330 likes | 520 Views
La gestione sicura delle informazioni: Windows Rights Management. Fabrizio Grossi. Agenda. Protezione delle informazioni digitali Cosè Windows Rights Management Services? Approfondimento tecnico. Protezione delle informazioni con Windows Rights Management Services.
E N D
La gestione sicura delle informazioni: Windows Rights Management Fabrizio Grossi
Agenda • Protezione delle informazioni digitali • Cosè Windows Rights Management Services? • Approfondimento tecnico
Protezione delle informazioni con Windows Rights Management Services Soluzione tradizionale: controllo degli accessi Authorized Users Yes Information Leakage No Access Control List Unauthorized Users Unauthorized Users Firewall
Tecnologia di protezione delle informazioni che aumenta le strategie di sicurezza Gli utenti possono salvaguardare facilmente le informazioni sensibili dall’uso non autorizzato Le organizzazioni possono controllare centralmente le politiche interne di uso delle informazioni Gli sviluppatori possono sviluppare soluzioni flessibili e personalizzabili di protezione delle informazioni Windows Rights Management Services (RMS) RMS protegge le informazioni online, offline, all’interno e all’esterno della rete aziendale.
Information Rights Management • Strumento di applicazione di policy di sicurezza incluso in Microsoft Office 2003 • Aiuta a proteggere documenti ed informazioni dall’uso non autorizzato • Impossibile da violare “per errore”: riduce la fuoriuscita inavvertita di informazioni • Permette agli autori di identificare i destinatari autorizzati e di definire le azioni consentite • Controllo sull’uso delle informazioni sensibili • Cifratura di e-mail (Outlook) e documenti (Word, Excel, PowerPoint) e applicazione di policy individuali o di gruppo per la decifratura e l’utilizzo
Controlla l’accesso a progetti riservati • Imposta diversi liveli di accesso: lettura, modifica, stampa, copia… • Determina la durata dell’accesso Scenari d’utilizzo • Mantiene all’interno le e-mail interne • Riduce il rischio di inoltro di informazioni confidenziali • Modelli per la gestione centralizzata delle policy Outlook 2003 Windows RMS Protezione delle e-mail Word 2003, PowerPoint 2003 Excel 2003, Windows RMS Protezione di documenti IE w/RMA, Windows RMS Compatibilità versioni precedenti • Utenti senza Office 2003 possono visualizzare documenti protetti • Forza ugualmente i privilegi di accesso
Proteggere informazioni con RMS • L’autore riceve un certificato client la prima volta che utilizza il servizio Active Directory Database Server • L’autore assegna i diritti d’uso al documento; l’applicazione cifra il file e pubblica la licenza RMS Server • L’autore distribuisce il file • L’utilizzatore apre il file, l’applicazione contatta il server RMS per validare l’utente e assegnare la licenza d’uso 4 1 2 5 3 • L’applicazione visualizza il documento applicando le restrizioni Autore Utilizzatore
Tecnologia: Licenze • Publishing license • Creata quando il documento o il messaggio viene protetto Creata online o offline • Use license • Allegata al file del documento protetto • Salvata localmente per i messaggi e-mail • Cifratura • DES 56-bit o AES 128-bit per il contenuto • Chiave RSA a 1,024-bit per la cifratura e per la firma digitale di certificati e licenze • Comunicazioni client/server via tunnel SSL
Tecnologia: Licensing al di fuori del Firewall • RMS server in DMZ • Coppia di URL nella publishing license • Richieste le credenziali all’utente
Demo Utilizzo con Office e Internet Explorer
Windows Rights Management Services Approfondimento tecnico
Web services Certification Publishing Licensing Administration website Database Configuration Logging Directory Services RMS Cluster: I servizi sono stateless web services load balancing, ridondanza, performance I server in un cluster condividono medesima istanza database Componenti server di RMS RMS Cluster Log DB • RMS Web Services • Certification • Publishing • Licensing HSM NLB
Chiave privata del server RMS Chiavi utente e indirizzi e-mail Le chiavi utente sono generate dal servizio RMS Gli indirizzi e-mail sono ricavati da Active Directory Permission Templates Logs Alla creazione e all’utilizzo di certificati e licenze, può essere usato come strumento di auditing Componenti server di RMS
Componenti Client di RMS • RMS Client software + “Lockbox” • Le applicazioni RMS-enabled utilizzano le API del client RMS • Le componenti client si appoggiano al “RMS lockbox” (secproc.dll) per effettuare le operazioni di sicurezza • Credenziali computer e utente protette • Certificato computer • Certificato utente (RAC = Rights Account Certificate) • Client Licensor Certificate (CLC)
Deployment: Machine Activation e User Certification • Il computer Client fa una richiesta all’Active Directory • Il computer Client ottiene l’URL per il servizio di attivazione • Il computer Client invia una richiesta di computer activation al server RMS • Il server RMS inoltra la richiesta attraverso il firewall • La richiesta di Attivazione è consegnata al servizio di Attivazione • Il Servizio di Attivazione compila la lockbox DLL
Deployment: Machine Activation e User Certification • Il servizio di Attivazione restituisce la lockbox attraverso il firewall • La Lockbox è restituita al Server RMS che ha originato la richiesta • Il file Lockbox è installato sul computer client • Il computer Client presenta le credenziali di logon al server RMS Certification • Viene costruito un RAC e viene installato sul client computer • Viene installato il CLC per abilitare l’offline publishing
Flusso delle ChiaviRMS: Client “Bootstrapping” RMS Server (configurazione single-server) Client Computer(s) 1. Installazione applicazioni RMS-enabled 2. Installazione del Client RMS 3. L’utente usa RMS per la prima volta Il Client RMS attiva il PC -Richiama RMActivate.exe per generare la coppia di chiavi per il PC e firma il Certificato Machine (contiene la chiave pubblica Machine) 4. L’utente si autentica Authentication credentials Certificazione: Verifica il SID utente in AD e Genera la coppia di chiavi utente User can publish online or consume Rights Account Certificate (RAC), signed with RMS Server Public key -User Private Key, Encrypted with the machine public key -User Public Key RAC Request Client Licensor Certificate Validate RAC Generate “Client” Key Pair Client Licensor Certificate (CLC), signed with RMS Server Public key -CLC Private key, encrypted with the RAC public key -CLC Public key and copy of SLC User can publish offline
documento cifrato Publishing License • AES key cifrata • policy d’utilizzo • url del server RMS Publishing License • AES key cifrata • policy d’utiilzzo • url del server RMS • documento cifrato Pubblicazione Online di documenti Autore Server RMS Applicazione e client RMS 1. Genera una “content key” (AES), e la usa per crittografare il documento 3. Crea la Publishing License (PL) e la firma con la propria chiave privata 2. Crittografa la content key con la chiave pubblica del server RMS e la invia con le policy scelte al server RMS. • Content key cifrata • policy d’utilizzo 4. Riceve la PL e la allega al documento crittografato AES content key RMS Server public key RMS Server private key
Flusso Chiavi RMS: Offline Publishing (con CLC) Publishing License • 2 encrypted AES keys • Policy di utilizzo • url of RMS server 1. Applicazioni RMS-enabled generano l’AES content key, e la usano per cifrare il contenuto • encrypted content • encrypted content “Publisher” / Sender Utente protegge il contenuto (ex doc Word) Applicazione e Client RMS: 2. Cifra la content key con la chiave pubblica del server RMS (così il server può decifrarla in seguito … la chiave pubblica del serverè contenuta nel SLC server, dentro il client CLC) • encrypted AES content key • Client Licensor Certificate • CLC Private key • CLC Public key • copy of SLC • encrypted AES content key 3. Cifra la content key con la chiave pubblica CLC (per creare la “owner” license) 4. Crea la publishing license (PL), include entrambe le copie cifrate della content key, i rights information, e la url del RMS server, e la firma con la chiave privata del CLC 5. Appende la Publishing License PL al contenuto AES content key RMS Server public key
RMS Key Flow Detail: Offline Publishing & Consumption Publishing License Publishing License • 2 encrypted AES keys • rights information • url of RMS server • 2 encrypted AES keys • rights information • url of RMS server • encrypted content • encrypted content (Assuming recipient has RMS Client and RAC) “Publisher” / Sender “Consumer” / Recipient Saves content (e.g. Word doc) Recipient user opens content • Application and RMS client • Generate AES key and encrypt content • Encrypt AES key with the public key of the client’s CLC (for “owner” license) • Encrypt another copy of the AES key with RMS server’s public key (so server can decrypt it later for the recipient…server public key is contained in client CLC) • Create “Publishing License” (PL), sign with CLC private key and append to encrypted content • Application and RMS Client • Inspect PL for RMS Service url. • Send “Use License Request “ (PL + RAC) to licensing server specified by url. RMS Clientuses RAC private key (unavailable to user) to unencrypt the content key Application renders the file and enforces the rights • RMS Server • Validates recipient RAC • Inspects PL for rights • Validates user in AD • Un-encrypts content key & re-encrypts it with recipient RAC’s public key • Returns encrypted content key in use license RMS Server
Esempio: documento protetto Word, Excel, or Powerpoint 2003 In Outlook Le licenze utente sono memorizzate nel profilo Creata quando il file viene protetto Aggiunte al file dopo l’assegnazione della licenza dal server Publishing License End User Licenses Content Key Diritti per un particolare utente Cifrata con la chiave pubblica del server RMS Criptata con la chiave pubblica dell’utente Rights Info(email addresses) Content Key Cifrata con la chiave pubblica del server RMS Criptata con la chiave pubblica dell’utente RAC Contenuto del file (Testo, foto, metadati, etc) Cifrato con la Content Key: chiave simmetrica AES 128-bit
Demo Gestione di RMS
Requisiti software Server Client • Window Server 2003 • Standard, Enterprise, Web o Datacenter • Windows RMS • Active Directory® directory service • Windows Server 2000 o successivi • Deve essere compilato il campo “e-mail addres” di ogni utente RMS • Database Server • Microsoft SQL Server™ o MSDE • Windows 2000 Pro o successivo • Windows Rights Management client software • Applicazione RMS-enabled • Necessaria per creare o visualizzare contenuti protetti • Microsoft Office 2003 include applicazioni RMS-enabled: Word, Excel, PowerPoint, Outlook • Office Professional 2003 per la creazione di documenti protetti • Le altre versioni per utilizzare documenti protetti • Internet Explorer con Rights Management Add-on (RMA) per visualizzare contenuti protetti
Funzionalità IRM in Office 2003 * Utilizzando l’Add-on RMS per Internet Explorer
RMS Licensing Per implementare RMS sono necessarie: • Windows Server 2003 Server • Windows Server 2003 Client Access Licenses (CALs) • Nessuna licenza RMS Server (è un servizio di Windows Server 2003) • Windows RMS CAL • Ogni utente o device che crea o utilizza contenuti protetti richiede una CAL RMS.
Interoperabilità con utenti esterni • Necessaria un’identità riconosciuta da RMS • Creare in Active Directory account per gli utenti esterni • Implementare relazioni di trust tra server RMS • Utilizzare identità RMS basate su Passport • Extranet Active Directory e RMS per i partners • Servizi di outsourcing RMS presso Microsoft partners • Accesso dall’esterno ai servizi RMS • Pubblicazione dell’URL dei servizi RMS • https://rmsservice.fqdn.com/.../license.asmx • Creazione di un Cluster RMS separato
HP per TechNet : il Server utilizzato • HP ProLiantML350-G4 • Processore : Intel Xeon 3.4 GHz/1MB L2 cache • Memoria : 3.0 GB PC2700 DIMM • Network Controller : NC7761 PCI Gigabit NIC • RAID Controller : Smart Array 641 Controller • Hard Drive : 6 x 72GB 15K SCSI U320 HotPlug
Dove poter approfondire • Informazioni sui prodotti • http://www.microsoft.com/windowsserver2003/ • http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/ • http://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx • Download • http://go.microsoft.com/fwlink/?linkid=17673 • http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/rmenterprise.mspx • Technet • www.microsoft.com/italy/technet