Обзор DeviceLock DLP Suite 8. Часть 1: функциональные возможности

Обзор DeviceLock DLP Suite 8. Часть 1: функциональные возможности


Обзор DeviceLock DLP Suite 8. Часть 1: функциональные возможности

В этом обзоре мы подробно расскажем о DeviceLock DLP Suite 8 — комплексной DLP-системе, способной контролировать как периферийные устройства, так и сетевые каналы передачи данных.  В первой части обзора рассматривается концепция продукта, его общие функциональные возможности, развертывание и первоначальная настройка.

Сертификат AM Test Lab

Номер сертификата: 150

Дата выдачи: 23.07.2015

Срок действия: 23.07.2020

Реестр сертифицированных продуктов »

 

 

 

1.  Введение

2. Состав программного комплекса DeviceLock DLP Suite 8

3. Особенности лицензирования DeviceLock DLP Suite 8

4. Функциональные возможности DeviceLock DLP Suite 8

5. Системные требования

6. Развертывание DeviceLock DLP Suite 8

7. Дополнительные утилиты DeviceLock DLP Suite 8

 


Введение

Компания «Смарт Лайн» осенью 2014 года представила новую версию известного на рынке продукта — DLP-систему DeviceLock 8.0. Мы прежде не делали подробных обзоров этого продукта, поэтому сначала расскажем про его эволюцию в последние годы.

Очень многие в России знакомы с хорошо зарекомендовавшей себя на рынке версией DeviceLock 6.x. В отличие от нее версия DeviceLock 7.0 уже была совершенно иным по функциональности продуктом, в котором  появились модули анализа сетевого трафика NetworkLock и контентного анализа ContentLock.

В свою очередь, в версию  DeviceLock 8.0 добавлен совершенно новый модуль DeviceLock Discovery. Помимо этого, в «восьмерке» значительно переработано ядро, усовершенствованы компоненты NetworkLock, ContentLock, и DeviceLock Search Server. Значительно усилен арсенал технологий контекстного анализа и контентной фильтрации, добавлен модуль распознавания символов в графике OCR, расширены инструменты администрирования, а также внедрено множество других улучшений, доработок и функций.

В то же время разработчики сохранили привычный интерфейс, поэтому администраторам, уже работавшим с предыдущими версиями продукта, будет проще разобраться в новинке.

 

Состав программного комплекса DeviceLock DLP Suite 8

Восьмая версия DeviceLock DLP Suite — очередной логичный шаг в развитии этого программного продукта. Она включает в себя не только традиционный для комплекса агентский компонент, устанавливаемый на конечный хост пользователя (Endpoint DLP), но и новый серверный компонент DeviceLock Discovery, расширяющий функциональные возможности комплекса.

Программный комплекс DeviceLock DLP Suite включает в себя базовый компонент DeviceLock Base и взаимодополняющие его компоненты — NetworkLock, ContentLock, DeviceLock Discovery и DeviceLock Search Server (DLSS). Они  лицензируются отдельно, в любых комбинациях (см. рисунок 1).

 

Рисунок 1. Покомпонентный состав DeviceLock DLP Suite 8

Покомпонентный состав DeviceLock DLP Suite 8

 

В случае интеграции с групповыми политиками Active Directory (AD) роль сервера управления берет на себя контроллер домена. Такая реализация устраняет зависимость управления DLP-системой от доступности DLP-сервера и позволяет задействовать уже существующую в организации инфраструктуру управления компьютерами домена. Консоль управления DeviceLock прозрачно встраивается в стандартную оснастку Group Policy Editor, что позволяет автоматически устанавливать агентские компоненты на новые компьютеры, подключаемые к корпоративной сети, и управлять DLP-политиками через групповые политики домена.

Агент DeviceLock выполняет весь спектр функций контроля внешних устройств и сетевого трафика на компьютере, где он установлен. То есть архитектурно анализ событий осуществляется непосредственно на рабочих станциях. Агент DeviceLock, содержащий в себе все три основных компонента комплекса (DeviceLock, NetworkLock, ContentLock), устанавливается на каждый компьютер, функционирует, начиная с уровня ядра Microsoft Windows, запускается автоматически и обеспечивает защиту от утечек данных, оставаясь в то же время невидимым для локального пользователя.

 

Рисунок 2. Контроль каналов утечки данных в Агенте DeviceLock

Контроль каналов утечки данных в Агенте DeviceLock

 

Компонент DeviceLock Discovery имеет своего собственного агента, который устанавливается выборочно на нужные сетевые узлы, если там не установлен уже агент DeviceLock, также способный решать задачи сканирования файловой системы.

