Prévention de la perte de données

Les fonctionnalités de prévention de la perte de données (DLP) de ShareFile vous permettent de restreindre l’accès et le partage en fonction du contenu d’un fichier.

Vous pouvez analyser les documents téléchargés dans votre zone de stockage à l’aide de n’importe quelle suite de sécurité DLP tierce prenant en charge ICAP, un protocole réseau standard pour l’analyse de contenu en ligne. Ensuite, vous ajustez les privilèges de partage et d’accès en fonction des résultats de l’analyse DLP et de vos préférences en ce qui concerne la manière dont vous souhaitez contrôler l’accès.

Systèmes DLP pris en charge

StorageZones Controller utilise le protocole ICAP pour interagir avec des solutions DLP tierces. L’utilisation de ShareFile avec une solution DLP existante ne nécessite aucune modification des stratégies ou des serveurs existants. Toutefois, vous voudrez peut-être consacrer des serveurs ICAP au traitement des données ShareFile si vous pensez que la charge est importante.

Les solutions DLP compatibles ICAP sont les suivantes :

  • Symantec Data Loss Prevention
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSA Data Loss Prevention

Étant donné que ShareFile utilise votre suite de sécurité DLP existante, vous pouvez gérer un point unique de gestion des stratégies pour l’inspection des données et les alertes de sécurité. Si vous utilisez déjà l’une des solutions précédentes pour analyser les pièces jointes ou le trafic Web sortant pour les données sensibles, vous pouvez pointer le StorageZones Controller ShareFile vers le même serveur. Pour ces systèmes DLP existants, nous prenons également en charge ICAP sécurisé (ICAPS) si le système DLP sous-jacent prend lui-même en charge ICAPS.

Activer DLP

Pour activer DLP pour ShareFile et le StorageZones Controller, effectuez les trois actions suivantes :

  1. Activez les fonctionnalités DLP sur votre compte ShareFile.
  2. Activez DLP sur votre serveur de StorageZones Controller.
  3. Configurez les actions autorisées pour chaque classification de fichier.

Ces actions sont décrites en détail dans les sections suivantes.

Activer les fonctionnalités DLP sur votre compte ShareFile

Envoyez un e-mail support@sharefile.com à pour demander ou confirmer que votre sous-domaine ShareFile est activé pour DLP. Pour certains comptes, l’activation de DLP peut également nécessiter l’activation d’une expérience utilisateur plus récente pour le site Web ShareFile. Une fois que votre compte est activé pour DLP, vous pouvez continuer à activer DLP sur votre serveur StorageZones Controller.

Activer le DLP sur votre serveur StorageZones Controller

Suivez les étapes suivantes pour configurer les paramètres DLP sur le déploiement de votre StorageZones Controller :

  1. Installez ou mettez à niveau vers StorageZones Controller 3.2 ou version ultérieure.
  2. Dans la console du StorageZones Controllerhttp://*localhost*/configservice/login.aspx, cliquez sur l’onglet Données ShareFile. Cliquez sur Modifier si la zone existe.
  3. Activez la case à cocher Activer l’intégration DLP et tapez l’adresse ICAP de votre serveur DLP dans le champ URL ICAP REQMOD . Le format de l’adresse est :

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. Cliquez sur Enregistrer ou Enregistrer .

Après avoir activé DLP, vérifiez que le serveur DLP est accessible en cochant l’entrée État du serveur ICAP DLP dans l’onglet Surveillance .

Contrôle de l’accès en fonction des résultats d’analyse DLP

Une fois que DLP est activé sur le compte et le StorageZones Controller, chaque version de chaque fichier téléchargé dans la zone de stockage compatible DLP est analysée pour le contenu sensible. Les résultats de l’analyse sont stockés dans la base de données ShareFile sous forme de classification de données.

Les paramètres DLP limitent les autorisations normales et les contrôles de partage disponibles pour les fichiers en fonction de leur classification DLP. Lors du partage d’un document, un utilisateur peut toujours choisir de bloquer l’accès anonyme même si les paramètres DLP lui permettent de le partager de manière anonyme. Mais si l’utilisateur tente de partager un fichier d’une manière qui viole les paramètres DLP, ShareFile l’empêche de le faire.

Les classifications des données sont les suivantes :

  • Scanned : OK — Fichiers qui ont été analysés par un système DLP et qui ont passé OK.
  • Numérisé : Rejeté — Fichiers qui ont été analysés par un système DLP et qui contenaient des données sensibles.
  • Non analysé — Fichiers qui n’ont pas été analysés.

La classification Non analysée s’applique à tous les documents stockés dans des zones de stockage gérées par Citrix ou dans d’autres zones de stockage où DLP n’est pas activé. La classification s’applique également aux fichiers dans les zones de stockage compatibles DLP qui ont été téléchargés avant la configuration du DLP. La classification s’applique également aux fichiers en attente d’analyse car le système DLP externe n’est pas disponible ou lent à répondre.

La classification de chaque élément est déterminée par la règle de réponse du serveur ICAP. Si le serveur ICAP DLP répond par un message indiquant que le contenu doit être bloqué ou supprimé, le fichier est marqué comme Analysé : Rejeté. Sinon, le fichier est marqué comme scanné : OK.

Pour chaque classification de données, vous pouvez définir différentes restrictions d’accès et de partage. Pour chacune des trois catégories, l’administrateur ShareFile choisit les actions à autoriser :

  • Les employés peuvent télécharger ou partager le fichier.
  • Les utilisateurs clients tiers peuvent télécharger ou partager le fichier. Le partage de clients est désactivé par défaut, mais peut être activé sous Admin > Préférences avancées > Autoriser les clients à partager des fichiers.
  • Les utilisateurs anonymes peuvent télécharger le fichier

Lorsqu’un utilisateur partage un fichier, seuls les utilisateurs disposant d’autorisations de téléchargement peuvent le recevoir. Par conséquent, lorsque vous activez l’autorisation de partage pour une classification de données, vous devez également accorder au moins une classe d’autorisation de téléchargement utilisateur.

Pour configurer les paramètres DLP dans ShareFile

  1. Dans l’interface Web ShareFile, cliquez sur Admin > Data Loss Prevention.
  2. Modifiez l’option de Limiter l’accès aux fichiers en fonction de leur contenu sur Oui .
  3. Configurez les actions autorisées pour chaque classification de données.

Important :

L’outil ShareFile On-Demand Sync nécessite des autorisations de téléchargement pour un fonctionnement normal. Activez les téléchargements des employés pour toutes les classifications de contenu si votre déploiement inclut ShareFile On-Demand Sync.

Lorsque le StorageZones Controller envoie un fichier au système DLP, il inclut des métadonnées indiquant le propriétaire du fichier. Le fichier inclut également le chemin d’accès au dossier où le fichier réside dans ShareFile. Ces informations permettent à l’administrateur du serveur DLP d’afficher les détails spécifiques à ShareFile sur les fichiers contenant du contenu sensible.

Paramètres avancés pour DLP

Pour ajuster le processus d’analyse DLP, modifiez le fichier de paramètres présent sur votre StorageZones Controller à l’adresse wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. Le tableau suivant décrit chaque paramètre associé à DLP.

Réglage Description Valeur par défaut
scan-interval Fréquemment le service DLP vérifie la file d’attente DLP pour les nouveaux fichiers et les envoie au serveur ICAP DLP pour traitement. 30 secondes
icap-response-timeout Combien de temps le StorageZones Controller attend une réponse ICAP avant de marquer le serveur ICAP comme indisponible. 30 secondes
icap-exclude-extensions Liste des extensions séparées par des virgules à exclure de l’analyse DLP. Le serveur DLP ne traite pas les fichiers dont le nom se termine par l’une de ces extensions, mais marque les fichiers comme scannés : OK. Exemple de valeur : « exe, jpg, bin, mov » Aucune
icap-max-file-size-bytes Taille maximale du fichier (en octets) à envoyer au serveur DLP pour traitement. Une valeur de 0 signifie qu’il n’y a pas de maximum et que toutes les tailles de fichier sont envoyées. Lorsqu’il est configuré avec une valeur différente de zéro, le serveur DLP ne traite pas les fichiers supérieurs à la taille configurée, mais sont marqués comme Analyse : OK. 31457280 (30 MO)
x-queue-items-to-process Nombre maximal d’éléments mis en file d’attente à analyser par itération d’intervalle d’analyse. Diminuez cette valeur pour atténuer l’impact sur votre serveur DLP lorsqu’un grand nombre de fichiers est ajouté à StorageZone. 512
max-queue-processing-threads Nombre maximal de threads de processeur simultanés à utiliser pour drainer la file d’attente d’analyse DLP. Définissez cette valeur en fonction du nombre maximal de connexions simultanées autorisées à votre serveur ICAP. Il devrait être dans des limites raisonnables pour éviter de bloquer d’autres services réseau qui utilisent le même serveur ICAP. 4
Icap-reqmod-http-request-verb Par défaut, les appels réseau sont effectués avec le verbe PUT. Vous pouvez modifier ce paramètre en POST si nécessaire. PUT

Outil DLPExistingFiles

StorageZones Controller ShareFile fournit des options pour intégrer le centre de stockage avec les fournisseurs DLP (Data Loss Prevention) via ICAP.

