This article will explain Azure AIP and Palo Alto integration. Microsoft Azure AIP is very powerful tool , however many users are looking to stretch its features to Non-Microsoft applications. Therefore this article will deal with integration with Palo Alto Firewalls and i will follow up with other articles on different integrations with Azure AIP.

Azure AIP Introduction

Microsoft Azure AIP is the cloud based solution offering by Microsoft in the Information Rights Protection domain. Azure AIP solution is handling the whole document life cycle from initiation, classification, labeling, and monitoring. It works by applying labels on the documents depending on data sensitivity (classified vs public documents). These labels/metadata travels with the document allowing different solutions to read it and apply consequent actions. More Information can be found here. In this blog post we will be discussing the integration between Azure AIP and Palo Alto in order to have once integrated system.


Microsoft introduced last September on her flagship Ignite conference the new Microsoft Information Protection SDK. This allow all possible integrations and extension of Microsoft Azure AIP power and capabilities with other Non-Microsoft. For example 3rd part applications and devices. Palo Alto Firewalls come as one of the best integrations made from my point of view. This is mainly because it provides Azure information Protection enforcement on your network edge.

In Summary Azure AIP SDK allow other applications and 3rd party devices to understand and honor the Azure AIP labels. These labels that you have already created in your Azure environment.

Why Azure AIP and Palo Alto Integration ?

Azure Information Protection is used to set Labels, classification, encryption and protection on your sensitive data. Later on you can create policies to prevent leakage or transfer of these sensitive data out of your organization. Other Microsoft Applications, for instance as Office 365, SharePoint, One drive, Exchange and Windows defender (Microsoft Native AntiVirus) will properly understand and honor these labels. Therefore you can apply all kind of policies to prevent leakage of these labelled sensitive files.

However this is not the full environment. What if leakage happen by moving or copying them to other Non-Microsoft systems. For instance drop box or maybe sending them via a gmail account. This will be undetected and out of the scope of any Microsoft application. That’s the power of integrating these Azure AIP labels with your Organization firewalls as Palo Alto. This allows it to inspect any traffic coming out/in the organization and detect the data and apply/enforce any policy.


Palo Alto NextGen Firewall Configuration:

This is a step by step configuration of Azure AIP and Palo Alto Integration done on Palo Alto firewall. I assume the AIP Labels created and you have the ID of each label. This can be found at the bottom of each label in Azure AIP configuration.


Azure AIP Label ID

  1. Create a Data Pattern.                                                                                                                                                                                                                                                                                                                                                                                                                                               The First step will go to Palo Alto Objects and create a new Data Pattern.                                                                                                                                  PaloAlto Data Pattern
  2. Regular Expression                                                                                                                                                                                                                                                                                                                                                                                                                                                             This Data Pattern type will be regular expression. For instance I will have Data pattern pointing to my Internal Azure AIP Label. In addition, ensure the name is exactly the same as the name of your Azure AIP label (“Internal” in this case)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            Create Azure AIP and PaloAlto Regular Expression
  3. Data Filtering to Match the Pattern created earlier                                                                                                                                                                                                                                                                                                                                                                                                     Next, we need to check the data filtering to match the pattern we created earlier.                                                                                                                                                                                                                                                                                                                                                                                                                                                            PaloAlto Data Filtering
  4. Data Filtering Options                                                                                                                                                                                                                                                                                                                                                                                                                                                      You can specify applying the filtering on any application or any file type. For example word documents only or whole office suite. Also you can specify the office version or just any file. In addition you can make the filter on both direction (In and out)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      Azure AIP and PaloAlto Data Filtering
  5. Security Policy                                                                                                                                                                                                                                                                                                                                                                                                                                                                    Next, specify the action whether it will block or allow files with this label. In addition to the logging and other settings                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PaloAlto Security Policy
  6. Decryption                                                                                                                                                                                                                                                                                                                                                                                                                                                                        This will not work unless decryption is enabled. This allows the firewall to open/decrypt the document and read the headers.


Enable PaloAlto Decryption




Extending the Azure AIP to other applications and devices in your environment is critical. It allows you to have a full integrated system that honors all your policies. Good application will be Data Leakage prevention for critical documents. With Azure AIP SDK all applications and devices now understand and read the labels.


For more information on Azure AIP and Palo Alto integration SDK, check Ignite Announcement Here.


Hopefully this post was helpful and till we meet on the next article.