Prevención de pérdida de datos
Las funciones de Prevención de pérdida de datos (DLP) de ShareFile le permiten restringir el acceso y el uso compartido en función del contenido que se encuentra dentro de un archivo.
Puede escanear los documentos cargados en su zona de almacenamiento mediante cualquier paquete de seguridad DLP de terceros que admita ICAP, un protocolo de red estándar para el análisis de contenido en línea. A continuación, puede ajustar los privilegios de acceso y uso compartido en función de los resultados del análisis DLP y sus preferencias sobre el grado de rigor que quiere controlar el acceso.
Sistemas DLP compatibles
El controlador de zonas de almacenamiento utiliza el protocolo ICAP para interactuar con soluciones DLP de terceros. El uso de ShareFile con una solución DLP existente no requiere cambios en las directivas o servidores existentes. Sin embargo, es posible que desee dedicar servidores ICAP para procesar datos de ShareFile si espera que la carga sea significativa.
Las soluciones DLP compatibles con ICAP incluyen:
- Symantec Data Loss Prevention
- McAfee DLP Prevent
- Websense TRITON AP-DATA
- RSA Data Loss Prevention
Dado que ShareFile utiliza su conjunto de seguridad DLP existente, puede mantener un único punto de administración de directivas para la inspección de datos y las alertas de seguridad. Si ya utiliza una de las soluciones anteriores para analizar archivos adjuntos de correo electrónico salientes o tráfico web en busca de datos confidenciales, puede apuntar el controlador de zonas de almacenamiento ShareFile al mismo servidor. Para estos sistemas DLP existentes, también soportamos ICAP seguro (ICAPS) si el propio sistema DLP subyacente es compatible con ICAPS.
Habilitar DLP
Para habilitar DLP para ShareFile y controlador de zonas de almacenamiento, realice las tres acciones siguientes:
- Habilite las capacidades de DLP en su cuenta ShareFile.
- Habilite DLP en el servidor controlador de zonas de almacenamiento.
- Configure las acciones permitidas para cada clasificación de archivos.
Estas acciones se describen en detalle en las siguientes secciones.
Habilitar las capacidades de DLP en su cuenta ShareFile
Para solicitar o confirmar que el subdominio ShareFile está habilitado para DLP, envíe una solicitud a Citrix Support.
Para algunas cuentas, la habilitación de DLP también puede requerir la habilitación de una experiencia de usuario más reciente para el sitio web de ShareFile. Una vez que su cuenta esté habilitada para DLP, puede continuar habilitando DLP en el servidor del controlador de zonas de almacenamiento.
Habilitar DLP en el servidor controlador de zonas de almacenamiento
Siga los pasos siguientes para configurar la configuración de DLP en la implementación del controlador de zonas de almacenamiento:
- Instale o actualice a la controlador de zonas de almacenamiento 5.3 o posterior.
- En la consola del controlador de zonas de almacenamiento
http://*localhost*/configservice/login.aspx
, haga clic en la ficha Datos de ShareFile. Haga clic en Modificar si la zona existe. -
Active la casilla de verificación Habilitar integración DLP y escriba la dirección ICAP de su servidor DLP en el campo ICAP REQMOD URL. El formato de dirección es:
icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod OR \*icaps://<name or IP address of your DLP server>:<port>/reqmod\* The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP). For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field: icap://\*dlp-server.example.com\*:1344/reqmod OR \*icaps://dlp-server.example.com:11344/reqmod\* <!--NeedCopy-->
- Haga clic en Guardar o en Registrar.
Después de habilitar DLP, confirme que el servidor DLP es accesible comprobando la entrada Estado del servidor DLP ICAP en la ficha Supervisión.
Controlar el acceso basado en los resultados del análisis DLP
Después de habilitar DLP en la cuenta y el controlador de zonas de almacenamiento, cada versión de cada archivo cargado en la zona de almacenamiento habilitada para DLP se analizará en busca de contenido confidencial. Los resultados del análisis se almacenan en la base de datos ShareFile como una clasificación de datos.
La configuración de DLP restringe los permisos normales y los controles de uso compartido disponibles para los archivos según su clasificación DLP. Al compartir un documento, un usuario puede optar por bloquear el acceso anónimo aunque la configuración de DLP le permita compartirlo de forma anónima. Pero si el usuario intenta compartir un archivo de una manera que infrinja la configuración de DLP, ShareFile le impide hacerlo.
Las clasificaciones de datos son:
- Analizado: OK: Archivos que fueron analizados por un sistema DLP y pasados OK.
- Analizado: Rechazado: Archivos que fueron analizados por un sistema DLP y que se encontró que contenían datos confidenciales.
- Sin analizar: Archivos que no se han analizado.
La clasificación sin analizar se aplica a todos los documentos almacenados en zonas de almacenamiento administradas por Citrix u otras zonas de almacenamiento donde DLP no está habilitado. La clasificación también se aplica a los archivos de las zonas de almacenamiento habilitadas para DLP que se cargaron antes de configurar DLP. La clasificación también se aplica a los archivos que están en espera de ser analizados porque el sistema DLP externo no está disponible o es lento para responder.
La clasificación de cada elemento viene determinada por la regla de respuesta del servidor ICAP. Si el servidor ICAP DLP responde con un mensaje que indica que el contenido debe bloquearse o eliminarse, el archivo se marca como Analizar : Rechazado. De lo contrario, el archivo se marcará como Analizar: Aceptar.
Para cada clasificación de datos, puede establecer diferentes restricciones de acceso y uso compartido. Para cada una de las tres categorías, el administrador de ShareFile elige qué acciones permitir:
- Los empleados pueden descargar o compartir el archivo.
- Los usuarios cliente de terceros pueden descargar o compartir el archivo. El uso compartido de clientes está inhabilitado de forma predeterminada, pero se puede habilitar en Administrador > Preferencias avanzadas > Permitir que los clientes compartan archivos.
- Los usuarios anónimos pueden descargar el archivo
Cuando un usuario comparte un archivo, solo los usuarios con permisos de descarga pueden recibirlo. Por lo tanto, cuando habilita el permiso de uso compartido para una clasificación de datos, también debe conceder al menos una clase de permiso de descarga de usuario.
Para configurar la configuración de DLP en ShareFile
- En la interfaz web de ShareFile, haga clic en Administrador > Prevención de pérdida de datos.
- Cambie la opción de Limitar el acceso a los archivos en función de su contenido a Sí.
- Configure las acciones permitidas para cada clasificación de datos.
Importante:
La herramienta ShareFile On-Demand Sync File requiere permisos de descarga para el funcionamiento normal. Habilite las descargas de empleados para todas las clasificaciones de contenido si su implementación incluye ShareFile On-Demand Sync File.
Cuando el controlador de zonas de almacenamiento envía un archivo al sistema DLP, incluye metadatos que indican el propietario del archivo. El archivo también incluye la ruta de acceso a la carpeta donde reside el archivo en ShareFile. Esta información permite al administrador del servidor DLP ver detalles específicos de ShareFile acerca de los archivos que contienen contenido confidencial.
Configuración avanzada para DLP
Para ajustar el proceso de escaneo DLP, modifique el archivo de configuración que se encuentra en el controlador de zonas de almacenamiento en wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config
. La siguiente tabla describe cada configuración relacionada con DLP.
Configuración | Descripción | Valor predeterminado |
---|---|---|
scan-interval | Con qué frecuencia el servicio DLP comprueba la cola de DLP en busca de nuevos archivos y los envía al servidor ICAP DLP para su procesamiento. | 30 segundos |
tiempo de espera de respuesta icap-response- | Cuánto tiempo espera el controlador de zonas de almacenamiento una respuesta ICAP antes de marcar el servidor ICAP como no disponible. | 30 segundos |
icap-exclude-extensiones | Lista separada por comas de extensiones para excluir del análisis DLP. El servidor DLP no procesa archivos con nombres que terminen en una de estas extensiones, pero los marca como Escaneados: OK. Valor de ejemplo: “exe,jpg,bin,mov” | Ninguno |
icap-max-file-size-bytes | Tamaño máximo del archivo (en bytes) que se enviará al servidor DLP para su procesamiento. Un valor de 0 significa que no hay un máximo y que se envían todos los tamaños de archivo. Cuando se configura con un valor distinto de cero, el servidor DLP no procesa archivos mayores que el tamaño configurado, sino que se marcan como Analizar: Aceptar. | 31457280 (30 MB) |
x-queue-elementos-a-proceso | Número máximo de elementos en cola que se van a analizar por cada iteración de intervalo de exploración. Reduzca este valor para mitigar el impacto en su servidor DLP cuando se agrega una gran cantidad de archivos a StorageZone. | 512 |
max-queue-processing-threads | Número máximo de subprocesos de procesador simultáneos que se utilizarán para vaciar la cola de análisis DLP. Establezca este valor en función del número máximo de conexiones simultáneas permitidas al servidor ICAP. Debe estar dentro de límites razonables para evitar el bloqueo de otros servicios de red que utilizan el mismo servidor ICAP. | 4 |
Icap-reqmod-http-request-verb | De forma predeterminada, las llamadas a la red se realizan con el verbo PUT. Puede cambiar esta configuración a POST si es necesario. | PUT |
Herramienta DlpExistingFiles
El controlador de zonas de almacenamiento ShareFile proporciona opciones para integrar el centro de almacenamiento con proveedores de prevención de pérdida de datos (DLP) a través de ICAP.
