Domů Náš blog Proč nezapínat podporu Sensitivity Labels v Sharepoint Online

Proč nezapínat podporu Sensitivity Labels v Sharepoint Online

12. 5. 2020

Microsoft již dlouhou řadu měsíců testuje podporu Sensitivity Labels v SharePoint Online. Aktuálně se tato funkce dostává z verze preview do verze opt-in (na vyžádání). Zatím ji však nedoporučujeme zapínat těm, kteří nechtějí ohrozit bezpečnost svých dat.

Co jsou Sensitivity Labels

Sensitivity Labels jsou aktuálním výsledkem vývoje společnosti Microsoft v oblasti označování, klasifikace a ochrany citlivých informací. Předchozí verze tohoto řešení jste mohli znát pod názvy Rights Management Services nebo Azure Information Protection.

Sensitiviy Labels v Microsoft Office

Principem fungování Sensitivity Labels je možnost označit soubor štítkem, který omezí možnosti nakládání s ním a s jeho obsahem. Typicky se při aplikaci štítku omezí přístup na určitou skupinu uživatelů a soubor se zašifruje tak, aby ho nikdo mimo členy této skupiny nemohl otevřít. Dále se běžně upravuje uživatelům možnost nakládat s obsahem souboru jako takovým, zpravidla je to zakázání kopírování obsahu přes Ctrl+C/Ctrl+V nebo zákaz tisku. Je možné přidat i vodoznak, nastavit časovou expiraci apod. Tím, že původní předchůdce tohoto řešení byl k dispozici již ve Windows Serveru 2008, jde v současné době již o značně odladěné řešení, které můžeme doporučit všem, kteří potřebují chránit vybrané soubory a jejich obsah.

Podpora Sensitivity Labels v SharePoint Online

Bohužel dosud chyběla nativní podpora Sensitivity Labels v SharePoint Online a OneDrive for Business. To mimojiné znamenalo, že nebylo možné používat Office Web Apps k zobrazení a úpravě souborů s aplikováným Sensitivity Label štítkem. To by ještě nebylo tak tragické, horší bylo, že SharePoint vůbec neuměl k šifrovaným souborům vnitřně přistupovat, tedy nemohl jejich obsah indexovat. To znamenalo, že jsme se museli rozloučit s aplikováním DLP politik a eDiscovery (což je u souborů, které si označíte právě jako citlivé, značně problematické).

Několik měsíců byla podpora Sensitivity Labels v SharePoint Online ve verzi preview, nyní se podpora docela nezvykle dostává do verze opt-in - tedy už to není předběžná funkce, ale standardní funkcionalita, která ovšem není běžně zapnutá a správci Microsoft 365 tenantu mají možnost si ji aktivovat. Možná se říkáte, že to s tou podporou asi nebude tak slavné a někde je schovaný zádrhel - kdyby to přece bylo všechno na 100%, tak by podporu Microsoft zapnul všem, že? No, a v zásadě máte pravdu. Je zde řada „porodních“ problémů, od ukládání z desktopových Office aplikací, po synchronizaci souborů s OneDrive klientem. Výčet všech omezení najdete na této stránce.

Proč nedoporučujeme aktuálně tuto funkci zapínat

Co však pokládám za nejpalčivější problém je skutečnost, že zapnutím funkcionality může dojít k významnému omezení ochrany vašich dat. Z mého pohledu se nezdá být úplně domyšlena ochrana ve webovém prohlížeči. Do jisté míry by se dalo říct, že aktivováním podpory Sensitivity Labels v SharePoint Online dochází k degradaci toho, co aktuálně z pohledu bezpečnosti funguje vlastně dobře - totiž jistota, ze data souborů otevřených v desktopových Office aplikacích jsou dobře chráněna.

Sensitiviy Labels v SharePoint Online

Microsoft se nelogicky rozhodl povolit možnost zobrazení/úpravy souborů, které mají omezeno nakládání se svým obsahem (kopírování, ukládání jinam), přestože toto není ve webových aplikacích podporováno (a z principu věci pravděpodobně nikdy nebude - webový prohlížeč na to prostě není stavěný). Tedy pokud jste do teď spoléhali na to, že z chráněných Office souborů vám nikdo nic nevykopíruje, tak nyní máte smůlu. Stačí soubor nahrát na OneDrive/SharePoint a z Office Web Apps obsah uživatel velice snadno vykopíruje.

Je otázkou, proč se Microsoft rozhodl ochranu obsahu souborů takto ignorovat. Pravděpodobně se došlo k závěru, ze možnosti co-authoringu a snadné úpravy mají v tomto případě přednost před bezpečností.

Je možné, že funkcionalita bude do budoucna ještě nějakým způsobem upravena. Nabízelo by se prosté zakázání otevření souboru ve Web Apps s takovými Sensitivity Labels, které omezují kopírování/ukládání nebo i tisk. Bohužel aktuální implementace je taková, jaká je a musíme z toho vycházet.

Pro koho je aktuální podpora Sensitivity Labels vhodná

Současná implementace je vhodná pouze pro ty, kteří ve svých Sensitivity Labels neomezují nakládání s obsahem souboru, tedy kopírování a ukládání. Pokud štítky využíváte pouze k omezení okruhu uživatelů, kteří si soubor mohou otevřít, tak můžete být relativně v klidu a podporu v SharePoint Online si zapnout. Rozšíříte si tím funkčnost a umožníte uživatelům přistupovat k souborům přes Office Web Apps.

Pokud naopak Sensitivity Labels využíváte primárně k omezení kopírování/ukládání v citlivých souborech, tak jednoznačně doporučujeme podporu Sensitivity Labels v SharePoint On-line nezapínat. Umožnili byste tím relativně jednoduché obejití těchto zabezpečení.

Závěrem

Dnes jsme si společně prošli novou podporu Sensitivity Labels v SharePoint Online. Mimo základních informací jsme se podívali na některé problémy a vysvětlili si, proč nebo vhodné tuto funkci zapínat, pokud používáte Sensitivity Labels k ochraně obsahu souborů. V současné době, kdy se IT systémy vyvíjí velice rychle, je nutné u každé nové funkce zvážit dopady do každodenní práce, a pokud jde o ochranu dat, tak to platí dvojnásob.