Использование DLP-системы DeviceLock в банках. Архитектура и развертывание

 ИЛЬЯ КУЗЬМИНОВ, специалист по защите информации

DLP-система DeviceLock в банках
Архитектура и развертывание. Часть 1

Программный комплекс DeviceLock Endpoint DLP Suite, разработанный российской компанией «Смарт Лайн Инк», предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций

Данный цикл статей посвящен описанию неочевидных нюансов, с которыми мы столкнулись при использовании DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.

Первая статья цикла описывает особенности архитектуры комплекса и тонкие моменты установки и развертывания DLP-системы DeviceLock Endpoint DLP Suite.

Компоненты

Основные компоненты DeviceLock Endpoint DLP Suite: DeviceLock Service (далее – агент), содержит модули DeviceLock, NetworkLock и ContentLock; DeviceLock Enterprise Server (далее – сервер); консоли DeviceLock Management Console, DeviceLock Enterprise Manager, DeviceLock Service Settings Editor, DeviceLock Group Policy Manager, DeviceLock Signing Tool; DeviceLock Content Security Server.

DeviceLock Service – служба на рабочих станциях, которая контролирует доступ к устройствам и каналам сетевых коммуникаций, в том числе с использованием механизмов контентного анализа и фильтрации, ведет лог активности, отправляет лог и теневые копии записанных/прочитанных файлов на сервер. Включает в себя модули DeviceLock, NetworkLock и ContentLock.

DeviceLock Enterprise Server – служба на сервере, которая собирает данные от агентов, фильтрует собранные данные, выводит их в разных представлениях, а также может осуществлять мониторинг целостности настроек агентов и восстановление нарушенных настроек.

DeviceLock Management Console и DeviceLock Enterprise Manager – консоли управления агентом и сервером, выполненные как оснастки MMC; первая из них предназначена для индивидуальной работы с агентами (например, изменение отдельных настроек агента), вторая – для массовой работы (массовая установка, массовая разливка файла настроек, отчет о настройках, массовое удаление).

DeviceLock Content Security Server – компонент, без которого теневое копирование файлов, прочитанных/записанных пользователями с/на внешние устройства, было бы не очень полезно. Компонент позволяет индексировать теневое хранилище, включая в индекс значимые слова. Это позволяет быстро искать файлы в теневом хранилище по нужным словам, таким как, например, «конфиденциально».

ContentLock – компонент DeviceLock Service, расширяющий возможности фильтрации файлов по содержимому (контенту). С его помощью можно предписать сохранять логи операций с файлами и теневые копии файлов, только если эти файлы относятся к тому или иному типу. ContentLock позволяет устанавливать запреты/предписания передачи файлов и данных по ключевым словам и по соответствию фрагментов текста в файлах заданным регулярным выражениям. Он включает набор ключевых слов и регулярных выражений, конструктор регулярных выражений, а также встроенный весьма широкий набор готовых контентных групп, которые можно применять для создания DLP-политик.

NetworkLock – компонент DeviceLock Service, позволяющий контролировать содержание сетевой активности или блокировать сетевую активность. Он дает возможность запрещать доступ к определенным сайтам, доступ по определенным протоколам, разрешение IP-адресов в адреса URL. Особый интерес для службы ИБ представляет блокировка активности по различным протоколам уровня приложений, например, блокировка ICQ, Mail Agent, других служб мгновенных сообщений, соцсетей, электронной почты и почтовых веб-сервисов (с раздельным контролем сессий, сообщений и вложений в них) и ряда других сетевых сервисов.

Установка и лицензирование

Прежде всего важно отметить, что все три ключевых компонента DLP-системы DeviceLock – базовый модуль DeviceLock, модули NetworkLock и ContentLock – интегрированы как единое целое в агенте DeviceLock и всегда устанавливаются на контролируемые компьютеры, даже если нет соответствующей лицензии на какой-либо из этих компонентов.

Установка из MSI-файла средствами Windows

Наиболее простым и эффективным способом развертывания DLP-системы DeviceLock является вариант с использованием возможностей групповых политик домена Active Directory, если таковой развернут в инфраструктуре организации. Для установки агента DeviceLock требуется файл DeviceLock Service.msi либо DeviceLock Servicex64.msi, в зависимости от целевой ОС. Устанавливать агенты DeviceLock удобно через применение GPO к доменам/контейнерам/фильтрам. Используемый MSI-файл может быть без установленных настроек (установленный таким способом агент ничего не блокирует, ничего не логирует и не защищен от удаления/изменения из-под любой привилегированной учетной записи), либо со встроенными настройками. MSI-файл со встроенными настройками создается с помощью DeviceLock Service Settings Editor на основе стандартного MSI-файла. Устанавливать «голый» MSI не рекомендуем, поскольку такой агент могут удалить на своих машинах пользователи с привилегированными учетными записями еще до того, как репликацией групповых политик до них «докатятся» настройки.

Установка с помощью консолей управления DeviceLock

Если инфраструктура Active Directory не развернута в организации или ее части, для массовой установки агентов DeviceLock придется использовать DeviceLock Enterprise Manager, а установку на единичных машинах проводить через DeviceLock Management Console.

