Azure RMS
Azure RMS (Azure Rights Management, также Azure Information Protection — RMS) — это облачная служба управления правами на доступ к данным (Information Rights Management, IRM), входящая в состав платформы Microsoft Azure и пакета Microsoft 365. Она предназначена для защиты конфиденциальных документов и электронных писем путём шифрования и назначения политик доступа, которые остаются привязанными к файлу независимо от его местоположения (на устройстве, в облаке или при передаче по сети). Azure RMS позволяет владельцам данных контролировать, кто и при каких условиях может просматривать, редактировать, копировать, печатать или пересылать защищённую информацию, даже после того, как она была отправлена получателю.
История и развитие
Технология RMS была разработана Microsoft как часть стратегии по защите корпоративных данных. Первоначально она была реализована в виде локального серверного продукта — Active Directory Rights Management Services (AD RMS), выпущенного в 2005 году для Windows Server 2003. Однако с ростом популярности облачных вычислений и необходимостью защиты данных, выходящих за пределы корпоративной сети, Microsoft в 2013 году запустила облачную версию — Azure RMS. В 2016 году Azure RMS была интегрирована в более широкую платформу Azure Information Protection (AIP), которая объединила управление правами с классификацией и маркировкой данных. В 2022 году Microsoft объявила о консолидации возможностей AIP в Microsoft Purview Information Protection, однако Azure RMS как механизм шифрования и управления правами остаётся ключевым компонентом этой системы.
Архитектура и принцип работы
Azure RMS функционирует на основе асимметричного шифрования и централизованного управления ключами. Архитектура включает три основных компонента:
- Клиентская часть (RMS-клиент) — встроена в приложения Microsoft Office (Word, Excel, PowerPoint, Outlook) и доступна через SDK для сторонних разработчиков. Она отвечает за шифрование и дешифрование файлов на стороне пользователя.
- Облачная служба Azure RMS — выполняет аутентификацию пользователей, выдачу лицензий на доступ и управление политиками. Она не хранит сами файлы, а только метаданные и ключи.
- Ключевая система — использует иерархию ключей: корневой ключ клиента (tenant root key), который может храниться в Azure Key Vault или управляться организацией (BYOK — Bring Your Own Key), и ключи содержимого, шифрующие каждый файл.
Процесс защиты данных
- Шифрование: Владелец документа (например, сотрудник, отправляющий письмо) выбирает шаблон политики (например, «Только для чтения» или «Редактирование запрещено») или задаёт пользовательские права. RMS-клиент генерирует случайный симметричный ключ (ключ содержимого), шифрует им файл, а затем шифрует этот ключ асимметричным ключом, связанным с каждым авторизованным пользователем. Зашифрованный ключ и политика прикрепляются к файлу.
- Публикация: Защищённый файл может быть отправлен по электронной почте, сохранён в облаке (OneDrive, SharePoint) или на локальном диске. Политика доступа остаётся встроенной в файл.
- Дешифрование: Получатель открывает файл в поддерживаемом приложении. Клиент отправляет запрос в Azure RMS, который проверяет подлинность пользователя (через Azure AD) и его права доступа. Если пользователь авторизован, служба выдаёт лицензию, содержащую ключ содержимого, зашифрованный для этого пользователя. Клиент расшифровывает файл и применяет политики (например, запрет на копирование).
Ключевые возможности и функции
Шаблоны политик
Azure RMS предоставляет предопределённые и пользовательские шаблоны прав, которые могут включать следующие действия:
- Просмотр (чтение, но не редактирование или печать).
- Редактирование (изменение содержимого).
- Копирование (извлечение текста и изображений).
- Печать.
- Пересылка (для электронных писем).
- Управление (изменение политик или продление срока действия).
Защита в движении и в покое
В отличие от традиционных методов шифрования (например, TLS или HTTPS), которые защищают данные только при передаче, Azure RMS обеспечивает защиту на уровне файла. Даже если злоумышленник получит доступ к файлу (например, через утечку или кражу устройства), он не сможет его открыть без авторизации в Azure AD.
Поддержка различных форматов
Azure RMS изначально поддерживает файлы Microsoft Office (DOCX, XLSX, PPTX, PDF), а также электронные письма (MSG). Через SDK и партнёрские решения защита может быть расширена на другие форматы, включая изображения, текстовые файлы и архивы.
