How to protect company's Data? Information Protection

Company ရဲ့ အရေးကြီး data/ file တွေကို အပြင် မပေါက်ကြားအောင် ဘယ်လို ကာကွယ်ကြမလဲ (Information Protection)

လက်ရှိ မြန်မာနိုင်ငံမှာ covid 19 outbreak ကာလအတွင်းဖြစ်နေတဲ့အတွက် ကုမ္ပဏီတော်တော်များများက work from home တွေ လုပ်နေကြတာတွေ့ရမှာပါ ဒီလို အခြေအနေမျိုးမှာဆိုရင် ကိုယ့် ကုမ္ပဏီရဲ့ အရေးကြီးတဲ့ဒေတာအချက်အလက်တွေကို အပြင်ကို မပေါက်ကြားနိုင်ဖို့ဆိုတာ ပိုပြီး သတိထားသင့်တဲ့အချက်ဖြစ်သလို data တွေ ကို လုံခြုံအောင် ထိန်းထားရမှာက work from home ကာလတွင် မဟုတ်ပဲ အချိန်တိုင်းအတွက် အရေးကြီးလှပါတယ်။

ဒီလိုမျိုး data တွေကို ကာကွယ်ဖို့အတွက် Microsoft မှာ information protection solutions အဖြစ်
1) Azure Information Protection
2) Office 365 Information Protection
3) Window Information Protection
4) Cloud App Security
ရှိထားပြီး
ကိုယ့်ရဲ့ organization ကြုံတွေ့နေရတဲ့ risk တွေ အပေါ်မူတည်ပြီး protection solutions တွေကို အသုံးပြုလို့ရပါတယ်။
ဒီပို့စ်မှာတော့
NEX4 မှ Chief Architect ဖြစ်သူ ကိုသန့်ဇင်စိုး(CCIE #56589 [R&S])မှ ဘယ်လို နည်းတွေနဲ့ Company data တွေက အပြင်ကို ရောက်နိုင်လဲ၊ ဘယ်လို ကာကွယ်သင့်သလဲ (data protection) ဆိုတာတွေကို risk 3 ခု နဲ့ အတူ sharing လုပ်ပေးသွားမှာဖြစ်ပါတယ်။

Risk 1

မသမာတဲ့ ဝန်ထမ်း က company file တစ်ခုထဲက text တွေကို copy ဆွဲယူပြီး internet based social application  (Facebook Messegner, Line, personal email ,etc) ကနေတဆင့် အပြင် လူဆီကို ပို့လို့ရပါတယ်.

ဥပမာ…ကျော်ကျော်က Company ရဲ့ “Business Plan” File ထဲက data တွေကို Copy ဆွဲပြီး Personal messenger (e.g Viber) ထဲ Paste လုပ်ကာ ပြိုင်ဘက် company က လူ ဆီကို data တွေပို့နိုင်ပါတယ်

အဲ့လို Risk တွေကို ဘယ်လို ဖြေရှင်းမလဲ?

Window Machine မှာဆို Window Information Protection feature (WIP) နဲ့ ဖြေရှင်းနိုင်ပါတယ်… (Mobile phone တွေမှာတော့ Application Protection လို့ခေါ်ပါတယ်)

ဘယ်လိုနည်းနဲ့ ဖြေရှင်းတာလဲ?

WIP မှာ Protected Application (software) list ကိုသတ်မှတ်ပေးရပါတယ်

တနည်းအားဖြင့် ဘယ် Application တွေက company က တရားဝင်သုံးခွင့်ပေးထားတဲ့  Application (corporate application) တွေဖြစ်လဲဆိုတာကို ပြောပေးရတာပါ..အဲ့လို မပြောထားတဲ့ တခြား application ကိုတော့ personal application လို့ ယူဆနိုင်ပါတယ်

WIP Policy ကို User machine ထဲ ချပြီးတဲ့အခါ protect လုပ်ထားတဲ့ app က data တွေကို personal app ပေါ်ကို ကူးယူလို့မရတော့ပါဘူး

Protected Application တစ်ခုကနေ နောက် Protected Application တွေဆီဘဲ (Protectd App အချင်းချင်း) data တွေကို Copy/Paste လုပ်လို့ရပါတယ်…Protected Application ကနေ Personal Application တွေဆီကို Copy/Paste လုပ်ရင် ခွင့်မပြုပါဘူး…

Risk 2

ဝန်ထမ်းတွေ က company file တွေကို personal location (USB,GoogleDrive,Dropbox,etc) စတာတွေမှာ သိမ်းနိုင်တဲ့ risk ရှိပါတယ်… ဝန်ထမ်း က အလုပ်ထွက်သွားတဲ့အခါကျရင် company file တွေက အဲ့ဒီ personal location ထဲမှာ ကျန်ခဲ့ပြီး ဆက်သုံးလို့ရနေပါလိမ့်မယ်…

ဥပမာ ကျော်ကျော်က company file အမျိုးအစားဖြစ်တဲ့ Financial File, Credentail File တွေကို Corporate က ခွင့်ပြုထားတဲ့  Corporate Location (Company Sharepoint, Company One Drive) စတာတွေမှာ မသိမ်းဘဲ Personal Location ဖြစ်တဲ့ (Dropbox,GoogleDrive,Personal One Drive,etc) တွေမှာ  သိမ်းနိုင်ပါတယ်..ကျော်ကျော်က သူ အလုပ်ထွက်တဲ့အခါကျရင် Personal location ထဲက အဲ့ company file တွေကို ယူသုံးပြီး ကုမ္ပဏီအတွက် မလိုလားအပ်တဲ့ပြဿနာတွေဖြစ်နိုင်ပါတယ်..

ဘယ်လိုနည်းနဲ့ အဲ့ Risk ကို ဖြေရှင်းမှာလဲ?

Window Machine မှာဆို Window Information Protection feature (WIP) နဲ့ ဖြေရှင်းနိုင်ပါတယ်…
(Mobile phone တွေမှာတော့ Application Protection လို့ခေါ်ပါတယ်)

WIP Policy မှာ Trusted Location တွေသတ်မှတ်ပေးရတယ်.. Data/File သိမ်းလို့ရတဲ့ boundary သတ်မှတ် ပေးလိုက်တဲ့ သဘောပေါ့….အဲ့ကျရင်တော့ Company File တွေကို company က သိမ်းဖို့ ခွင့်ပြုထားတဲ့ Microsoft team, one drive for business, sharepoint စတဲ့ Location မှာဘဲ သိမ်းလို့ရတော့မယ်…
Company file ကို Personal Google Drive ဆီကို data upload လုပ်တဲ့ အချိန်ကျရင် WIP ကြောင့် upload လုပ်လို့မရတော့ပါဘူး….

Company file ကို Team, sharepoint (Corporate Location) ဆီကို data upload လုပ်တဲ့အချိန်ကျရင် WIP က ခွင့်ပြုပါတယ်….
WIP ကို ဘယ်လို configure ချမလဲ?

Microsoft Intune Portal ထဲသွားပါ… (remark: Login ဝင်တဲ့ account က configure ချဖို့အတွက် လုံလောက်တဲ့ permission တော့ ပေးထားရမယ်)

https://portal.azure.com/#blade/Microsoft_Intune_DeviceSettings/ExtensionLandingBlade/overview

Protected App ကို အရင်သတ်မှတ်ပေးရပါတယ်…ကိုယ့် Company က သုံးဖို့ ခွင့်ပြုထားတဲ့ Corporate Application List ကို Protected Apps ထဲမှာ ထည့်ပါ…အဲ့ Protected Application အချင်းချင်းဘဲ data ဖလှယ်လို့ရမယ် (Copy/Paste)….Protected Application ကနေ Personal Appliation ဆီကိုတော့ data ဖလှယ်ခွင့်မပေးဘူး …Personal app ကနေ data leak ဖြစ်မှာစိုးလို့….

ဆိုပါတော့ Excel နဲ့ word ကို protected apps list ထဲထည့်ထားတယ်..ဒါဆိုရင် Excel ထဲက စာသားတွေကို copy/paste နဲ့ word ထဲကိုထည့်လို့ရတယ်….

ဆိုပါတော့ Viber Software ကိုတော့ protected app list ထဲမထည့်ထားဘူး (personal app အမျိုးအစားဖြစ်သွားပြီ)….ဒါဆိုရင် excel (protected app) ထဲက စာသားတွေကို copy/paste နဲ့ viber messenger (personal) ထဲထည့်လို့မရဘူး…

Network Boundary Setting > အဲ့ဒီမှာတော့ Company File တွေကို သိမ်းလို့ရမယ့် Corporate location ကိုသတ်မှတ်ပေးရမယ်..အဲ့ကျရင်တော့ Sharepoint, Business One drive, Mail OWA location တွေကို ထည့်ပေးရတယ်…အဲ့မှာ မထည့်ထားတဲ့ Dropbox, Google drive စတဲ့ location တွေမှာ Company files တွေကို သိမ်းရင် WIP က block လုပ်ချမှာဖြစ်ပါတယ်။

ပြီးရင် ဒီ WIP Policy ကို ဘယ် User Group ဆီ Assign ချမလဲဆိုတာကို သတ်မှတ်ပေးရပါတယ်…WIP Policy ကျလာရင် computer မှာ ရှိတဲ့ data (Protected App နဲ့ဆိုင်တဲ့) အားလုံးကို encrypt လုပ်ပေးပြီး Company file အဖြစ် ပြောင်းပေးပါတယ်။

Protected List ထဲမှာ ပါတဲ့ Appliaton တွေနဲ့ဆိုင်တဲ့ File တွေကို save လုပ်တဲ့အခါကျရင်လည်း Personal လား…Work လားဆိုပြီး အောက်ကလို ခွဲသိမ်းနိုင်ပါတယ်…Work နဲ့ save တဲ့အခါ ကျမှသာ encrypt လုပ်ပြီး Company File အနေနဲ့သိမ်းပေးပါတယ်…

အဲ့ save တဲ့အပေါ်မှာ မူတည်ပြီး company file လား personal file လား ကွဲသွားတယ်…Word file အချင်းချင်းတောင်မှ Company file အမျိုးအစား ထဲက data ကို personal file အမျိုးအစား ထဲကို copy/paste နဲ့ ထည့်ခွင့်မပေးဘူး…

Note: Default က save လိုက်ရင် Personal အနေနဲ့ဘဲ save ပေးတယ်….

Employee က အလုပ်ထွက်သွားတဲ့အခါ (or) device ပျောက်သွားတဲ့အခါ…Intune Portal Webpage ကနေ အဲ့ ပျောက်သွားတဲ့ စက်ထဲက company file ချည်းဘဲ delete လုပ်ပါဆိုပြီးလည်း Command ပေးလို့ရတယ်။

Risk 3

ကျွန်တော်တို့တွေ တွေ့လေ့ရှိတဲ့ ပြသနာတစ်ခုက ရုံးက အရေးကြီးတဲ့ sensitive file တွေကို ရုံးတွင်းမှာ share လိုက်တယ်..အပြင်ဘက်ကိုလည်း ဘယ်လိုမှ ရောက်လို့ရတဲ့ file တစ်ခု ….အဲ့ဒီမှာ ဇာတ်လမ်း စတာဘဲ.. employee တစ်ယောက်က အဲ့ file ကို email ကနေတဆင့် (or တခြား နည်းလမ်းတစ်ခုခုနဲ့) အပြင် လူဆီကို ပို့လိုက်တယ်…အဲ့လိုနည်းနဲ့ ကိုယ့်ရုံးတွင်းက အရေးအရမ်းကြီးတဲ့ File တွေက အပြင်ကို ရောက်သွားတယ်…

အဲ့ဒါတွေကို ကျွန်တော်တို့တွေ ဘယ်လို ကာကွယ်ကြမလဲ?

ကျွန်တော်တို့တွေ Microsoft ရဲ့ Azure Information Protection (AIP) Label ကိုသုံးပြီး ကာကွယ်နိုင်ပါတယ်… သူက ဘယ်လို အလုပ်လုပ်လဲဆိုရင် user အနေနဲ့ File တစ်ခုကို create လုပ်တဲ့အခါ အောက်ကပုံလို label ရွေးပြီး create လုပ်ရမှာပါ….(System Administrator ကတော့ အဲ့လို label တွေပေါ်အောင်လို့ “Azure Information Protection” portal ကနေ Label တွေကို ကြို create လုပ်ထားရမှာပါ…ဘယ် label ကိုသုံးရင်တော့ဖြင့် အဲ့ file ကို ဘယ်သူဘဲ access လုပ်ခွင့်ပေးမယ်ဆိုပြီး configure ကြိုချထားရမှာပါ…)

User က ရွေးလိုက်တဲ့ Lable ပေါ်မှာ မူတည်ပြီး file ကို ဘယ်သူ access လုပ်ခွင့်ပေးမယ်ဆိုတဲ့ permission သတ်မှတ်ပေးသွားမှာပါ…..

