Azure Information Protection
Azure Information Protection (AIP) — это облачная служба управления правами на доступ к данным (Information Rights Management, IRM) и классификации информации, входящая в состав платформы Microsoft 365. Предназначена для защиты конфиденциальных документов и электронных писем путём применения политик классификации, маркировки и шифрования, независимо от места их хранения или передачи.
История
Разработка AIP началась как эволюция технологии Active Directory Rights Management Services (AD RMS), которая была частью Windows Server. В 2013 году Microsoft представила облачную версию — Azure Rights Management (Azure RMS), которая стала основой для будущей службы. В 2016 году было объявлено о создании единого продукта Azure Information Protection, объединившего классификацию данных и управление правами. В 2018 году Microsoft интегрировала AIP в Microsoft 365 Compliance Center, а в 2022 году объявила о постепенном сворачивании клиентской части AIP в пользу встроенных средств защиты в Microsoft 365 Apps (в частности, встроенной метки конфиденциальности). Однако сама технология шифрования и управления правами (Azure RMS) продолжает использоваться как базовая инфраструктура.
Архитектура и принцип работы
AIP состоит из двух ключевых компонентов:
- Azure Rights Management (Azure RMS) — облачная служба управления правами, обеспечивающая шифрование данных, управление ключами и применение политик доступа. Использует криптографию на основе асимметричных ключей (RSA) и симметричных ключей (AES). Каждый документ шифруется уникальным симметричным ключом, который, в свою очередь, защищается асимметричным ключом организации.
- Клиент классификации и маркировки — локальное приложение (до 2022 года — классический клиент AIP), которое устанавливается на компьютеры пользователей и интегрируется с Microsoft Office, Проводником Windows и другими приложениями. Позволяет вручную или автоматически назначать метки конфиденциальности (например, «Общедоступно», «Конфиденциально», «Секретно») и применять соответствующие политики защиты.
Современная версия AIP (после 2022 года) в основном реализована через встроенные механизмы Microsoft 365: метки конфиденциальности (Sensitivity labels) настраиваются в центре администрирования Microsoft Purview, а клиент AIP используется только для поддержки устаревших сценариев.
Классификация и маркировка
AIP позволяет классифицировать данные по уровню конфиденциальности. Классификация может быть:
- Ручной — пользователь самостоятельно выбирает метку из предложенного списка.
- Автоматической — система анализирует содержимое документа (например, наличие ключевых слов, номеров кредитных карт, паспортных данных) и автоматически присваивает метку.
- Рекомендуемой — система предлагает пользователю применить метку, но окончательное решение остаётся за ним.
Метки могут быть визуальными (водяные знаки, колонтитулы, заголовки) и невизуальными (внедряются в метаданные файла). Применение метки не всегда включает шифрование — оно может быть настроено как опциональное или обязательное для определённых уровней.
Управление правами (IRM)
Основная функция AIP — защита данных с помощью шифрования и политик доступа. Политики определяют, кто и при каких условиях может:
- Просматривать документ.
- Редактировать его.
- Копировать содержимое.
- Печатать.
- Пересылать по электронной почте.
- Устанавливать срок действия доступа.
- Требовать двухфакторную аутентификацию.
Важной особенностью является то, что защита остаётся с документом даже после его отправки за пределы организации — файл остаётся зашифрованным, и доступ к нему возможен только через службу Azure RMS, которая проверяет права пользователя. Это отличает AIP от традиционных методов защиты, таких как пароли на файлы.
Применение
AIP используется в различных отраслях и сценариях:
- Корпоративная безопасность — защита коммерческой тайны, финансовой отчётности, стратегических планов.
- Государственный сектор — защита персональных данных граждан, документов ограниченного доступа.
- Здравоохранение — защита медицинских карт и результатов анализов (соответствие требованиям HIPAA в США, 152-ФЗ в РФ).
- Юридические и финансовые услуги — защита конфиденциальных договоров, аудиторских отчётов, клиентской информации.
Интеграция с другими продуктами
AIP тесно интегрирован с экосистемой Microsoft:
- Microsoft 365 Apps — Word, Excel, PowerPoint, Outlook.
- Microsoft 365 Compliance Center — централизованное управление политиками.
- Microsoft Defender for Cloud Apps — обнаружение и защита данных в облачных сервисах (SaaS).
- Microsoft Information Protection (MIP) — общая платформа, объединяющая AIP, DLP (Data Loss Prevention) и другие механизмы защиты.
- Azure Information Protection Scanner — инструмент для обнаружения и классификации конфиденциальных данных в локальных файловых хранилищах (файловые серверы, SharePoint Server).
Критика и ограничения
- Сложность настройки — первоначальная конфигурация политик и шаблонов требует глубоких знаний в области управления правами и инфраструктуры Azure.
- Зависимость от облака — для проверки прав доступа к защищённому документу требуется подключение к службе Azure RMS. В случае отсутствия интернета доступ может быть ограничен (хотя есть механизмы офлайн-доступа с кэшированием лицензий).
- Совместимость — защищённые AIP документы могут быть нечитаемы на устройствах, не имеющих соответствующего клиента или учётной записи Microsoft 365.
- Переход на новые технологии — с 2022 года Microsoft рекомендует использовать встроенные метки конфиденциальности, а не классический клиент AIP, что вызывает необходимость миграции для существующих пользователей.
Законодательные аспекты в России
Использование AIP в России регулируется Федеральным законом № 152-ФЗ «О персональных данных». При защите персональных данных с помощью AIP необходимо обеспечить соответствие требованиям о локализации баз данных (хранение персональных данных граждан РФ на серверах, расположенных на территории РФ). Microsoft предоставляет возможность размещения ключей шифрования в Azure Key Vault, в том числе в регионе «Россия» (Москва), что позволяет частично соблюсти требования законодательства. Однако полное соответствие может потребовать дополнительных организационных и технических мер.
Источники
- Документация Microsoft по Azure Information Protection (Microsoft Learn).
- Технические спецификации Azure Rights Management (Microsoft Docs).
- Федеральный закон «О персональных данных» № 152-ФЗ.
- Статьи на портале Microsoft Security и Microsoft 365 Compliance.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →