Storage zones controller

Protection contre la perte de données

Les fonctionnalités de prévention contre la perte de données (DLP) de ShareFile vous permettent de restreindre l’accès et le partage en fonction du contenu d’un fichier.

Vous pouvez numériser les documents chargés dans votre zone de stockage à l’aide de n’importe quelle suite de sécurité DLP tierce qui prend en charge le protocole réseau ICAP, un protocole réseau standard pour l’analyse de contenu en ligne. Vous ajustez ensuite les privilèges de partage et d’accès en fonction des résultats de l’analyse DLP et de vos préférences quant à la rigueur avec laquelle vous souhaitez contrôler l’accès.

Systèmes DLP pris en charge

Storage Zones Controller utilise le protocole ICAP pour interagir avec des solutions DLP tierces. L’utilisation de ShareFile avec une solution DLP existante ne nécessite aucune modification des stratégies ou des serveurs existants. Toutefois, vous souhaiterez peut-être dédier des serveurs ICAP au traitement des données ShareFile si vous pensez que la charge sera importante.

Les solutions DLP conformes à la norme ICAP les plus populaires incluent :

  • Prévention de la perte de données Symantec
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA

Comme ShareFile utilise votre suite de sécurité DLP existante, vous pouvez gérer un point unique de gestion des stratégies pour l’inspection des données et les alertes de sécurité. Si vous utilisez déjà l’une des solutions précédentes pour analyser les pièces jointes des e-mails sortants ou le trafic Web à la recherche de données sensibles, vous pouvez pointer le ShareFile StorageZones Controller vers le même serveur. Pour ces systèmes DLP existants, nous prenons également en charge l’ICAP sécurisé (ICAPS) si le système DLP sous-jacent prend lui-même en charge l’ICAPS.

Activer le DLP

Pour activer la DLP pour ShareFile et StorageZones Controller, effectuez les trois actions suivantes :

  1. Activez les fonctionnalités DLP sur votre compte ShareFile.
  2. Activez la DLP sur votre serveur StorageZones Controller.
  3. Configurez les actions autorisées pour chaque classification de fichiers.

Ces actions sont décrites en détail dans les sections suivantes.

Activez les fonctionnalités DLP sur votre compte ShareFile

Pour demander ou confirmer que votre sous-domaine ShareFile est activé pour le DLP, envoyez une demande au support Citrix.

Pour certains comptes, l’activation de la DLP peut également nécessiter l’activation d’une nouvelle expérience utilisateur pour le site Web ShareFile. Une fois la DLP activée sur votre compte, vous pouvez procéder à l’activation de la DLP sur votre serveur StorageZones Controller.

Activez la DLP sur votre serveur StorageZones Controller

Suivez les étapes suivantes pour configurer les paramètres DLP lors de votre déploiement de StorageZones Controller :

  1. Installez ou effectuez une mise à niveau vers Storage Zones Controller 5.3 ou version ultérieure.
  2. Dans la console StorageZones Controller http://*localhost*/configservice/login.aspx, cliquez sur l’onglet ShareFile Data. Cliquez sur Modifier si la zone existe.
  3. Cochez la case Activer l’intégration DLP et saisissez l’adresse ICAP de votre serveur DLP dans le champ URL ICAP REQMOD. Le format de l’adresse est le suivant :

    icap://<*name or IP address of your DLP server*>:<*port*>/reqmod
    
    OR
    
    *icaps://\<name or IP address of your DLP server\>:\<port\>/reqmod*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://*dlp-server.example.com*:1344/reqmod
    
    OR
    
    *icaps://dlp-server.example.com:11344/reqmod*
    <!--NeedCopy-->
    
  4. Cliquez sur Enregistrer ou sur Enregistrer.

Après avoir activé la DLP, vérifiez que le serveur DLP est accessible en vérifiant l’entrée État du serveur DLP ICAP dans l’onglet Surveillance.

Contrôlez l’accès en fonction des résultats du scan DLP

Une fois la DLP activée sur le contrôleur de comptes et de zones de stockage, chaque version de chaque fichier chargé vers la zone de stockage compatible DLP est analysée pour détecter tout contenu sensible. Les résultats de l’analyse sont enregistrés dans la base de données ShareFile sous forme de classification des données.

Les paramètres DLP limitent les autorisations normales et les contrôles de partage disponibles pour les fichiers en fonction de leur classification DLP. Lors du partage d’un document, un utilisateur peut toujours choisir de bloquer l’accès anonyme même si les paramètres DLP lui permettent de le partager de manière anonyme. Mais si l’utilisateur tente de partager un fichier d’une manière qui enfreindrait les paramètres DLP, ShareFile l’en empêche.

