圖片來源: 

微軟

微軟企業資料防護服務Azure Information Protection(AIP)近期新增三項新功能,分別為自帶金鑰(BYOK)、也可追蹤企業員工上傳到外部SaaS服務的文件,另外,可以在Gmail、Hotmail等免費電子信箱服務中直接瀏覽加密文件。目前AIP是一項獨立的防護服務,可供Azure或Office365用戶選用,或另外自行線上購買,目前支援Windows 7以上的作業系統。

微軟推出AIP是要鎖定企業間的資料交換安全性。微軟資深產品專案經理Enrique Saggese舉例,很多製造業經常需要與上下游供應鏈傳遞資料,例如報價單、貨款訂單和發票等,這些資料容易成為駭客竊取的目標,如遭攔截廠商Email信件,來微調報價單資料或竄改轉帳帳號,造成廠商無法收到款項,反而流入駭客手裡。他認為,大多數企業過去只重視內部機密資料的防護,鮮少注重外部資料的管控。

而且,近年來許多企業開始使用雲端服務儲存和傳遞資料,特別是中小型企業,所以,微軟在AIP也增加了雲端文件防護服務,AIP採取公開金鑰加密機制,收到AIP加密過的檔案後,得上AIP服務取得金鑰來解密。不過,寄送的企業可設定金鑰有效時間,超過時限,就無法開啟文件。除了使用AIP提供的金鑰,AIP也提供了自帶金鑰(Bring Your Own Key,BYOK)功能,Enrique Saggese解釋,國外有些政府單位、金融業和軍方IT管理人員,不願意金鑰交付給第三方保管,所以才推出這項服務,提供企業用戶自行控管金鑰。

不過,Enrique Saggese進一步說明,企業要自行保管金鑰,需要搭配硬體安全模組(HSM)來保護金鑰。用戶如果第一次使用自行控管金鑰,AIP會產生兩組金鑰,第一組金鑰會存在HSM裡面,微軟本身不會擁有由HSM管理的金鑰,也不會知道金鑰內容。但是,第二組公開金鑰還是由AIP提供給用戶,用戶需要利用這兩組金鑰才能夠解開雲端上的加密資料。

另外,AIP另外可整合微軟雲端防護產品Cloud App Security,來追蹤上傳至SaaS的資料內容,IT人員如果發現員工上傳企業機密文件到SaaS,就可以直接撤銷文件的使用權限,並且要求上傳者移除文件。

臺灣微軟專業技術副理楊欣庭表示,目前很多微型企業不會特地購買專屬網域,很多人都會使用Gmail、Hotmail或是Yahoo等免費電子郵件,因此,AIP在今年4月新增了新功能,使用者可在免費電子信箱接收加密的文件,不需要透過AIP才能開啟。

目前AIP可防護的檔案格式以文件為主,如Office文件檔(Office 2010之後版本)、圖片檔(.jpg、.png、.tif)、PDF、Photoshop(. psd)格式等,無法防護執行檔格式或文字格式的批次檔。


Advertisement

更多 iThome相關內容