Storage zones controller

Verhindern von Datenverlust

Mit DLP-Funktionen (Data Loss Prevention) in ShareFile können Sie den Zugriff und die Freigabe basierend auf dem Inhalt in einer Datei einschränken.

Sie können die in Ihre Speicherzone hochgeladenen Dokumente mithilfe einer DLP-Sicherheitssuite eines Drittanbieters scannen, die ICAP unterstützt, einem Standardnetzwerkprotokoll für die Inline-Inhaltssuche. Anschließend passen Sie die Freigabe- und Zugriffsberechtigungen basierend auf den Ergebnissen des DLP-Scans und Ihren Einstellungen an, wie streng Sie den Zugriff steuern möchten.

Unterstützte DLP-Systeme

Der StorageZones Controller verwendet das ICAP-Protokoll, um mit DLP-Lösungen von Drittanbietern zu interagieren. Die Verwendung von ShareFile mit einer vorhandenen DLP-Lösung erfordert keine Änderungen an vorhandenen Richtlinien oder Servern. Sie sollten jedoch ICAP-Server für die Verarbeitung von ShareFile Daten reservieren, wenn Sie erwarten, dass die Last erheblich ist.

Zu den beliebten ICAP-konformen DLP-Lösungen gehören:

  • Symantec Data Loss Prevention
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSA Data Loss Prevention

Da ShareFile Ihre vorhandene DLP-Sicherheitssuite verwendet, können Sie einen zentralen Richtlinienverwaltungspunkt für Dateninspektionen und Sicherheitswarnungen verwalten. Wenn Sie bereits eine der vorhergehenden Lösungen zum Scannen ausgehender E-Mail-Anhänge oder Webdatenverkehr auf vertrauliche Daten verwenden, können Sie den ShareFile StorageZones Controller auf denselben Server verweisen. Für diese bestehenden DLP-Systeme unterstützen wir auch sicheres ICAP (ICAPS), wenn das zugrunde liegende DLP-System selbst ICAPS unterstützt.

DLP aktivieren

Um DLP für ShareFile und den StorageZones Controller zu aktivieren, führen Sie die folgenden drei Aktionen aus:

  1. Aktivieren Sie DLP-Funktionen für Ihr ShareFile Konto.
  2. Aktivieren Sie DLP auf Ihrem StorageZones Controller-Server.
  3. Konfigurieren Sie die zulässigen Aktionen für jede Dateiklassifizierung.

Diese Aktionen werden in den folgenden Abschnitten ausführlich beschrieben.

Aktivieren von DLP-Funktionen für Ihr ShareFile Konto

Um anzufordern oder zu bestätigen, dass Ihre ShareFile Unterdomäne für DLP aktiviert ist, senden Sie eine Anfrage an Citrix Support.

Bei einigen Konten muss für die Aktivierung von DLP möglicherweise auch eine neuere Benutzererfahrung für die ShareFile Website aktiviert werden. Nachdem Ihr Konto für DLP aktiviert wurde, können Sie mit der Aktivierung von DLP auf dem StorageZones Controller-Server fortfahren.

Aktivieren von DLP auf dem StorageZones Controller-Server

Gehen Sie wie folgt vor, um DLP-Einstellungen für die StorageZones Controller er-Bereitstellung zu konfigurieren:

  1. Installieren oder aktualisieren Sie den StorageZone Controller 5.3 oder höher.
  2. Klicken Sie in der Storage Zones Controller Konsole http://*localhost*/configservice/login.aspx auf die Registerkarte ShareFile Daten. Klicken Sie auf Ändern, wenn die Zone vorhanden ist.
  3. Aktivieren Sie das Kontrollkästchen DLP-Integration aktivieren, und geben Sie die ICAP-Adresse Ihres DLP-Servers in das Feld ICAP REQMOD-URL ein. Das Adressformat lautet:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. Klicken Sie auf Speichern oder Registrieren.

Überprüfen Sie nach dem Aktivieren von DLP, ob der DLP-Server erreichbar ist, indem Sie den Eintrag DLP ICAP-Serverstatus auf der Registerkarte Überwachung überprüfen.