 

Рисунок 3. Архитектура комплекса DeviceLock DLP Suite 8

Архитектура комплекса DeviceLock DLP Suite 8


* DeviceLock Enterprise Manager, DeviceLock Management Console, DeviceLock WebConsole

Базисный компонент DeviceLock (или DeviceLock Base) — основной компонент решения и инфраструктурное ядро для других компонентов комплекса, включающий в себя также консоли централизованного администрирования. Прежде всего, он реализует задачи контекстного контроля доступа к внешним и периферийным устройствам, портам ввода/вывода и сетевым протоколам.

DeviceLock Base можно приобретать и использовать как самостоятельный продукт EDPC-класса (то есть для противодействия утечкам данных посредством периферийных устройств, без контроля сети и функций контентной фильтрации). Именно с этого самостоятельного продукта, ставшего со временем основой DLP-комплекса, в 1996 году началось развитие решения DeviceLock DLP Suite.

DeviceLock Base  контролирует весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-устройства и порты, CD/DVD-приводы, FireWire, инфракрасные (IrDA), параллельные (LTP) и последовательные (COM) порты, беспроводные Wi-Fi- и Bluetooth-адаптеры, внутренние и внешние сменные накопители и жесткие диски, ленточные накопители, системный буфер обмена Windows. Кроме того, DeviceLock Base позволяет контролировать файлы, расположенные на локальных дисках и сетевых ресурсах.

Компонент NetworkLock обеспечивает контекстный контроль каналов сетевого обмена данными на рабочих компьютерах, включая распознавание сетевых протоколов и используемых портов, детектирование приложений, инициирующих соединение и их селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также протоколирование и теневое копирование передаваемых файлов (см. рисунок 4).

 

Рисунок 4. Ключевые возможности NetworkLock в составе DeviceLock DLP Suite 8

Ключевые возможности NetworkLock в составе DeviceLock DLP Suite 8

 

Компонент ContentLock обеспечивает механизмы контентного анализа и фильтрации данных, передаваемых как посредством сменных носителей, через канал печати или буфер обмена данными, так и по сети — с помощью электронной почты, социальных сетей, служб мгновенных сообщений (IM), файлового обмена FTP и SFTP и т. д. (см. рисунок 5). ContentLock позволяет осуществить выборочное теневое копирование, в случае когда можно настроить правила контентной фильтрации для сохранения только значимых передаваемых данных для последующего аудита или расследований инцидентов информационной безопасности.

В арсенале ContentLock есть поиск по ключевым словам, морфологический анализ с использованием отраслевых словарей, анализ по регулярным выражениям, анализ по формальным признакам и расширенным свойствам документов и файлов, распознавание текста в графических документах и другие технологии контентного анализа.

 

Рисунок 5. Ключевые возможности ContentLock в составе DeviceLock DLP Suite 8

Ключевые возможности ContentLock в составе DeviceLock DLP Suite 8

 

Серверный компонент DeviceLock Discovery предназначен для обнаружения несанкционированных копий файлов с конфиденциальными данными на рабочих станциях и сетевых ресурсах. В зависимости от заданной политики безопасности к обнаруженным файлам могут применяться различные действия: например, блокировка доступа, удаление, отправка оповещения пользователю и запись в файл отчёта. В будущих версиях производитель планирует добавить возможность карантина обнаруженных файлов, а также сканирование структурированных хранилищ данных (почтовые архивы, базы данных и пр.).

DeviceLock Discovery может сканировать рабочие станции пользователей под управлением Windows (локальные диски и подключенные устройства хранения), а также сетевые ресурсы общего доступа
и системы хранения данных (SAN/NAS), доступные по протоколу SMB.

По всем найденным в соответствии с заданными правилами сканирования файлам DeviceLock Discovery может отправлять администратору безопасности оповещения в реальном времени и таким образом инициировать внешние процедуры управления инцидентами. Уникальная особенность компонента — наличие собственного резидентного OCR модуля, включенного как в состав сервера Discovery, так и в агенты, для распознавания текста в графических файлах. Заметим, что модуль OCR входит в состав DeviceLock Discovery и не требует дополнительного лицензирования.

Для удаленного сканирования сервер DeviceLock Discovery использует протокол SMB, что позволяет сканировать локальные и сетевые Linux/Unix ресурсы.

DeviceLock Enterprise Server (DLES) — второй ключевой компонент в архитектуре комплекса DeviceLock DLP Suite, при этом являющийся опциональным и нелицензируемым (бесплатным). Он применяется, прежде всего, для сбора с агентов DeviceLock и централизованного хранения запротоколированных событий и данных теневого копирования  (для чего используется MS SQL Server). Вторая функция DLES — мониторинг текущего состояния агентов и применяемых политик. DLES не требует лицензирования, поэтому он может быть использован в любом количестве для создания любой вариации распределенной инфраструктуры сбора данных аудита.