Sin embargo, los servicios ICAP funcionan a través de colas que solo se rellenan con archivos recién creados. Esto significa que los archivos existentes en una zona antes de habilitar ICAP no serán analizados por los servicios. Esta herramienta ayuda a poner en cola esos archivos para su análisis, y también puede poner en cola los archivos escaneados para volver a analizarlos.
Como indica el nombre, la herramienta solo funciona para el servicio ICAP DLP.
Requisitos
La herramienta es un script de PowerShell y, por lo tanto, necesita PowerShell para ejecutarse. PSExec o una herramienta similar, ya que el script debe ejecutarse como Servicio de red para acceder a la ubicación del recurso compartido de red.
Ubicación
Para un controlador de zonas de almacenamiento instalado, la herramienta se puede encontrar en <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1
. La ubicación de instalación del controlador de zonas de almacenamiento es de forma predeterminada C:\inetpub\wwwroot\Citrix\StorageCenter
.
Consideraciones antes de ejecutar la herramienta
Es posible que la herramienta deba ejecutarse varias veces para una sola operación dependiendo de lo siguiente.
- Las limitaciones previstas para el límite de tamaño de la cola.
- El número de elementos para los criterios dados. Esta consideración es verdadera a menos que el límite de tamaño de la cola esté establecido en cero o menos. En ese caso, la herramienta asume un tamaño máximo de 200.000 elementos en el directorio de cola.
Por ejemplo, si la herramienta se utiliza para poner en cola elementos no escaneados, el límite de tamaño de la cola se establece en 500 elementos. Cuando hay más de 500 elementos sin analizar, la herramienta se detiene después de que 500 elementos se llenen en la cola. Para realizar un seguimiento de dónde se detuvo, la herramienta almacena la fecha de creación del último elemento recuperado. La herramienta almacena la fecha en un archivo temporal en <storage zones controller installation location>
\SC con el nombre DLPExistingFiles-endDate.temp.
Antes de cada ejecución, la herramienta busca este archivo. Si el archivo está presente, la herramienta utiliza la fecha de creación como marcador para el siguiente lote de archivos. La herramienta no elimina el archivo temporal al finalizar una operación determinada. En su lugar, el administrador de zona puede eliminar el archivo una vez que se hayan completado todos los lotes de una operación determinada. Debido a esta situación, cuando se completa una operación completa, el archivo temporal, si está presente, debe eliminarse manualmente antes de realizar otra operación diferente.
Ejecución de la herramienta con PSExec
Abra una ventana de comandos y ejecute PSExec con el siguiente comando.
PsExec.exe -i -u "nt authority\network service"
"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->
Esto abre PowerShell ejecutándose como servicio de red. Para verificar que se está ejecutando como Servicio de red, ejecute whoami y verifique el resultado.
Una vez que PowerShell esté abierto, ejecute la herramienta allí directamente para realizar cualquier tarea necesaria.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->
Opciones de la línea de comandos
Las siguientes opciones están disponibles para ejecutar la herramienta:
-
-runscan (Necesario): Esta opción se utiliza para especificar qué tipo de archivos se van a poner en cola para el análisis. Subopciones:
- Unscanned: Archivos no escaneados. Por ejemplo, archivos anteriores a la era DLP que no se analizaron.
- ScannedOK: Archivos escaneados que se han marcado como limpios.
- ScannedRejected: Archivos escaneados que se han marcado como no limpios.
- Scanned: Todos los archivos escaneados.
- -QueueLimit (Opcional): Esta opción se utiliza para especificar el número de elementos permitidos en la cola antes de que la herramienta se detenga.
- -date (Opcional): La fecha máxima de creación de los elementos que se van a poner en cola para su análisis. Por ejemplo, si la fecha se especifica como “30/10/2017 11:30 AM”, solo los archivos que se crearon antes de esta fecha/hora se pondrán en cola para su análisis.
Ejemplos:
Para todos los ejemplos, abra PowerShell como servicio de red a través de PSExec. Para obtener instrucciones, consulte los pasos anteriores en este artículo.
Para poner en cola elementos no explorados en una zona, ejecute el siguiente comando.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->
Para poner en cola todos los elementos escaneados dentro de una zona con un límite de cola de 100, ejecute el siguiente comando.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->
Para poner en cola todos los elementos escaneados creados antes de las 11:30 a.m. del 30/10/2017 con las siguientes funciones: Marcados como limpios, en una zona con un límite de cola de 200, ejecute el siguiente comando.
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->
En este artículo
- Sistemas DLP compatibles
- Habilitar DLP
- Habilitar las capacidades de DLP en su cuenta ShareFile
- Habilitar DLP en el servidor controlador de zonas de almacenamiento
- Controlar el acceso basado en los resultados del análisis DLP
- Configuración avanzada para DLP
- Herramienta DlpExistingFiles
- Opciones de la línea de comandos