Klassifizierung von Dokumenten

Die native Funktionalität Dokumente zu klassifizieren wurde von Microsoft vor vielen Jahren von Secure Islands gekauft.
Die aktuelle Lösung setzt auf die bereits bestehende Klassifizierungs- und Verschlüsselungsinfrastruktur auf. Vorgehensweise
Eine Beschreibung kommt hier noch hin.

Double Key Encryption

Double Key Encryption, oder auch DKE, ist Microsoft's Ansatz das nicht ganz einfach zu konfigurierende und auch aufwändige "Bring Your own Key - BYoK" durch ein einfacheres System zu ersetzen.

DKE setzt auf eine bereits bestehende Klassifizierungs- und Verschlüsselungsinfrastruktur, bekannt unter dem Namen Microsoft Information Protection - MIP (aka Azure Information Protection - AIP), auf und erweitert diese.
Es handelt sich dabei um eine .NET Anwendung die auf verschiedenen unterstützten Webservern laufen kann. Für einen ersten Test und um sehr schnell ans laufen zu kommen kann es Sinn machen das System auf einer Azure Website einzurichten, oder aber einen Webserver als virtuelle Maschine in Azure laufen zu lassen. Ebenso kann man den Webserver aber auch im eigenen Rechenzentrum hinter einem eigenen Loadbalancer / einer eigenen Firewall positionieren. In jedem Fall wird der Schlüssel / das Schlüsselpaar vom Kunden selbst erzeugt und liegt auch in seiner Verantwortung. Dokumente die mit DKE verschlüsselt sind können nur geöffnet werden, wenn der Schlüssel zur Verfügung steht.

Vorgehensweise

Ein Benutzer erzeugt also ein Dokument mit entsprechend schützenswertem Inhalt und wählt in Office die Klassifizierung / das Label für das Dokument (diese werden vom Administrator erstellt und die Benutzer entsprechend berechtigt diese zu nutzen).
Ein symmetrischer Schlüssel (einer pro Dokument) wird erzeugt und der Inhalt wird verschlüsselt.
In einem weiteren Schritt wird der Dokumentenkopf, also der symetrische Schlüssel, mit dem DKE-Schlüssel verschlüsselt. Daher auch der Name "Double Key Encryption"

Das entschlüsseln passiert genau in umgekehrter Reihenfolge, zuerst wird der Dokumentenkopf entschlüsselt und dann wird im Dokument geprüft ob der Benutzer das Dokument überhaupt öffnen darf.
Der Zugriff auf den DKE Server kann über Gruppen im eigenen AD, dazu muss der Webserver auf das AD zugreifen können, oder über Berechtigungen basierend auf der Emailadresse / Azure AD Anmeldeinformation geregelt werden.

Das Projekt

Im aktuellen Projekt läuft der DKE Server im eigenen Rechenzentrum auf einem Internet Information Server (IIS) unter Windows. Das Netzwerk ist getrennt durch eine Firewall von der sogenannten DMZ in der ein Load Balancer läuft um die Anfragen an den IIS zu senden. Die DMZ ihrerseits ist wieder getrennt vom Internet durch eine weitere Firewall. Um das Ganze noch ein wenig komplexer zu machen wird jeglicher per https gesendeter Traffic in der DMZ entschlüsselt, geprüft, verschlüsselt und weitergesendet.
Während einer Proof of Concept-Phase (PoC) wurden Themen wie Schlüsseltausch, zurückziehen von Schlüsseln, ablegen, senden und empfangen von Dokumenten durchgespielt und entsprechend dokumentiert.


Das ist erst der Start der Reise, hier kommen immer wieder aktuelle Projekte hinzu, es lohnt sich also auch immer wieder mal vorbeizuschauen.