Üretilen hemen hemen her bilginin dijital ortamda saklanmasıyla beraber bu verilere erişimi kontrol altına almak bilgi sistemleri açısından kritik bir ihtiyaç olmuştur.
Dosya paylaşım ve NTFS izinleri, geleneksel yöntemler olarak dosyaya ilk erişimde kontrolü sağlamaktadır ; fakat dosyanın dolaşımı halinde herhangi bir koruma saglamamakta, dosya kaynağından çıktıktan sonra yetkisiz kisiler tarafindan okunanilmekte, hatta duzenlenebilmektedir. Aynı risk Portal çözümü kullanılan sistemlerde de yaşanmakta, bilgi yine sadece ilk erişimde korunmaktadır.
Information Rights Management / Bilgi Hakları Yönetimi (IRM) yapısı, bilgiyi erişim ve dolaşım halinde kalıcı olarak koruyarak, güçlü sifreleme mekanizmasiyla beraber bilginin yetkisiz kişilerce ulaşılabilir olmasını engellemektedir.
Microsoft IRM cozumu olarak bir server işletim sistemi bileşeni olan Active Directory Rights Management Services’i sunmaktadır .
AD Rights Management Services’in mevcut yapısıyla döküman güvenliğinde sağladığı en büyük avantajlardan birisi Sharepoint ile entegre olabilmesidir. Önceki versiyonlarda IRM protected dökümanlar Sharepoint içerisinde indexlenemezken, Sharepoint 2007’den itibaren Office Protector bileşeni aracılığı ile döküman kütüphanelerinden indirilen belgelere kullanıcı tanımlı IRM poliçelerinin otomatik olarak uygulanması indexleme sorununu ortadan kaldırmış ve Sharepoint içinde RMS’i çok daha fonksiyonel hale getirmiştir.
Sharepoint ile Döküman Kütüphanesi seviyesinde ve listelere attach edilmiş dökümanlara IRM koruması sağlanabilmektedir. Kullanıcı bir dosyayı bilgisayarına indirmek istediğinde Sharepoint, kullanıcının dosya üzerindeki haklarını kontrol ederek, belirlenen haklarla dosyayı encrypt etmekte ve Rights-managed dosya formatı ile indirilmesini sağlamaktadır. Bu yolla döküman üzerinde kalıcı koruma sağlanmakta ve bilgi güvenliği üzerindeki risk azaltılmaktadır.
Yönetici tarafından bir döküman kütüphanesinde IRM devreye alındığı zaman, koruma, aşağıdaki seçenekleri sağlamaktadır.
- Rights-managed dökümanların yazıcıdan çıkartılabilmesi ya da çıkartılamaması
- Microsoft Visual Basic for Applications (VBA) ya da özel kodların dosya içerisinde çalıştırılabilip çalıştırılamayacağı
- Dosya üzerindeki lisansın geçerli olacağı gün sayısı. Belirlenen gün sayısından sonra lisansın kullanım süresi dolacaktır ve dosyanın döküman kütüphanesinden tekrar indirilmesi gerekecektir.
- IRM destekli olmayan dökümanların kullanıcılar tarafından kütüphaneye yüklenebilip yüklenemeyeceği
- Dosya üzerindeki yetkilendirmelerin son bulacağı tarih. Bu tarihten sonra Sharepointi döküman kütüphanesindeki bütün rights management kısıtlamalarını kaldıracaktır.
Sharepoint aşağıdaki dosya tipleri için IRM koruması sağlayabilmektedir.
- Microsoft Office InfoPath formları
- Microsoft Word, Microsoft Excel, Microsoft PowerPoint dosyaları
- The XML Paper Specification (XPS) formatı
- PDF dosyaları doğrudan desteklenmese de, farklı bir makalede inceleyeceğim çözümler bulunmaktadır.
- Üreticisi tarafından protector nesnesi üretilen diğer dosya formatları
Bir döküman kütüphanesi Rms-enabled hale getirildiğinde kütüphane içerisinde bulunan bütün belgeler koruma altına alınmaktadır. Bir liste için etkinleştirildiğinde ise hak yönetimi listelere değil, listelere attach edilen dökümanlara uygulanmaktadır.
Sharepoint bir dosyanın kütüphaneden indirilmesi durumunda hak tanımlaması için ACL’leri (Access Control List) kullanmakta ve kullanıcının kütüphanede tanımlanan hakları dökümana IRM poliçesi olarak uygulanmaktadır.
Sharepoint üzerinde tanımlanan yetkinin IRM yetkisi olarak nasıl uygulandığını aşağıdaki tabloda görebilirsiniz.
| SharePoint Yetkileri | RMS Yetkileri |
| Full Control, Manage Hierarchy | Full Control |
| Contribute, Approve, Design | View, Edit, Copy, and Save (Print, döküman kütüphanesi ayarına bağlı) |
| Read | View (Print, döküman kütüphanesi ayarına bağlı) |
| Limited Access | No access |
Resim 1
Yukarıdaki çizim AD RMS ile beraber çalışan Sharepoint üzerinde döküman akış sürecini göstermektedir.
1- Döküman yayınlayıcısı, RMS koruması etkinleştirilmiş bir Dosya Kütüphanesine dökümanı gönderir
2- Sharepoint Server, arama ve indexlemenin gerçekleşebilmesi için dosyayı şifrelenmemiş ve koruma altına alınmamış halde veritabanında saklar.
3- Kütüphanedeki dosyalara erişme yetkisi tanımlanmış döküman alıcısı, dosyayı sunucudan talep eder.
4- Sunucu veritabanında saklanan dosyaya erişir.
5- Sunucu kullanıcının kütüphane üzerindeki haklarına bağlı olarak hakları ya da kısıtlamaları dökümana iliştirir.
6- Korumalı hale getirilen döküman, döküman alıcısı tarafından indirilir. Kullanıcı Office yazılımı ile dökümanı açmak istediğinde tanımlanan hakları dökümana uygular.
Bu entegrasyon süreci ile portal üzerinden indirilen dökümanlara kalıcı koruma sağlamak mümkündür.
Kuruluma geçmeden önce dikkat edilmesi gereken bazı noktaları belirtmek istiyorum.
1- Öncelikle AD Rights Management Services, Sharepoint Server ile aynı sunucu üzerine kurulmamalıdır. Bu senaryoda RMS konsolunu açmak istediğinizde
“The IIS received the request. However, an internal error (HTTP Error 500.0 – Internal Server Error) occured during the processing of the request.” hata mesajı ile karşılaşabilirsiniz.
Resim 2
2- Eğer kullanıcı bir dökümanı IRM-enabled kütüphaneye yüklemeden önce bir IRM poliçesi uygulamışsa, döküman veritabanına gönderilirken üzerinde bulunan şifreleme kaldırılmaz. Dolayısı ile arama ve indexleme işlemleri gerçekleştirilmez. Bu yüzden döküman kütüphaneye yüklenmeden önce üzerinde herhangi bir koruma olmaması önerilir.
Makalenin ikinci kısmında Sharepoint Server ve AD RMS yapılarının beraber çalışması için gerekli konfigürayonlar açıklanacaktır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
technet.microsoft.com
