数据丢失防护

ShareFile 中的数据丢失防护 (DLP) 功能允许您根据文件中找到的内容限制访问和共享。

您可以使用支持 ICAP 的任何第三方 DLP 安全套件扫描上载到存储区域的文档,这是一种用于内联内容扫描的标准网络协议。然后,您可以根据 DLP 扫描的结果以及您希望如何严格控制访问的首选项来调整共享和访问权限。

支持的 DLP 系统

StorageZones Controller 使用 ICAP 协议与第三方 DLP 解决方案进行交互。将 ShareFile 与现有 DLP 解决方案一起使用不需要更改现有策略或服务器。但是,如果您希望负载很大,则可能需要专门用于处理 ShareFile 数据的 ICAP 服务器。

常用的符合 ICAP 标准的 DLP 解决方案包括:

  • 赛门铁克数据丢失防护
  • McAfee DLP 防止
  • Websense TRITON AP-DATA
  • RSA 数据丢失防护

由于 ShareFile 使用现有的 DLP 安全套件,因此您可以为数据检查和安全警报维护单个策略管理点。如果您已经使用上述解决方案之一扫描传出电子邮件附件或 Web 流量中的敏感数据,则可以将 ShareFile StorageZones Controller 指向同一服务器。对于这些现有的 DLP 系统,如果底层 DLP 系统本身支持 ICAPS,我们也支持安全的 ICAP (ICAP)。

启用 DLP

若要为 ShareFile 和 StorageZones Controller 启用 DLP,请执行以下三个操作:

  1. 在您的 ShareFile 帐户上启用 DLP 功能。
  2. 在 StorageZones Controller 服务器上启用 DLP。
  3. 为每个文件分类配置允许的操作。

以下各节将详细介绍这些操作。

在您的 ShareFile 帐户上启用 DLP 功能

发送电子邮件 < support@ShareFile.com > 以请求或确认您的 ShareFile 子域已为 DLP 启用。对于某些帐户,启用 DLP 可能还需要为 ShareFile 网站启用较新的用户体验。为 DLP 启用帐户后,您可以继续在 StorageZones Controller 服务器上启用 DLP。

在 StorageZones Controller 服务器上启用 DLP

使用以下步骤在 StorageZones Controller 部署上配置 DLP 设置:

  1. 安装或升级到 StorageZones Controller 3.2 或更高版本。
  2. 在 StorageZones Controller 控制台中http://*localhost*/configservice/login.aspx,单击 ShareFile 数据选项卡。如果区域存在,请单击 “ 修改 ”。
  3. 选中启用 DLP 集成复选框,然后在 ICAP REQMOD URL 字段中键入 DLP 服务器的 ICAP 地址。地址格式为:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. 点击 保存注册

启用 DLP 后,通过检查监视选项卡上的 DLP ICAP 服务器状态条目,确认 DLP 服务器是否可以访问。

基于 DLP 扫描结果控制访问

在帐户和 StorageZones Controller 上启用 DLP 后,上载到启用 DLP 的存储区域的每个文件的每个版本都将被扫描以查找敏感内容。扫描结果作为数据分类存储在 ShareFile 数据库中。

DLP 设置限制了可用于文件的 DLP 分类的常规权限和共享控件。共享文档时,用户仍然可以选择阻止匿名访问,即使 DLP 设置允许他们匿名共享文档。但是,如果用户尝试以违反 DLP 设置的方式共享文件,ShareFile 会阻止他们这样做。

数据分类如下:

  • 已扫描:OK — 由 DLP 系统扫描并通过确定的文件。
  • 已扫描:已拒绝 — DLP 系统扫描并发现包含敏感数据的文件。
  • 未扫描 — 尚未扫描的文件。

未扫描 的分类适用于存储在 Citrix 管理的存储区域或其他未启用 DLP 的存储区域中的所有文档。此分类还适用于在配置 DLP 之前上载的已启用 DLP 的存储区域中的文件。该分类也适用于因外部 DLP 系统不可用或响应速度较慢而等待扫描的文件。

每个项目的分类由 ICAP 服务器响应规则确定。如果 DLP ICAP 服务器响应并显示应阻止或删除内容的消息,则该文件将标记为 已扫描:已拒绝。否则,文件将标记为 已扫描:OK

对于每个数据分类,您可以设置不同的访问和共享限制。对于三个类别中的每一个类别,ShareFile 管理员选择允许哪些操作:

  • 员工可以下载或共享文件。
  • 第三方客户端用户可以下载或共享文件。默认情况下,客户端共享处于禁用状态,但可以在管理 > 高级首选项 > 允许客户端共享文件下启用。
  • 匿名用户可以下载文件

当用户共享文件时,只有具有下载权限的用户才能接收该文件。因此,当您启用数据分类的共享权限时,还必须授予至少一类用户下载权限。

在 ShareFile 中配置 DLP 设置的步骤

  1. 在 ShareFile Web 界面中,单击 管理 > 数据丢失防护
  2. 将根据文件 内容限制访问文件的 选项更改为
  3. 为每个数据分类配置允许的操作。

重要:

ShareFile On-Demand Sync 工具需要下载权限才能正常操作。如果您的部署包括 ShareFile On-Demand Sync,则为所有内容分类启用员工下载。