Steuern des Zugriffs auf Basis von DLP-Scan-Ergebnissen

Nachdem DLP auf dem Konto- und StorageZones Controller aktiviert wurde, wird jede Version jeder Datei, die in die DLP-fähige Speicherzone hochgeladen wurde, auf vertrauliche Inhalte gescannt. Die Ergebnisse des Scans werden in der ShareFile Datenbank als Datenklassifizierung gespeichert.

DLP-Einstellungen beschränken die normalen Berechtigungen und Freigabesteuerungen, die für Dateien basierend auf ihrer DLP-Klassifizierung verfügbar sind. Wenn ein Dokument freigegeben wird, kann ein Benutzer weiterhin anonymen Zugriff blockieren, selbst wenn DLP-Einstellungen es erlauben würden, es anonym freizugeben. Wenn der Benutzer jedoch versucht, eine Datei auf eine Weise freizugeben, die DLP-Einstellungen verletzt, verhindert ShareFile dies.

Die Datenklassifizierungen sind:

  • Gescannt: OK — Dateien, die von einem DLP-System gescannt und OK übergeben wurden.
  • Gescannt: Abgelehnt — Dateien, die von einem DLP-System gescannt wurden und sensible Daten enthalten.
  • Nicht gescannt — Dateien, die nicht gescannt wurden.

Die Klassifizierung Nicht gescannt gilt für alle Dokumente, die in von Citrix verwalteten Speicherzonen oder anderen Speicherzonen gespeichert sind, in denen DLP nicht aktiviert ist. Die Klassifizierung gilt auch für Dateien in den DLP-fähigen Speicherzonen, die vor der Konfiguration von DLP hochgeladen wurden. Die Klassifizierung gilt auch für Dateien, die darauf warten, gescannt zu werden, da das externe DLP-System nicht verfügbar ist oder langsam reagiert.

Die Klassifizierung jedes Elements wird durch die ICAP-Server-Antwortregel bestimmt. Wenn der DLP-ICAP-Server mit einer Meldung antwortet, dass der Inhalt blockiert oder entfernt werden soll, wird die Datei als Gescannt: Abgelehntmarkiert. Andernfalls wird die Datei als Gescannt gekennzeichnet: OK.

Für jede Datenklassifizierung können Sie unterschiedliche Zugriffs- und Freigabebeschränkungen festlegen. Für jede der drei Kategorien wählt der ShareFile Administrator die Aktionen aus, die zugelassen werden sollen:

  • Mitarbeiter können die Datei herunterladen oder freigeben.
  • Clientbenutzer von Drittanbietern können die Datei herunterladen oder freigeben. Die Clientfreigabe ist standardmäßig deaktiviert, kann aber unter Admin > Erweiterte Einstellungen > Clients das Freigeben von Dateien zulassen aktiviert werden.
  • Anonyme Benutzer können die Datei herunterladen

Wenn ein Benutzer eine Datei freigibt, können nur Benutzer mit Downloadberechtigungen die Datei empfangen. Wenn Sie die Freigabeberechtigung für eine Datenklassifizierung aktivieren, müssen Sie daher mindestens eine Klasse von Benutzerdownloadberechtigungen erteilen.

So konfigurieren Sie DLP-Einstellungen in ShareFile

  1. Klicken Sie in der ShareFile e-Weboberfläche auf Admin > Prävention vor Datenverlust.
  2. Ändern Sie die Option Zugriff auf Dateien basierend auf ihrem Inhalt beschränken auf Ja.
  3. Konfigurieren Sie die zulässigen Aktionen für jede Datenklassifizierung.

Wichtig:

Für das ShareFile On-Demand Sync stool sind Downloadberechtigungen für den normalen Betrieb erforderlich. Aktivieren Sie Mitarbeiterdownloads für alle Inhaltsklassifizierungen, wenn Ihre Bereitstellung ShareFile On-Demand Sync enthält.

Wenn der StorageZones Controller eine Datei an das DLP-System sendet, enthält er Metadaten, die den Eigentümer der Datei angeben. Die Datei enthält auch den Ordnerpfad, in dem sich die Datei in ShareFile befindet. Diese Informationen ermöglichen es dem DLP-Serveradministrator, spezifische Details für ShareFile zu Dateien anzuzeigen, die vertraulichen Inhalt enthalten.

