Prevención de pérdida de datos

Las funciones de prevención de pérdida de datos (DLP) de ShareFile le permiten restringir el acceso y el uso compartido en función del contenido que se encuentra en un archivo.

Puede escanear los documentos cargados en su zona de almacenamiento mediante cualquier suite de seguridad DLP de terceros que admita ICAP, un protocolo de red estándar para el análisis de contenido en línea. A continuación, debe ajustar los privilegios de acceso y uso compartido en función de los resultados del análisis DLP y de sus preferencias para determinar la rigurosamente que desea controlar el acceso.

Sistemas DLP compatibles

El StorageZones Controller utiliza el protocolo ICAP para interactuar con soluciones DLP de terceros. El uso de ShareFile con una solución DLP existente no requiere cambios en las directivas o servidores existentes. Sin embargo, es posible que desee dedicar servidores ICAP para procesar datos de ShareFile si espera que la carga sea significativa.

Las populares soluciones DLP compatibles con ICAP incluyen:

  • Symantec Data Loss Prevention
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSA Data Loss Prevention

Dado que ShareFile utiliza el conjunto de seguridad DLP existente, puede mantener un único punto de administración de directivas para la inspección de datos y las alertas de seguridad. Si ya utiliza una de las soluciones anteriores para analizar archivos adjuntos de correo electrónico salientes o tráfico web en busca de datos confidenciales, puede apuntar el StorageZones Controller ShareFile al mismo servidor. Para estos sistemas DLP existentes, también admitimos ICAP seguro (ICAPS) si el propio sistema DLP subyacente admite ICAPS.

Habilitar DLP

Para habilitar DLP para ShareFile y StorageZones Controller, realice las tres acciones siguientes:

  1. Habilite las capacidades de DLP en su cuenta ShareFile.
  2. Habilite DLP en el servidor StorageZones Controller.
  3. Configure las acciones permitidas para cada clasificación de archivos.

Estas acciones se describen en detalle en las siguientes secciones.

Habilitar capacidades DLP en su cuenta ShareFile

Envíe un correo electrónico support@sharefile.com a para solicitar o confirmar que su subdominio ShareFile está habilitado para DLP. Para algunas cuentas, la habilitación de DLP también puede requerir habilitar una experiencia de usuario más reciente para el sitio web de ShareFile. Una vez que su cuenta esté habilitada para DLP, puede continuar habilitando DLP en el servidor del StorageZones Controller.

Habilitar DLP en el servidor StorageZones Controller

Siga los pasos siguientes para configurar la configuración de DLP en la implementación del StorageZones Controller:

  1. Instale o actualice a StorageZones Controller 3.2 o posterior.
  2. En la consola del StorageZones Controller http://*localhost*/configservice/login.aspx, haga clic en la ficha Datos de ShareFile. Haga clic en Modificar si la zona existe.
  3. Active la casilla de verificación Habilitar integración DLP y escriba la dirección ICAP de su servidor DLP en el campo ICAP REQMOD URL. El formato de dirección es:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. Haga clic en Guardar o en Registrar.

Después de habilitar DLP, confirme que el servidor DLP es accesible comprobando la entrada Estado del servidor DLP ICAP en la ficha Supervisión.

Controlar el acceso basado en los resultados del análisis DLP

Después de habilitar DLP en la cuenta y el StorageZones Controller, cada versión de cada archivo cargado en la zona de almacenamiento habilitada para DLP se analizará en busca de contenido confidencial. Los resultados del análisis se almacenan en la base de datos ShareFile como clasificación de datos.

La configuración de DLP restringe los permisos normales y los controles de uso compartido disponibles para los archivos en función de su clasificación DLP. Al compartir un documento, un usuario puede optar por bloquear el acceso anónimo aunque la configuración de DLP les permita compartirlo de forma anónima. Pero si el usuario intenta compartir un archivo de una manera que violaría la configuración de DLP, ShareFile impide que lo haga.

Las clasificaciones de datos son:

  • Escaneado: OK: archivos escaneados por un sistema DLP y pasados OK.
  • Escaneado: Rechazado: archivos escaneados por un sistema DLP y encontrados que contienen datos confidenciales.
  • Sin analizar : archivos que no se han analizado.

La clasificación no escaneada se aplica a todos los documentos almacenados en zonas de almacenamiento administradas por Citrix u otras zonas de almacenamiento donde DLP no está habilitado. La clasificación también se aplica a los archivos de las zonas de almacenamiento habilitadas para DLP que se cargaron antes de configurar DLP. La clasificación también se aplica a los archivos que están esperando ser analizados porque el sistema DLP externo no está disponible o es lento para responder.

La clasificación de cada elemento viene determinada por la regla de respuesta del servidor ICAP. Si el servidor DLP ICAP responde con un mensaje de que el contenido debe bloquearse o eliminarse, el archivo se marca como Escaneado: Rechazado. De lo contrario, el archivo se marca como Escaneado: OK.

Para cada clasificación de datos, puede establecer diferentes restricciones de acceso y uso compartido. Para cada una de las tres categorías, el administrador de ShareFile elige qué acciones permitir:

  • Los empleados pueden descargar o compartir el archivo.
  • Los usuarios de terceros clientes pueden descargar o compartir el archivo. El uso compartido de clientes está deshabilitado de forma predeterminada, pero se puede habilitar en Administrador > Preferencias avanzadas > Permitir que los clientes compartan archivos.
  • Los usuarios anónimos pueden descargar el archivo

Cuando un usuario comparte un archivo, sólo los usuarios con permisos de descarga pueden recibirlo. Por lo tanto, cuando habilite el permiso de uso compartido para una clasificación de datos, también debe conceder al menos una clase de permiso de descarga de usuario.

Para configurar la configuración de DLP en ShareFile

  1. En la interfaz web de ShareFile, haga clic en Admin > Data Loss Prevention.
  2. Cambie la opción de Limitar el acceso a los archivos según su contenido a .
  3. Configure las acciones permitidas para cada clasificación de datos.

Importante:

La herramienta de ShareFile On-Demand Sync requiere permisos de descarga para el funcionamiento normal. Habilite las descargas de empleados para todas las clasificaciones de contenido si su implementación incluye la ShareFile On-Demand Sync.

Cuando el StorageZones Controller envía un archivo al sistema DLP, incluye metadatos que indican el propietario del archivo. El archivo también incluye la ruta de la carpeta donde reside el archivo en ShareFile. Esta información permite al administrador del servidor DLP ver detalles específicos de ShareFile acerca de los archivos que contienen contenido confidencial.

Configuración avanzada para DLP

Para ajustar el proceso de escaneo DLP, edite el archivo de configuración que se encuentra en el StorageZones Controller enwwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. La tabla siguiente describe cada configuración relacionada con DLP.

Enfrentación Descripción Valor predeterminado
scan-interval Con qué frecuencia el servicio DLP comprueba la cola DLP en busca de nuevos archivos y los envía al servidor ICAP DLP para su procesamiento. 30 segundos
icap-response-timeout Cuánto tiempo espera el StorageZones Controller una respuesta ICAP antes de marcar el servidor ICAP como no disponible. 30 segundos
icap-exclude-extensions Lista de extensiones separadas por comas para excluir del análisis DLP. El servidor DLP no procesa archivos con nombres que terminan en una de estas extensiones, pero los marca como Escaneado: OK. Valor de ejemplo: «exe, jpg, bin, mov» Ninguno
icap-max-file-size-bytes Tamaño máximo del archivo (en bytes) que se enviará al servidor DLP para su procesamiento. Un valor de 0 significa que no hay un máximo y se envían todos los tamaños de archivo. Cuando se configura con un valor distinto de cero, el servidor DLP no procesa archivos mayores que el tamaño configurado, sino que se marca como Escaneado: Aceptar. 31457280 (30 MB)
x-queue-items-to-process El número máximo de elementos en cola que se analizarán por cada iteración de intervalo de exploración. Disminuya este valor para mitigar el impacto en su servidor DLP cuando se agrega una gran cantidad de archivos a StorageZone. 512
max-queue-processing-threads Número máximo de subprocesos de procesador simultáneos que se utilizarán para drenar la cola de análisis DLP. Establezca este valor en función del número máximo de conexiones simultáneas permitidas al servidor ICAP. Debe estar dentro de límites razonables para evitar el bloqueo de otros servicios de red que utilizan el mismo servidor ICAP. 4
Icap-reqmod-http-request-verb De forma predeterminada, las llamadas de red se realizan con el verbo PUT. Puede cambiar esta configuración a POST si es necesario. PUT

Herramienta DLPExistingFiles

El StorageZones Controller ShareFile proporciona opciones para integrar el centro de almacenamiento con proveedores de prevención de pérdida de datos (DLP) a través de ICAP.

