas, que devido à introdução em Maio de 2018 do novo Regulamento Geral de Protecção de Dados (RGPD), necessitam de uma ferramenta robusta que permita analisar os File Share’s e coleções de sites Sharepoint existentes na organização. Esta ferramenta permite identificar, catalogar e proteger (estas últimas 2 funcionalidade são opcionais) os dados de acordo com as políticas de protecção de dados configuradas pela organização no Azure Information Protection.

FUNCIONAMENTO

O AIP Scanner funciona do seguinte modo:

O Scanner é instalado num servidor Windows, e pode utilizar um servidor de SQL dedicado para alojar a BD onde são guardados os dados operacionais e de configuração do mesmo. O serviço que corre no servidor Windows analisa então os File Share’s com CIFS ativo, e os servidores Sharepoint 2013/2016 em busca de conteúdo, e cataloga-o de acordo com as políticas de proteção de dados definidas no portal do Azure Information Protection. O Scanner pode correr em modo de leitura apenas, produzindo um relatório ou em modo de classificação/proteção, em que de acordo com as políticas cataloga e/ou protege os ficheiros.

O Scanner consegue analisar e catalogar os seguintes tipos de ficheiros, consoante a informação que contêm:

Para os seguintes tipos de ficheiros, o Scanner coloca apenas a etiqueta configurada por defeito na consola do Azure Information Protection:

Determinados tipos de ficheiros, como ficheiros executáveis ou de sistema são excluídos do scan.

Esta análise/scan pode decorrer apenas uma vez (útil para determinar que dados de um arquivo devem ser migrados para a Cloud por exemplo) ou com determinada periodicidade (útil para quem quer manter os seus File Share’s e servidores Sharepoint on-premise). Caso decorra periodicamente, apenas os novos ficheiros ou aqueles que foram modificados serão alvos de análise, acelerando assim bastante o processo.

POLÍTICAS DE PROTEÇÃO DE DADOS

Um requisito fundamental para o funcionamento do AIP Scanner é haver pelo menos uma política de proteção de dados ativa, com uma etiqueta com opção de catalogação ou uma etiqueta por defeito. Se apenas tiver a opção de proteção, e nenhuma das duas condições anteriores, o Scanner não vai funcionar.

Como referimos anteriormente, estas políticas são definidas no Azure Information Protection, cuja consola se encontra no portal de Azure:

Neste portal podemos verificar que existe uma política ativa de nome Financial, que vai catalogar e proteger os ficheiros que encontrar que respeitem as condições da mesma.

Podemos igualmente definir qual a etiqueta que é colocada por defeito nos documentos, e diferentes opções tais como a possibilidade de se alterar a etiqueta mediante uma justificação, mostrar a barra de Proteção de Informação nas aplicações do Office, entre outras:

Analisando a configuração da mesma, podemos ver que existem diversas possibilidades no que toca a catalogação e proteção dos dados:

Temos, como já referido anteriormente, a opção de proteger além de etiquetar os dados. No que toca a etiquetagem, temos a opção de adicionarmos um cabeçalho, rodapé e marca de água aos documentos.

Podemos neste mesmo ecrã configurar as condições que os documentos deverão respeitar para serem catalogados com esta etiqueta:

Neste caso temos 3 condições definidas, que são a presença de um número de cartão de débito, um IBAN ou um código SWIFT. Qualquer documento que tenha um destes três elementos presente, ao ser analisado pelo Scanner, é-lhe automaticamente aplicada a etiqueta Financial e a proteção respetiva.

De notar que estamos sempre a falar em soluções on-premise que são analisadas, uma vez que as soluções Cloud da Microsoft já possuem soluções de Data Loss Prevention próprias.

A configuração do serviço AIP Scanner é toda ela efetuada por linha de comandos, não existindo até ao momento um interface gráfico para o mesmo.

O que nós dizemos
Esta ferramenta Microsoft constitui sem dúvida uma mais-valia no que toca à classificação de dados não estruturados como File Share’s ou bibliotecas de documentos Sharepoint.
Para os dados que forem produzidos após a implementação de uma política de proteção de dados numa empresa, é sempre recomendada uma solução que catalogue os dados na altura em que são criados, seja de forma automática ou através do utilizador. No entanto, para os dados que as empresas já possuem antes de implementar tais soluções, será sempre necessário identificar e catalogar os dados já existentes, e uma solução como esta facilita, e muito, o trabalho dos departamentos responsáveis por este inventário.
Tem como pontos menos positivos o custo de licenciamento necessário, e o facto da implementação do AIP Scanner ser algo complexa devido aos muitos requisitos e falta de interface gráfico.
São no entanto desvantagens que são facilmente compensadas pelas mais-valias que esta solução oferece.

Comments