Erweiterte Einstellungen für DLP

Um den DLP-Scanvorgang anzupassen, bearbeiten Sie die Einstellungsdatei, die auf Ihrem StorageZones Controller unter gefunden wurde wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. In der folgenden Tabelle werden die einzelnen Einstellungen beschrieben, die sich auf DLP beziehen.

Einstellung Beschreibung Standardwert
scan-interval Wie häufig der DLP-Dienst die DLP-Warteschlange auf neue Dateien überprüft und zur Verarbeitung an den DLP-ICAP-Server sendet. 30 Sekunden
icap-response-timeout Wie lange der StorageZones Controller auf eine ICAP-Antwort wartet, bevor er den ICAP-Server als nicht verfügbar markiert. 30 Sekunden
icap-exclude-extensions Kommagetrennte Liste von Erweiterungen, die vom DLP-Scan ausgeschlossen werden sollen. Der DLP-Server verarbeitet keine Dateien mit Namen, die auf eine der folgenden Erweiterungen enden, sondern markiert die Dateien als Gescannt: OK. Beispielwert: “exe, jpg, bin, mov” Ohne
icap-max-file-size-bytes Maximale Dateigröße (in Byte), die zur Verarbeitung an den DLP-Server gesendet werden soll. Ein Wert von 0 bedeutet, dass kein Maximum vorhanden ist und alle Dateigrößen gesendet werden. Wenn der DLP-Server mit einem Wert ungleich Null konfiguriert ist, verarbeitet der DLP-Server keine Dateien, die größer als die konfigurierte Größe sind, sondern als “Gescannt: OK” gekennzeichnet sind. 31457280 (30 MB)
x-queue-items-to-process Die maximale Anzahl von Elementen in der Warteschlange, die pro Scan-Intervall-Iteration gescannt werden sollen. Verringern Sie diesen Wert, um die Auswirkungen auf den DLP-Server zu verringern, wenn eine große Anzahl von Dateien zur StorageZone hinzugefügt wird. 512
max-queue-processing-threads Maximale Anzahl gleichzeitiger Prozessor-Threads, die zum Entleeren der DLP-Scan-Warteschlange verwendet werden sollen. Legen Sie diesen Wert basierend auf der maximalen Anzahl gleichzeitiger Verbindungen zu Ihrem ICAP-Server fest. Es sollte innerhalb angemessener Grenzen liegen, um zu vermeiden, dass andere Netzwerkdienste blockiert werden, die denselben ICAP-Server verwenden. 4
Icap-reqmod-http-request-verb Standardmäßig werden Netzwerkaufrufe mit dem PUT-Verb gemacht. Sie können diese Einstellung bei Bedarf in POST ändern. PUT

DLPExistingFiles (Tool)

Der ShareFile Storage Zones Controller bietet Optionen zur Integration des Storage Centers mit DLP-Anbietern (Data Loss Prevention, Data Loss Prevention) über ICAP.

ICAP-Dienste arbeiten jedoch durch Warteschlangen, die nur durch neu erstellte Dateien aufgefüllt werden. Dies bedeutet, dass Dateien, die in einer Zone vorhanden sind, bevor ICAP aktiviert ist, nicht von den Diensten gescannt werden. Mit diesem Tool können Sie diese Dateien zum Scannen in die Warteschlange stellen und gescannte Dateien zum erneuten Scannen in die Warteschlange stellen.

Wie der Name besagt, funktioniert das Tool nur für den DLP-ICAP-Dienst.

Anforderungen

Das Tool ist ein PowerShell -Skript und benötigt daher PowerShell zum Ausführen. PsExec oder ein ähnliches Tool wird ebenfalls benötigt, da das Skript als Netzwerkdienst für den Zugriff auf den Speicherort der Netzwerkfreigabe ausgeführt werden muss.

Standort

Für einen installierten StorageZones Controller finden Sie das Tool unter <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. Der Installationsort des StorageZones Controller ist standardmäßig C:\inetpub\wwwroot\Citrix\StorageCenter.

Überlegungen vor dem Ausführen des Werkzeugs

Das Werkzeug muss möglicherweise mehrmals für einen einzelnen Vorgang ausgeführt werden, abhängig von den folgenden Faktoren.

  • Die Einschränkungen für die Warteschlangengrößenbeschränkung.
  • Die Anzahl der Elemente für die angegebenen Kriterien. Diese Überlegung gilt, es sei denn, die Warteschlangengrößenbeschränkung ist auf Null oder weniger festgelegt. In diesem Fall nimmt das Tool eine maximale Größe von 200.000 Elementen im Warteschlangenverzeichnis an.

Wenn das Werkzeug beispielsweise verwendet wird, um nicht gescannte Elemente in die Warteschlange zu stellen, wird die Warteschlangengrößenbeschränkung auf 500 Elemente festgelegt. Wenn mehr als 500 nicht gescannte Elemente vorhanden sind, stoppt das Tool, nachdem 500 Elemente in der Warteschlange gefüllt wurden. Um zu verfolgen, wo es gestoppt wurde, speichert das Tool das Erstellungsdatum des zuletzt abgerufenen Elements. Das Tool speichert das Datum in einer temporären Datei unter <storage zones controller installation location>\SC mit dem Namen DLPExistingFiles-Enddate.temp.

Vor jedem Durchlauf sucht das Tool nach dieser Datei. Wenn die Datei vorhanden ist, verwendet das Werkzeug das Erstellungsdatum darin als Markierung für den nächsten Stapel von Dateien. Das Tool löscht die temporäre Datei nach Abschluss eines bestimmten Vorgangs nicht. Stattdessen kann der Zonenadministrator die Datei löschen, sobald alle Batches für einen bestimmten Vorgang abgeschlossen sind. Aufgrund dieser Situation sollte, wenn ein vollständiger Vorgang abgeschlossen ist, die temporäre Datei, falls vorhanden, manuell entfernt werden, bevor eine andere Operation ausgeführt wird.

Ausführen des Werkzeugs mit PSExec

Öffnen Sie ein Befehlsfenster und führen Sie PSExec mit dem folgenden Befehl aus.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

Dadurch wird PowerShell als Netzwerkdienst ausgeführt. Um zu überprüfen, ob es tatsächlich als Netzwerkdienst ausgeführt wird, führen Sie whoami aus und überprüfen Sie das Ergebnis.

Nachdem PowerShell geöffnet ist, führen Sie das Tool direkt dort aus, um alle erforderlichen Aufgaben auszuführen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

Befehlszeilenoptionen

Für die Ausführung des Werkzeugs stehen die folgenden Optionen zur Verfügung:

  • -runscan (Erforderlich): Diese Option wird verwendet, um anzugeben, welche Art von Dateien zum Scannen in die Warteschlange gestellt werden sollen. Unteroptionen:
    • Unscanned: Nicht gescannte Dateien. Zum Beispiel Dateien vor der DLP-Ära, die nicht gescannt wurden.
    • ScannedOK: Gescannte Dateien, die als sauber markiert wurden.
    • ScannedRejected: Gescannte Dateien, die als nicht sauber markiert wurden.
    • Scanned: Alle gescannten Dateien.
  • -queueLimit (Optional): Diese Option wird verwendet, um die Anzahl der in der Warteschlange zulässigen Elemente anzugeben, bevor das Werkzeug beendet wird.
  • -date (Optional): Das maximale Erstellungsdatum der Elemente, die zum Scannen in die Warteschlange gestellt werden sollen. Wenn das Datum beispielsweise als “30.10.2017 11:30 Uhr” angegeben ist, werden nur die Dateien, die vor diesem Datum/dieser Uhrzeit erstellt wurden, zum Scannen in die Warteschlange gestellt.

Beispiele:

Öffnen Sie für alle Beispiele PowerShell als Netzwerkdienst über PSExec. Anweisungen finden Sie in den Schritten weiter oben in diesem Artikel.

Führen Sie den folgenden Befehl aus, um nicht gescannte Elemente in einer Zone in die Warteschlange zu stellen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

Führen Sie den folgenden Befehl aus, um alle gescannten Elemente in einer Zone mit einer Warteschlangenbeschränkung von 100 in die Warteschlange einzureichen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

Führen Sie den folgenden Befehl aus, um alle gescannten Elemente, die vor 11:30 Uhr am 30.10.2017 mit den folgenden Eigenschaften erstellt wurden, in einer Zone mit einer Warteschlangenbeschränkung von 200 als sauber markiert wurden.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"