.jpg)
מאמר דעה: איך קרה שמיקרוסופט מובילה עם פתרון ה- Message Encryption שלה?
קצת רקע:
מיקרוסופט השיקה בסוף השנה האחרונה את גרסה 2 של ה- Office Message Encryption OME. אני הייתי בדיוק בתוך פרויקט של הצפנת קבצים ומיילים לחברה יחסית גדולה, והבנתי מראש בתור ארכיטקט המערכת, עוד לפני שהתחלנו את הפרויקט שהאתגר הכי גדול הוא יהיה "Externals, הנמענים החיצוניים".
חשוב לציין שנכון לכתיבת המאמר, זה עדיין האתגר הכי משמעותי.
בגדול, עם כל פתרונות ההצפנה, האתגר הוא לרוב איך אתה שולח "משהו" מוצפן למישהו חיצוני מבלי שאתה יודע איזה כלים יש לו (לנמען) לפתוח את ה- "משהו המוצפן" הזה. אתה לא יודע איזה תוכנות, איזה מערכת הפעלה, ואיך הוא בכלל מבצע אימות שמאפשר לתת לו לקבל את המפתח לפתיחת אותו "משהו מוצפן".
מיקרוסופט עשתה מהלך מהפכני עם ה- OMEV2 ואמרה "אנחנו לא יודעים ולא צריכים לדעת". כלומר, אנחנו לא יכולים לדעת מה יש בצד של הנמען - יכול להם שיש שם outlook ויכול להיות שהוא יפתח את המייל דרך IOS native email. יכול להיות שיש להם משתמש שהוא ב- 365 ויכול להיות שהם משתמשים ב- Walla בעצם. מיקרוסופט לא מנסה לדעת מה יש בצד הנמען, אלא בנתה משהו שעובד בצורת Seamless אצל רוב כל סוגי הנמענים. איך? - על ידי הפיכת המייל המוצפן ל- Web Shell ופתיחת המייל המוצפן ב- Web Shell, כדי לפשט: פתיחת המייל המוצפן בתוך מעטפת אינטרנטית.
ה- OMEV2 משתמש בעצם בפורטל האינטרנט של Outlook Web Access, בצורה דינמית, וברגע שאתה פותח מייל מוצפן מהמערכת אתה בעצם לוחץ על קישור, שלוקח אותך לדף אינטרנט שהוא בשליטת מיקרוסופט (ולכן לא משנה איזה סביבה יש למקבל המייל) ובתוך אותו דף אינטרנט, בתוך אותו Shell התוכן המוצפן מוצג. למה ה- shell כל כך חשוב? כי קישור לדף אינטרנט אפשר לפתוח מכל מכשיר כמעט, בלי קשר לסוג המכשיר, מערכת הפעלה וכו'.
עכשיו לאתגר הגדול השני, אימות!
כשעובדים עם נמנעים חיצוניים קשה מאד להתמודד עם מערכות אימות שונות, הנקודה היא שאתה לא תדע האם המשתמש יכול לאמת מול המערכת שלך או לא.
ב- OMEV2 נקטו בגישה מיוחדת מאוד:
1. אם לנמען יש חשבון כלשהו במיקרוסופט, אתה תוכל לעשות אימות עם החשבון הזה - הכי פשוט לביצוע.
2. מיקרוסופט עשו אינטגרציה עם Google ומאפשרים לעשות אימות עם חשבון הגוגל שלך - אם יש לך גוגל - גם הכי פשוט (גוגל ומיקרוסופט ביחד - פעם זה היה מדע בדיוני). כעת יש גם אימות עם ספקים גדולים נוספים.
3. מה קורה אם אתה מקבל מייל ב- Walla? (דרך אגב, אם אתה ב- IT ועדיין מחזיק מייל בוואלה אני מציע התבוננות נפשית עמוקה). הפתרון לאימות מול מערכות קטנות הוא OTC - ONE TIME PASSCODE, מאמתים שאכן יש לך גישה למייל ולא קיבלת את המייל "במקרה". היופי האמיתי הוא השילוב, המערכת יודעת בהתאם לנמען להציע את האפשרויות השונות.
ואיך זה עובד עם נמען שהוא ב- 365 ומשתמש בתוכנה שהיא RMS Aware? שם המייל יגיע בצורה רגילה לגמרי (יראה רגיל לגמרי עם תוספת קטנה שתסביר שזה מייל מוצפן), בלי קישור אלא מייל רגיל.
