Практическое использование DLP-системы DeviceLock в корпоративной среде банка
Часть 3. Задание DLP-политик для контроля устройств и каналов сетевых коммуникаций в DeviceLock Endpoint DLP Suite
Контроль доступа к внешним устройствам
Оперативный доступ к USB-устройствам
Контроль доступа к каналам сетевых коммуникаций
Программный комплекс DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк» предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, а также для контроля действий пользователей с устройствами и сетевыми протоколами (чтение, запись файлов, форматирование) и контроля содержимого переданных файлов и данных.
О возможностях продукта и механизмах управления им подробно рассказывается на сайте разработчика и в руководстве пользователя. В данном цикле статей будут рассмотрены неочевидные нюансы, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.
В третьей статье цикла описываются некоторые тонкости задания DLP-политик для контроля устройств и каналов сетевых коммуникаций в DeviceLock Endpoint DLP Suite.
Контроль доступа к внешним устройствам
DeviceLock не препятствует установке устройств в системе, но фильтрует обращения к устройствам пользователей на уровне драйвера. При обращении пользователя к устройству драйвер запрашивает у сервиса заданные DLP-политикой для этого пользователя разрешения на доступ к данному устройству и предоставляет или ограничивает его.
Всё многообразие интерфейсов, доступ к которым способен контролировать DeviceLock, разбивается на порты и типы устройств:
- порты — Bluetooth, FireWire, Infrared, Parallel Port, Serial port, USB Port;
- типы устройств — DVD/CD-ROM, Floppy, Hard Disk, Printer, Removable, Tape, Wi-Fi, а также смартфоны/КПК Blackberry, iPhone/iPad и устройства под управлением ОС Palm и Windows Mobile.
Последние четыре из перечисленных типов устройств распознаются, когда они подключаются к компьютеру включенными и устанавливается синхронизация между ними и компьютером.
Начиная с 7-й версии DeviceLock появился также контроль доступа к буферу обмена Windows, с помощью которого можно контролировать операции копирования и вставки фрагментов текста и графики в документы. Этот интерфейс стоит особняком, не относясь ни к портам, ни к типам устройств.
Агент DeviceLock определяет, давать ли доступ пользователю к устройству, в следующем порядке. Он проверяет:
- есть ли у него доступ к тому или иному порту (задается в разделе настроек Devices/Permissions);
- есть ли у него доступ к тому или иному типу устройств (задается там же);
- есть ли доступ к тому или иному типу файлов (задается в разделе настроек Devices/Content Aware Rules). Так, если для пользователя задан доступ к порту USB и есть доступ к типу устройств Removable, но нет доступа к файлам JPEG, то он сможет передавать через порт USB, в частности на/с устройств(а) Removable, все файлы, кроме JPEG. Если у пользователя есть доступ к порту USB, но нет доступа к типу устройств Removable, то он сможет пользоваться всеми устройствами, работающими через порт USB, кроме устройств Removable. Наконец, если у пользователя нет доступа к порту USB, то, даже если у него есть доступ к типу устройств Removable, он не сможет воспользоваться ими. (Заметим, что DeviceLock относит к Removable все устройства, которые к таковым относит Windows, то есть все storage-устройства, кроме Floppy и DVD/CD. Есть характерный признак для определения того, относится устройство к классу Removable или нет, — для Removable-устройств Windows позволяет делать Safe remove.) Определение типа файлов в DeviceLock осуществляется не по расширению, а методом сигнатурного анализа.
Описанная иерархия была бы слишком жесткой и неудобной, если бы для нее не были предусмотрены исключения.
Первое по приоритету исключение — «белый список» USB-устройств. Настраивается он в разделе Devices/USB Devices WhiteList. В «белый список» может быть внесена определенная линейка устройств одного производителя (Vendor ID + Product ID) либо конкретное уникальное устройство (Vendor ID + Product ID + Serial Number). Серийный номер должен быть присвоен устройству на производстве. Если в «белый список» внесена линейка или устройство и при его настройке снят флажок Control as Type, то доступ к линейке или устройству будет открыт независимо от запретов на уровне порта и типа устройств и операции с ним не будут отражены в журнале аудита (впрочем, в следующей версии разработчик планирует включить аудит и для устройств в «белом списке»). Каждому пользователю можно назначить свой «белый список». Это дает возможность построить надежно защищенную систему, в которой ни один пользователь не сможет воспользоваться «чужой» флэшкой.
Интерфейс «белого списка»: исключение устройства с серийным номером 4211D…
из любых запретов для специальной учетной записи Everyone,
кроме запретов на уровне устройства — Removable (а); выбор устройства
из списка всех устройств, подключавшихся к компьютеру (б)
Второе по приоритету исключение — снятие контроля на уровне порта для отдельных типов устройств. Это исключение настраивается в разделе Devices/Security Settings единым списком либо в окне Security Settings настроек доступа каждого из портов — только для устройств, которые могут работать через этот конкретный порт. В частности, из контроля доступа на уровне порта USB могут исключаться: Human Interface Devices (HID) — клавиатура, мышь и т.д., принтеры, Bluetooth-адаптеры, USB and FireWire network cards, сканеры, Removable-устройства.
Вот момент, когда можно запутаться. Вопервых, эти самые Removable-устройства называются так в разделе настроек Devices/Permissions, а в разделе Devices/Security Settings они именуются USB Storage Devices. Вовторых, не так просто сразу понять, в чем разница между двумя следующими конфигурациями:
- в разделе настроек Devices/Permissions: USB Port — доступ запрещен, Removable — доступ разрешен;
- в разделе настроек Devices/Permissions: USB Port — доступ запрещен, но в разделе настроек Devices/Security Settings флажок напротив USB Storage Devices снят.
А разница в том, что в первом случае иерархия работает и доступа к Removable получить не удастся, ведь настройка для порта имеет приоритет. Во втором случае тип устройств Removable (они же USB Storage) перестает подчиняться иерархии и доступ к Removable становится возможен.
При этом во втором случае иерархия перестает работать не для конкретного пользователя, а для всех пользователей на данной машине. В результате для одних пользователей порт USB может быть запрещен, а для других — разрешен, но для всех них доступ к Removable не будет зависеть от доступа к порту USB. И пользователям можно будет закрывать или открывать доступ к Removable уже настройкой доступа к самому Removable, а не к USB-порту.
Лучше понять это помогут табл. 1, табл. 2 и табл. 3.
Взаимосвязь между доступом к другим портам и соответствующим им типам устройств аналогична.
Самое страшное по контролю доступа к устройствам позади. Напоследок хочется сказать пару слов о доступе к Wi-Fi и смартфонам/КПК.
Доступ к WiFi-адаптерам пресекается на уровне порта, если это USB WiFi-адаптеры, так что пользователь не сможет увидеть даже списка доступных WiFi-сетей. В случае с PCI WiFi-адаптерами программа всего лишь запрещает смену SSID сети. Последнее означает, что если у вас настроено автоматическое подключение к какойлибо сети и ваша рабочая станция оказывается в радиусе ее действия, то вы сможете подключиться к ней, несмотря на DeviceLock с запретом Wi-Fi. Также запрет доступа к Wi-Fi не означает запрета доступа к WiMAX. Можно не разрешить пользователю применять USB WiMAX-адаптеры, для чего потребуется запретить доступ к порту USB.
Что касается смартфонов/КПК, то если вы соедините их с рабочей станцией выключенными, то они будут восприниматься как Removable и вы сможете записать на них данные, как на флэшкарту. Тонко настраиваемый контроль доступа к функциям этих гаджетов (например, отключение доступа на чтение или запись контактов, календаря, заметок на исполнение файлов) работает, когда устройства соединяются с рабочей станцией в режиме синхронизации. Контроль доступа возможен для стандартных интерфейсов синхронизации (ActiveSync — для WindowsMobile, iTunes — для iPhone, iPod), а также для интерфейсов программирования приложений (API), предоставляемых разработчиком устройства и используемых приложениями различных разработчиков для взаимодействия с устройством.
Оперативный доступ к USB-устройствам
Для ситуаций, когда пользователь переходит из категории офисных в категорию мобильных и у администратора нет возможности оперативно изменить применяемую на его компьютере DLP-политику, в DeviceLock предусмотрена функция Временный «белый список». Она позволяет предоставлять временный доступ к USB-устройствам простым способом: администратор сообщает пользователю специальный код по телефону, который временно разблокирует доступ к требуемому устройству. Для этого на компьютере пользователя предварительно должен быть установлен соответствующий сертификат (точнее, его открытый ключ), создаваемый администратором в утилите Certificate Generation Tool.
Контроль доступа к каналам сетевых коммуникаций
Контроль доступа пользователей к каналам сетевых коммуникаций выстроен аналогично контролю устройств. Более того, ядро программы, контролирующее обращения к сетевым протоколам, работает непосредственно на контролируемой машине, а не гдето в сети на шлюзе. Это делает возможным контроль пользователей, даже если они находят вариант выхода в Интернет, минуя сетевой шлюз (скажем, через модем 3G). Модуль NetworkLock, отвечающий за фильтрацию обращений к сетевым протоколам пользователей, также функционирует на уровне драйвера.
В числе контролируемых модулем NetworkLock каналов сетевых коммуникаций, приложений и сервисов — как ежедневно необходимые каналы передачи сообщений по открытым и SSL-защищенным SMTP-сессиям или MAPI/Exchange (с раздельным контролем сообщений и вложений), вебдоступ по протоколам HTTP/HTTPS, файловый обмен по протоколам FTP/SFTP, так и наиболее популярные сетевые приложения и сервисы — сервисы вебпочты, службы мгновенных сообщений, социальные сети, а также Telnet-сессии.
Как и для контроля USB-устройств в DeviceLock, в модуле NetworkLock реализован «белый список» сетевых протоколов, позволяющий гибко предоставлять доступ ключевым сотрудникам только к тем сервисам и узлам, которые необходимы для выполнения их бизнес-задач. Например, можно запретить всем пользователям доступ к протоколам SMTP и Web Mail, а затем использовать «белый список», чтобы разрешить определенным пользователям отправлять электронную почту на указанные адреса электронной почты. Применение таких гибких DLP-политик снижает риск утечки и кражи данных.
В следующей статье цикла мы рассмотрим некоторые особенности работы с журналами аудита и теневого копирования в DeviceLock Endpoint DLP Suite.