Les services ICAP, cependant, fonctionnent via des files d’attente qui sont remplies uniquement par des fichiers nouvellement créés. Cela signifie que les fichiers existants dans une zone avant l’activation de l’ICAP ne seront pas analysés par les services. Cet outil permet de mettre en file d’attente ces fichiers à analyser, et peut également mettre en file d’attente les fichiers analysés pour une nouvelle analyse.

Comme son nom l’indique, l’outil ne fonctionne actuellement que pour le service ICAP DLP.

Exigences

L’outil est un script PowerShell et a donc besoin de PowerShell pour s’exécuter. PSexecou un outil similaire est également nécessaire car le script doit être exécuté en tant que service réseau pour accéder à l’emplacement du partage réseau.

Emplacement

Pour un StorageZones Controller installé, l’outil se trouve à l’adresse <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. L’emplacement d’installation du StorageZones Controller est par défaut C:\inetpub\wwwroot\Citrix\StorageCenter.

Considérations avant d’exécuter l’outil

L’outil peut avoir besoin d’exécuter plusieurs fois pour une seule opération selon les éléments suivants.

  • Limitations fournies pour la limite de taille de file d’attente.
  • Nombre d’éléments pour les critères donnés. Cette considération est vraie, sauf si la limite de taille de file d’attente est définie sur zéro ou moins. Dans ce cas, l’outil suppose une taille maximale de 200 000 éléments dans le répertoire de file d’attente.

Par exemple, si l’outil est utilisé pour mettre en file d’attente des éléments non analysés, la taille limite de la file d’attente est fixée à 500 éléments. Lorsqu’il y a plus de 500 éléments non analysés, l’outil s’arrête après que 500 éléments ont été remplis dans la file d’attente. Pour suivre l’endroit où il s’est arrêté, l’outil stocke la date de création du dernier élément récupéré. L’outil stocke la date dans un fichier temporaire sur <storage zones controller installation location>\SC avec le nom DLPExistingFiles-enddate.temp.

Avant chaque exécution, l’outil recherche ce fichier. Si le fichier est présent, l’outil utilise la date de création qu’il contient comme marqueur pour le prochain lot de fichiers. L’outil ne supprime pas le fichier temporaire à la fin d’une certaine opération. Au lieu de cela, l’administrateur de zone peut supprimer le fichier une fois que tous les lots d’une opération donnée sont terminés. En raison de cette situation, lorsqu’une opération complète est terminée, le fichier temporaire, le cas échéant, doit être supprimé manuellement avant d’effectuer une autre opération différente.

Exécution de l’outil avec PSExec

Ouvrez une fenêtre de commande et exécutez PSExec à l’aide de la commande suivante.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

Cela ouvrira PowerShell s’exécutant en tant que service réseau. Pour vérifier qu’il est effectivement en cours d’exécution en tant que service réseau, exécutez whoami et vérifiez le résultat.

Une fois que PowerShell est ouvert, exécutez l’outil directement là pour effectuer toute tâche nécessaire.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

Options de ligne de commande

Les options suivantes sont disponibles pour exécuter l’outil :

  • -runscan (Obligatoire) : Cette option permet de spécifier le type de fichiers à mettre en file d’attente pour l’analyse. Sous-options :
    • Unscanned : fichiers non analysés. Par exemple, les fichiers pré-DLP qui n’ont pas été analysés.
    • ScannedOK : fichiers scannés qui ont été marqués comme propres.
    • ScannedRejected : fichiers numérisés qui ont été marqués comme non propres.
    • Scanned : Tous les fichiers analysés.
  • -queueLimit (Facultatif) : Cette option permet de spécifier le nombre d’éléments autorisés dans la file d’attente avant l’arrêt de l’outil.
  • -date (Facultatif) : date de création maximale des éléments à mettre en file d’attente pour l’analyse. Par exemple, si la date est spécifiée comme « 30/10/2017 11:30 AM », seuls les fichiers créés avant cette date/heure seront mis en file d’attente pour analyse.

Exemples :

Pour tous les exemples, ouvrez PowerShell en tant que service réseau via PSExec. Pour obtenir des instructions, reportez-vous aux étapes précédentes dans cet article.

Pour mettre en file d’attente des éléments non analysés dans une zone, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

Pour mettre en file d’attente tous les éléments analysés dans une zone avec une limite de 100 files d’attente, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

Pour mettre en file d’attente tous les éléments numérisés créés avant 11h30 le 30/10/2017 avec les caractéristiques suivantes : marqué comme propre, dans une zone avec une limite de file d’attente de 200, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"