DeviceLock Search Server (DLSS) серверный компонент, обеспечивающий полнотекстовый поиск по централизованным базам данных теневого копирования и событийного протоколирования, что позволяет существенно упростить и ускорить аудит и расследование инцидентов информационной безопасности. Компонент лицензируется отдельно.

Консоли управления — интерфейс контроля, который администратор использует для удаленного управления любой системой, на которой установлены агенты или серверы комплекса DeviceLock DLP. DeviceLock поставляется с четырьмя различными консолями управления:

  • DeviceLock Management Console (оснастка для MMC)
  • DeviceLock Enterprise Manager
  • DeviceLock WebConsole
  • DeviceLock Group Policy Manager (интегрирован в редактор групповых политик Windows)

Для управления серверными компонентами DeviceLock DLP используются DeviceLock Management Console и DeviceLock WebConsole.  Можно выбрать наиболее подходящую для конкретных задач консоль управления.

 

Особенности лицензирования DeviceLock DLP Suite 8

Политика лицензирования DeviceLock DLP Suite построена по модульному принципу. Она предусматривает как возможность приобретения лицензии «все в одном» (all-in-one), так и выборочное лицензирование по отдельным компонентам. Базовый компонент DeviceLock Base обязателен для любой инсталляции комплекса и может использоваться независимо. Опциональные компоненты — ContentLock, NetworkLock, Discovery и DLSS — могут приобретаться дополнительно к DeviceLock Base независимо друг от друга. Они лицензируются отдельно, что обеспечивает пользователям гибкое и экономное расширение функционала.

Поскольку инсталляционный пакет DeviceLock DLP Suite включает сразу все компоненты комплекса (в состав агента DeviceLock входят компоненты DeviceLock Base, ContentLock и NetworkLock), активация опциональных лицензий не требует переустановки каких-либо его частей, равно как и дополнительной установки компонентов.

 

Функциональные возможности DeviceLock DLP Suite 8

Функциональные возможности программного комплекса DeviceLock Endpoint DLP Suite весьма широки. Рассмотрим основные его функции и возможности.

1. Контроль доступа к устройствам и интерфейсам

DeviceLock Base обеспечивает полный контроль доступа пользователей и пользовательских групп к портам ввода-вывода (USB, FireWire, COM, LPT, IrDA), сетевым адаптерам WiFi и Bluetooth, любым типам принтеров (локальные, сетевые и виртуальные), мобильным устройствам (на базе iOS, Android, Windows Phone и других платформ), а также сменным носителям CD/DVD и т. п.

Для любого типа устройства или порта можно задать доступ в зависимости от времени и дня недели, а также задать тип доступа «только чтение» для сменных носителей.

2. Контроль сетевых коммуникаций

NetworkLock имеет механизм распознавания сетевых протоколов и используемых портов TCP/UDP, детектирования приложений, инициирующих соединение. Согласно настраиваемым политикам безопасности, выполняет селективную блокировку, реконструкцию сообщений и сессий с восстановлением файлов, данных и параметров, а также протоколирование и теневое копирование передаваемых файлов.

NetworkLock контролирует следующие сетевые протоколы и сервисы:

  • Почтовые протоколы: MAPI (Microsoft Exchange), SMTP/SMTPS.
  • Веб-сервисы (включая мобильные версии): Почта Mail.Ru, Рамблер-Почта, Яндекс.Почта, Gmail, AOL Mail, Hotmail/Outlook.com, Yahoo! Mail, GMX.de, Web.de, Outlook Web App/Access (OWA).
  • Социальные сети (включая мобильные версии): ВКонтакте (+API), Одноклассники, LiveJournal, LiveInternet.ru, Facebook (+API), Twitter, Google+, LinkedIn, Tumblr, MySpace, XING.com, MeinVZ.de, StudiVZ.de, Disqus.
  • Сетевые сервисы файлового обмена и синхронизации: Яндекс.Диск, Google Drive, Dropbox, OneDrive, RapidShare, Amazon S3, iFolder.ru (Rusfolder.com).
  • Службы мгновенных сообщений: Skype, Агент Mail.Ru, ICQ/AOL, MSN Messenger, Jabber, IRC, Yahoo! Messenger.
  • Сетевые протоколы: HTTP/HTTP-SSL, FTP/FTP-SSL, Telnet.
  • Прочее: внутрисетевые файловые ресурсы (SMB), звонки Skype.

3. Контентная фильтрация

ContentLock обеспечивает контентную фильтрацию данных, отправляемых на печать, передаваемых через буфер обмена, копируемых на съемные устройства хранения данных и передаваемых через сетевые протоколы. В арсенале ContentLock — распознавание более чем 160 типов форматов файлов, анализ по регулярным выражениям с различными численными и логическими условиями соответствия заданным критериям, ключевым словам и другие технологии.

Контентная фильтрация представлена следующими технологиями:

Поиск по ключевым словам с применением морфологического анализа (для английского, французского, итальянского, немецкого, испанского, русского, португальского и польского языков). Поиск по целым словам или частичному совпадению, поддержка транслитерации для русского языка.

Поиск по шаблонам на базе регулярных выражений с числовыми и булевыми порогами срабатывания.

Поиск по встроенным комплексным шаблонам регулярных выражений (номера кредитных карт, адреса, паспортные данные и т. д.).

Встроенные отраслевые терминологические словари.

Поиск по расширенным свойствам документов и файлов (имя, размер, наличие парольной защиты, наличие текста, дата и время последнего изменения, титул, тема, метки и категории документа, комментарии и авторы, наличие отпечатка Oracle IRM и др.).

Оптическое распознавание символов (OCR) для следующих языков: болгарский, каталонский, хорватский, чешский, датский, голландский, английский, эстонский, финский, французский, немецкий, венгерский, индонезийский, итальянский, латышский, литовский, норвежский, польский, португальский, румынский, русский, словацкий, словенский, испанский, шведский и турецкий.

4. Контроль по типу файлов

DeviceLock DLP позволяет разрешать и запрещать доступ к определенным типам файлов вне зависимости от политик безопасности, установленных на отдельное устройство или сетевой протокол, а также задавать избирательные политики теневого копирования с целью исключения из хранимых на сервере файлов тех, что не имеют значимости для расследования инцидентов. Определение типов файлов основано на сигнатурном методе и не зависит от расширения файла. Алгоритм распознавания сигнатур на сегодня умеет распознавать более 4300 типов файлов, и этот перечень постоянно пополняется.

5. Контроль буфера обмена

Буфер обмена — в умелых руках не менее опасный канал утечки информации, чем сетевые протоколы или флешки. DeviceLock позволяет эффективно предотвращать потенциальную утечку данных еще до того, как они будут переданы с компьютеров — когда пользователь намеренно или случайно копирует данные между различными приложениями и документами через системный буфер обмена Windows. Контекстный контроль доступа пользователей к операциям буфера обмена обеспечивается на уровне объектов и типов данных, включая файлы, текстовые данные, графические изображения, аудиофрагменты (например, записи, сделанные Windows Sound Recorder), а также данные неопределенного типа. DeviceLock также позволяет селективно блокировать «снимки экрана», выполняемые стандартной функцией PrintScreen, как для отдельных пользователей, так и для различных приложений.

6. Белые списки

DeviceLock поддерживает формирование политик безопасности на основании белых списков:

Белый список USB-устройств — по производителю, модели устройства или уникальному серийному номеру.

Белый список носителей CD/DVD-дисков на основе записанных на них данных с разрешением их использования, даже если сам CD/DVD-привод заблокирован.

Временный белый список для предоставления временного доступа к устройствам при отсутствии сетевого подключения, может также использоваться как механизм двойного набора политик безопасности для работы в офисной сети или за ее пределами. Для предоставления доступа к USB-устройству администратор безопасности сообщает пользователю специальный короткий буквенно-цифровой код (например, по телефону или текстовым сообщением), который временно разблокирует доступ только к требуемому устройству на заданное администратором время.

Белый список сетевых протоколов позволяет задавать политики безопасности для NetworkLock, основанные на принципе белого списка. Политики доступа в Белом списке могут быть заданы по IP-адресам, диапазонам и маскам подсетей, идентификаторам отправителей и получателей сообщений и писем (в мессенджерах и электронной почте), а также по сетевым портам TCP\UDP и их диапазонам.

7. Поиск  несанкционированных копий конфиденциальных данных

Используя DeviceLock Discovery, можно автоматически сканировать локальные диски и сетевые системы хранения данных, размещенные как внутри, так и за пределами корпоративной сети. Администраторы могут задавать правила сканирования и обнаружения, определяющие, какого рода данные сотрудникам недопустимо хранить на рабочих станциях в корпоративной сети, и выполняющие различные опциональные действия с обнаруженными документами и файлами — удаление,  шифрование или изменение прав доступа.

8. Полнотекстовый поиск по журналам

 DeviceLock Search Server позволяет проводить полнотекстовый поиск по содержимому файлов теневого копирования и журналам событийного протоколирования, хранящимся в центральной базе данных сервера DeviceLock Enterprise Server. Полнотекстовый поиск особенно полезен в случаях, когда надо решить задачу оперативного поиска по содержимому документов, хранимых как теневые копии. DeviceLock Search Server может автоматически распознавать, индексировать и отображать документы множества форматов, таких как: Adobe Acrobat (PDF), Ami Pro, Архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, AutoCAD, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и многие другие.

9. Оптическое распознавание символов (OCR)

Использование OCR-технологий в резидентном модуле  позволяет извлекать текст из графических файлов (например, отсканированных документов или скриншотов) и проверять его контентно-зависимыми правилами. Данный модуль встроен в агент DeviceLock, сервер и агент Discovery и не требует дополнительного лицензирования.

10. Теневое копирование

Этот механизм в DeviceLock позволяет сохранять точную копию данных, копируемых на внешние устройства, передаваемых через LPT- или COM-порты, печатаемых на локальных и сетевых принтерах, а также передаваемых по каналам сетевых коммуникаций (включая переписку и файлы в мессенджерах, сообщения и вложения в электронной почте и т. д.). Точные копии всех файлов и данных могут централизованно храниться в SQL-базе данных на сервере модулем DeviceLock Enterprise Server (DLES). DLES при этом может извлекать из ISO-образов CD/DVD/BD-дисков записываемые файлы.

Расширенные настройки аудита и теневого копирования в DeviceLock позволяют гибко настраивать потоковое сжатие данных, контроль пропускной способности сети, автоматический выбор оптимального сервера DLES и локальной квоты кэша данных.

Теневое копирование DeviceLock совместимо с библиотекой программного обеспечения, поддерживаемой национальным институтом стандартов и технологий США, а также с базой данных Hashkeeper, созданной и поддерживаемой министерством юстиции США. Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике. Такие базы данных содержат цифровые отпечатки множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т. п.). Возможно создание собственных баз данных цифровых отпечатков (поддерживаются алгоритмы SHA1, MD5 и CRC32) конфиденциальных файлов, чтобы затем использовать их для выявления фактов копирования пользователями этих конфиденциальных файлов.

11. Защита от локального администратора

Режим работы драйверов DeviceLock обеспечивает необходимый уровень защиты, даже если пользователи имеют административные привилегии на своих рабочих локальных компьютерах. Когда защита DeviceLock включена, никто, кроме авторизованных администраторов, не может подключиться к агенту, остановить или удалить сервис. Даже члены локальной группы Администраторы (если они не входят в список авторизованных администраторов DeviceLock) не могут обойти защиту. Все попытки некорректно завершить процесс будут игнорироваться системой или приведут к системной ошибке, что не позволит обойти политику безопасности.

12. Централизованное управление

Полная интеграция централизованного управления DeviceLock в групповые политики Windows позволяет автоматически устанавливать агенты DeviceLock на новые компьютеры и распространять DLP-политики как объекты групповых политик домена Active Directory. Управление DLP-политиками при интеграции с доменом осуществляется посредством консоли DeviceLock Group Policy Manager.

Агенты могут устанавливаться на удаленные компьютеры с уже определенными политиками безопасности путем развертывания заранее сформированного MSI-пакета. Он создается администратором при помощи стандартной консоли управления DeviceLock.

Наиболее часто применяемая консоль управления DeviceLock представляет собой оснастку для Microsoft Management Console (MMC) в стандартном стиле Windows, что обеспечивает интуитивно понятный и комфортный вариант работы для администраторов Windows. Для организаций, не использующих домен AD, предусмотрена дополнительная консоль с собственным интерфейсом — DeviceLock Enterprise Manager, позволяющая единовременно управлять группами агентов на группах компьютеров.

13. Аудит действий пользователей

DeviceLock позволяет протоколировать все действия пользователей с устройствами и файлами (копирование, чтение, удаление и т. п.). Также можно настроить протоколирование изменений в настройках DeviceLock, время старта и остановки сервиса. DeviceLock использует стандартную подсистему протоколирования событий в Windows, а также автоматически собирает данные событийного протоколирования с удаленных компьютеров в локальной сети и хранит их в центральной базе данных SQL-сервера. Даже пользователи с административными правами (если они не входят в список авторизованных администраторов DeviceLock) не могут изменить, удалить или иным образом исказить теневые копии и данные журналов, как еще хранимые в локальном кэше на контролируемой рабочей станции, так и уже переданные на DeviceLock Enterprise Server.

14. Система тревожных оповещений

DeviceLock обеспечивает отправку тревожных оповещений для администратора в режиме реального времени. Оповещения могут отправляться в почтовых сообщениях по протоколам SMTP и/или SNMP. Предусмотрено два типа оповещений: административные (изменение настроек сервиса, остановка агента DeviceLock, изменения в списке администраторов, неуспешные попытки пользователя внести изменения в политики и т. п.) и специфичные для устройств и протоколов, отправляемые при наступлении какого-либо инцидента информационной безопасности (попытка доступа к запрещенному устройству, передача файла с конфиденциальными данными и т. д.). Настройка тревожных оповещений осуществляется администратором аналогично настройке событийного протоколирования, но при этом не заменяет его.

15. Централизованное хранение журналов событий и теневого копирования

Для централизованного сбора и хранения данных теневого копирования и журналов событийного протоколирования используется нелицензируемый компонент DeviceLock Enterprise Server (DLES). Для равномерного распределения нагрузки в локальной сети можно установить несколько экземпляров DLES, которые, в свою очередь, используют любое количество доступных SQL-серверов для хранения данных. Это решает проблемы балансировки нагрузки в корпоративной сети и дает возможность гибкого масштабирования DLP-системы под различное количество защищаемых хостов.

16. Политики автономного и оперативного режима

DeviceLock может применять один набор политик для ситуации, когда компьютер подключен к сети, доступен контроллер домена или доступен DeviceLock Enterprise Server (онлайн-режим), и другой набор политик для ситуации, когда компьютер не подключен к сети, недоступен контроллер домена или недоступен DeviceLock Enterprise Server (офлайн-режим). Применение различных политик для двух режимов полезно, например, для запрета использования адаптеров Wi-Fi, когда компьютер подключен к офисной сети компании, и разрешения, когда находится за ее пределами.

17. Интеграция с внешними средствами шифрования

DeviceLock освобожден от привязки к национальным криптографическим алгоритмам, а взамен разработчики предлагают интеграцию со сторонним программным обеспечением. DeviceLock интегрируется со встроенными в Windows средствами шифрования, например BitLocker To Go. Есть поддержка FileVault — встроенного в Apple OS X средства шифрования данных, а также ViPNet SafeDisk от компании «Инфотекс» (сертифицирован ФСБ России как СКЗИ), PGP Whole Disk Encryption, DriveCrypt и TrueCrypt (USB-флешки и другие съемные устройства), а также флеш-диски Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающие аппаратное шифрование данных. DeviceLock имеет возможность использования гибких политик интеграции — например, можно разрешить запись только зашифрованных данных на съемные устройства и запретить запись незашифрованных данных.

18. Поддержка виртуальных и терминальных сред

В DeviceLock DLP Suite  реализована поддержка виртуальных и терминальных сред (см. статью о DeviceLock Virtual DLP), что существенно расширяет возможности по предотвращению утечек данных в виртуальной инфраструктуре, созданной как в форме локальных виртуальных машин, так и терминальных сессий или опубликованных приложений на гипервизорах (серверах виртуализации). Поддерживаются рабочие среды и приложения от трех основных разработчиков — Microsoft (RDS/RDP), Citrix (XenApp, XenDesktop) и VMware (VMware View).

 

Рисунок 6. Защита терминальных сессий в DeviceLock DLP Suite 8

Защита терминальных сессий в DeviceLock DLP Suite 8

 

Благодаря полноценному набору контекстных и контентных методов фильтрации данных DLP-политики для виртуальных сред обеспечивают контроль потока данных между виртуальным рабочим столом (приложением) и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные CD\DVD\HDD-накопители, принтеры, USB-порты и буфер обмена данными. Более того, все сетевые соединения пользователей внутри терминальной сессии также контролируются DLP-механизмами DeviceLock. Как и в обычном режиме, обеспечиваются централизованное журналирование действий пользователя и теневое копирование переданных им файлов и данных.

Контроль удаленных устройств, подключенных к серверам организации через терминальные сессии, является универсальными и не зависящим от платформы на конечном устройстве, и работает на всех видах персональных устройств — под управлением iOS, Android и Windows RT/Phone, а также на любых тонких клиентах, не говоря уже про полноценные рабочие станции и лэптопы. Такая особенность контроля терминальных сред связана с тем, что агент DeviceLock устанавливается на стороне корпоративной среды, а не на конечном устройстве. Таким образом, пользователь сохраняет возможность подключать к корпоративной среде через сторонние сети любые персональные устройства для получения доступа к рабочим данным и бизнес-приложениям, в том числе мобильные устройства. Для него этот процесс прозрачен, а DLP-система продолжает обеспечивать защиту данных в терминальной среде. Администратор может отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной виртуальной рабочей средой и персональным устройством пользователя, а также всеми перенаправленными в терминальную сессию периферийными устройствами и буфером обмена данными.

18. Контроль синхронизации мобильных устройств

DeviceLock Base обеспечивает обнаружение и контроль локальных подсоединений мобильного устройства на уровне интерфейса (USB, Bluetooth, IrDA, COM), по типу устройства (Windows Phone, iPhone, Android) и, если возможно и необходимо, по модели и уникальному идентификатору.

Далее результаты передаются парсеру протокола синхронизации, который осуществляет протокольный анализ потока данных, детектирует его отдельные объекты (файлы, фотографии, календарь, почта, задачи, заметки), фильтрует запрещенные типы и пропускает остальные к детектору типов файлов. На этом этапе производится фильтрация файлов по их реальному типу, а на окончательном этапе выполняется фильтрация с применением контентного анализа.

 

Рисунок 7. Контроль протоколов мобильной синхронизации  DeviceLock DLP Suite 8

Контроль протоколов мобильной синхронизации  DeviceLock DLP Suite 8

18. Соответствие законодательству

DeviceLock соответствует всем наиболее распространяемы требованиям и стандартам в области информационной безопасности. В частности, он соответствует требованиям ФЗ «О коммерческой тайне», ФЗ «О защите персональных данных». Продукт будет интересен банковскому сектору, поскольку он удовлетворяет техническим требованиям отраслевого стандарта СТО БР ИББС, стандарту по защите платежных систем PCI DSS, международного банковского стандарта Basel II. Следует отметить, что для наиболее требовательных клиентов у DeviceLock есть версии сертифицированные ФСТЭК. Несмотря на то, что 8-я версия пока находится в стадии сертификации, она полностью соответствует всем требованиям отечественного регулятора по технической защите информации.

 

Системные требования

DeviceLock не отличается большими системными требованиями к аппаратным ресурсам. Агент DeviceLock, выполняющий задачи DLP-контроля непосредственно на рабочих станциях, адаптирован для функционирования на локальном компьютере, при этом вычислительные ресурсы со стороны сервера не привлекаются.

 

Таблица 1. Системные требования DeviceLock DLP Suite 8

Аппаратное обеспечениеПоддерживаемые операционные системы
Агенты DeviceLock
Минимальные требования CPU Pentium 4, память от 64 Мб, дисковое пространство от 100 Мб + дополнительное место для теневых копийMicrosoft Windows NT/2000/XP/Vista/7/8/8.1/Серверные Windows Server 2003/2008/2012 R2 (32/64-бита);Apple OS X 10.6.8/10.7/10.8/10.9 (32/64-бита);Виртуальные и терминальные рабочие среды:Microsoft RDS, Citrix XenDesktop/XenApp, Citrix XenServer, VMware Horizon View; VMware Workstation, VMware Player, Oracle VM VirtualBox, Windows Virtual 
Консоли управления DeviceLock
Минимальные требования CPU Pentium 4, память2 Гб, дисковое пространство 600 МбMicrosoft Windows 2000/XP/Vista/7/8/8.1/Серверные Windows  Server 2003, 2008, 2012 R2 (32/64-бита)
Компоненты DeviceLock Enterprise Server, DeviceLock Discovery Server, DeviceLock Search Server
Минимальные требования 2xCPU Intel Xeon Quad-Core 2.33 Ггц, память 8 Гб, диск 800 Гб (меньше, если не используется БД SQL); по выбору MSEE/MSDE/SQL Express или MS SQL ServerСерверные Windows Server 2003-2012 (32/64-бита), гипервизоры Microsoft RDS, Citrix XenServer, VMware vSphere Desktop;

 

Для централизованного хранения данных теневого копирования и журналов событийного протоколирования может оказаться достаточно и одного сервера DeviceLock Enterprise Server в связке с одним экземпляром базы данных MS SQL. Для крупных компаний (особенно в филиальных структурах) и при значительном объеме и количестве файлов теневых копий, подлежащих централизованному хранению, разработчики рекомендуют использовать несколько экземпляров DLES и баз данных SQL.

 

Развертывание DeviceLock DLP Suite 8

Локальная установка на компьютер пользователя 

Наиболее простой путь — запустить инсталляционный файл setup.exe и в выборе типа установки Custom отметить только компонент DeviceLock Service. Такой путь подходит в случаях, когда нужно установить программу на небольшое количество пользовательских компьютеров или на компьютеры, изолированные от локальной сети. Установка происходит в интерактивном режиме, и администратор видит весь процесс установки на экране (см. рисунок 8).

 

Рисунок 8. Интерактивная установка DeviceLock DLP Suite 8 на локальный компьютер

Интерактивная установка DeviceLock DLP Suite 8 на локальный компьютер

Удаленная установка в DeviceLock Management Console

Функция удаленной установки позволяет устанавливать и обновлять DeviceLock Service на удаленных компьютерах без физического доступа к ним. Администратор, открыв DeviceLock Management Console в левой части в древовидном меню выбирает пункт подключиться, далее в открывшемся окне имеет возможность указать целевой хост — по IP-адресу или выбрав через стандартную функцию обзора (см. рисунок 9). Далее администратор выбирает каталог, содержащий все файлы, необходимые для установки и консоль управления автоматически установит программу. Каталог установки DeviceLock по умолчанию: /ProgramFiles/DeviceLock.

 

Рисунок 9. Удаленная установка в DeviceLock Management Console

Удаленная установка в DeviceLock Management Console

Установка агента с использованием консоли DeviceLock Enterprise Manager

Рабочая область консоли DeviceLock Enterprise Manager разделена на две части. В правой ее части, ставя галочки, администратор может указать, какое именно действие нужно выполнить на целевом хосте (например, установить сервис или удалить его). Правая часть содержит меню выбора области, из которой будут подгружены компьютеры, найденные в локальной сети. Из рисунка видно, что импортировать данные можно из любого LDAP-каталога, доменной иерархии, организационных единиц (OU в терминологии Windows) и просто из типа «компьютеры» (см. рисунок 10).

 

Рисунок 10. Установка с использованием DeviceLock Enterprise Manager

Установка с использованием DeviceLock Enterprise Manager

Установка с помощью групповых политик Windows

Последний и наиболее мощный вариант развертывания агентов в корпоративной сети возможен при установленной службе Active Directory. Агенты DeviceLock могут быть развернуты посредством групповой политики (GPO) как путем «чистой» инсталляции агента (без заданных политик), так и  путем развертывания заранее подготовленного инсталляционного MSI-пакета, содержащего не только собственно агент, но и предконфигурированные политики безопасности, которые будут автоматически применены на агенте после его установки на рабочей станции.

Первым делом необходимо создать точку распространения на сервере, включающую создание общей сетевой папки доступной всем пользователям на чтение и помещение туда заранее подготовленного MSI-пакета. После этого администратор с помощью редактора групповой политики формирует объект DeviceLock Group Policy Object (см. рисунок 11).

 

Рисунок 11. Установка агента DeviceLock с помощью групповых политик Windows на компьютеры пользователей

Установка агента DeviceLock с помощью групповых политик Windows на компьютеры пользователей

 

Установка пакета выполняется в стандартном для Windows-систем диалоге. Сформированный пакет привязывается к группам, на которые он распространяется и далее путем форсирования политик на компьютеры пользователей происходит назначение удаленной установки (см. рисунок 12), либо установка будет выполнена без форсирования при очередном системном распространении GPO.

 

Рисунок 12. Процедура назначения удаленной установки агента DeviceLock с помощью GPO

Процедура назначения удаленной установки агента DeviceLock с помощью GPO

Установка консолей управления

Консоли управления DeviceLock предназначены для централизованного управления компонентами продукта. Их можно установить на локальный компьютер администратора безопасности или другой компьютер в локальной сети. Важно отметить, что нет никакой необходимости устанавливать консоли управления на контроллер домена или специально выделенный сервер.

Мастер установки консолей занимает всего несколько шагов.

При выборе типа установки можно установить DeviceLock Service с консолью управления, другой вариант — опция Service + Consoles позволяет установить DeviceLock Enterprise Server и консоли управления, а выбрав опцию Custom можно сформировать список устанавливаемых компонентов по выбору пользователя.

 

Рисунок 13. Выбор типа установки консолей управления DeviceLock DLP Suite 8

Выбор типа установки консолей управления DeviceLock DLP Suite 8

 

Если в процессе установки был выбран вариант только DeviceLock Service, то в конце будет предложено задать разрешения для локальных устройств и протоколов (см. рисунок 14).

 

Рисунок 14. Диалог задания начальных разрешений в процессе установки DeviceLock DLP Suite 8

Диалог задания начальных разрешений в процессе установки DeviceLock DLP Suite 8

 

Впрочем, можно нажать кнопку Skip (пропустить), пропустив таким образом первоначальную конфигурацию, к ней можно будет вернуться позже.  Если же была выбрана установка DeviceLock Enterprise Server, то программа установки предложит настроить его, используя специальный мастер настроек (см. рисунок 15).

 

Рисунок 15. Первоначальная настройка DeviceLock Enterprise Server

Первоначальная настройка DeviceLock Enterprise Server

 

Дополнительные утилиты DeviceLock DLP Suite 8

DeviceLock Certificates — дополнительная сервисная утилита, предназначенная  для генерации и управления цифровыми сертификатами для DeviceLock. Сам сертификат представляет собой набор из двух ключей, так называемой ключевой пары — секретного ключа (private key) и открытого ключа (public key). Секретный ключ предназначен для администратора безопасности и хранится на его компьютере. Открытый ключ устанавливается на все пользовательские компьютеры, где работает DeviceLock Service.

Для создания сертификата используется программа Certificate Generation Tool, устанавливаемая одновременно с консолями управления DeviceLock.

Во второй части обзора мы рассмотрим основные моменты работы с DLP-системой DeviceLock 8, механизмы обеспечения защиты от утечек данных, а также функции мониторинга и формирования отчетов.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.