当 StorageZones Controller 向 DLP 系统发送文件时,它包含指示文件所有者的元数据。该文件还包括文件位于 ShareFile 中的文件夹路径。此信息允许 DLP 服务器管理员查看特定于 ShareFile 的有关包含敏感内容的文件的详细信息。

DLP 的高级设置

要调整 DLP 扫描过程,请编辑 StorageZones Controller 上找到的设置文件wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config。下表介绍了与 DLP 相关的每个设置。

设置 说明 默认值
扫描间隔 DLP 服务检查 DLP 队列是否有新文件并将其发送到 DLP ICAP 服务器进行处理的频率。 30 秒
icap-response-timeout 在将 ICAP 服务器标记为不可用之前, StorageZones Controller 等待 ICAP 响应的时间。 30 秒
icap-exclude-extensions 要从 DLP 扫描中排除的扩展名列表以逗号分隔。DLP 服务器不处理名称以这些扩展名之一结尾的文件,但将这些文件标记为 “已扫描:OK”。示例值:“exe,jpg,bin,mov”
icap-max-file-size-bytes 要发送到 DLP 服务器进行处理的文件的最大大小(以字节为单位)。值为 0 表示没有最大值,并且发送所有文件大小。当配置为非零值时,DLP 服务器不会处理大于配置大小的文件,但会标记为 “已扫描:OK”。 31457280 (30 MB)
x 队列项目到处理 每次扫描间隔迭代中要扫描的排队项目的最大数量。当大量文件添加到 StorageZone 时,减少此值可以减轻对 DLP 服务器的影响。 512
最大队列处理线程 用于耗尽 DLP 扫描队列的并发处理器线程的最大数量。根据 ICAP 服务器允许的最大同时连接数来设置此值。为避免阻止使用同一个 ICAP 服务器的其他网络服务,应该在合理的限制内。 4
Icap-reqmod-http-request-verb 默认情况下,使用 PUT 动词进行网络调用。如果需要,您可以将此设置更改为 POST。 PUT

DLPExistingFiles 工具

ShareFile StorageZones Controller 提供了通过 ICAP 将存储中心与数据丢失防护 (DLP) 提供程序集成的选项。

但是,ICAP 服务通过仅由新创建的文件填充的队列工作。这意味着服务不会扫描启用 ICAP 之前区域中存在的文件。此工具可帮助对这些文件进行排队以进行扫描,还可以将扫描的文件排队进行重新扫描。

如名称所述,该工具目前仅适用于 DLP ICAP 服务。

要求

该工具是一个 PowerShell 脚本,因此需要运行 PowerShell。PsExec或类似的工具,因为脚本需要作为网络服务运行才能访问网络共享位置。

位置

对于已安装的 StorageZones Controller,该工具可以在中找到<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1。默认情况下, StorageZones Controller 安装位置C:\inetpub\wwwroot\Citrix\StorageCenter

运行工具前的注意事项

该工具可能需要为单个操作多次运行,具体取决于以下情况。

  • 为队列大小限制提供的限制。
  • 给定条件的项目数。除非队列大小限制设置为零或更小,否则此考虑是真的。在这种情况下,该工具假定队列目录中的最大大小为 200,000 个项目。

例如,如果使用该工具对未扫描的商品进行排队,则队列大小限制设置为 500 个商品。当超过 500 个未扫描的商品时,该工具将在队列中填满 500 个商品后停止。为了跟踪停止位置,该工具将存储上次检索到的项目的创建日期。该工具将日期存储在 <storage zones controller installation location>\SC 的临时文件中,名称为 DLPExistingFiles-enddate.temp。

在每次运行之前,该工具都会查找此文件。如果文件存在,则该工具将其中的创建日期用作下一批文件的标记。该工具不会在完成某个操作时删除临时文件。相反,区域管理员可以在特定操作的所有批次完成后删除该文件。由于这种情况,当完成完整操作时,应在执行其他不同操作之前手动删除临时文件(如果存在)。

使用 PsExec 运行该工具

打开命令窗口并使用以下命令运行 PsExec。

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

这将打开作为网络服务运行的 PowerShell。要验证它是否确实作为网络服务运行,请运行 whoami 并检查结果。

PowerShell 打开后,直接在那里运行该工具以执行任何必要的任务。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

命令行选项

以下选项可用于运行该工具:

  • -runscan (必填):此选项用于指定要排队进行扫描的文件类型。子选项:
    • 未扫描:未扫描的文件。例如,未扫描的 DLP 时代之前的文件。
    • ScanneDok:已标记为干净的扫描文件。
    • 已扫描扫描:标记为不干净的扫描文件。
    • 已扫描:所有扫描文件。
  • -队列限定(可 选):此选项用于指定工具停止前队列中允许的项目数。
  • -date (可选):要排队进行扫描的项目的最大创建日期。例如,如果日期指定为 “10/30/2017 11:30 AM”,则只有在此日期/时间之前创建的文件才会排队进行扫描。

示例:

对于所有示例,请通过 PsExec 打开 PowerShell 作为网络服务。有关说明,请参阅本文前面的步骤。

要在区域中排队未扫描的项目,请运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

要将队列限制为 100 的区域内的所有扫描项排队,请运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

要对 2017 年 10 月 30 日上午 11:30 之前创建的具有以下特征的所有扫描项进行排队,请执行以下操作:在队列限制为 200 的区域中标记为“干净”时,运行以下命令。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"