Les classifications des données sont les suivantes :

  • Numérisé : OK — Fichiers scannés par un système DLP et approuvés.
  • Numérisés : rejetés  : fichiers scannés par un système DLP et dont on a découvert qu’ils contenaient des données sensibles.
  • Non numérisés  : fichiers qui n’ont pas été scannés.

La classification Non numérisée s’applique à tous les documents stockés dans des zones de stockage gérées par Citrix ou dans d’autres zones de stockage dans lesquelles le DLP n’est pas activé. La classification s’applique également aux fichiers des zones de stockage compatibles DLP qui ont été téléchargés avant la configuration du DLP. La classification s’applique également aux fichiers en attente d’analyse en raison de l’indisponibilité du système DLP externe ou de la lenteur de réponse.

La classification de chaque élément est déterminée par la règle de réponse du serveur ICAP. Si le serveur DLP ICAP répond par un message indiquant que le contenu doit être bloqué ou supprimé, le fichier est marqué comme Numérisé : rejeté. Dans le cas contraire, le fichier est marqué comme numérisé : OK.

Pour chaque classification de données, vous pouvez définir différentes restrictions d’accès et de partage. Pour chacune des trois catégories, l’administrateur ShareFile choisit les actions à autoriser :

  • Les employés peuvent télécharger ou partager le fichier.
  • Les utilisateurs clients tiers peuvent télécharger ou partager le fichier. Le partage de clients est désactivé par défaut mais peut être activé sous Administration > Préférences avancées > Autoriser les clients à partager des fichiers.
  • Les utilisateurs anonymes peuvent télécharger le fichier

Lorsqu’un utilisateur partage un fichier, seuls les utilisateurs disposant d’autorisations de téléchargement peuvent le recevoir. Par conséquent, lorsque vous activez l’autorisation de partage pour une classification de données, vous devez également accorder au moins une autorisation de téléchargement à une catégorie d’utilisateurs.

Pour configurer les paramètres DLP dans ShareFile

  1. Dans l’interface Web de ShareFile, cliquez sur Admin > Prévention de la perte de données.
  2. Modifiez l’option Limiter l’accès aux fichiers en fonction de leur contenu sur Oui.
  3. Configurez les actions autorisées pour chaque classification de données.

Important :

L’outil ShareFile On-Demand Sync nécessite des autorisations de téléchargement pour fonctionner normalement. Activez les téléchargements par les employés pour toutes les classifications de contenu si votre déploiement inclut ShareFile On-Demand Sync.

Lorsque le StorageZones Controller envoie un fichier au système DLP, il inclut des métadonnées indiquant le propriétaire du fichier. Le fichier inclut également le chemin du dossier dans lequel le fichier se trouve dans ShareFile. Ces informations permettent à l’administrateur du serveur DLP de consulter les détails spécifiques à ShareFile concernant les fichiers contenant du contenu sensible.

Paramètres avancés pour la DLP

Pour ajuster le processus d’analyse DLP, modifiez le fichier de paramètres situé sur votre StorageZones Controller à l’adresse wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config. Le tableau suivant décrit chaque paramètre lié à la DLP.

Paramètre Description Valeur par défaut
intervalle de numérisation Fréquence à laquelle le service DLP vérifie la présence de nouveaux fichiers dans la file d’attente DLP et les envoie au serveur DLP ICAP pour traitement. 30 secondes
délai de réponse ICAP Durée pendant laquelle le StorageZones Controller attend une réponse ICAP avant de marquer le serveur ICAP comme indisponible. 30 secondes
extensions d’exclusion ICAP Liste des extensions à exclure de l’analyse DLP, séparées par des virgules. Le serveur DLP ne traite pas les fichiers dont le nom se termine par l’une de ces extensions, mais marque les fichiers comme étant scannés : OK. Exemple de valeur : « exe, jpg, bin, mov » Aucun
icap-max-file-size-bytes Taille maximale du fichier (en octets) à envoyer au serveur DLP pour traitement. Une valeur de 0 signifie qu’il n’y a pas de maximum et que toutes les tailles de fichier sont envoyées. Lorsqu’il est configuré avec une valeur différente de zéro, le serveur DLP ne traite pas les fichiers dont la taille est supérieure à la taille configurée, mais ils sont marqués comme numérisés : OK. 31457280 (30 MB)
éléments de la file d’attente à traiter Le nombre maximum d’éléments en file d’attente à scanner par itération d’intervalle de numérisation. Diminuez cette valeur afin de limiter l’impact sur votre serveur DLP lorsqu’un grand nombre de fichiers sont ajoutés à la StorageZone. 512
fils de traitement des files d’attente maximum Nombre maximal de threads de processeur simultanés à utiliser pour vider la file d’attente d’analyse DLP. Définissez cette valeur en fonction du nombre maximum de connexions simultanées autorisées à votre serveur ICAP. Il doit se situer dans des limites raisonnables afin d’éviter de bloquer d’autres services réseau qui utilisent le même serveur ICAP. 4
Verbe de demande ICAP-REQMOD-HTTP Par défaut, les appels réseau sont effectués avec le verbe PUT. Vous pouvez modifier ce paramètre sur POST si nécessaire. METTRE