ဆိုပါတော့ user က file ကို create လုပ်တဲ့အခါ “Confidential-Internal” label ကိုရွေးလိုက်ပါတယ်…

(အဲ့ lable အတွက် Permission ကို System Administrator  က  “NEX4.com” domain သုံးထားတဲ့ user account ဘဲ ကြည့်ခွင့်ပေးမယ်ဆိုပြီး configure ချထားတယ်ဆိုပါတော့)

အဲ့ file ကိုရတဲ့ ဘယ်သူမဆို ဖွင့်ပြီဆိုတာနဲ့ authentication အရင်လုပ်ရပါတယ်

Nex4.com ကိုသုံးတဲ့ user account နဲ့ ဝင်တဲ့ အခါမှသာ အဲ့ file ကို ကြည့်ခွင့်ရမှာပါ (အဲ့ account ရဲ့ password လည်း မှန်ရပါမယ်)
အဲ့ domain (nex4.com) နဲ့ user account မရှိတဲ့ သူတွေကတော့ ဒီ File ကို ဖွင့်ကြည့်လို့ရမှာမဟုတ်ပါဘူး…(File ကို Encrypt လည်း လုပ်ထားပါသေးတယ်)

နောက် ပြသနာတစ်ခုက ဝန်ထမ်း က အလုပ်ထွက်သွားရင် Company file တွေက ဝန်ထမ်း နဲ့ အတူ အနည်း၊ အများ ပါသွားကြပါတယ်…ဒီ Solution သုံးထားရင်တော့ Employee အလုပ်ထွက်သွားပေမယ့်လည်း သူတို့မှာ nex4.com user account မရှိတော့တဲ့အတွက် company file တွေရှိနေသည့်တိုင်အောင် ဖွင့်ဖတ်လို့ရတော့မှာ မဟုတ်ပါဘူး..….

Case 2: User ကိုယ်တိုင်ကလည်း အောက်ကလို custom permission နဲ့ အပြင်လူကို share ချင်ရင် share လို့ရပါသေးတယ်..                                                                                                       (Remark: system administrator ကတော့ custom permission ကိုခွင့်ပြုထားမှသာ ရမယ်)

share ခံလိုက်တဲ့ user ကလွဲပြီး ဘယ်သူမှ ဖတ်လို့ရမှာ မဟုတ်ပါဘူး… တခြား တယောက်က အဲ့ file ရှိနေရင်တောင် ဖတ်လို့မရပါဘူး…

file ကို ကျော်ကျော် တစ်ယောက်တည်းကိုသာ ပေးဖတ်စေချင်တဲ့အခါမျိုးမှာ [email protected] account အတွက် permission သတ်မှတ်ပြီး သိမ်းလိုက်လို့ရပါတယ်။..အဲ့ file ကို တစုံတယောက်ကဖွင့်တိုင်း authenticate လုပ်ရပါတယ်[email protected] username, password မှန်မှသာလျင် အဲ့ file ကို ဖွင့်လို့ရတော့ပါမယ်။

Remark: အရင်တုန်းကတော့ File တွေကို File server ပေါ်မှာ တင်ထားတယ်…Folder အလိုက် ဘယ် user group တွေက ဘယ် folder ကို ဘယ်လို access လုပ်ခွင့်ပေးမလဲဆိုတပြီး Permission ပေးတယ်….အဲ့ Folder အောက်မှာရှိတဲ့ file တွေက အဲ့ folder အတိုင်း permission ရတယ်…မကောင်းတာ တစ်ခုက user က သူ access ရတဲ့ file (read only) ကို တခြား တယောက်ဆီ ပို့ နိုင်တယ်…အဲ့ file ကို ရတဲ့ သူက authenticate လုပ်စရာမလိုဘဲ အဲ့ file ကို access ရသွားတယ်…

Azure Information Protection(AIP) ကတော့ File တစ်ခုချင်းစီမှာ label တပ်ပြီး permission သတ်မှတ်လိုက်တာ…ဒါကြောင့် အဲ့ file က ဘယ်သူ့ ဆီ ဘယ်လို ဘဲရောက်ရောက် အဲ့လူအတွက် permission မထည့်ထားရင် အဲ့လူက file ကို ဖွင့်လို့ကိုမရဘူး….

နောက် Post ကတော့ Microsoft Intune ကို သုံးပြီး Window device တွေ၊ Mobile device တွေကို ဘယ်လို manage လုပ်လို့ရလဲဆိုတာကို ရေးချင်ပါသေးတယ်…ရုံးက ဆရာ၊ ဆရာမကြီး တွေကို အားကိုးရင်း ပေါ့…. 

Don’t forget to share this post!