Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

AIP Scanner: la madurez de Azure Information Protection

Azure Information Protection avanza de nivel con un escáner que rastrea sistemas locales para aplicar etiqueta y protección a contenido en reposo.

¿Os he dicho ya que me encanta Azure Information Protection?

Como os contaba en artículos anteriores, Azure Information Protection (AIP) es un servicio que permite crear directivas para etiquetar y proteger documentos, tanto de forma manual como automática si se cumplen ciertas condiciones. Esos documentos protegidos se pueden  compartir libremente y el acceso se controla a través de la autenticación en Azure AD.

Esto funciona muy bien para nuevos documentos, pero ¿qué pasa con todos los documentos que ya tenemos en nuestros sistemas? ¿hay que abrirlos uno a uno para aplicar la protección adecuada? Pues no. Para dar respuesta a esas preguntas está AIP Scanner, un servicio que corre sobre Windows Server y utiliza la aplicación cliente de Azure Information Protection para descubrir, etiquetar y proteger los archivos existentes en sistemas locales, según las directivas definidas en Azure.

El concepto es simple: le dices a AIP Scanner qué localizaciones escanear. El escáner rastreará esas localizaciones constantemente y donde encuentre una coincidencia con las condiciones de una directiva AIP, aplicará la etiqueta correspondiente.

Las localizaciones que pueden ser escaneadas por AIP Scanner son sistemas de archivos CIFS y bibliotecas de SharePoint Server 2013/2016.

Requisitos

Microsoft recomienda instalar el escáner en un servidor independiente con 4 cores y 4 GB RAM, que ejecute al menos Windows Server 2012 R2, instancia SQL y conexión con el servicio RMS y api.informationprotection.azure.com

Además, se debe aprovisionar una cuenta de servicio sincronizada con Azure AD, con permisos de lectura-escritura en las ubicaciones a escanear, y configurada como “super user” si se van a utilizar etiquetas que anulen o cambien la protección.

Instalación

De momento, la instalación y configuración del servicio se realiza completamente con Powershell, aunque es posible que en el futuro exista una interfaz gráfica para la administración.

Lo primero es instalar el cliente de AIP para poder disponer del módulo Powershell que incluye los cmdlets de AIPScanner.

A continuación instalamos el escáner indicando la instancia de SQL Server: Install-AIPScanner -SqlServerInstance <database name>

Por defecto, los comandos de Powershell de AIP se ejecutan en el contexto del usuario, pero AIP Scanner requiere la ejecución desatendida. Para ello se deben registrar dos aplicaciones en Azure AD y luego ejecutar el comando Set-AIPAuthentication con los parámetros de dichas aplicaciones. Esto permite al Scanner utilizar un token para autenticarse en Azure AD, en lugar de utilizar una cuenta de usuario.

Configuración

Para indicar ubicaciones a escanear utilizamos Add-AIPScannerRepository -Path <ruta>, indicando una ruta de archivos o URL de SharePoint Server. Con el verbo Get obtenemos una lista de todas las ubicaciones que se están escaneando, y con Remove podemos quitar una ubicación del escaneo.

Con Set-AIPScannerConfiguration definimos cómo se aplica la clasificación y la protección, según los siguientes parámetros:

En la ubicación %localappdata%\Microsoft\MSIP\scanner\Reports podemos encontrar todos los registros de actividad del Scanner.

Licencias

A nivel de licenciamiento, se necesita una licencia AIP Premium P2 por cada usuario con permisos de escritura en las localizaciones escaneadas.

Demo

En el siguiente vídeo puedes ver el Scanner en acción.

¿Y en Office 365?

Yo también me he hecho esa pregunta. Estaría genial tener algo similar a este escáner que rastree todas las ubicaciones de Office 365: SharePoint online, Exchange online, OneDrive for Business, etc.

¡Pero si eso ya existe!

¿Cómo?

Claro, las etiquetas de clasificación en el Centro de Seguridad y Cumplimiento de Office 365 (CSC) hacen justamente eso: creas tus etiquetas y las condiciones para que se apliquen automáticamente en cualquier ubicación de Office 365.

Ya, pero no protegen.

Es verdad, ¡pero por poco tiempo! De aquí a nada, las etiquetas de AIP aparecerán en el área de Clasificación del CSC, y viceversa, y se podrá editar la protección tanto en un lado como en el otro. Puedes ver el anuncio y la demo en esta sesión del Ignite, donde además desgranan el roadmap del ecosistema Microsoft Information Protection.

Conclusión

Ya sea por motivos de auditoría, para cumplir con los requerimientos de la GDPR, o simplemente por retomar el control del contenido empresarial, AIP Scanner se convertirá en un gran aliado de la seguridad y la protección de los datos.

mm

Sobre Pablo Ortiz Baiardo

Especializado en seguridad e infraestructuras. Llevo toda la vida trabajando con tecnologías Microsoft. MCSE Cloud Platform & Infrastructure , MCSE SharePoint, MCSE Productivity, MCSA Windows Server 2012. Soy un apasionado de la tecnología y disfruto aportando mi energía en proyectos de arquitectura y seguridad de Microsoft cloud.
Esta entrada ha sido publicada en Azure, seguridad. Enlace permanente.
ENCAMINA, piensa en colores