Консоли DeviceLock Enterprise Manager и DeviceLock Management Console для установки агентов на удаленные машины используют вышеупомянутые MSI-файлы, а также файлы Remote Installer.exe и InstMsiW.exe; при этом файлы DeviceLock Remote Installer.exe и InstMsiW.exe используются для запуска удаленной установки с вызовом Windows Installer. В DeviceLock Enterprise Manager можно указать путь к файлам в окне InstallOptions, открывающемся из окна ScanNetwork при выборе плагина InstallService и нажатии кнопки Settings. Там же можно задать фиксированный TCP-порт для работы агента. Последнее очень важно: позднее не удастся изменить этот параметр заливкой новых настроек, и потребуется переустанавливать агент.

Установка из DeviceLock Enterprise Manager происходит по группе компьютеров, которая может задаваться либо списком из файла (при этом внутри домена достаточно неполных имен), либо выбором компьютеров в домене/организационной единице (OU), либо выбором всех компьютеров определенного типа в домене/OU. Последняя функция удобна, если в организации нет прозрачной практики именования компьютеров в зависимости от типов. Можно задать установку на все рабочие станции домена, избегая установки на серверы.

При установке с помощью DeviceLock Enterprise Manager и DeviceLock Management Console эти консоли должны быть запущены под учетной записью, входящей в список локальных администраторов на удаленной машине. Можно запустить их от имени привилегированной учетной записи через пункт RunAs контекстного меню исполняемого файла (или ярлыка) в сессии обычной учетной записи, но, если речь идет о доменной учетной записи, ее нужно будет указывать в полной нотации: DomainName\UserName. Это относится ко всем случаям прямого указания учетных записей в DeviceLock.

Использование файлов лицензий

Разработчик предлагает раздельное лицензирование для компонентов DeviceLock, NetworkLock, ContentLock и DeviceLock Content Security Server и предоставляет соответственно раздельные файлы лицензий для них. Сами файлы лицензий требуются консолями управления DeviceLock, сервером DeviceLock Enterprise Server и компонентом DeviceLock Content Security Server. Записывать файлы лицензий на компьютер, где установлен только агент, не требуется. Количество лицензий определяет то, для скольких машин одновременно можно будет запустить задание через DeviceLock Enterprise Manager или будет «обработано» при развертывании и управлении через групповые политики, и сколько агентов будет обслуживаться сервером DeviceLock. Обратите внимание, что лицензии DeviceLock Content Security Server приобретаются отдельно не по числу машин, а по числу проиндексированных записей логов, поэтому созданный компонентом индекс необходимо время от времени очищать. Иначе DeviceLock Content Security Server может проиндексировать старые данные, «истратив» лицензии, и тогда новые данные индексироваться не будут. Чистить индекс следует, в частности, при удалении файлов из теневого хранилища сервера, иначе может возникнуть ситуация, когда лицензии отнимают записи в индексе, адресующиеся к уже удаленным файлам теневого хранилища.

Установка файлов лицензионных ключей *.lic, как правило, не представляет трудностей. Мастер установки запрашивает директорию с лицензионными файлами, вы указываете, он подхватывает. Он понимает загрузку в список сразу нескольких лицензионных файлов, в том числе триальных совместно с нормальными. Если в процессе установки вы не стали указывать лицензии, то не найдете интерфейса для загрузки лицензий в DeviceLock Management Console/DeviceLock Enterprise Server. Для загрузки вам потребуется просто переместить новый лицензионный файл в установочную директорию DeviceLock, при этом расширение файла должно быть .lic. После запуска консоли файл *.lic будет переименован в *.li_ – это значит, что программа «подхватила» нужный лицензионный файл. При необходимости замены одного файла другим по такой схеме понадобится сначала удалить старый файл из установочной директории и удалить параметр Lic из реестра Hkey_Local_Machine\Software\SmartLine Vision\DeviceLock.

Еще одна хорошая новость – сочетание раздельного лицензирования модулей DeviceLock, NetworkLock, ContentLock с их интегрированностью в единое ядро агента (DeviceLock Service) позволяет службе ИБ организовать поэтапное внедрение DLP-системы. Можно сначала обеспечить базовый контроль доступа пользователей к портам и устройствам с помощью модуля DeviceLock, затем усилить противодействие утечкам данных за счет контроля каналов сетевых коммуникаций в модуле NetworkLock и уже тогда, накопив за время эксплуатации этих компонентов определенный опыт и понимание сценариев утечки данных в условиях конкретной инфраструктуры организации, задействовать возможности технологий контентной фильтрации в модуле ContentLock. Кроме того, это позволяет в условиях сильной загруженности специалистов по ИБ более тщательно спланировать ресурсы, время и бюджет для построения полной DLP-системы.

В следующей статье цикла мы рассмотрим особенности сетевого взаимодействия компонентов и механизмы обеспечения собственной безопасности компонентов в DeviceLock Endpoint DLP Suite.

Комментарии могут оставлять только зарегистрированные пользователи