Proč nezapínat podporu Sensitivity Labels v Sharepoint Online

Co jsou Sensitivity Labels

Sensitivity Labels jsou aktuálním výsledkem vývoje společnosti Microsoft v oblasti označování, klasifikace a ochrany citlivých informací. Předchozí verze tohoto řešení jste mohli znát pod názvy Rights Management Services nebo Azure Information Protection.

Principem fungování Sensitivity Labels je možnost označit soubor štítkem, který omezí možnosti nakládání s ním a s jeho obsahem. Typicky se při aplikaci štítku omezí přístup na určitou skupinu uživatelů a soubor se zašifruje tak, aby ho nikdo mimo členy této skupiny nemohl otevřít. Dále se běžně upravuje uživatelům možnost nakládat s obsahem souboru jako takovým, zpravidla je to zakázání kopírování obsahu přes Ctrl+C/Ctrl+V nebo zákaz tisku. Je možné přidat i vodoznak, nastavit časovou expiraci apod. Tím, že původní předchůdce tohoto řešení byl k dispozici již ve Windows Serveru 2008, jde v současné době již o značně odladěné řešení, které můžeme doporučit všem, kteří potřebují chránit vybrané soubory a jejich obsah.

Podpora Sensitivity Labels v SharePoint Online

Bohužel dosud chyběla nativní podpora Sensitivity Labels v SharePoint Online a OneDrive for Business. To mimojiné znamenalo, že nebylo možné používat Office Web Apps k zobrazení a úpravě souborů s aplikováným Sensitivity Label štítkem. To by ještě nebylo tak tragické, horší bylo, že SharePoint vůbec neuměl k šifrovaným souborům vnitřně přistupovat, tedy nemohl jejich obsah indexovat. To znamenalo, že jsme se museli rozloučit s aplikováním DLP politik a eDiscovery (což je u souborů, které si označíte právě jako citlivé, značně problematické).

Několik měsíců byla podpora Sensitivity Labels v SharePoint Online ve verzi preview, nyní se podpora docela nezvykle dostává do verze opt-in - tedy už to není předběžná funkce, ale standardní funkcionalita, která ovšem není běžně zapnutá a správci Microsoft 365 tenantu mají možnost si ji aktivovat. Možná se říkáte, že to s tou podporou asi nebude tak slavné a někde je schovaný zádrhel - kdyby to přece bylo všechno na 100%, tak by podporu Microsoft zapnul všem, že? No, a v zásadě máte pravdu. Je zde řada „porodních“ problémů, od ukládání z desktopových Office aplikací, po synchronizaci souborů s OneDrive klientem. Výčet všech omezení najdete na této stránce.

Proč nedoporučujeme aktuálně tuto funkci zapínat

Co však pokládám za nejpalčivější problém je skutečnost, že zapnutím funkcionality může dojít k významnému omezení ochrany vašich dat. Z mého pohledu se nezdá být úplně domyšlena ochrana ve webovém prohlížeči. Do jisté míry by se dalo říct, že aktivováním podpory Sensitivity Labels v SharePoint Online dochází k degradaci toho, co aktuálně z pohledu bezpečnosti funguje vlastně dobře - totiž jistota, ze data souborů otevřených v desktopových Office aplikacích jsou dobře chráněna.

Microsoft se nelogicky rozhodl povolit možnost zobrazení/úpravy souborů, které mají omezeno nakládání se svým obsahem (kopírování, ukládání jinam), přestože toto není ve webových aplikacích podporováno (a z principu věci pravděpodobně nikdy nebude - webový prohlížeč na to prostě není stavěný). Tedy pokud jste do teď spoléhali na to, že z chráněných Office souborů vám nikdo nic nevykopíruje, tak nyní máte smůlu. Stačí soubor nahrát na OneDrive/SharePoint a z Office Web Apps obsah uživatel velice snadno vykopíruje.

Je otázkou, proč se Microsoft rozhodl ochranu obsahu souborů takto ignorovat. Pravděpodobně se došlo k závěru, ze možnosti co-authoringu a snadné úpravy mají v tomto případě přednost před bezpečností.

Je možné, že funkcionalita bude do budoucna ještě nějakým způsobem upravena. Nabízelo by se prosté zakázání otevření souboru ve Web Apps s takovými Sensitivity Labels, které omezují kopírování/ukládání nebo i tisk. Bohužel aktuální implementace je taková, jaká je a musíme z toho vycházet.

Pro koho je aktuální podpora Sensitivity Labels vhodná

Současná implementace je vhodná pouze pro ty, kteří ve svých Sensitivity Labels neomezují nakládání s obsahem souboru, tedy kopírování a ukládání. Pokud štítky využíváte pouze k omezení okruhu uživatelů, kteří si soubor mohou otevřít, tak můžete být relativně v klidu a podporu v SharePoint Online si zapnout. Rozšíříte si tím funkčnost a umožníte uživatelům přistupovat k souborům přes Office Web Apps.

Pokud naopak Sensitivity Labels využíváte primárně k omezení kopírování/ukládání v citlivých souborech, tak jednoznačně doporučujeme podporu Sensitivity Labels v SharePoint On-line nezapínat. Umožnili byste tím relativně jednoduché obejití těchto zabezpečení.

Závěrem

Dnes jsme si společně prošli novou podporu Sensitivity Labels v SharePoint Online. Mimo základních informací jsme se podívali na některé problémy a vysvětlili si, proč nebo vhodné tuto funkci zapínat, pokud používáte Sensitivity Labels k ochraně obsahu souborů. V současné době, kdy se IT systémy vyvíjí velice rychle, je nutné u každé nové funkce zvážit dopady do každodenní práce, a pokud jde o ochranu dat, tak to platí dvojnásob.