Практическое использование DLP-системы DeviceLock в корпоративной среде банка
Часть 1. Архитектура и развертывание
Установка, совместимость версий, лицензирование
Установка из MSI-файла средствами Windows
Установка с помощью консолей управления DeviceLock
Программный комплекс DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк» предназначен для управления доступом пользователей ОС семейства Windows к периферийным устройствам хранения и обработки данных, каналам сетевых коммуникаций, а также для контроля действий пользователей с устройствами и сетевыми протоколами (чтение, запись файлов, форматирование) и контроля содержимого переданных файлов и данных.
О возможностях продукта и механизмах управления им подробно рассказывается на сайте разработчика и в руководстве пользователя. Данный цикл, который мы начинаем этой статьей, посвящен описанию неочевидных нюансов, с которыми мы столкнулись в практике использования DeviceLock Endpoint DLP Suite в банковской корпоративной среде и которые необходимо учитывать при развертывании и эксплуатации программы в достаточно большом домене.
Первая статья цикла описывает особенности архитектуры комплекса и тонкие моменты установки и развертывания DLP-системы DeviceLock Endpoint DLP Suite.
Компоненты
Основными компонентами DeviceLock Endpoint DLP Suite являются DeviceLock Service (далее — агент), включающий модули DeviceLock, NetworkLock и ContentLock, DeviceLock Enterprise Server (далее — сервер), консоли DeviceLock Management Console, DeviceLock Enterprise Manager, DeviceLock Service Settings Editor, DeviceLock Group Policy Manager, DeviceLock Signing Tool. DeviceLock Content Security Server — опциональный компонент.
DeviceLock Service — служба на рабочих станциях, которая контролирует доступ к устройствам и каналам сетевых коммуникаций, в том числе с использованием механизмов контентного анализа и фильтрации, ведет лог активности, отправляет лог и теневые копии записанных/прочитанных файлов на сервер. В нее включены модули DeviceLock, NetworkLock и ContentLock.
DeviceLock Enterprise Server — служба на сервере, которая собирает данные от агентов, фильтрует собранные данные, выводит их в разных представлениях, а также может осуществлять мониторинг целостности настроек агентов и восстановление нарушенных настроек.
DeviceLock Management Console и DeviceLock Enterprise Manager — консоли управления агентом и сервером, выполненные как оснастки MMC; первая из них предназначена для индивидуальной работы с агентами (например, изменение отдельных настроек агента), вторая — для массовой работы (массовая установка, массовая разливка файла настроек, отчет о настройках, массовое удаление).
DeviceLock Content Security Server — компонент, без которого теневое копирование файлов, прочитанных/записанных пользователями с/на внешние устройства, было бы не очень полезным. Компонент позволяет индексировать теневое хранилище, включая в индекс значимые слова. Это дает возможность быстро искать файлы в теневом хранилище по нужным словам, таким, например, как «конфиденциально».
ContentLock — компонент в составе DeviceLock Service, расширяющий возможности фильтрации файлов по содержимому (контенту). С его помощью можно дать предписание сохранять логи операций с файлами и теневые копии файлов, только если эти файлы относятся к тому или иному типу. ContentLock позволяет устанавливать запреты/предписания передачи файлов и данных по ключевым словам и по соответствию фрагментов текста в файлах заданным регулярным выражениям. Он включает набор ключевых слов и регулярных выражений, конструктор регулярных выражений, а также весьма широкий встроенный набор готовых контентных групп, которые можно применять для создания DLP-политик.
NetworkLock — компонент в составе DeviceLock Service, позволяющий контролировать содержание сетевой активности или блокировать сетевую активность. Он дает возможность запрещать доступ к определенным сайтам, доступ по определенным протоколам, разрешение IP-адресов в адреса URL. Особый интерес для службы ИБ представляет блокировка активности по различным протоколам уровня приложений, например блокировка ICQ, Mail Agent, других служб мгновенных сообщений, социальных сетей, электронной почты и почтовых вебсервисов (с раздельным контролем сессий, сообщений и вложений в них) и ряда других сетевых сервисов.