אבל איך מייל שאתה שולח יכול להיפתח בצורה אחת אצל נמען מסוים ובצורה אחרת אצל נמען אחר? כאן לדעתי מיקרוסופט נקטה בגישה מהפכנית: המייל דרך OMEV2 נשלח בתור קובץ RPMSG) Rights Protected Message) – הקובץ מכיל שכבה מוצפנת ושכבה לא מוצפנת, ברגע שה- OUTLOOK או תוכנה אחרת שיודעת לעבור עם RMS קוראת את השכבה הלא מוצפנת ורואה שיש לה אפשרות אימות – היא " הולכת על זה", במידה ולא, זה "נהפך" לקישור אינטרנטי (גאוני לדעתי!)
יש לנו כאן בעצם "כאילו" (כמה שאני שונא להשתמש במילה הזאת) 2 חלקים - אחד שהוא המעטפת, חוד החנית שהולך לבדוק מי זה בדיוק הנמען ואיך הוא פותח את המייל, ואת החלק השני שזה התוכן עצמו.
מאז הם המשיכו לפתח את המוצר, ה- OMEV2 תחת הגדרה נכונה מאפשר להצפין גם קבצים מצורפים עם אותו Rights Management, ולהציג את הקבצים האלו ה- Web Shell בעזרת Office online. זה בגדר מדע בדיוני למי שמתעסק בשליחת תוכן מוצפן בשנים האחרונות והנה הם עשו את זה.
למיטב ידעתי (ותקנו אותי אם אני טועה) זאת המערכת היחידה שמאפשרת לשלוח קבצים מוצפנים עם שמירה על Rights Management מבלי צורך להתקנה או הגדרה כלשהי בצד של הנמען. מיקרוסופט החדשה היא מובילה ברורה של אבטחת מידע, אני יודע שיש בנינו רבים שחושבים שזה ארגון דינוזאור אבל תנסו ותראו, הכי טוב לראות במו עיניכם. לאנשי אבטחת המידע ביניכם - תציצו ביכולת ה- DLP של 365 ותהיו בהלם חיובי.
גילוי נאות: אני שותף עסקי של מיקרוסופט ומפתח מוצרים שעושים שימוש בטכנולוגיה שלהם. כשזה מגיע לאבטחת מידע, הצפנה ותחום ה-Messaging – אני חושב שהם ללא ספק מובילים.
אלי מגדל,
מנכ"ל ומייסד TowerWatch Solutions LTD
מאמר דעה: איך קרה שמיקרוסופט מובילה עם פתרון ה- Message Encryption שלה?
קצת רקע:
מיקרוסופט השיקה בסוף השנה האחרונה את גרסה 2 של ה- Office Message Encryption OME. אני הייתי בדיוק בתוך פרויקט של הצפנת קבצים ומיילים לחברה יחסית גדולה, והבנתי מראש בתור ארכיטקט המערכת, עוד לפני שהתחלנו את הפרויקט שהאתגר הכי גדול הוא יהיה "Externals, הנמענים החיצוניים".
חשוב לציין שנכון לכתיבת המאמר, זה עדיין האתגר הכי משמעותי.
בגדול, עם כל פתרונות ההצפנה, האתגר הוא לרוב איך אתה שולח "משהו" מוצפן למישהו חיצוני מבלי שאתה יודע איזה כלים יש לו (לנמען) לפתוח את ה- "משהו המוצפן" הזה. אתה לא יודע איזה תוכנות, איזה מערכת הפעלה, ואיך הוא בכלל מבצע אימות שמאפשר לתת לו לקבל את המפתח לפתיחת אותו "משהו מוצפן".
מיקרוסופט עשתה מהלך מהפכני עם ה- OMEV2 ואמרה "אנחנו לא יודעים ולא צריכים לדעת". כלומר, אנחנו לא יכולים לדעת מה יש בצד של הנמען - יכול להם שיש שם outlook ויכול להיות שהוא יפתח את המייל דרך IOS native email. יכול להיות שיש להם משתמש שהוא ב- 365 ויכול להיות שהם משתמשים ב- Walla בעצם. מיקרוסופט לא מנסה לדעת מה יש בצד הנמען, אלא בנתה משהו שעובד בצורת Seamless אצל רוב כל סוגי הנמענים. איך? - על ידי הפיכת המייל המוצפן ל- Web Shell ופתיחת המייל המוצפן ב- Web Shell, כדי לפשט: פתיחת המייל המוצפן בתוך מעטפת אינטרנטית.
