Schutz vor Datenverlusten

Mit DLP-Funktionen (Data Loss Prevention) in ShareFile können Sie den Zugriff und die Freigabe auf Grundlage des in einer Datei gefundenen Inhalts einschränken.

Sie können die in Ihre Speicherzone hochgeladenen Dokumente mit einer beliebigen DLP-Sicherheitssuite von Drittanbietern scannen, die ICAP unterstützt, ein Standardnetzwerkprotokoll für die Inline-Inhaltssuche. Anschließend passen Sie die Freigabe- und Zugriffsrechte basierend auf den Ergebnissen des DLP-Scans und Ihren Einstellungen an, wie streng Sie den Zugriff steuern möchten.

Unterstützte DLP-Systeme

Der StorageZones Controller verwendet das ICAP-Protokoll, um mit DLP-Lösungen von Drittanbietern zu interagieren. Die Verwendung von ShareFile mit einer vorhandenen DLP-Lösung erfordert keine Änderungen an vorhandenen Richtlinien oder Servern. Sie können jedoch ICAP-Server für die Verarbeitung von ShareFile e-Daten reservieren, wenn Sie erwarten, dass die Last signifikant ist.

Beliebte ICAP-konforme DLP-Lösungen umfassen:

  • Symantec Data Loss Prevention
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSA Data Loss Prevention

Da ShareFile Ihre vorhandene DLP-Sicherheitssuite verwendet, können Sie eine zentrale Richtlinienverwaltung für Dateninspektions- und Sicherheitswarnungen verwalten. Wenn Sie bereits eine der vorhergehenden Lösungen zum Scannen ausgehender E-Mail-Anhänge oder Webdatenverkehr auf vertrauliche Daten verwenden, können Sie den ShareFile StorageZones Controller auf denselben Server verweisen. Für diese bestehenden DLP-Systeme unterstützen wir auch sichere ICAP (ICAPS), wenn das zugrunde liegende DLP-System selbst ICAPS unterstützt.

DLP aktivieren

Um DLP für ShareFile und den StorageZones Controller zu aktivieren, führen Sie die folgenden drei Aktionen aus:

  1. Aktivieren Sie DLP-Funktionen für Ihr ShareFile Konto.
  2. Aktivieren Sie DLP auf Ihrem Storage Zones Controller -Server.
  3. Konfigurieren Sie die zulässigen Aktionen für jede Dateiklassifizierung.

Diese Aktionen werden in den folgenden Abschnitten ausführlich beschrieben.

Aktivieren von DLP-Funktionen für Ihr ShareFile Konto

Senden Sie eine E-Mail an support@sharefile.com, um anzufordern oder zu bestätigen, dass Ihre ShareFile Subdomain für DLP aktiviert ist. Für einige Konten erfordert das Aktivieren von DLP möglicherweise auch eine neuere Benutzererfahrung für die ShareFile e-Website. Nachdem Ihr Konto für DLP aktiviert ist, können Sie mit der Aktivierung von DLP auf dem Storage Zones Controller -Server fortfahren.

Aktivieren von DLP auf Ihrem Storage Zones Controller -Server

Gehen Sie folgendermaßen vor, um DLP-Einstellungen für die Bereitstellung des Storage Zones Controller zu konfigurieren:

  1. Installieren oder aktualisieren Sie auf StorageZones Controller 3.2 oder höher.
  2. Klicken Sie in der Storage Zones Controller Konsole http://*localhost*/configservice/login.aspx auf die Registerkarte ShareFile Daten. Klicken Sie auf Ändern , wenn die Zone vorhanden ist.
  3. Aktivieren Sie das Kontrollkästchen DLP-Integration aktivieren , und geben Sie die ICAP-Adresse Ihres DLP-Servers in das Feld ICAP REQMOD-URL ein. Das Adressformat lautet:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. Klicken Sie auf Speichern oder Registrieren .

Überprüfen Sie nach dem Aktivieren von DLP, ob der DLP-Server erreichbar ist, indem Sie den Eintrag „ DLP-ICAP-Serverstatus “ auf der Registerkarte Überwachung überprüfen.

