Byte/RE ИТ-издание

RSA Data Loss Prevention Suite

Чигвинцев Александр, менеджер по работе с ключевыми заказчиками компании RSA (подразделение информационной безопасности корпорации EMC).

Система RSA DLP Suite представляет собой интегрированный пакет продуктов, обеспечивающих проактивный подход к управлению рисками, обусловленными потерей корпоративных данных. Система RSA DLP Suite состоит из трех продуктов и пяти модулей: RSA DLP Datacenter, RSA DLP Network (модули Monitor и Enforce), и RSA DLP Endpoint (модули Discovery и Enforce), которые используются по отдельности или в едином комплексе в зависимости от предъявляемых заказчиком требований. Управление всеми программными единицами системы, настройка политик, анализ и обработка инцидентов производятся централизовано с помощью WEB консоли Enterprise Manager, что позволяет предотвратить потери конфиденциальных данных независимо от их местонахождения (рис.1).

Политики в RSA DLP Suite определяют, какие действия и каким пользователям разрешены с определенным типом (классом) данных. При этом список пользователей со всей организационной структурой Enterprise Manager может получить из Active Directory.

За классификацию данных в RSA DLP отвечают так называемые Content Blades, которые фактически являются набором правил для формального описания того или иного типа информации. RSA поставляет большое количество готовых Content Blades (например, под тип данных PCI-DSS, SOX и т.п.), администраторы системы также могут создавать свои описания конфиденциальных данных. Content Blades могут использовать все принятые сейчас в DLP решениях методы классификации данных:

  • регулярные выражения
  • поиск по словарю и списку выражений
  • entities —предустановленные исполняемые модули для специальных случаев, которые требуют дополнительных вычислений (например, номера кредитных карт должны подчинятся правилу Luhn Formula)
  • метаданные (MS Office и Adobe Acrobat)
  • цифровые отпечатки: со всего файла; «частичные», с абзацев документа; с полей баз данных
  • логические выражения, весовые коэффициенты, счетчики вхождений, автоматический скоринг и учет пороговых значений.

Каждая политика может содержать необходимое количество Content Blades, что позволяет очень точно специфицировать защищаемую информацию.

Физическая архитектурно RSA DLP Suite основана на принципах масштабируемости и производительности. По этой причине вся проверка данных производится компонентами DLP локально. Данные никогда не пересылаются на какой-либо центральный сервер для контроля. Enterprise Manager рассылает компонентам DLP политики, и принимает для последующего анализа выявленные инциденты вместе с данными, которые вызвали срабатывания определенной политики (выборочное «теневое копирование»). Модульность системы и описанная архитектура позволяют использовать RSA DLP Suite как для небольших организаций, так и строить решения уровня предприятия, покрывающие территориально распределенные филиалы (рис. 2).

RSA DLP Datacenter

Компонент DLP Datacenter представляет собой решение по защите от утечки информации, хранящейся в общих каталогах, базах данных, на сайтах системы SharePoint и иных информационных системах. DLP Datacenter позволяет сканировать данные с беспрецедентной скоростью, и выявлять нарушения принятых корпоративных политик хранения конфиденциальной информации. По выявленным инцидентам могут быть сгенерированы оповещения (alerts), также автоматически выполнены некоторые дополнительные действия, в том числе наложение политик eDRM (RSA DLP интегрирован с Microsoft RMS).

Для эффективного сканирования больших объемов информации модуль может использовать технологию распределенного сканирования (Grid Scanning). Данная функция позволяет задействовать свободные вычислительные ресурсы для параллельной обработки больших массивов данных.

RSA DLP Network

Компонент DLP Network выполняет как пассивный мониторинг сетевого трафика, так и активно противодействует попыткам несанкционированной передаче конфиденциальной информации. Для пассивного мониторинга используется программно- аппаратный комплекс (appliance) Sensor, подключаемый по SPANTAB портам к корпоративной сети. Активное вмешательство (блокировка, карантин, явное подтверждение) осуществляют программно- аппаратный комплексы:

  • Контроль электронной почты — Interceptor. В качестве альтернативы Interceptor вскоре можно будет использоваться устройство Cisco IronPort C-series
  • ICAP сервер (HTTPHTTPSFTP)

ICAP сервер использует стандартный протокол ICAP для взаимодействия с прокси-серверами и контроля передаваемой пользователями информации. В частности, ICAP сервер работает с proxy BlueCoat, Cisco Ironport S-series. Применение именно программно- аппаратных систем позволяет обеспечить необходимую производительность при обработке сетевого трафика.

RSA DLP Endpoint

Компонент DLP Endpoint устанавливается на рабочую станцию пользователя и обеспечивает как периодическое сканирование хранящихся локально данных, так и активную блокировку несанкционированных попыток копирования конфиденциальных данных на мобильные носители, CDDVD, внешние файловые ресурсы, печати информации на локальные и сетевые принтеры. Компонент DLP Endpoint защищен от удаления с рабочей станции, может работать в автономном режиме (т.к. когда рабочая станция не подключена к сети). В автономном режиме DLP Endpoint также может контролировать HTTPHTTPS и трафик приложений мгновенных сообщений.

Перейти на главную страницу обзора

Вам также могут понравиться