数据丢失防护

ShareFile 中的数据丢失防护 (DLP) 功能允许您根据文件中找到的内容限制访问和共享。

您可以使用支持 ICAP 的任何第三方 DLP 安全套件扫描上载到存储区域的文档,这是一种用于内联内容扫描的标准网络协议。然后,您可以根据 DLP 扫描的结果以及您希望控制访问的严格程度来调整共享和访问权限。

支持的 DLP 系统

StorageZones Controller 使用 ICAP 协议与第三方 DLP 解决方案进行交互。将 ShareFile 与现有 DLP 解决方案一起使用不需要更改现有策略或服务器。但是,如果您期望负载很大,您可能希望专门指定 ICAP 服务器来处理 ShareFile 数据。

常用的符合 ICAP 标准的 DLP 解决方案包括:

  • 赛门铁克数据丢失防护
  • McAfee DLP 防止
  • Websense TRITON AP-DATA
  • RSA 数据丢失防护

由于 ShareFile 使用现有的 DLP 安全套件,因此您可以为数据检查和安全警报维护单点策略管理。如果您已经使用上述解决方案之一扫描传出电子邮件附件或 Web 流量中的敏感数据,则可以将 ShareFile StorageZones Controller 指向同一服务器。对于这些现有的 DLP 系统,如果底层 DLP 系统本身支持 ICAPS,我们也支持安全的 ICAP (ICAPS)。

启用 DLP

若要为 ShareFile 和 StorageZones Controller 启用 DLP,请执行以下三个操作:

  1. 在您的 ShareFile 帐户上启用 DLP 功能。
  2. 在 StorageZones Controller 服务器上启用 DLP。
  3. 为每个文件分类配置允许的操作。

以下各节将详细介绍这些操作。

在您的 ShareFile 帐户上启用 DLP 功能

要请求或确认您的 ShareFile 子域已为 DLP 启用,请向发送请求 Citrix 支持

对于某些帐户,启用 DLP 可能还需要为 ShareFile 网站启用更新的用户体验。为 DLP 启用帐户后,您可以继续在 StorageZones Controller 服务器上启用 DLP。

在 StorageZones Controller 服务器上启用 DLP

使用以下步骤在 StorageZones Controller 部署上配置 DLP 设置:

  1. 安装或升级到 StorageZones Controller 3.2 或更高版本。
  2. 在 StorageZones Controller 控制台中http://*localhost*/configservice/login.aspx,单击 ShareFile 数据选项卡。如果区域存在,请单击“修改”。
  3. 选中启用 DLP 集成复选框,然后在 ICAP REQMOD URL 字段中键入 DLP 服务器的 ICAP 地址。地址格式为:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. 单击 保存注册

启用 DLP 后,通过检查监视选项卡上的 DLP ICAP 服务器状态条目,确认 DLP 服务器是否可以访问。

根据 DLP 扫描结果控制访问

在帐户和 StorageZones Controller 上启用 DLP 后,上载到启用 DLP 的存储区域的每个文件的每个版本都将被扫描以查找敏感内容。扫描结果作为数据分类存储在 ShareFile 数据库中。

DLP 设置根据文件的 DLP 分类限制文件可用的正常权限和共享控制。共享文档时,用户仍然可以选择阻止匿名访问,即使 DLP 设置允许他们匿名共享文档。但是,如果用户尝试以违反 DLP 设置的方式共享文件,则 ShareFile 会阻止他们这样做。

数据分类如下:

  • 扫描:确定 — DLP 系统扫描并通过确定的文件。
  • 扫描:已拒绝 — DLP 系统扫描并发现包含敏感数据的文件。
  • 未扫描 — 尚未扫描的文件。

未扫描”分类适用于存储在 Citrix 管理的存储区域或未启用 DLP 的其他存储区域中的所有文档。此分类还适用于在配置 DLP 之前上载的已启用 DLP 的存储区域中的文件。此分类也适用于因外部 DLP 系统不可用或响应速度慢而等待扫描的文件。

每个项目的分类由 ICAP 服务器响应规则确定。如果 DLP ICAP 服务器响应时显示应阻止或删除内容的消息,则该文件将被标记为已 扫描:已拒绝。否则,文件将标记为已 扫描:确定

对于每个数据分类,您可以设置不同的访问和共享限制。对于三个类别中的每个类别,ShareFile 管理员选择允许哪些操作:

  • 员工可以下载或共享文件。
  • 第三方客户端用户可以下载或共享文件。默认情况下,客户端共享处于禁用状态,但可以在管理 > 高级首选项 > 允许客户端共享文件下启用。
  • 匿名用户可以下载文件

当用户共享文件时,只有具有下载权限的用户才能接收该文件。因此,当您为数据分类启用共享权限时,还必须至少授予一类用户下载权限。

在 ShareFile 中配置 DLP 设置

  1. 在 ShareFile Web 界面中,单击 管理 > 数据丢失防护
  2. 将“根据文件 内容限制对文件的访问”选项更改为“是”
  3. 为每个数据分类配置允许的操作。

重要:

SShareFile On-Demand Sync 工具需要下载权限才能正常操作。如果您的部署包括 ShareFile On-Demand Sync,则为所有内容分类启用员工下载。

当 StorageZones Controller 向 DLP 系统发送文件时,它包含指示文件所有者的元数据。该文件还包括文件驻留在 ShareFile 中的文件夹路径。此信息允许 DLP 服务器管理员查看特定于 ShareFile 的有关包含敏感内容的文件的详细信息。

DLP 的高级设置

要调整 DLP 扫描过程,请编辑 StorageZones Controller 上找到的设置文件wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config。下表介绍了与 DLP 相关的每个设置。

设置 说明 默认值
扫描间隔 DLP 服务检查 DLP 队列中的新文件并将其发送到 DLP ICAP 服务器进行处理的频率。 30 秒
icap-response-timeout 在将 ICAP 服务器标记为不可用之前, StorageZones Controller 等待 ICAP 响应的时间。 30 秒
icap-exclude-extensions 要从 DLP 扫描中排除的扩展名的逗号分隔列表。DLP 服务器不处理名称以其中一个扩展名结尾的文件,但将文件标记为“已扫描:确定”。示例值:“exe,jpg,bin,mov”
icap-max-file-size-bytes 要发送到 DLP 服务器进行处理的文件的最大大小(以字节为单位)。值为 0 表示没有最大值,并且发送所有文件大小。使用非零值配置时,DLP 服务器不会处理大于配置大小的文件,但标记为已扫描:确定。 31457280 (30 MB)
x 队列项目到流程 每次扫描间隔迭代要扫描的排队项目的最大数量。减小此值可减轻将大量文件添加到 StorageZone 域时对 DLP 服务器的影响。 512
最大队列处理线程 用于耗尽 DLP 扫描队列的最大并发处理器线程数。根据允许到您的 ICAP 服务器的最大同时连接数设置此值。为了避免阻止使用同一 ICAP 服务器的其他网络服务,应该在合理的限制范围内。 4
Icap-reqmod-http-request-verb 默认情况下,使用 PUT 动词进行网络调用。如果需要,您可以将此设置更改为开机自检。 PUT

DLPExistingFiles 工具

ShareFile StorageZones Controller 提供了通过 ICAP 将存储中心与数据丢失防护 (DLP) 提供程序集成的选项。

但是,ICAP 服务只能通过新创建的文件填充的队列工作。这意味着服务不会扫描启用 ICAP 之前区域中存在的文件。此工具可帮助对这些文件进行排队以进行扫描,还可以对扫描的文件进行排队以进行重新扫描。

正如名称所述,该工具当前仅适用于 DLP ICAP 服务。

要求

该工具是一个 PowerShell 脚本,因此需要 PowerShell 才能运行。PsExec 或类似的工具,因为脚本需要作为网络服务运行才能访问网络共享位置。

位置

对于已安装的 StorageZones Controller,该工具可以在中找到<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1。默认情况下, StorageZones Controller 安装位置C:\inetpub\wwwroot\Citrix\StorageCenter

运行工具之前的注意事项

该工具可能需要为单个操作运行多次,具体取决于以下情况。

  • 为队列大小限制提供的限制。
  • 给定条件的项目数。除非将队列大小限制设置为零或更小,否则此考虑为真。在这种情况下,该工具假定队列目录中最大大小为 200,000 个项目。

例如,如果使用该工具将未扫描的项目排队,则队列大小限制设置为 500 个项目。如果有超过 500 个未扫描的项目,工具会在队列中填满 500 个项目后停止。为了跟踪停止的位置,该工具会存储最后一次检索项的创建日期。该工具将日期存储在 <storage zones controller installation location>\SC 的临时文件中,名称为 DLPExistingFiles-enddate.temp。

在每次运行之前,该工具都会查找此文件。如果文件存在,则该工具将使用其中的创建日期作为下一批文件的标记。完成某个操作时,该工具不会删除临时文件。相反,在完成特定操作的所有批处理后,区域管理员可以删除该文件。由于这种情况,当完成完整操作时,临时文件(如果存在)应手动删除,然后再执行其他不同的操作。

使用 PsExec 运行该工具

打开命令窗口并使用以下命令运行 PsExec。

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

这将打开作为网络服务运行的 PowerShell。要验证它确实作为网络服务运行,请运行 whoami 并检查结果。

PowerShell 打开后,直接在那里运行该工具以执行任何必要的任务。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

命令行选项

以下选项可用于运行该工具:

  • -runscan (必需):此选项用于指定要排队进行扫描的文件类型。子选项:
    • 未扫描:未扫描的文件。例如,未扫描的 DLP 之前的时代文件。
    • 扫描:已标记为“干净”的扫描文件。
    • 扫描已注射:已标记为未清除的扫描文件。
    • 已扫描:所有扫描的文件。
  • -queueLit (可选):此选项用于指定在工具停止之前队列中允许的项目数。
  • -date (可选):要排队等待扫描的项目的最大创建日期。例如,如果日期被指定为“10/30/2017 年 11:30 AM”,则只有那些在此日期/时间之前创建的文件才会排队进行扫描。

示例:

对于所有示例,请通过 PsExec 打开 PowerShell 作为网络服务。有关说明,请参阅本文前面的步骤。

要将区域中未扫描的项目排队,请运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

要将队列限制为 100 的区域内的所有扫描项目排队,请运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

要对 2017 年 10 月 30 日上午 11:30 之前创建的具有以下特征的所有扫描项进行排队,请执行以下操作:在队列限制为 200 的区域中标记为“干净”时,运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"