Sin embargo, los servicios ICAP funcionan a través de colas que sólo se rellenan con archivos recién creados. Esto significa que los archivos existentes en una zona antes de habilitar ICAP no serán analizados por los servicios. Esta herramienta ayuda a poner en cola esos archivos para su análisis, y también puede poner en cola los archivos analizados para volver a analizar.

Como indica el nombre, la herramienta actualmente sólo funciona para el servicio ICAP DLP.

Requisitos

La herramienta es un script de PowerShell y, por lo tanto, necesita PowerShell para ejecutarse. PSExec o una herramienta similar, ya que la secuencia de comandos debe ejecutarse como Servicio de red para acceder a la ubicación del recurso compartido de red.

Ubicación

Para un StorageZones Controller instalado, la herramienta se puede encontrar en <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. La ubicación de instalación del StorageZones Controller es de forma predeterminada C:\inetpub\wwwroot\Citrix\StorageCenter.

Consideraciones antes de ejecutar la herramienta

La herramienta puede necesitar ejecutar varias veces para una sola operación, dependiendo de lo siguiente.

  • Las limitaciones proporcionadas para el límite de tamaño de cola.
  • El número de elementos para los criterios dados. Esta consideración es verdadera a menos que el límite de tamaño de cola se establezca en cero o menos. En ese caso, la herramienta asume un tamaño máximo de 200.000 elementos en el directorio de cola.

Por ejemplo, si la herramienta se utiliza para poner en cola elementos no analizados, el límite de tamaño de cola se establece en 500 elementos. Cuando hay más de 500 elementos sin escanear, la herramienta se detiene después de que 500 elementos se llenen en la cola. Para realizar un seguimiento de dónde se detuvo, la herramienta almacena la fecha de creación del último elemento recuperado. La herramienta almacena la fecha en un archivo temporal en <storage zones controller installation location>\SC con el nombre DLPExistingFiles-endDate.temp.

Antes de cada ejecución, la herramienta busca este archivo. Si el archivo está presente, la herramienta utiliza la fecha de creación en él como marcador para el siguiente lote de archivos. La herramienta no elimina el archivo temporal al finalizar una determinada operación. En su lugar, el administrador de zonas puede eliminar el archivo una vez que se hayan completado todos los lotes de una determinada operación. Debido a esta situación, cuando se completa una operación completa, el archivo temporal, si está presente, debe eliminarse manualmente antes de realizar otra operación diferente.

Ejecución de la herramienta con PSExec

Abra una ventana de comandos y ejecute PSExec con el siguiente comando.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

Esto abrirá PowerShell ejecutándose como Servicio de red. Para verificar que efectivamente se está ejecutando como Servicio de red, ejecute whoami y verifique el resultado.

Una vez abierto PowerShell, ejecute la herramienta allí directamente para realizar cualquier tarea necesaria.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

Opciones de línea de comandos

Las siguientes opciones están disponibles para ejecutar la herramienta:

  • -runscan (Necesario): Esta opción se utiliza para especificar qué tipo de archivos hacer cola para el análisis. Subopciones:
    • Unscanned: archivos no escaneados. Por ejemplo, archivos anteriores a la era DLP que no se analizaron.
    • ScannedOK: archivos escaneados que se han marcado como limpios.
    • ScannedRejected: archivos escaneados que se han marcado como no limpios.
    • Scanned: todos los archivos escaneados.
  • -QueueLimit (Opcional): Esta opción se utiliza para especificar el número de elementos permitidos en la cola antes de que la herramienta se detenga.
  • -date (Opcional): la fecha máxima de creación de los elementos que se van a poner en cola para su análisis. Por ejemplo, si la fecha se especifica como «30/10/2017 11:30 AM», sólo los archivos que se crearon antes de esta fecha/hora se pondrán en cola para su análisis.

Ejemplos:

Para todos los ejemplos, abra PowerShell como servicio de red a través de PSExec. Para obtener instrucciones, consulte los pasos anteriores en este artículo.

Para poner en cola elementos no analizados en una zona, ejecute el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

Para poner en cola todos los elementos analizados dentro de una zona con un límite de cola de 100, ejecute el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

Para poner en cola todos los elementos escaneados creados antes de las 11:30 AM del 30/10/2017 con las siguientes características: marcados como limpios, en una zona con un límite de cola de 200, ejecute el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"