Protection contre la perte de données

Les fonctionnalités de prévention de la perte de données (DLP) de ShareFile vous permettent de restreindre l’accès et le partage en fonction du contenu d’un fichier.

Vous pouvez numériser les documents téléchargés dans votre zone de stockage à l’aide de toute suite de sécurité DLP tierce qui prend en charge ICAP, un protocole réseau standard pour l’analyse de contenu en ligne. Ensuite, vous ajustez les privilèges de partage et d’accès en fonction des résultats de l’analyse DLP et de vos préférences en fonction du strict contrôle de l’accès.

Systèmes DLP pris en charge

StorageZones Controller utilise le protocole ICAP pour interagir avec des solutions DLP tierces. L’utilisation de ShareFile avec une solution DLP existante ne nécessite aucune modification des stratégies ou des serveurs existants. Vous pouvez toutefois consacrer des serveurs ICAP au traitement des données ShareFile si vous vous attendez à ce que la charge soit importante.

Les solutions DLP conformes à l’ICAP sont les suivantes :

  • Symantec Data Loss Prevention
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSA Data Loss Prevention

Étant donné que ShareFile utilise votre suite de sécurité DLP existante, vous pouvez gérer un point unique de gestion des stratégies pour l’inspection des données et les alertes de sécurité. Si vous utilisez déjà l’une des solutions précédentes pour analyser les pièces jointes ou le trafic Web sortant pour les données sensibles, vous pouvez pointer le StorageZones Controller ShareFile vers le même serveur. Pour ces systèmes DLP existants, nous prenons également en charge ICAP (ICAPS) sécurisé si le système DLP sous-jacent prend lui-même en charge ICAPS.

Activer DLP

Pour activer DLP pour ShareFile et le StorageZones Controller, effectuez les trois actions suivantes :

  1. Activez les fonctionnalités DLP sur votre compte ShareFile.
  2. Activez DLP sur votre serveur de StorageZones Controller.
  3. Configurez les actions autorisées pour chaque classification de fichier.

Ces actions sont décrites en détail dans les sections suivantes.

Activer les fonctionnalités DLP sur votre compte ShareFile

Pour demander ou confirmer que votre sous-domaine ShareFile est activé pour DLP, envoyez une demande à le support Citrix.

Pour certains comptes, l’activation de DLP peut également nécessiter l’activation d’une expérience utilisateur plus récente pour le site Web ShareFile. Une fois que votre compte est activé pour DLP, vous pouvez continuer à activer DLP sur votre serveur StorageZones Controller.

Activer le DLP sur votre serveur StorageZones Controller

Suivez les étapes suivantes pour configurer les paramètres DLP sur le déploiement de votre StorageZones Controller :

  1. Installez ou mettez à niveau vers StorageZones Controller 3.2 ou version ultérieure.
  2. Dans la console du StorageZones Controllerhttp://*localhost*/configservice/login.aspx, cliquez sur l’onglet Données ShareFile. Cliquez sur Modifier si la zone existe.
  3. Activez la case à cocher Activer l’intégration DLP et tapez l’adresse ICAP de votre serveur DLP dans le champ URL ICAP REQMOD. Le format d’adresse est :

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. Cliquez sur Enregistrer ou Enregistrer.

Après avoir activé DLP, vérifiez que le serveur DLP est accessible en vérifiant l’entrée État du serveur DLP ICAP dans l’onglet Surveillance.

Contrôle de l’accès en fonction des résultats de l’analyse DLP

Une fois que DLP est activé sur le compte et le StorageZones Controller, chaque version de chaque fichier téléchargé dans la zone de stockage compatible DLP est analysée pour le contenu sensible. Les résultats de l’analyse sont stockés dans la base de données ShareFile en tant que classification de données.

Les paramètres DLP limitent les autorisations normales et les contrôles de partage disponibles pour les fichiers en fonction de leur classification DLP. Lors du partage d’un document, un utilisateur peut toujours choisir de bloquer l’accès anonyme même si les paramètres DLP lui permettent de le partager anonymement. Mais si l’utilisateur tente de partager un fichier d’une manière qui enfreindrait les paramètres DLP, ShareFile l’empêche de le faire.

Les classifications des données sont les suivantes :

  • Numérisés : OK — Fichiers qui ont été analysés par un système DLP et qui ont passé OK.
  • Analysés : Rejetés  : fichiers analysés par un système DLP et contenant des données sensibles.
  • Unscanned  : fichiers qui n’ont pas été analysés.