Steuern des Zugriffs auf Basis von DLP-Scanergebnissen

Nachdem DLP auf dem Account und Storage Zones Controller aktiviert wurde, wird jede Version jeder in die DLP-fähige Speicherzone hochgeladenen Datei auf vertrauliche Inhalte gescannt. Die Ergebnisse des Scans werden in der ShareFile e-Datenbank als Datenklassifizierung gespeichert.

DLP-Einstellungen beschränken die normalen Berechtigungen und Freigabesteuerelemente, die für Dateien verfügbar sind, basierend auf ihrer DLP-Klassifizierung. Beim Freigeben eines Dokuments kann ein Benutzer den anonymen Zugriff sperren, selbst wenn DLP-Einstellungen es ihm erlauben würden, ihn anonym zu teilen. Wenn der Benutzer jedoch versucht, eine Datei auf eine Weise freizugeben, die DLP-Einstellungen verletzen würde, verhindert ShareFile dies.

Die Datenklassifizierungen sind:

  • Gescannt: OK — Dateien, die von einem DLP-System gescannt und OK übergeben wurden.
  • Gescannt: Zurückgewiesen — Dateien, die von einem DLP-System gescannt wurden und vertrauliche Daten enthalten.
  • Nicht gescannt — Dateien, die nicht gescannt wurden.

Die Klassifizierung „ Nicht gescannt “ gilt für alle Dokumente, die in von Citrix verwalteten Speicherzonen oder anderen Speicherzonen gespeichert sind, in denen DLP nicht aktiviert ist. Die Klassifizierung gilt auch für Dateien in den DLP-fähigen Speicherzonen, die vor der Konfiguration von DLP hochgeladen wurden. Die Klassifizierung gilt auch für Dateien, die darauf warten, gescannt zu werden, da das externe DLP-System nicht verfügbar oder langsam reagiert.

Die Klassifizierung jedes Elements wird durch die Antwortregel des ICAP-Servers bestimmt. Wenn der DLP-ICAP-Server mit der Meldung antwortet, dass der Inhalt blockiert oder entfernt werden soll, wird die Datei als Gescannt: Abgelehntmarkiert. Andernfalls wird die Datei als Gescannt markiert: OK.

Für jede Datenklassifizierung können Sie unterschiedliche Zugriffs- und Freigabebeschränkungen festlegen. Für jede der drei Kategorien wählt der ShareFile e-Administrator die folgenden Aktionen aus:

  • Mitarbeiter können die Datei herunterladen oder freigeben.
  • Clientbenutzer von Drittanbietern können die Datei herunterladen oder freigeben. Die Clientfreigabe ist standardmäßig deaktiviert, kann aber unter „Admin“ > „Erweiterte Voreinstellungen“ > „Clients die Freigabe von Dateien zulassen“ aktiviert werden.
  • Anonyme Benutzer können die Datei herunterladen

Wenn ein Benutzer eine Datei freigibt, können die Datei nur Benutzer mit Download-Berechtigungen empfangen. Wenn Sie die Freigabeberechtigung für eine Datenklassifizierung aktivieren, müssen Sie daher mindestens eine Klasse der Benutzerdownloadberechtigung erteilen.

So konfigurieren Sie DLP-Einstellungen in ShareFile

  1. Klicken Sie in der ShareFile e-Weboberfläche auf Admin > Data Loss Prevention.
  2. Ändern Sie die Option für Zugriff auf Dateien basierend auf ihrem Inhalt auf Ja .
  3. Konfigurieren Sie die zulässigen Aktionen für jede Datenklassifizierung.

Wichtig:

Das Tool „ShareFile On-Demand Sync“ erfordert Download-Berechtigungen für den normalen Betrieb. Aktivieren Sie Mitarbeiter-Downloads für alle Inhaltsklassifizierungen, wenn Ihre Bereitstellung ShareFile On-Demand Sync enthält.

Wenn der StorageZones Controller eine Datei an das DLP-System sendet, enthält er Metadaten, die den Besitzer der Datei angeben. Die Datei enthält auch den Ordnerpfad, in dem sich die Datei in ShareFile befindet. Diese Informationen ermöglichen es dem DLP-Serveradministrator, Details für ShareFile zu Dateien anzuzeigen, die sensible Inhalte enthalten.

Erweiterte Einstellungen für DLP

Um den DLP-Scanvorgang anzupassen, bearbeiten Sie die Einstellungsdatei, die auf Ihrem StorageZones Controller unter gefunden wurde wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. In der folgenden Tabelle werden die Einstellungen für DLP beschrieben.

Einstellung Beschreibung Standardwert
scan-interval Wie häufig der DLP-Dienst die DLP-Warteschlange auf neue Dateien überprüft und zur Verarbeitung an den DLP-ICAP-Server sendet. 30 Sekunden
icap-response-timeout Wie lange der StorageZones Controller auf eine ICAP-Antwort wartet, bevor er den ICAP-Server als nicht verfügbar markiert. 30 Sekunden
icap-exclude-extensions Kommagetrennte Liste der Erweiterungen, die vom DLP-Scan ausgeschlossen werden sollen. Der DLP-Server verarbeitet keine Dateien mit Namen, die auf einer dieser Erweiterungen enden, sondern markiert die Dateien als Gescannt: OK. Beispielwert: „exe, jpg, bin, mov“ Ohne
icap-max-file-size-bytes Maximale Größe der Datei (in Byte), die zur Verarbeitung an den DLP-Server gesendet werden soll. Ein Wert von 0 bedeutet, dass kein Maximum vorhanden ist und alle Dateigrößen gesendet werden. Bei der Konfiguration mit einem Wert ungleich Null verarbeitet der DLP-Server keine Dateien, die größer als die konfigurierte Größe sind, sondern als Gescannt: OK markiert. 31457280 (30 MB)
x-queue-items-to-process Die maximale Anzahl von Elementen in der Warteschlange, die pro Iteration des Scanintervalls gescannt werden sollen. Verringern Sie diesen Wert, um die Auswirkungen auf den DLP-Server zu verringern, wenn eine große Anzahl von Dateien zur StorageZone hinzugefügt wird. 512
max-queue-processing-threads Maximale Anzahl gleichzeitiger Prozessor-Threads, die zum Entleeren der DLP-Scan-Warteschlange verwendet werden sollen. Legen Sie diesen Wert basierend auf der maximalen Anzahl gleichzeitiger Verbindungen mit Ihrem ICAP-Server fest. Es sollte innerhalb angemessener Grenzen liegen, um zu vermeiden, dass andere Netzwerkdienste, die denselben ICAP-Server verwenden, blockiert werden. 4
Icap-reqmod-http-request-verb Standardmäßig werden Netzwerkaufrufe mit dem PUT-Verb durchgeführt. Sie können diese Einstellung bei Bedarf in POST ändern. PUT

DLPExistingFiles (Werkzeug)

ShareFile Storage Zones Controller bietet Optionen zur Integration des Speichercenters mit Data Loss Prevention (DLP) -Anbietern über ICAP.

ICAP-Dienste arbeiten jedoch durch Warteschlangen, die nur durch neu erstellte Dateien gefüllt werden. Dies bedeutet, dass Dateien, die in einer Zone vor der Aktivierung von ICAP vorhanden sind, von den Diensten nicht gescannt werden. Mit diesem Tool können Sie diese Dateien zum Scannen in die Warteschlange stellen und gescannte Dateien für das erneute Scannen in die Warteschlange stellen.

Wie der Name sagt, funktioniert das Tool derzeit nur für den DLP-ICAP-Dienst.

Anforderungen

Das Tool ist ein PowerShell -Skript und benötigt daher PowerShell zum Ausführen. PsExec oder ein ähnliches Tool wird ebenfalls benötigt, da das Skript als Netzwerkdienst für den Zugriff auf den Speicherort der Netzwerkfreigabe ausgeführt werden muss.

Lage

Für einen installierten StorageZones Controller finden Sie das Tool unter <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. Der Installationsort des StorageZones Controller ist standardmäßig C:\inetpub\wwwroot\Citrix\StorageCenter.

Überlegungen vor dem Ausführen des Tools

Das Tool muss möglicherweise mehrere Male für einen einzelnen Vorgang ausgeführt werden, abhängig von den folgenden Kriterien.

  • Die Einschränkungen für die Begrenzung der Warteschlangengröße.
  • Die Anzahl der Elemente für die angegebenen Kriterien. Diese Überlegung ist wahr, es sei denn, die Queue-Größenbeschränkung ist auf Null oder weniger festgelegt. In diesem Fall nimmt das Tool eine maximale Größe von 200.000 Elementen im Warteschlangenverzeichnis an.

Wenn das Tool zum Beispiel verwendet wird, um nicht gescannte Elemente in die Warteschlange einzustellen, wird die Begrenzung der Warteschlangengröße auf 500 Elemente festgelegt. Wenn mehr als 500 nicht gescannte Elemente vorhanden sind, stoppt das Tool, nachdem 500 Elemente in der Warteschlange gefüllt wurden. Um zu verfolgen, wo es gestoppt wurde, speichert das Werkzeug das Erstellungsdatum des zuletzt abgerufenen Elements. Das Tool speichert das Datum in einer temporären Datei unter <storage zones controller installation location>\SC mit dem Namen DLPExistingFiles-Enddate.temp.

Vor jeder Ausführung sucht das Tool nach dieser Datei. Wenn die Datei vorhanden ist, verwendet das Werkzeug das Erstellungsdatum darin als Markierung für den nächsten Datenstapel. Das Tool löscht die temporäre Datei nach Abschluss eines bestimmten Vorgangs nicht. Stattdessen kann der Zonenadministrator die Datei löschen, sobald alle Stapel für einen bestimmten Vorgang abgeschlossen sind. Aufgrund dieser Situation sollte, wenn ein vollständiger Vorgang abgeschlossen ist, die temporäre Datei, falls vorhanden, manuell entfernt werden, bevor eine andere Operation ausgeführt wird.

Ausführen des Werkzeugs mit PSExec

Öffnen Sie ein Befehlsfenster und führen Sie PSExec mit dem folgenden Befehl aus.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

Dadurch wird PowerShell geöffnet, die als Netzwerkdienst ausgeführt wird. Um zu überprüfen, ob es tatsächlich als Netzwerkdienst ausgeführt wird, führen Sie whoami aus und überprüfen Sie das Ergebnis.

Sobald PowerShell geöffnet ist, führen Sie das Tool direkt dort aus, um alle erforderlichen Aufgaben auszuführen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

Befehlszeilenoptionen

Für die Ausführung des Werkzeugs stehen folgende Optionen zur Verfügung:

  • -runscan (Erforderlich): Diese Option wird verwendet, um anzugeben, welche Art von Dateien für das Scannen in die Warteschlange gestellt werden sollen. Unteroptionen:
    • Unscanned: Nicht gescannte Dateien. Beispielsweise Dateien aus der Zeit vor DLP, die nicht gescannt wurden.
    • ScannedOK: Gescannte Dateien, die als sauber markiert wurden.
    • ScannedRejected: Gescannte Dateien, die als nicht sauber markiert wurden.
    • Scanned: Alle gescannten Dateien.
  • -queueLimit (Optional): Diese Option wird verwendet, um die Anzahl der Elemente anzugeben, die in der Warteschlange vor dem Anhalten des Werkzeugs zulässig sind.
  • -date (Optional): Das maximale Erstellungsdatum der Elemente, die zum Scannen in die Warteschlange gestellt werden sollen. Wenn das Datum beispielsweise als „30.10.2017 11:30 Uhr“ angegeben ist, werden nur die Dateien, die vor diesem Datum/der Uhrzeit erstellt wurden, zum Scannen in die Warteschlange gestellt.

Beispiele:

Öffnen Sie für alle Beispiele PowerShell als Netzwerkdienst über PSExec. Anweisungen hierzu finden Sie in den Schritten weiter oben in diesem Artikel.

Führen Sie den folgenden Befehl aus, um nicht gescannte Elemente in einer Zone in die Warteschlange zu stellen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

Führen Sie den folgenden Befehl aus, um alle gescannten Elemente innerhalb einer Zone mit einer Warteschlangengrenze von 100 in die Warteschlange zu stellen.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

Führen Sie den folgenden Befehl aus, um alle gescannten Elemente, die am 30.10.2017 vor 11.30 Uhr erstellt wurden, in einer Zone mit einer Warteschlangengrenze von 200 als sauber markiert sind.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"