Storage zones controller

Prevención de pérdida de datos

Las funciones de prevención de pérdida de datos (DLP) de ShareFile permiten restringir el acceso y el uso compartido en función del contenido que se encuentra en un archivo.

Puede escanear los documentos cargados en su zona de almacenamiento mediante cualquier paquete de seguridad DLP de terceros que sea compatible con ICAP, un protocolo de red estándar para el escaneo de contenido en línea. A continuación, ajusta los privilegios de acceso y uso compartido en función de los resultados del análisis de DLP y de sus preferencias en cuanto a la rigurosidad con la que quiere controlar el acceso.

Sistemas DLP compatibles

El controlador de zonas de almacenamiento utiliza el protocolo ICAP para interactuar con soluciones DLP de terceros. El uso de ShareFile con una solución de DLP existente no requiere cambios en las directivas o los servidores existentes. Sin embargo, es posible que quiera dedicar servidores ICAP para procesar los datos de ShareFile si espera que la carga sea significativa.

Las soluciones de DLP más populares que cumplen con ICAP incluyen:

  • Prevención de pérdida de datos de Symantec
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA

Como ShareFile usa su suite de seguridad DLP existente, puede mantener un único punto de administración de directivas para la inspección de datos y las alertas de seguridad. Si ya utiliza una de las soluciones anteriores para analizar los archivos adjuntos del correo electrónico saliente o el tráfico web en busca de datos confidenciales, puede dirigir el controlador de zonas de almacenamiento de ShareFile al mismo servidor. Para estos sistemas de DLP existentes, también admitimos el ICAP seguro (ICAPS) si el propio sistema DLP subyacente es compatible con ICAPS.

Habilitar DLP

Para habilitar DLP para ShareFile y el controlador de zonas de almacenamiento, realice las tres acciones siguientes:

  1. Habilite las capacidades de DLP en su cuenta de ShareFile.
  2. Habilite DLP en el servidor del controlador de zonas de almacenamiento.
  3. Configure las acciones permitidas para cada clasificación de archivos.

Estas acciones se describen en detalle en las siguientes secciones.

Habilite las capacidades de DLP en su cuenta de ShareFile

Para solicitar o confirmar que el subdominio de ShareFile está habilitado para DLP, envíe una solicitud a Citrix Support.

Para algunas cuentas, habilitar DLP también puede requerir habilitar una experiencia de usuario más reciente para el sitio web de ShareFile. Una vez que su cuenta esté habilitada para DLP, puede continuar con la habilitación de DLP en el servidor del controlador de zonas de almacenamiento.

Habilite DLP en su servidor controlador de zonas de almacenamiento

Siga los siguientes pasos para configurar los ajustes de DLP en la implementación del controlador de zonas de almacenamiento:

  1. Instale o actualice el controlador de zonas de almacenamiento 5.3 o posterior.
  2. En la consola del controlador de zonas de almacenamiento http://*localhost*/configservice/login.aspx, haga clic en la ficha Datos de ShareFile . Haga clic en Modificar si la zona existe.
  3. Seleccione la casilla Habilitar la integración de DLP y escriba la dirección ICAP de su servidor de DLP en el campo URL de ICAP REQMOD. El formato de la dirección es:

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://\<name or IP address of your DLP server\>:\<port\>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    <!--NeedCopy-->
    
  4. Haga clic en Guardar o Registrar.

Después de habilitar la DLP, confirme que se puede acceder al servidor DLP comprobando la entrada Estado del servidor ICAP de DLP en la ficha Supervisión.

Controle el acceso en función de los resultados del escaneo DLP

Una vez activado el DLP en la cuenta y el controlador de zonas de almacenamiento, se escanearán todas las versiones de todos los archivos que se carguen en la zona de almacenamiento habilitada para DLP en busca de contenido confidencial. Los resultados del análisis se almacenan en la base de datos de ShareFile como una clasificación de datos.

La configuración de DLP restringe los permisos normales y los controles de uso compartido disponibles para los archivos en función de su clasificación de DLP. Al compartir un documento, el usuario puede optar por bloquear el acceso anónimo, incluso si la configuración de DLP le permite compartirlo de forma anónima. Sin embargo, si el usuario intenta compartir un archivo de una manera que infrinja la configuración de DLP, ShareFile le impide hacerlo.

Las clasificaciones de datos son:

  • Escaneado: Aceptar: Archivos escaneados por un sistema DLP y aprobados como correctos.
  • Escaneado: Rechazado: Archivos que se escanearon con un sistema DLP y se descubrió que contenían datos confidenciales.
  • Sin escanear: Archivos que no se han escaneado.

La clasificación sin escanear se aplica a todos los documentos almacenados en zonas de almacenamiento gestionadas por Citrix u otras zonas de almacenamiento en las que la DLP no esté habilitada. La clasificación también se aplica a los archivos de las zonas de almacenamiento habilitadas para DLP que se cargaron antes de configurar el DLP. La clasificación también se aplica a los archivos que están a la espera de ser escaneados porque el sistema DLP externo no está disponible o responde con lentitud.

La clasificación de cada elemento viene determinada por la regla de respuesta del servidor ICAP. Si el servidor ICAP de DLP responde con un mensaje en el que se indica que el contenido debe bloquearse o eliminarse, el archivo se marca como Escaneado:Rechazado. De lo contrario, el archivo se marca como Escaneado: OK.

Para cada clasificación de datos, puede establecer diferentes restricciones de acceso y uso compartido. Para cada una de las tres categorías, el administrador de ShareFile elige qué acciones permitir:

  • Los empleados pueden descargar o compartir el archivo.
  • Los usuarios de clientes externos pueden descargar o compartir el archivo. El uso compartido entre clientes está desactivado de forma predeterminada, pero se puede habilitar en Administración > Preferencias avanzadas > Permitir a los clientes compartir archivos.
  • Los usuarios anónimos pueden descargar el archivo

Cuando un usuario comparte un archivo, solo los usuarios con permisos de descarga pueden recibir el archivo. Por lo tanto, al habilitar el permiso de uso compartido para una clasificación de datos, también debe conceder al menos una clase de permiso de descarga de usuarios.

Para configurar los ajustes de DLP en ShareFile

  1. En la interfaz web de ShareFile, haga clic en Administración > Prevención de pérdida de datos.
  2. Cambie la opción de Limitar el acceso a los archivos en función de su contenido a .
  3. Configure las acciones permitidas para cada clasificación de datos.

Importante:

La herramienta de ShareFile On-Demand Sync requiere permisos de descarga para su funcionamiento normal. Habilite las descargas de los empleados para todas las clasificaciones de contenido si su implementación incluye la ShareFile On-Demand Sync.

Cuando el controlador de zonas de almacenamiento envía un archivo al sistema DLP, incluye metadatos que indican el propietario del archivo. El archivo también incluye la ruta de la carpeta en la que reside el archivo en ShareFile. Esta información permite al administrador del servidor DLP ver detalles específicos de ShareFile sobre los archivos que contienen contenido confidencial.

Configuración avanzada para DLP

Para ajustar el proceso de escaneo de DLP, modifique el archivo de configuración que se encuentra en el controlador de zonas de almacenamiento en wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. En la siguiente tabla se describe cada configuración relacionada con DLP.

Parámetro Descripción Valor predeterminado
scan-interval La frecuencia con la que el servicio de DLP comprueba si hay archivos nuevos en la cola de DLP y los envía al servidor ICAP de DLP para su procesamiento. 30 segundos
icap-response-timeout Cuánto tiempo espera el controlador de zonas de almacenamiento a recibir una respuesta de ICAP antes de marcar el servidor ICAP como no disponible. 30 segundos
icap-exclude-extensions Lista de extensiones separadas por comas para excluirlas del análisis de DLP. El servidor DLP no procesa los archivos con nombres que terminen en una de estas extensiones, sino que los marca como escaneados: OK. Valor de ejemplo: “exe,jpg,bin,mov” Nada
icap-max-file-size-bytes Tamaño máximo del archivo (en bytes) que se va a enviar al servidor DLP para su procesamiento. Un valor de 0 significa que no hay un máximo y que se envían todos los tamaños de archivo. Cuando se configura con un valor distinto de cero, el servidor DLP no procesa los archivos que superen el tamaño configurado, sino que se marcan como Escaneados: OK. 31457280 (30 MB)
x-queue-items-to-process El número máximo de elementos en cola para escanear por cada iteración del intervalo de escaneo. Disminuya este valor para mitigar el impacto en su servidor de DLP cuando se agrega una gran cantidad de archivos a StorageZone. 512
max-queue-processing-threads Cantidad máxima de subprocesos de procesador simultáneos que se pueden utilizar para vaciar la cola de escaneado de DLP. Defina este valor en función del número máximo de conexiones simultáneas permitidas a su servidor ICAP. Debe estar dentro de límites razonables para evitar bloquear otros servicios de red que utilizan el mismo servidor ICAP. 4
Icap-reqmod-http-request-verb De forma predeterminada, las llamadas a la red se realizan con el verbo PUT. Puede cambiar esta configuración a POST si es necesario. PUT

Herramienta DLPExistingFiles

El controlador de zonas de almacenamiento de ShareFile ofrece opciones para integrar el centro de almacenamiento con los proveedores de prevención de pérdida de datos (DLP) a través de ICAP.