ה- OMEV2 משתמש בעצם בפורטל האינטרנט של Outlook Web Access, בצורה דינמית, וברגע שאתה פותח מייל מוצפן מהמערכת אתה בעצם לוחץ על קישור, שלוקח אותך לדף אינטרנט שהוא בשליטת מיקרוסופט (ולכן לא משנה איזה סביבה יש למקבל המייל) ובתוך אותו דף אינטרנט, בתוך אותו Shell התוכן המוצפן מוצג. למה ה- shell כל כך חשוב? כי קישור לדף אינטרנט אפשר לפתוח מכל מכשיר כמעט, בלי קשר לסוג המכשיר, מערכת הפעלה וכו'.
עכשיו לאתגר הגדול השני, אימות!
כשעובדים עם נמנעים חיצוניים קשה מאד להתמודד עם מערכות אימות שונות, הנקודה היא שאתה לא תדע האם המשתמש יכול לאמת מול המערכת שלך או לא.
ב- OMEV2 נקטו בגישה מיוחדת מאוד:
1. אם לנמען יש חשבון כלשהו במיקרוסופט, אתה תוכל לעשות אימות עם החשבון הזה - הכי פשוט לביצוע.
2. מיקרוסופט עשו אינטגרציה עם Google ומאפשרים לעשות אימות עם חשבון הגוגל שלך - אם יש לך גוגל - גם הכי פשוט (גוגל ומיקרוסופט ביחד - פעם זה היה מדע בדיוני). כעת יש גם אימות עם ספקים גדולים נוספים.
3. מה קורה אם אתה מקבל מייל ב- Walla? (דרך אגב, אם אתה ב- IT ועדיין מחזיק מייל בוואלה אני מציע התבוננות נפשית עמוקה). הפתרון לאימות מול מערכות קטנות הוא OTC - ONE TIME PASSCODE, מאמתים שאכן יש לך גישה למייל ולא קיבלת את המייל "במקרה". היופי האמיתי הוא השילוב, המערכת יודעת בהתאם לנמען להציע את האפשרויות השונות.
ואיך זה עובד עם נמען שהוא ב- 365 ומשתמש בתוכנה שהיא RMS Aware? שם המייל יגיע בצורה רגילה לגמרי (יראה רגיל לגמרי עם תוספת קטנה שתסביר שזה מייל מוצפן), בלי קישור אלא מייל רגיל.
אבל איך מייל שאתה שולח יכול להיפתח בצורה אחת אצל נמען מסוים ובצורה אחרת אצל נמען אחר? כאן לדעתי מיקרוסופט נקטה בגישה מהפכנית: המייל דרך OMEV2 נשלח בתור קובץ RPMSG) Rights Protected Message) – הקובץ מכיל שכבה מוצפנת ושכבה לא מוצפנת, ברגע שה- OUTLOOK או תוכנה אחרת שיודעת לעבור עם RMS קוראת את השכבה הלא מוצפנת ורואה שיש לה אפשרות אימות – היא " הולכת על זה", במידה ולא, זה "נהפך" לקישור אינטרנטי (גאוני לדעתי!)
יש לנו כאן בעצם "כאילו" (כמה שאני שונא להשתמש במילה הזאת) 2 חלקים - אחד שהוא המעטפת, חוד החנית שהולך לבדוק מי זה בדיוק הנמען ואיך הוא פותח את המייל, ואת החלק השני שזה התוכן עצמו.
מאז הם המשיכו לפתח את המוצר, ה- OMEV2 תחת הגדרה נכונה מאפשר להצפין גם קבצים מצורפים עם אותו Rights Management, ולהציג את הקבצים האלו ה- Web Shell בעזרת Office online. זה בגדר מדע בדיוני למי שמתעסק בשליחת תוכן מוצפן בשנים האחרונות והנה הם עשו את זה.
למיטב ידעתי (ותקנו אותי אם אני טועה) זאת המערכת היחידה שמאפשרת לשלוח קבצים מוצפנים עם שמירה על Rights Management מבלי צורך להתקנה או הגדרה כלשהי בצד של הנמען. מיקרוסופט החדשה היא מובילה ברורה של אבטחת מידע, אני יודע שיש בנינו רבים שחושבים שזה ארגון דינוזאור אבל תנסו ותראו, הכי טוב לראות במו עיניכם. לאנשי אבטחת המידע ביניכם - תציצו ביכולת ה- DLP של 365 ותהיו בהלם חיובי.
גילוי נאות: אני שותף עסקי של מיקרוסופט ומפתח מוצרים שעושים שימוש בטכנולוגיה שלהם. כשזה מגיע לאבטחת מידע, הצפנה ותחום ה-Messaging – אני חושב שהם ללא ספק מובילים.
אלי מגדל,
מנכ"ל ומייסד TowerWatch Solutions LTD
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
