Открыть сервис

Azure RMS

Azure RMS (Azure Rights Management, также Azure Information Protection — RMS) — это облачная служба управления правами на доступ к данным (Information Rights Management, IRM), входящая в состав платформы Microsoft Azure и пакета Microsoft 365. Она предназначена для защиты конфиденциальных документов и электронных писем путём шифрования и назначения политик доступа, которые остаются привязанными к файлу независимо от его местоположения (на устройстве, в облаке или при передаче по сети). Azure RMS позволяет владельцам данных контролировать, кто и при каких условиях может просматривать, редактировать, копировать, печатать или пересылать защищённую информацию, даже после того, как она была отправлена получателю.

История и развитие

Технология RMS была разработана Microsoft как часть стратегии по защите корпоративных данных. Первоначально она была реализована в виде локального серверного продукта — Active Directory Rights Management Services (AD RMS), выпущенного в 2005 году для Windows Server 2003. Однако с ростом популярности облачных вычислений и необходимостью защиты данных, выходящих за пределы корпоративной сети, Microsoft в 2013 году запустила облачную версию — Azure RMS. В 2016 году Azure RMS была интегрирована в более широкую платформу Azure Information Protection (AIP), которая объединила управление правами с классификацией и маркировкой данных. В 2022 году Microsoft объявила о консолидации возможностей AIP в Microsoft Purview Information Protection, однако Azure RMS как механизм шифрования и управления правами остаётся ключевым компонентом этой системы.

Архитектура и принцип работы

Azure RMS функционирует на основе асимметричного шифрования и централизованного управления ключами. Архитектура включает три основных компонента:

  1. Клиентская часть (RMS-клиент) — встроена в приложения Microsoft Office (Word, Excel, PowerPoint, Outlook) и доступна через SDK для сторонних разработчиков. Она отвечает за шифрование и дешифрование файлов на стороне пользователя.
  2. Облачная служба Azure RMS — выполняет аутентификацию пользователей, выдачу лицензий на доступ и управление политиками. Она не хранит сами файлы, а только метаданные и ключи.
  3. Ключевая система — использует иерархию ключей: корневой ключ клиента (tenant root key), который может храниться в Azure Key Vault или управляться организацией (BYOK — Bring Your Own Key), и ключи содержимого, шифрующие каждый файл.

Процесс защиты данных

  1. Шифрование: Владелец документа (например, сотрудник, отправляющий письмо) выбирает шаблон политики (например, «Только для чтения» или «Редактирование запрещено») или задаёт пользовательские права. RMS-клиент генерирует случайный симметричный ключ (ключ содержимого), шифрует им файл, а затем шифрует этот ключ асимметричным ключом, связанным с каждым авторизованным пользователем. Зашифрованный ключ и политика прикрепляются к файлу.
  2. Публикация: Защищённый файл может быть отправлен по электронной почте, сохранён в облаке (OneDrive, SharePoint) или на локальном диске. Политика доступа остаётся встроенной в файл.
  3. Дешифрование: Получатель открывает файл в поддерживаемом приложении. Клиент отправляет запрос в Azure RMS, который проверяет подлинность пользователя (через Azure AD) и его права доступа. Если пользователь авторизован, служба выдаёт лицензию, содержащую ключ содержимого, зашифрованный для этого пользователя. Клиент расшифровывает файл и применяет политики (например, запрет на копирование).

Ключевые возможности и функции

Шаблоны политик

Azure RMS предоставляет предопределённые и пользовательские шаблоны прав, которые могут включать следующие действия:

  • Просмотр (чтение, но не редактирование или печать).
  • Редактирование (изменение содержимого).
  • Копирование (извлечение текста и изображений).
  • Печать.
  • Пересылка (для электронных писем).
  • Управление (изменение политик или продление срока действия).

Защита в движении и в покое

В отличие от традиционных методов шифрования (например, TLS или HTTPS), которые защищают данные только при передаче, Azure RMS обеспечивает защиту на уровне файла. Даже если злоумышленник получит доступ к файлу (например, через утечку или кражу устройства), он не сможет его открыть без авторизации в Azure AD.

Поддержка различных форматов

Azure RMS изначально поддерживает файлы Microsoft Office (DOCX, XLSX, PPTX, PDF), а также электронные письма (MSG). Через SDK и партнёрские решения защита может быть расширена на другие форматы, включая изображения, текстовые файлы и архивы.