Интеграция с другими службами Microsoft
- Microsoft 365: Защита применяется автоматически на основе политик DLP (Data Loss Prevention) и меток конфиденциальности в Microsoft Purview.
- Azure Information Protection: Позволяет классифицировать данные (например, «Конфиденциально» или «Для служебного пользования») и автоматически применять RMS-защиту.
- SharePoint и OneDrive: Файлы, защищённые RMS, могут быть открыты через веб-интерфейс с использованием браузера (требуется установка расширения или использование встроенной поддержки).
Применение
Azure RMS используется в корпоративной среде для защиты коммерческой тайны, персональных данных, финансовой отчётности и другой конфиденциальной информации. Основные сценарии включают:
- Защита электронной почты: Отправка зашифрованных писем с ограничением на пересылку и копирование. Например, руководитель может отправить конфиденциальный отчёт только определённым сотрудникам, запретив его пересылку сторонним лицам.
- Совместная работа над документами: Несколько пользователей могут редактировать защищённый файл в SharePoint, при этом политики доступа блокируют несанкционированное копирование или печать.
- Мобильная работа: Защита файлов на устройствах сотрудников (ноутбуках, планшетах, смартфонах) с помощью приложений Microsoft 365, которые поддерживают RMS.
- Соответствие нормативным требованиям: Помогает организациям выполнять требования законодательства о защите данных (например, Федеральный закон № 152-ФЗ «О персональных данных» в РФ, GDPR в ЕС, HIPAA в США).
Ограничения и критика
Несмотря на широкие возможности, Azure RMS имеет ряд ограничений:
- Зависимость от Azure AD: Для аутентификации и выдачи лицензий требуется постоянное подключение к интернету и доступ к Azure AD. В офлайн-режиме (например, в самолёте) открытие ранее защищённых файлов может быть невозможно без предварительного кэширования лицензий.
- Совместимость: Не все приложения и операционные системы поддерживают RMS. Сторонние программы (например, Adobe Reader, LibreOffice) требуют установки специальных плагинов или использования SDK.
- Сложность управления: Для крупных организаций требуется настройка политик, управление ключами и интеграция с DLP-системами, что может быть ресурсоёмким.
- Потенциальные риски для конфиденциальности: При использовании облачной версии ключи шифрования хранятся в Microsoft Azure, что может вызывать опасения у организаций, работающих с особо чувствительными данными (например, в государственном секторе). Для решения этой проблемы Microsoft предлагает опцию «Bring Your Own Key» (BYOK), позволяющую организациям управлять корневым ключом самостоятельно.
Аналоги и конкуренты
На рынке существуют альтернативные решения для управления правами на доступ к данным:
- Adobe LiveCycle Rights Management (ныне Adobe Experience Manager Forms) — защита PDF-документов.
- Vera — платформа для защиты файлов с поддержкой нескольких облачных провайдеров.
- Seclore — решение для защиты данных с акцентом на корпоративную безопасность.
- OpenText Rights Management — часть экосистемы корпоративного контент-менеджмента.
В России, в связи с требованиями Федерального закона № 152-ФЗ и политикой импортозамещения, некоторые организации переходят на отечественные решения, такие как Secret Disk или InfoWatch, которые также реализуют функции управления правами на доступ к данным.
Интересные факты
- Azure RMS использует протокол MS-RMPR (Microsoft Rights Management Protocol), который описан в открытых спецификациях Microsoft.
- В 2020 году Microsoft объявила, что Azure RMS поддерживает шифрование с использованием алгоритмов, сертифицированных по стандарту FIPS 140-2 для государственных учреждений США.
- Технология RMS лежит в основе системы защиты Windows Information Protection (WIP), которая позволяет разделять корпоративные и личные данные на устройствах с Windows 10/11.
Источники
- «Microsoft Azure Rights Management (RMS) technical documentation» — Microsoft Docs.
- «Azure Information Protection: What is Azure RMS?» — Microsoft Learn.
- «Active Directory Rights Management Services Overview» — Microsoft TechNet.
- «Bring Your Own Key (BYOK) for Azure Information Protection» — Microsoft Azure Blog.
- «Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»» — официальный текст закона.
- «Сравнение решений для защиты данных: Azure RMS и альтернативы» — аналитические отчёты Gartner (2021).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →