DeviceLock Endpoint DLP Suite. Часть 1

Автор: Марат Давлетханов
Опубликовано: 26.11.2013
Источник: SoftKey.info

DeviceLock Endpoint DLP Suite. Р§Р°СЃС‚СЊ 1

Сегодня одним из актуальных направлений в области информационной безопасности является DLP (Data Loss Prevention) – защита от утечек конфиденциальной информации. Этому способствовало сразу же несколько причин, среди которых осознание бизнесом необходимости защиты коммерческих данных, законодательные инициативы (в первую очередь касающиеся защиты персональных данных) и пр. В результате рынок DLP-решений в течение последних нескольких лет растет очень активно. Примечательно, что традиционно сильны на нем российские компании, чья совокупная доля значительно превышает долю зарубежных фирм. Одной из них является "Смарт Лайн Инк". Основанная в 1996 году, она является достаточно известной компанией по разработке DLP-решений. Причем известной не только в России. На сегодняшний день ее продукция продается во многих странах, а офисы продаж и технической поддержки открыты в США, Великобритании, Германии и Италии. Флагманским продуктом "Смарт Лайн Инк" является система DeviceLock. Изначально это было средство для контроля так называемых локальных каналов утечки конфиденциальной информации – съемных накопителей, принтеров и других устройств, подключаемых к рабочим станциям. Однако со временем это решение превратилось в DeviceLock Endpoint DLP Suite – комплексную систему контроля, обладающую весьма широкими функциональными возможностями.

Архитектура DeviceLock Endpoint DLP Suite

Как мы уже говорили, DeviceLock Endpoint DLP Suite представляет собой комплексное решение. В его состав входит сразу же несколько функциональных модулей, возможности которого дополняют друг друга.

DeviceLock – основной модуль, который обязателен для работы всей системы в целом. Обеспечивает контроль локальных каналов утечки конфиденциальной информации, а также все функции централизованного управления решением и его администрирования.
NetworkLock – модуль, предназначенный для контроля сетевых каналов утечки конфиденциальной информации.
ContentLock – модуль, добавляющий функции контентной фильтрации к модулям DeviceLock и NetworkLock.
DeviceLock Search Server – модуль, обеспечивающий полнотекстовый поиск по централизованным базам данных собранной системой информации.

Общая схема системы

Обязательным в системе является только основной модуль. Все остальные добавляются по необходимости. Такой подход удобен в первую очередь гибкой политикой лицензирования, которая позволяет компаниям платить только за тот функционал, который им действительно необходим. При этом всегда остается возможность расширения возможностей DLP-защиты в будущем без необходимости кардинальных изменений ее архитектуры, переобучения пользователей и пр.

Основным средством, осуществляющим непосредственный мониторинг каналов утечки и выполнение заданных в политиках действий, являются агенты. Это специальные программы, которые инсталлируются на все контролируемые рабочие станции. Они обладают необходимой защитой, которая не позволяет отключать или вносить изменения в их работу никому, в том числе и пользователям с правами локальных и доменных администраторов.

Администрирование DeviceLock Endpoint DLP Suite

В DeviceLock Endpoint DLP Suite предусмотрено сразу же несколько способов управления системой защиты. Первый из них – DeviceLock Management Console. Данный инструмент представляет собой оснастку для MMC (Microsoft Management Console), знакомой каждому человеку, который занимался администрирование серверных ОС от Microsoft. С помощью него можно управлять агентами, запущенными как на локальном, так и на удаленных компьютерах: устанавливать их, управлять правами доступа, просматривать журналы аудита и теневого копирования и пр. Также с помощью оснастки можно управлять сервером защиты, просматривать его логи и осуществлять централизованный мониторинг состояния агентов.

Второй вариант – использование групповых политик Active Directory. Данный способ является оптимальным для больших организаций, поскольку позволяет максимально просто и быстро развернуть защиту и обновить политики безопасности в крупных, в том числе распределенных сетях.

Список типов устройств и интерфейсов

Третий способ заключается в использовании специальной программы – DeviceLock Enterprise Manager. С ее помощью администратор безопасности может со своего рабочего компьютера просматривать существующие политики и изменять их, устанавливать, обновлять и удалять агенты с удаленных рабочих станций, просматривать журналы аудита и теневого копирования.

Таким образом, в рассматриваемом решении реализованы все наиболее распространенные в настоящее время способы удаленного управления системой защиты (оснастка для MMC, групповые политики Windows, специальная программа или веб-приложение). При этом в нем построена система многопользовательского доступа с настраиваемыми правами. Это обеспечивает удобство управления защитой в компаниях любых масштабов.

DeviceLock

Как мы уже говорили, DeviceLock – базовый модуль решения DeviceLock Endpoint DLP Suite. В отличие от остальных он является обязательным. Именно в нем реализованы такие "общие" функции, как администрирование, централизованные сбор и хранение перехваченной информации. Помимо этого модуль DeviceLock является средством контроля локальных каналов утечки конфиденциальной информации. Так сложилось исторически. Напомним, что изначально DeviceLock был отдельным продуктом, который постепенно "оброс" дополнительными модулями и превратился в комплексную систему защиты.

Настройка "белого списка"

Схема работы модуля очень проста. На каждый контролируемый компьютер тем или иным способом инсталлируется программа-агент. Они работают автономно, следуя загруженным политикам и выполняя описанные в них действия. Примечательно, что, в отличие от многих конкурирующих DLP-решений, рассматриваемая система может работать без централизованного сервера. Политики загружаются непосредственно в агенты. Впрочем, серверный компонент в составе DeviceLock все-таки есть. Он называется DeviceLock Enterprise Server и предназначен для централизованного сбора данных аудита и теневого копирования файлов, мониторинга состояния агентов и загруженных в них политик. Используется серверный компонент в средних и крупных организациях для облегчения работы администраторов безопасности.

Политики в DeviceLock основаны на понятии "устройство". Хотя нужно понимать, что на самом деле речь идет либо о типах устройств, либо об интерфейсах. Таким образом, в рассматриваемом DLP-решении контроль реализован на двух уровнях (уровень интерфейса и уровень типа устройства). При этом некоторые устройства могут проверяться только на одном из них, а другие – сразу на обоих. Например, контроль USB-накопителей может осуществляться как по порту (USB), так и по типу (съемные накопители).

Радует очень широкий список поддерживаемых DeviceLock устройств. Среди них есть не только такое "стандартное" оборудование, как USB-накопители, CD/DVD/BD-диски и пр., но и устройства, ставшие актуальны лишь недавно – смартфоны на базе Windows Mobile и Blackberry (подключающиеся к компьютеру любым доступным способом), продукция Apple (iPad, iPod, iPhone) и пр. Кроме того, в список устройств в рассматриваемом решении входит Clipboard. Речь идет о буфере обмена, что позволяет администраторам безопасности контролировать операции копирования и вставки данных в и из него.

Для каждого типа устройств задаются разрешения. Права могут указываться как для отдельных пользователей, так и для целых их групп. Разрешения для каждого типа устройств свои. Например, для iPhone можно отдельно разрешать или запрещать чтение информации, запись данных и использование устройства в качестве модема. А для буфера обмена – управлять правами на копирование и вставку информации, причем, при необходимости, можно задавать отдельные права для текста, картинок, аудио- и видеоинформации, файлов, скриншотов рабочего стола и пр.

Для более гибкой настройки прав доступа используются такие инструменты, как белые списки USB-устройств и оптических дисков. Первый позволяет разрешить оборудование определенной модели или конкретное устройство вне зависимости от действующих политик. А с помощью второго можно сделать то же самое для CD/DVD/BD-дисков. Белые списки можно задавать как для групп, так и для отдельных пользователей.

Просмотр журнала событий

Помимо непосредственно прав доступа в политиках могут использоваться аудит, теневое копирование и тревожное оповещение. Первое действие обеспечивает ведение подробного журнала действий пользователей с устройствами. Второе – незаметное для пользователя копирование файлов в локальное или централизованное (при наличии в сети развернутого DeviceLock Enterprise Server) хранилище. Ну а тревожное оповещение позволяет администраторам безопасности получать оперативные уведомления по электронной почте или протоколу SNMP в том случае, если, например, пользователь попытался получить доступ к запрещенному ему устройству.

При необходимости администратор безопасности может использовать в политиках большое количество дополнительных настроек. В частности, можно задать время действия политики. И дифференцировать тем самым права пользователей в рабочее время и выходные дни. Другой пример – онлайн- и офлайн-политики. С их помощью можно определить разные права пользователей в зависимости от того, подключен компьютер к корпоративной сети или нет. Особенно это актуально для ноутбуков, которые могут использоваться как в офисе, так и за его пределами: на выездной презентации, на встрече с партнерами, в командировке и пр.

Подводим итоги

Сегодня мы начали разговор о DeviceLock Endpoint DLP Suite – комплексной DLP-системе, предназначенной для защиты от утечек конфиденциальной информации. Она является чисто российским продуктом с богатой историей. Основными ее преимуществами являются удобное развертывание и администрирование, простое масштабирование с возможностью работы в очень крупных распределенных сетях, а также широкие возможности. В текущем обзоре мы рассмотрели только архитектуру системы, способы управления ею, а также функции по контролю локальных каналов утечки информации. В следующий раз мы разберем возможности дополнительных модулей DeviceLock Endpoint DLP Suite.