数据丢失防护
ShareFile 中的数据丢失防护 (DLP) 功能允许您根据在文件中找到的内容限制访问和共享。
您可以使用支持 ICAP(一种用于内联内容扫描的标准网络协议)的第三方 DLP 安全套件扫描上传到存储区域的文档。然后,根据 DLP 扫描的结果以及您对控制访问的严格程度的偏好,调整共享和访问权限。
支持的 DLP 系统
存储区域控制器使用 ICAP 协议与第三方 DLP 解决方案进行交互。将 ShareFile 与现有 DLP 解决方案一起使用不需要更改现有策略或服务器。但是,如果您预计负载会很大,则可能需要专用 ICAP 服务器来处理 ShareFile 数据。
符合 iCAP 标准的常见的 DLP 解决方案包括:
- 赛门铁克数据丢失防护
- McAfee DLP Prevent
- Websense TRITON AP-DATA
由于 ShareFile 使用您现有的 DLP 安全套件,因此您可以维护用于数据检查和安全警报的单点策略管理。如果您已经使用上述解决方案之一来扫描传出的电子邮件附件或网络流量中的敏感数据,则可以将 ShareFile 存储区域控制器指向同一台服务器。对于这些现有的 DLP 系统,如果底层 DLP 系统本身支持 ICAPS,我们还支持安全 ICAP (ICAPS)。
启用 DLP
要为 ShareFile 和存储区域控制器启用 DLP,请执行以下三个操作:
- 在您的 ShareFile 帐户上启用 DLP 功能。
- 在存储区域控制器服务器上启用 DLP。
- 为每个文件分类配置允许的操作。
以下各节将详细描述这些操作。
在您的 ShareFile 帐户上启用 DLP 功能
要请求或确认您的 ShareFile 子域已启用 DLP,请向 Citrix 支持部门发送请求。
对于某些帐户,启用 DLP 可能还需要为 ShareFile 网站启用更新的用户体验。为您的帐户启用 DLP 后,您可以继续在存储区域控制器服务器上启用 DLP。
在存储区域控制器服务器上启用 DLP
使用以下步骤在存储区域控制器部署上配置 DLP 设置:
- 安装或升级到存储区域控制器 5.3 或更高版本。
- 在存储区域控制器控制台
http://*localhost*/configservice/login.aspx中,单击 ShareFile 数据 选项卡。如果该区域存在,请单击“修改”。 -
选中“启用 DLP 集成”复选框,然后在 ICAP REQMOD URL 字段中键入您的 DLP 服务器的 ICAP 地址。地址格式为:
icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod OR \*icaps://\<name or IP address of your DLP server\>:\<port\>/reqmod\* The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP). For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field: icap://\*dlp-server.example.com\*:1344/reqmod OR \*icaps://dlp-server.example.com:11344/reqmod\* <!--NeedCopy--> - 单击“保存”或“注册”。
启用 DLP 后,通过检查“监控”选项卡上的 DLP ICAP 服务器状态条目来确认 DLP 服务器可以访问
根据 DLP 扫描结果控制访问权限
在帐户和存储区域控制器上启用 DLP 后,将扫描上传到启用 DLP 的存储区域的每个文件的每个版本以查找敏感内容。扫描结果作为数据分类存储在ShareFile数据库中。
DLP 设置根据文件的 DLP 分类限制了文件的常规权限和共享控制。共享文档时,即使 DLP 设置允许用户匿名共享,用户仍然可以选择阻止匿名访问。但是,如果用户尝试以违反 DLP 设置的方式共享文件,ShareFile 会阻止他们这样做。
数据分类为:
- 已扫描:正常 — 由 DLP 系统扫描并通过“确定”的文件。
- 已扫描:已拒绝 -已由 DLP 系统扫描并发现包含敏感数据的文件。
- 未扫描 -尚未扫描的文件。
未扫描 的分类适用于存储在 Citrix 管理的存储区域或其他未启用 DLP 的存储区域中的所有文档。该分类还适用于在配置 DLP 之前上传的启用 DLP 的存储区域中的文件。该分类还适用于由于外部 DLP 系统不可用或响应速度慢而等待扫描的文件。
每个项目的分类由 ICAP 服务器响应规则确定。如果 DLP ICAP 服务器以应阻止或删除内容的消息作为响应,则该文件将被标记为“已 扫描:已拒绝”。否则,文件将标记为“已扫描:正常”。
对于每种数据分类,您可以设置不同的访问和共享限制。对于这三个类别中的每一个类别,ShareFile 管理员选择允许的操作:
- 员工可以下载或共享文件。
- 第三方客户端用户可以下载或共享文件。默认情况下,客户端共享处于禁用状态,但可以在“管理员”>“高级首选项”>“允许客户端共享文件”下启用。
- 匿名用户可以下载该文件
当用户共享文件时,只有具有下载权限的用户才能接收该文件。因此,启用数据分类的共享权限时,还必须授予至少一类用户下载权限。
在 ShareFile 中配置 DLP 设置
- 在 ShareFile 网页界面中,单击“管理员”>“数据丢失防护”。
- 将“根据文件内容限制对文件的访问权限”选项更改为“是”。
- 为每种数据分类配置允许的操作。
重要:
ShareFile On-Demand Sync 工具需要下载权限才能正常运行。如果您的部署包括 ShareFile On-Demand Sync,则允许员工下载所有内容分类。
当存储区域控制器向 DLP 系统发送文件时,它包含指示文件所有者的元数据。该文件还包括文件在 ShareFile 中所在的文件夹路径。此信息允许 DLP 服务器管理员查看特定于 ShareFile 的有关包含敏感内容的文件的详细信息。
DLP 的高级设置
要调整 DLP 扫描过程,请编辑存储区域控制器上的设置文件,网址为 wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config。下表描述了与 DLP 相关的每项设置。
| 设置 | 说明 | 默认值 |
|---|---|---|
| scan-interval | DLP 服务检查 DLP 队列中是否有新文件并将它们发送到 DLP ICAP 服务器进行处理的频率。 | 30 秒 |
| icap-response-timeout | 存储区域控制器在将 ICAP 服务器标记为不可用之前等待 ICAP 响应的时间。 | 30 秒 |
| icap-exclude-extensions | 以逗号分隔的扩展名列表,可从 DLP 扫描中排除。DLP 服务器不处理名称以这些扩展名之一结尾的文件,而是将文件标记为“已扫描:确定”。示例值:“exe、jpg、bin、mov” | 无 |
| icap-max-file-size-bytes | 发送到 DLP 服务器进行处理的文件的最大大小(以字节为单位)。值为 0 表示没有最大值,所有文件大小都已发送。配置为非零值时,DLP 服务器不会处理大于配置大小的文件,但会标记为“已扫描:确定”。 | 31457280 (30 MB) |
| x-queue-items-to-process | 每次扫描间隔迭代要扫描的最大队列项目数。降低此值可减轻向 StorageZone 添加大量文件时对 DLP 服务器的影响。 | 512 |
| max-queue-processing-threads | 用于消耗 DLP 扫描队列的最大并发处理器线程数。根据允许与 ICAP 服务器同时连接的最大数量设置此值。应在合理的范围内,以避免阻塞使用同一 ICAP 服务器的其他网络服务。 | 4 |
| Icap-reqmod-http-request-verb | 默认情况下,网络调用是使用 PUT 动词进行的。如果需要,您可以将此设置更改为 POST。 | PUT |
DLPExistingFiles 工具
ShareFile 存储区域控制器提供通过 ICAP 将存储中心与数据丢失防护 (DLP) 提供商集成的选项。
但是,ICAP 服务只能处理仅由新创建的文件填充的队列。这意味着服务不会扫描启用 ICAP 之前区域中存在的文件。此工具有助于将这些文件排队进行扫描,也可以将扫描的文件排入队列以进行重新扫描。
顾名思义,该工具仅适用于 DLP ICAP 服务。
要求
该工具是 PowerShell 脚本,因此需要 PowerShell 才能运行。还需要PsExec 或类似的工具,因为脚本需要作为网络服务运行才能访问网络共享位置。
位置
对于已安装的存储区域控制器,可以在 <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 位置找到该工具。默认情况下,存储区域控制器的安装位置为 C:\inetpub\wwwroot\Citrix\StorageCenter。
运行该工具之前的注意事项
根据以下情况,该工具可能需要为单个操作运行多次。
- 为队列大小限制规定的限制。
- 符合给定标准的项目数量。除非队列大小限制设置为零或更小,否则这种考虑是正确的。在这种情况下,该工具假设队列目录中的最大大小为 200,000 个项目。
例如,如果使用该工具对未扫描的项目进行排队,则队列大小限制设置为 500 个项目。当未扫描的项目超过 500 个时,该工具会在队列中填满 500 个项目后停止。为了追踪它在哪里停止,该工具会存储上次检索到的项目的创建日期。该工具将日期存储在 <storage zones controller installation location>\SC 的临时文件中,名为 DLPExistingFiles-enddate.temp。
每次运行之前,该工具都会查找此文件。如果文件存在,则该工具会使用其中的创建日期作为下一批文件的标记。该工具不会在完成特定操作后删除临时文件。相反,在特定操作的所有批处理完成后,区域管理员可以删除该文件。由于这种情况,完成完整操作后,应在执行其他操作之前手动删除临时文件(如果存在)。
使用 PsExec 运行该工具
打开命令窗口并使用以下命令运行 PsExec。
PsExec.exe -i -u "nt authority\network service"
"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->
这会打开 PowerShell 作为网络服务运行。要验证它是否确实以网络服务形式运行,请运行 whoami 并检查结果。
PowerShell 打开后,直接在那里运行该工具以执行任何必要的任务。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->
命令行选项
以下选项可用于运行该工具:
-
-runscan(必选):此选项用于指定要排队扫描的文件类型。子选项:
- Unscanned:未扫描的文件。例如,未扫描的 DLP 时代之前的文件。
- ScannedOK:已扫描的已标记为干净的文件。
- ScannedRejected:已标记为不干净的扫描文件。
- Scanned:所有扫描的文件。
- -queueLimit (可选):此选项用于指定工具停止之前队列中允许的项目数量。
- -date(可选):排队等待扫描的项目的最大创建日期。例如,如果将日期指定为“10/30/2017 11:30 AM”,则只有那些在此日期/时间之前创建的文件才会排队等候扫描。
示例:
在所有示例中,请通过 PsExec 将 PowerShell 作为网络服务打开。有关说明,请参阅本文前面的步骤。
要将区域中未扫描的项目排入队列,请运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->
要将队列限制为 100 的区域内的所有扫描项目排队,请运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->
要将在 2017 年 10 月 30 日上午 11:30 之前创建的所有具有以下特征的扫描项目排入队列:标记为干净,在队列限制为 200 的区域中,运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->