Een onderwerp waar ik altijd veel aandacht voor heb tijdens het ontwerpen van mijn SharePoint omgevingen is zorgdragen voor de juiste beveiliging. Om een veilige SharePoint omgeving te configureren hanteer ik de volgende checklist.

DocumentBuitenSharePoint_1

De lijst bevat een vijftal aandachtsgebieden waar ik gebruik kan maken van diverse technieken op gebied van infrastructuur beveiliging. Dit zijn mijn technische instrumenten die ik kan inzetten, maar het spreekt voor zich dat ook de fysieke beveiliging en vooral de menselijke factor niet vergeten mogen worden.

Deze menselijk invloed op de veiligheid, of beter gezegd, in het omgaan van informatie, wil ik in deze blog nader onder de aandacht brengen. Want met enige regelmaat hoor ik gebruikers zeggen: ‘Onze omgeving is goed beschermd met een gebruikersnaam en wachtwoord en er is gezorgd dat ik alleen toegang tot de informatie die ik mag bekijken en gebruiken. Natuurlijk, een geautoriseerde toegang (laag 4) en de juiste machtigingen (laag 2) zijn de eerste drempels die we moeten passeren om zo toegang te krijgen tot de opgeslagen informatie. Maar wat als we daarna deze informatie per e-mail doorsturen naar bijvoorbeeld collega’s die eigenlijk geen inzage mogen hebben of naar contactpersonen buiten de organisatie? Juist, dan hebben we te maken met een wikileaks situatie, waarbij misschien zelfs wel gevoelige informatie onverwacht op straat komt te liggen.

DocumentBuitenSharePoint_2

Digitale gebruiksrechten met behulp van Information Rights Management
Aan deze situatie is op relatief eenvoudige wijze iets te doen door gebruik te maken van een technologie die al beschikbaar is op het Windows server platform sinds versie 2003 R2 onder de naam InformationRights Management services. Tegenwoordig beter bekend als Active Directory Rights Management Services (AD RMS) zorgt deze techniek voor een extra beveiliging door aan documenten digitale gebruiksrechten toe te kennen. Deze digitale machtigingen worden aan het document ‘gehecht’ en beschermen zo de opgeslagen informatie, zowel binnen als buiten de grenzen van het eigen netwerk.

Door SharePoint te koppelen aan AD RMS kunnen we voor documenten en bijlagen in de bibliotheken en lijsten de volgende aanvullende instellingen definiëren. De aanwezige autorisaties via de SharePoint groepen blijven hierbij van toepassing.

DocumentBuitenSharePoint_3

Documentbeveiliging met Rights Management van dichtbij bekeken

Hoe gaat de beveiliging met behulp van AD RMS nu precies in zijn werk? De digitale machtigingen worden toegevoegd op het moment dat een document uit de bibliotheek wordt gehaald, bijvoorbeeld door een download actie of het openen in een Office programma. In deze ‘publicatie’ stap wordt het document gecodeerd (encrypted). De bestaande SharePoint machtigingen worden nu omgezet naar bijbehorende RMS machtigingen. Ook de extra instellingen, zoals aangegeven in de bibliotheekinstellingen, worden nu toegevoegd. Op deze manier kan een gebruiker die lid is van de Leden (Members) groep het document openen en bewerken via het Bijdrage-recht, terwijl een bezoeker (Visitor) alleen lees toestemming heeft. De extra RMS instellingen bepalen verder of het document bijvoorbeeld ook mag worden afgedrukt of gekopieerd.

De client, het Office programma, is verantwoordelijk voor het juiste digitale gebruik van het document. Word of Excel merkt de RMS beveiliging op  en vraagt aan de AD RMS service de zogenaamde ‘Use License’ van het document op. Na ontvangst van deze licentie, waar tevens de sleutel om het document te ontcijferen (decrypt) bij zit, kan er met het document gewerkt worden. Zonder de ‘Use License’ is het encrypted document niet te openen.

Na het gebruik door de Office client of tijdens het terugplaatsen via een upload actie verwijdert SharePoint de encryptie en de extra instellingen, waarmee het document weer in leesbare vorm in de SharePoint omgeving staat. Deze stap is nodig om de indexing component van de Search service het document te kunnen laten lezen.

De samenwerking tussen SharePoint, AD RMS en de client (Office) is volledig transparant voor de gebruiker. Er is geen interactie van hem of haar nodig. Dus ideaal voor het beschermen van gevoelige informatie als financiële documenten, HR dossiers en management rapportages. Buiten SharePoint en ook buiten het netwerk is deze informatie onbruikbaar voor niet-geautoriseerde personen, zelfs als dit ‘per ongeluk’ gebeurd.

DocumentBuitenSharePoint_4

SharePoint Online en Rights Management

Ook bij SharePoint Online kunnen we gebruik maken de diensten van de Rights Management Services. Het verschil is wel dat SharePoint Online niet kan samenwerken met een On Premise uitvoering van RMS, maar gekoppeld moet worden aan de Azure Active Directory versie. Bij onder andere de Office 365 abonnementen E3 en E4 kan het gebruik van Azure Active Directory Rights Management Service eenvoudig in het beheerportaal worden ingeschakeld. Microsoft heeft aangekondigd de komende periode de functionaliteiten van AAD RMS platform zodanig uit te breiden dat ook hybride configuraties tussen Online en On Premise omgevingen mogelijk zijn en ook personen buiten de eigen organisatie (lees: partners) gebruik kunnen maken van beveiligde documenten.

De voordelen van SharePoint en Rights Management Services nog even op een rij:

[listdot]

  • De samenwerking met Rights Management Services biedt de mogelijkheid SharePoint documenten te beveiligen wanneer deze uit de omgeving worden gehaald (offline) of wanneer deze worden gebruikt in client programma’s. Hiermee kan het ongewild lekken van informatie worden voorkomen.
  • De leercurve voor gebruikers is kort. Eenmaal ingesteld op de bibliotheek leren gebruikers snel omgaan met de additionele beveiliging van documenten. Deze wordt voor hen volledig automatisch en transparant afgehandeld door de verschillende server en client programma’s.
  • Vele document soorten worden ondersteund. Niet alleen de Microsoft Office documenten, maar ook PDF documenten kunnen worden beveiligd. De reader van Foxit ondersteund de AD RMS 2.0 standaard, maar is er alleen voor SharePoint 2013 en SharePoint Online in Office 365 omgevingen.
  • Een On Premise AD RMS omgeving stelt geen zware eisen aan de infrastructuur. Voor een hoge beschikbaarheid kan AD RMS in een cluster configuratie worden geplaatst. Een extranet configuratie zorgt ervoor dat de RMS service ook van buiten het netwerk bereikbaar is.

[/listdot]

Na het lezen van het voorgaande mag duidelijk zijn dat het gebruik van Information Rights Management eigenlijk niet mag ontbreken in iedere SharePoint omgeving. Het is de laatste schakel om te zorgen dat uw waardevolle informatie beschermd is en op de juiste manier wordt gebruikt. Documentbeveiliging heeft in ieder geval mijn aandacht. Ook die van u?

Previous articleAlternatieven voor SharePoint: Duplo of Kapla?
Next articleSharePoint kalender weergave aanpassen
avatar
Jent Paul is al ruim 20 jaar actief in de wereld van IT. Met een opleiding waarin programmeren, hardware en netwerken centraal stonden, is het niet vreemd dat hij zijn draai helemaal gevonden heeft in de hoek waar alles met elkaar verbonden wordt: de infrastructuur. Als IT-Professional heeft hij een ruime ervaring met de platformen van Microsoft en ontwerpt en implementeert hij technische architecturen voor SharePoint, Office 365 en Azure oplossingen. In de rol van consultant adviseert Jent Paul klanten over platformmigratie, identiteitssystemen en het beheren van IT-omgevingen. Met zijn Friese achtergrond houdt Jent Paul een nuchtere en heldere kijk op zaken en houdt de focus waar deze dient te zijn. Dit maakt van hem een graag geziene teamspeler die meedenkt, coördineert en acteert naar resultaat. Buiten het werk verdeelt hij zijn tijd tussen familie, vrienden maar ook ‘quality time’ voor zichzelf. Op die manier is alles in een goede balans!

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.