La classification Non numérisée s’applique à tous les documents stockés dans des zones de stockage gérées par Citrix ou dans d’autres zones de stockage où DLP n’est pas activé. La classification s’applique également aux fichiers des zones de stockage DLP qui ont été téléchargés avant la configuration de DLP. La classification s’applique également aux fichiers qui attendent d’être analysés car le système DLP externe est indisponible ou lent à répondre.

La classification de chaque élément est déterminée par la règle de réponse du serveur ICAP. Si le serveur ICAP DLP répond avec un message indiquant que le contenu doit être bloqué ou supprimé, le fichier est marqué comme Numérisé : Rejeté. Sinon, le fichier est marqué comme Scanned : OK.

Pour chaque classification de données, vous pouvez définir différentes restrictions d’accès et de partage. Pour chacune des trois catégories, l’administrateur ShareFile choisit les actions à autoriser :

  • Les employés peuvent télécharger ou partager le fichier.
  • Les utilisateurs clients tiers peuvent télécharger ou partager le fichier. Le partage de clients est désactivé par défaut mais peut être activé sous Admin > Préférences avancées > Autoriser les clients à partager des fichiers.
  • Les utilisateurs anonymes peuvent télécharger le fichier

Lorsqu’un utilisateur partage un fichier, seuls les utilisateurs disposant d’autorisations de téléchargement peuvent recevoir le fichier. Par conséquent, lorsque vous activez l’autorisation de partage pour une classification de données, vous devez également accorder au moins une classe d’autorisation de téléchargement utilisateur.

Pour configurer les paramètres DLP dans ShareFile

  1. Dans l’interface Web ShareFile, cliquez sur Admin > Prévention de la perte de données.
  2. Modifiez l’option Limiter l’accès aux fichiers en fonction de leur contenu sur Oui.
  3. Configurez les actions autorisées pour chaque classification de données.

Important :

L’outil de ShareFile On-Demand Sync nécessite des autorisations de téléchargement pour un fonctionnement normal. Activez les téléchargements des employés pour toutes les classifications de contenu si votre déploiement inclut ShareFile On-Demand Sync.

Lorsque le StorageZones Controller envoie un fichier au système DLP, il inclut des métadonnées indiquant le propriétaire du fichier. Le fichier inclut également le chemin d’accès du dossier dans lequel le fichier réside dans ShareFile. Ces informations permettent à l’administrateur du serveur DLP d’afficher des détails spécifiques à ShareFile sur les fichiers contenant du contenu sensible.

Paramètres avancés pour DLP

Pour ajuster le processus d’analyse DLP, modifiez le fichier de paramètres présent sur votre StorageZones Controller à l’adresse wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. Le tableau suivant décrit chaque paramètre associé à DLP.

Paramètre Description Valeur par défaut
scan-interval Fréquemment le service DLP vérifie la file d’attente DLP pour de nouveaux fichiers et les envoie au serveur DLP ICAP pour traitement. 30 secondes
icap-response-timeout Combien de temps le StorageZones Controller attend une réponse ICAP avant de marquer le serveur ICAP comme indisponible. 30 secondes
icap-exclude-extensions Liste des extensions séparées par des virgules à exclure de l’analyse DLP. Le serveur DLP ne traite pas les fichiers dont les noms se terminent par l’une de ces extensions, mais marque les fichiers comme Scanned : OK. Valeur d’exemple : « exe, jpg, bin, mov » Aucun
icap-max-file-size-bytes Taille maximale du fichier (en octets) à envoyer au serveur DLP pour traitement. Une valeur de 0 signifie qu’il n’y a pas de maximum et que toutes les tailles de fichier sont envoyées. Lorsqu’il est configuré avec une valeur différente de zéro, le serveur DLP ne traite pas les fichiers de taille supérieure à la taille configurée, mais sont marqués comme Scanned : OK. 31457280 (30 MB)
x-queue-items-to-process Nombre maximal d’éléments en file d’attente à analyser pour chaque itération d’intervalle d’analyse. Diminuez cette valeur pour atténuer l’impact sur votre serveur DLP lorsqu’un grand nombre de fichiers est ajouté à StorageZone. 512
max-file d’attente traitement-threads Nombre maximal de threads de processeur simultanés à utiliser pour vider la file d’attente d’analyse DLP. Définissez cette valeur en fonction du nombre maximal de connexions simultanées autorisées à votre serveur ICAP. Il devrait être dans des limites raisonnables pour éviter de bloquer d’autres services réseau qui utilisent le même serveur ICAP. 4
Icap-reqmod-http-request-verb Par défaut, les appels réseau sont effectués avec le verbe PUT. Vous pouvez modifier ce paramètre en POST si nécessaire. PUT

Outil DLPExistingFiles

StorageZones Controller ShareFile fournit des options pour intégrer le centre de stockage avec les fournisseurs DLP (Data Loss Prevention) via ICAP.