Sin embargo, los servicios ICAP funcionan mediante colas que solo se llenan con archivos recién creados. Esto significa que los servicios no analizarán los archivos que existan en una zona antes de que se habilite el ICAP. Esta herramienta ayuda a poner esos archivos en cola para su análisis y también puede poner en cola los archivos escaneados para volver a escanearlos.

Como su nombre indica, la herramienta solo funciona para el servicio ICAP de DLP.

Requisitos

La herramienta es un script de PowerShell y, por lo tanto, necesita PowerShell para ejecutarse. También se necesitaPsExec o una herramienta similar, ya que el script debe ejecutarse como servicio de red para acceder a la ubicación compartida de la red.

Ubicación

Para un controlador de zonas de almacenamiento instalado, puede encontrar la herramienta en <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. La ubicación de instalación del controlador de zonas de almacenamiento es la predeterminada C:\inetpub\wwwroot\Citrix\StorageCenter.

Consideraciones antes de ejecutar la herramienta

Es posible que la herramienta deba ejecutarse varias veces para una sola operación, según lo siguiente.

  • Las limitaciones proporcionadas para el límite de tamaño de la cola.
  • El número de elementos para los criterios dados. Esta consideración es cierta a menos que el límite de tamaño de la cola esté establecido en cero o menos. En ese caso, la herramienta asume un tamaño máximo de 200 000 elementos en el directorio de colas.

Por ejemplo, si la herramienta se utiliza para poner en cola elementos no escaneados, el límite de tamaño de la cola se establece en 500 elementos. Cuando hay más de 500 elementos sin escanear, la herramienta se detiene cuando se hayan llenado 500 elementos en la cola. Para saber dónde se detuvo, la herramienta almacena la fecha de creación del último elemento recuperado. La herramienta almacena la fecha en un archivo temporal en <storage zones controller installation location>\SC con el nombre DLPExistingFiles-enddate.temp.

Antes de cada ejecución, la herramienta busca este archivo. Si el archivo está presente, la herramienta utiliza la fecha de creación que contiene como marcador para el siguiente lote de archivos. La herramienta no elimina el archivo temporal al finalizar una determinada operación. En cambio, el administrador de zona puede eliminar el archivo una vez que se hayan completado todos los lotes de una operación determinada. Debido a esta situación, cuando se complete una operación completa, el archivo temporal, si está presente, debe eliminarse manualmente antes de realizar otra operación diferente.

Ejecución de la herramienta con PsExec

Abra una ventana de comandos y ejecute PsExec con el siguiente comando.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->

Esto abre PowerShell ejecutándose como servicio de red. Para comprobar que realmente se está ejecutando como servicio de red, ejecuta whoami y comprueba el resultado.

Una vez que PowerShell esté abierto, ejecute la herramienta allí directamente para realizar cualquier tarea necesaria.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->

Opciones de línea de comandos

Están disponibles las siguientes opciones para ejecutar la herramienta:

  • -runscan (obligatorio): esta opción se utiliza para especificar qué tipo de archivos se van a poner en cola para su análisis. Subopciones:
    • Unscanned: Archivos sin escanear. Por ejemplo, archivos de la era anterior a DLP que no se escaneaban.
    • ScannedOK: Archivos escaneados que se han marcado como limpios.
    • ScannedRejected: Archivos escaneados que se han marcado como no limpios.
    • Scanned: Todos los archivos escaneados.
  • -queueLimit (opcional): Esta opción se utiliza para especificar el número de elementos permitidos en la cola antes de que la herramienta se detenga.
  • -date (opcional): La fecha máxima de creación de los elementos que se pondrán en cola para su escaneo. Por ejemplo, si la fecha se especifica como “30/10/2017 11:30 a. m.”, solo los archivos que se crearon antes de esta fecha/hora se pondrán en cola para su escaneo.

Ejemplos:

Para ver todos los ejemplos, abra PowerShell como servicio de red a través de PsExec. Para obtener instrucciones, consulta los pasos anteriores en este artículo.

Para poner en cola los elementos no escaneados en una zona, ejecute el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->

Para poner en cola todos los elementos escaneados dentro de una zona con un límite de 100 colas, ejecute el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->

Para poner en cola todos los elementos escaneados creados antes de las 11:30 de la mañana del 30 de octubre de 2017 con las siguientes características: marcados como limpios, en una zona con un límite de 200 colas, ejecuta el siguiente comando.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->
Prevención de pérdida de datos