 |
|
|
|
Практическое использование DLP-системы. Задание DLP-политик в DeviceLock Endpoint DLP Suite
Практическое использование DLP-системы Данный цикл статей посвящен описанию особенностей, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде. Третья статья цикла описывает некоторые нюансы задания DLP-политик для контроля устройств и каналов сетевых коммуникаций Контроль доступа к внешним устройствам DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у сервиса заданные DLP-политикой для этого пользователя разрешения на доступ к этому устройству и предоставляет или ограничивает его. Все многообразие интерфейсов, доступ к которым способен контролировать DeviceLock , разбивается на порты и типы устройств:
Последние четыре из перечисленных типов устройств распознаются, когда они подключаются к компьютеру включенными, и устанавливается синхронизация между ними и компьютером. Начиная с седьмой версии DeviceLock, появился также контроль доступа к буферу обмена Windows, с помощью которого можно контролировать операции копирования/вставки фрагментов текста, графики в документы. Этот интерфейс стоит особняком, не относясь ни к портам, ни к типам устройств. Агент DeviceLock определяет, давать ли доступ пользователю к устройству, в следующем порядке:
Так, если для пользователя задан доступ к порту USB и есть доступ к типу устройств Removable, но нет доступа к файлам Jpeg, то он сможет передавать через порт USB, в частности на/с устройств(а) Removable, все файлы, кроме Jpeg. Если же у пользователя есть доступ к порту USB, но нет доступа к типу устройств Removable, то он сможет работать со всеми устройствами, работающими через порт USB, кроме устройств Removable. Наконец, если у пользователя нет доступа к порту USB, то даже если у него есть доступ к типу устройств Removable, он не сможет воспользоваться этими устройствами. Замечание: DeviceLock относит к Removable все устройства, которые Windows относит к таковым, т.е. все Storage устройства, кроме Floppy, DVD/CD. Есть характерный признак для определения, относится ли устройство к классу Removable – Windows для Removable-устройств позволяет делать Safe remove. Отметим также, что определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа. Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения. Первое по приоритету исключение – «Белый список» USB-устройств. Настраивается он в разделе Devices/USB Devices White List. В белый список может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное уникальное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве. Если в белый список внесена линейка/устройство и при настройке белого списка снят флажок Control as Type, то доступ к линейке/устройству будет открыт независимо от запретов на уровне порта и уровне типа устройств, и операции с ним не будут отражены в журнале аудита (впрочем, в следующей версии разработчик планирует включить аудит и для устройств в Белом списке). Каждому пользователю можно назначить свой Белый список. Это дает возможность построить надежно защищенную систему, в которой ни один пользователь не сможет воспользоваться «чужой флешкой». Второе по приоритету исключение – снятие контроля на уровне порта для отдельных типов устройств. Это исключение настраивается в разделе Devices\Security Settings – единым списком, либо в окне Security Settings настроек доступа каждого из портов – только для устройств, которые могут работать через этот конкретный порт. В частности, из контроля доступа на уровне порта USB могут исключаться: Human Interface Devices (HID) – клавиатура, мышь и т.д., принтеры, Bluetooth-адаптеры, USB and FireWire network cards, сканеры, Removable-устройства. Что касается смартфонов/КПК, то если вы соедините их с рабочей станцией выключенными, они будут видеться как Removable, и вы сможете записать на них данные как на флеш-карту. Тонко настраиваемый контроль доступа к функциями этих гаджетов (включая, например, отключение доступа на чтение или запись в контактов, календаря, заметок, на исполнение файлов) работает, когда устройства соединяются с рабочей станцией в режиме синхронизации. Контроль доступа возможен для стандартных интерфейсов синхронизации (ActiveSync – для WindowsMobile, iTunes – для IPhone, IPod), а также для интерфейсов программирования приложений (API), предоставляемых разработчиком устройства и используемых приложениями различных разработчиков для взаимодействия с устройством. Контроль доступа к каналам сетевых коммуникаций Контроль доступа пользователей к каналам сетевых коммуникаций выстроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не где-то в сети на шлюзе. Это обеспечивает возможность контроля пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G). Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам, пользователей, функционирует также на уровне драйвера. В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и сервисов – как повседневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), web-доступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы – сервисы веб-почты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии. Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы для выполнения их бизнес-задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным пользователям отправлять электронную почту на указанные адреса электронной почты. Применение таких гибких DLP-политик снижает риск утечки и кражи данных. В следующей статье цикла мы рассмотрим некоторые особенности работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite. |
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