Установка, совместимость версий, лицензирование
Прежде всего важно отметить, что все три ключевых компонента DLP-системы DeviceLock — базовый модуль DeviceLock, модули NetworkLock и ContentLock — интегрированы как единое целое в агенте DeviceLock и всегда устанавливаются на контролируемые компьютеры, даже если нет соответствующей лицензии на какойлибо из этих компонентов.
Установка из MSI-файла средствами Windows
Наиболее простым и эффективным способом развертывания DLP-системы DeviceLock является вариант с использованием возможностей групповых политик домена Active Directory, если таковой развернут в инфраструктуре организации. Для установки агента DeviceLock требуется файл DeviceLockService.msi либо DeviceLockServicex64. msi в зависимости от целевой операционной системы. Устанавливать агенты DeviceLock удобно путем применения GPO к доменам, контейнерам, фильтрам. Используемый MSI-файл может быть либо «голым», то есть без заданных настроек (установленный таким способом агент ничего не блокирует, ничего не логирует и не защищен от удаления или изменения из-под любой привилегированной учетной записи), либо со встроенными настройками. MSI-файл со встроенными настройками создается с помощью DeviceLock Service Settings Editor на основе стандартного MSI-файла. Устанавливать «голый» MSI не рекомендуется, поскольку такой агент могут удалить на своих машинах пользователи с привилегированными учетными записями еще до того, как репликацией групповых политик до них «докатятся» настройки.
Установка с помощью консолей управления DeviceLock
Если инфраструктура ActiveDirectory не развернута в организации или ее части, для массовой установки агентов DeviceLock придется использовать DeviceLock Enterprise Manager, а установку на единичных машинах проводить через DeviceLock Management Console.
Консоли DeviceLock Enterprise Manager и DeviceLock Management Console для установки агентов на удаленные машины применяют вышеупомянутые MSI-файлы, а также файлы RemoteInstaller.exe и InstMsiW.exe; при этом файлы DeviceLock Remote Installer.exe и InstMsiW.exe используются для запуска удаленной установки с вызовом Windows Installer. В консоли DeviceLock Enterprise Manager можно указать путь к файлам в окне InstallOptions, открывающемся из окна ScanNetwork привыборе плагина InstallService и нажатии кнопки Settings. Там же можно задать фиксированный TCP-порт для работы агента, что очень важно, поскольку позднее изменить этот параметр заливкой новых настроек не удастся — потребуется переустанавливать агент.
Установка из DeviceLock Enterprise Manager происходит по группе компьютеров, которая может задаваться либо списком из файла (при этом внутри домена достаточно неполных имен), либо выбором компьютеров в домене/организационной единице (OU), либо выбором всех компьютеров определенного типа в домене/OU. Последняя функция удобна, если в организации нет прозрачной практики именования компьютеров в зависимости от типа. Можно задать установку на все рабочие станции домена, избегая установки на серверы.
При установке с помощью DeviceLock Enterprise Manager и DeviceLock Management Console эти консоли должны быть запущены под учетной записью, входящей в список локальных администраторов на удаленной машине. Можно запустить их от имени привилегированной учетной записи через пункт Run As контекстного меню исполняемого файла (или ярлыка) в сессии обычной учетной записи, но если речь идет о доменной учетной записи, ее нужно будет указывать в полной нотации: DomainName\UserName. Это относится ко всем случаям прямого указания учетных записей в DeviceLock.
Совместимость версий
На практике при установке версии DeviceLock 7, о которой идет речь в данной статье, поверх версии 6.4.1 были выявлены следующие особенности. Вопервых, установка новой версии поверх старой проходит вполне гладко. Вовторых, обнаружены следующие сочетаемости и несовместимости компонентов разных версий:
- старой консолью и DeviceLock Enterprise Manager нельзя соединиться с новыми агентами;
- при попытке соединения новой консолью и DeviceLock Enterprise Manager со старыми агентами запрашивается обновление агента, при отказе соединение не происходит;
- старый сервер успешно собирает логи и теневые файлы от новых агентов;
- новый сервер успешно собирает логи и теневые файлы со старых агентов;
- при передаче новому серверу базы данных SQL, созданной и наполнявшейся старым сервером, в базу успешно добавляются новые таблицы/колонки/процедуры, и доступность всех данных сохраняется;
- старые установщики не могут использовать файл настроек, отредактированный в DeviceLock Service Settings Editor новой версии;
- новые установщики успешно применяют старые файлы настроек к новым агентам;
- при подключении старой консолью к новому серверу некорректно работает просмотр логов и теневых файлов на сервере;
- при подключении новой консолью к старому сервису запрашивается обновление сервера, при отказе соединения не происходит.
Следует отметить, что разработчик не гарантирует межверсионное взаимодействие компонентов, за исключением корректного применения старых файлов настроек к новым агентам.
Использование файлов лицензий
Разработчик предлагает раздельное лицензирование для компонентов DeviceLock, NetworkLock, ContentLock и DeviceLock Content Security Server и предоставляет соответственно раздельные файлы лицензий для них. Сами файлы лицензий необходимы консолям управления DeviceLock, серверу DeviceLock Enterprise Server и компоненту DeviceLock Content Security Server. Записывать файлы лицензий на компьютер, где установлен только агент, не требуется. Количество лицензий зависит от числа машин, для которых можно будет одновременно запустить задание через DeviceLock Enterprise Manager или будет «обработано» при развертывании и управлении через групповые политики; а также от количества агентов, которые будут обслуживаться сервером DeviceLock. Обратите внимание, что лицензии DeviceLock Content Security Server приобретаются отдельно не по числу машин, а по числу проиндексированных записей логов, поэтому созданный компонентом индекс необходимо время от времени очищать. Иначе DeviceLock Content Security Server может проиндексировать старые данные, «истратив» лицензии, и тогда новые данные индексироваться не будут. Чистить индекс следует, в частности, при удалении файлов из теневого хранилища сервера, иначе может возникнуть ситуация, когда лицензии отнимают записи в индексе, адресуемые к уже удаленным файлам теневого хранилища.
Установка файлов лицензионных ключей *.lic, как правило, не составляет трудности. Мастер установки запрашивает директорию с лиценизонными файлами, вы указываете — он подхватывает. Он «понимает» загрузку в список сразу нескольких лицензионных файлов, в том числе триальных совместно с нормальными. Если в процессе установки вы не стали указывать лицензии, то интерфейса для загрузки лицензий в DeviceLock Management Console/DeviceLock Enterprise Server вы не найдете. Для загрузки вам потребуется просто переместить новый лицензионный файл в установочную директорию DeviceLock, при этом расширение файла должно быть *.lic. После запуска консоли файл *.lic будет переименован в *.li_ — это значит, что программа «подхватила» нужный лицензионный файл. При необходимости замены одного файла другим по такой схеме понадобится сначала удалить старый файл из установочной директории и удалить параметр Lic из реестра Hkey_Local_Machine\Software\SmartLine Vision\DeviceLock.
Еще одна хорошая новость заключается в том, что сочетание раздельного лицензирования модулей DeviceLock, NetworkLock, ContentLock с их интегрированностью в единое ядро агента (DeviceLockService) позволяет службе ИБ организовать поэтапное внедрение DLP-системы. Это означает, что можно сначала обеспечить базовый контроль доступа пользователей к портам и устройствам с помощью модуля DeviceLock, затем усилить противодействие утечкам данных за счет контроля каналов сетевых коммуникаций в модуле NetworkLock и уже потом, накопив за время эксплуатации этих компонентов определенный опыт и понимание сценариев утечки данных в условиях конкретной инфраструктуры организации, задействовать возможности технологий контентной фильтрации в модуле ContentLock. Кроме того, это позволяет в условиях сильной загруженности специалистов по ИБ более тщательно спланировать ресурсы, время и бюджет для построения полной DLP-системы.
В следующей статье цикла мы рассмотрим особенности сетевого взаимодействия компонентов и механизмы обеспечения собственной безопасности компонентов в DeviceLock EndpointDLPSuite.