Интеграция с другими службами Microsoft

  • Microsoft 365: Защита применяется автоматически на основе политик DLP (Data Loss Prevention) и меток конфиденциальности в Microsoft Purview.
  • Azure Information Protection: Позволяет классифицировать данные (например, «Конфиденциально» или «Для служебного пользования») и автоматически применять RMS-защиту.
  • SharePoint и OneDrive: Файлы, защищённые RMS, могут быть открыты через веб-интерфейс с использованием браузера (требуется установка расширения или использование встроенной поддержки).

Применение

Azure RMS используется в корпоративной среде для защиты коммерческой тайны, персональных данных, финансовой отчётности и другой конфиденциальной информации. Основные сценарии включают:

  • Защита электронной почты: Отправка зашифрованных писем с ограничением на пересылку и копирование. Например, руководитель может отправить конфиденциальный отчёт только определённым сотрудникам, запретив его пересылку сторонним лицам.
  • Совместная работа над документами: Несколько пользователей могут редактировать защищённый файл в SharePoint, при этом политики доступа блокируют несанкционированное копирование или печать.
  • Мобильная работа: Защита файлов на устройствах сотрудников (ноутбуках, планшетах, смартфонах) с помощью приложений Microsoft 365, которые поддерживают RMS.
  • Соответствие нормативным требованиям: Помогает организациям выполнять требования законодательства о защите данных (например, Федеральный закон № 152-ФЗ «О персональных данных» в РФ, GDPR в ЕС, HIPAA в США).

Ограничения и критика

Несмотря на широкие возможности, Azure RMS имеет ряд ограничений:

  • Зависимость от Azure AD: Для аутентификации и выдачи лицензий требуется постоянное подключение к интернету и доступ к Azure AD. В офлайн-режиме (например, в самолёте) открытие ранее защищённых файлов может быть невозможно без предварительного кэширования лицензий.
  • Совместимость: Не все приложения и операционные системы поддерживают RMS. Сторонние программы (например, Adobe Reader, LibreOffice) требуют установки специальных плагинов или использования SDK.
  • Сложность управления: Для крупных организаций требуется настройка политик, управление ключами и интеграция с DLP-системами, что может быть ресурсоёмким.
  • Потенциальные риски для конфиденциальности: При использовании облачной версии ключи шифрования хранятся в Microsoft Azure, что может вызывать опасения у организаций, работающих с особо чувствительными данными (например, в государственном секторе). Для решения этой проблемы Microsoft предлагает опцию «Bring Your Own Key» (BYOK), позволяющую организациям управлять корневым ключом самостоятельно.

Аналоги и конкуренты

На рынке существуют альтернативные решения для управления правами на доступ к данным:

  • Adobe LiveCycle Rights Management (ныне Adobe Experience Manager Forms) — защита PDF-документов.
  • Vera — платформа для защиты файлов с поддержкой нескольких облачных провайдеров.
  • Seclore — решение для защиты данных с акцентом на корпоративную безопасность.
  • OpenText Rights Management — часть экосистемы корпоративного контент-менеджмента.

В России, в связи с требованиями Федерального закона № 152-ФЗ и политикой импортозамещения, некоторые организации переходят на отечественные решения, такие как Secret Disk или InfoWatch, которые также реализуют функции управления правами на доступ к данным.

Интересные факты

  • Azure RMS использует протокол MS-RMPR (Microsoft Rights Management Protocol), который описан в открытых спецификациях Microsoft.
  • В 2020 году Microsoft объявила, что Azure RMS поддерживает шифрование с использованием алгоритмов, сертифицированных по стандарту FIPS 140-2 для государственных учреждений США.
  • Технология RMS лежит в основе системы защиты Windows Information Protection (WIP), которая позволяет разделять корпоративные и личные данные на устройствах с Windows 10/11.

Источники

  1. «Microsoft Azure Rights Management (RMS) technical documentation» — Microsoft Docs.
  2. «Azure Information Protection: What is Azure RMS?» — Microsoft Learn.
  3. «Active Directory Rights Management Services Overview» — Microsoft TechNet.
  4. «Bring Your Own Key (BYOK) for Azure Information Protection» — Microsoft Azure Blog.
  5. «Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»» — официальный текст закона.
  6. «Сравнение решений для защиты данных: Azure RMS и альтернативы» — аналитические отчёты Gartner (2021).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →