Tech Conference 28.-29.5.2015 Enterprise datan hallinta #TechConfFI
Enterprise datan hallinta Pilvipalvelut ja tietoturva Azuren tietoturvakäytännöt Azure RMS On-Premises datan hallinta File Classification DAC Work Folders Workplace Join Salaus EFS/ADRMS 2
Microsoft s Principles: Government Demands for Customer Data You own all the content you create. Even when you put it in the cloud, you still own it. That content should have the same legal protections as content you put on paper. Microsoft supports evolving the law to reflect these principles. Or without probable cause. Law enforcement should not be able to access it without proper legal process...
Process for Responding to Government Demands for Customer Data Determine validity of demand Attempt to redirect demand to customer Notify customer of demand Is the demand validly issued? Can it compel Microsoft to respond? If not, then Microsoft will not make a disclosure. We believe the customer should be afforded the opportunity to respond to the demand, so we ask that the demand be addressed directly to the customer We will notify a customer of a demand where we are not prohibited by law We challenge nondisclosure order when there is a legal basis for doing so.
Cross Border Transfers of Personal Information Many countries restrict transfers of personal information outside their borders absent adequate data protection measures. The strictest of these is the EU. # TechConfFI Companies operate around the world and need to use data regardless of geographic boundaries. How do companies go to the cloud while complying with these privacy requirements? They use a cloud provider that has demonstrated a successful approach.
Regulator Validation of EU Model Clauses Approach # TechConfFI the MS Agreement will be in line with Standard Contractual Clauses 2010/87/EU, and should therefore not be considered as ad hoc clauses. In practice, this will reduce the number of national authorizations required to allow the international transfer of data
7 http://azure.microsoft.com/en-us/support/trustcenter/privacy/control-location/
Enterprise datan hallinta Datan salaaminen ennen pilvipalveluun kopiointia Tech Conference 2015
Salaustekniikat EFS Käyttäjän henkilökohtaisella sertifikaatilla suojattua data Hallinta paikallisen AD:n työkaluilla Käyttäjä tarvitsee aina data käyttäessään ko. sertifikaatin AD Right Management Services Tiedostojen salauksesta huolehtii AD RMS palvelin Palvelin jakelee tunnistetulle käyttäjälle User Licence sertifikaatin aina tarvittaessa Joustavampi käyttää kuin EFS, mutta vaatii kaikilta palvelunkäyttäjiltä AD RMS palvelimen ja luottosuhteen organisaatioiden välille Azure RMS RMS toiminnot Azuressa, User Licencet kaikkien, myös yksityishenkilöiden haettavissa Globaali tekniikka, joka ei vaadi käyttäjäorganisaatioiden välistä konfiguraatiota Linkitettävissä On-Premises AD RMS:ään connectorilla 9
Active Directory Rights Management Services Mobile Device Extension # TechConfFI Use the RMS sharing app to consume protected text files in different formats (including.txt,.csv, and.xml). Use the RMS sharing app to consume protected image files (including.jpg,.gif, and.tif). Use the RMS sharing app to open any file that have been generically protected (.pfile format). Use the RMS sharing app to open an Office file (Word, Excel, PowerPoint) that is a PDF copy (.ppdf format). Use the RMS sharing app to protect image files on the device. Use an RMS-enlightened PDF viewer for mobile devices to open PDF files that were protected with the RMS sharing application for Windows, or another RMS-enlightened application. Use other apps from software vendors who provide RMS-enlightened apps that support file types that natively support RMS. Use your internally developed RMS-enlightened apps that were written by using the RMS SDK. https://technet.microsoft.com/en-us/library/dn673574.aspx 10
Demo Azure RMS EFS AD RMS 11
Enterprise datan hallinta ilman pilvipalveluja Jos pilvipalveluja ei haluta tai voida käyttää Mobiililaitteilla ja toimialueen ulkopuolisilla laitteilla data haltuun Work Folders Workplace Join Päätelaitteelle tallennettu data on suojattua, ja voidaan poistaa käytöstä (Work Folders) Palvelun käyttöönoton yhteydessä voidaan huolehtia päätelaitteen suojauksesta pin koodien yms. perusasioiden osalta (Work Folders) Hallitsemattomalta laitteelta päästään todennetusti käsiksi omiin verkkopalveluihin (Workplace Join) Vaatii ADFS palvelun Data voi olla salattua jo lähtökohtaisesti (AD RMS, EFS ) 12
Estäminen on mälsää Jos omat käytännöt ei toimi, vilahtaa data pilvipalveluun Vaikka käyttäjät olisi peloteltu pois pilvestä, hukkuu USB tikkukin matkalla kotiin ehtiseen malliin Toimivat käytännöt ja suojaamisen automatisointi ei (VÄLTTÄMÄTTÄ) hankaloita käyttäjän elämää (LIIAKSI) Data on käytettävissä, eikä kiertoteitä ja vippaskonsteja tarvita Jee! 13
Demo Datan suojaamisen automatisointi File Classification/AD RMS Käyttäjän autorisoiminen datan käyttäjäksi DAC Datan käsittely BYOD laitteelta Work Folders Workplace Join 14
Tech Conference 28.-29.5.2015 # TechConfFI