Les services ICAP, cependant, fonctionnent à travers les files d’attente qui sont remplies uniquement par les fichiers nouvellement créés. Cela signifie que les fichiers existants dans une zone avant l’activation d’ICAP ne seront pas analysés par les services. Cet outil aide à mettre en file d’attente ces fichiers pour l’analyse, et peut également mettre en file d’attente les fichiers analysés pour une nouvelle analyse.

Comme son nom l’indique, l’outil ne fonctionne actuellement que pour le service ICAP DLP.

Exigences

L’outil est un script PowerShell et nécessite donc l’exécution de PowerShell. PSexEC ou un outil similaire est également nécessaire car le script doit être exécuté en tant que service réseau pour accéder à l’emplacement de partage réseau.

Emplacement

Pour un StorageZones Controller installé, l’outil se trouve à l’adresse <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. L’emplacement d’installation du StorageZones Controller est par défaut C:\inetpub\wwwroot\Citrix\StorageCenter.

Considérations avant d’exécuter l’outil

L’outil peut avoir besoin de s’exécuter plusieurs fois pour une seule opération, selon ce qui suit.

  • Limites fournies pour la limite de taille de file d’attente.
  • Nombre d’éléments pour les critères donnés. Cette considération est vraie à moins que la limite de taille de file d’attente soit définie à zéro ou moins. Dans ce cas, l’outil suppose une taille maximale de 200 000 éléments dans le répertoire de file d’attente.

Par exemple, si l’outil est utilisé pour mettre en file d’attente les éléments non analysés, la taille limite de la file d’attente est fixée à 500 éléments. Lorsqu’il y a plus de 500 éléments non analysés, l’outil s’arrête une fois que 500 éléments sont remplis dans la file d’attente. Pour suivre l’emplacement où il s’est arrêté, l’outil stocke la date de création du dernier élément récupéré. L’outil stocke la date dans un fichier temporaire sur <storage zones controller installation location>\SC avec le nom DLPExistingFiles-enddate.temp.

Avant chaque exécution, l’outil recherche ce fichier. Si le fichier est présent, l’outil utilise la date de création qu’il contient comme marqueur pour le prochain lot de fichiers. L’outil ne supprime pas le fichier temporaire à la fin d’une certaine opération. Au lieu de cela, l’administrateur de zone peut supprimer le fichier une fois que tous les lots d’une certaine opération sont terminés. En raison de cette situation, lorsqu’une opération complète est terminée, le fichier temporaire, le cas échéant, doit être supprimé manuellement avant d’effectuer une autre opération différente.

Exécution de l’outil avec PSExec

Ouvrez une fenêtre de commande et exécutez PSExec à l’aide de la commande suivante.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

Cela ouvrira PowerShell s’exécutant en tant que service réseau. Pour vérifier qu’il est bien en cours d’exécution en tant que service réseau, exécutez whoami et vérifiez le résultat.

Une fois PowerShell ouvert, exécutez l’outil directement là pour effectuer toute tâche nécessaire.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

Option de ligne de commande

Les options suivantes sont disponibles pour exécuter l’outil :

  • -runscan (Obligatoire) : cette option permet de spécifier le type de fichiers à mettre en file d’attente pour l’analyse. Sous-options :
    • Unscanned : fichiers non analysés. Par exemple, les fichiers de l’ère pré-DLP qui n’ont pas été analysés.
    • ScannedOK : fichiers scannés qui ont été marqués comme propres.
    • ScannedRejected : fichiers analysés qui ont été marqués comme non nettoyés.
    • Scanned : Tous les fichiers analysés.
  • -QueueLimit (Facultatif) : cette option permet de spécifier le nombre d’éléments autorisés dans la file d’attente avant l’arrêt de l’outil.
  • -date (Facultatif) : date de création maximale des éléments à mettre en file d’attente pour l’analyse. Par exemple, si la date est spécifiée comme « 30/10/2017 11:30 AM », seuls les fichiers qui ont été créés avant cette date/heure seront mis en file d’attente pour analyse.

Exemples :

Pour tous les exemples, ouvrez PowerShell en tant que service réseau via PSExec. Pour obtenir des instructions, reportez-vous aux étapes décrites plus haut dans cet article.

Pour mettre en file d’attente les éléments non analysés dans une zone, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

Pour mettre en file d’attente tous les éléments analysés dans une zone dont la limite de file d’attente est de 100, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

Pour mettre en file d’attente tous les éléments numérisés créés avant 11h30 le 30/10/2017 avec les caractéristiques suivantes : marqués comme étant propres, dans une zone avec une limite de 200 files d’attente, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"