Outil DLP pour les fichiers existants

Le contrôleur de zones de stockage ShareFile propose des options pour intégrer le centre de stockage aux fournisseurs de prévention contre la perte de données (DLP) via ICAP.

Les services ICAP fonctionnent toutefois par le biais de files d’attente qui ne sont remplies que par des fichiers nouvellement créés. Cela signifie que les fichiers existant dans une zone avant l’activation d’ICAP ne seront pas analysés par les services. Cet outil permet de mettre ces fichiers en file d’attente pour numérisation et peut également mettre en file d’attente les fichiers numérisés pour une nouvelle numérisation.

Comme son nom l’indique, l’outil ne fonctionne que pour le service DLP ICAP.

Exigences

L’outil est un script PowerShell et nécessite donc PowerShell pour s’exécuter. PsExec ou un outil similaire est également nécessaire car le script doit être exécuté en tant que service réseau pour accéder à l’emplacement de partage réseau.

Emplacement

Pour un contrôleur de zones de stockage installé, l’outil se trouve à l’adresse <storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1. L’emplacement d’installation du StorageZones Controller est par défaut C:\inetpub\wwwroot\Citrix\StorageCenter.

Considérations avant d’exécuter l’outil

L’outil peut avoir besoin de s’exécuter plusieurs fois pour une seule opération, en fonction des éléments suivants.

  • Les limites prévues pour la taille maximale de la file d’attente.
  • Le nombre d’éléments correspondant aux critères donnés. Cette considération est vraie sauf si la limite de taille de file d’attente est définie sur zéro ou moins. Dans ce cas, l’outil suppose une taille maximale de 200 000 éléments dans le répertoire de file d’attente.

Par exemple, si l’outil est utilisé pour mettre en file d’attente des éléments non numérisés, la taille limite de la file d’attente est fixée à 500 éléments. Lorsqu’il y a plus de 500 éléments non numérisés, l’outil s’arrête une fois que 500 éléments sont remplis dans la file d’attente. Pour savoir où il s’est arrêté, l’outil enregistre la date de création du dernier élément extrait. L’outil enregistre la date dans un fichier temporaire dans <storage zones controller installation location> \ SC avec le nom DLPExistingFiles-EndDate.temp.

Avant chaque exécution, l’outil recherche ce fichier. Si le fichier est présent, l’outil utilise la date de création qu’il contient comme marqueur pour le lot de fichiers suivant. L’outil ne supprime pas le fichier temporaire à la fin d’une certaine opération. Au lieu de cela, l’administrateur de zone peut supprimer le fichier une fois que tous les lots relatifs à une opération donnée sont terminés. Dans ce cas, lorsqu’une opération complète est terminée, le fichier temporaire, s’il est présent, doit être supprimé manuellement avant d’effectuer une autre opération.

Exécution de l’outil avec PsExec

Ouvrez une fenêtre de commande et exécutez PsExec à l’aide de la commande suivante.

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->

Cela ouvre PowerShell en tant que service réseau. Pour vérifier qu’il fonctionne bien en tant que service réseau, exécutez whoami et vérifiez le résultat.

Une fois que PowerShell est ouvert, exécutez-y directement l’outil pour effectuer toutes les tâches nécessaires.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->

Options de ligne de commande

Les options suivantes sont disponibles pour exécuter l’outil :

  • -runscan (obligatoire) : cette option est utilisée pour spécifier le type de fichiers à mettre en file d’attente pour analyse. Sous-options :
    • Non numérisés : fichiers non numérisés. Par exemple, les fichiers de l’ère pré-DLP qui n’ont pas été scannés.
    • ScannedOK : fichiers numérisés marqués comme propres.
    • ScannedRejected : fichiers scannés qui ont été marqués comme non propres.
    • Numérisé : tous les fichiers numérisés.
  • -QueueLimit (facultatif) : cette option est utilisée pour spécifier le nombre d’éléments autorisés dans la file d’attente avant que l’outil ne s’arrête.
  • -date (facultatif) : date de création maximale des éléments à mettre en file d’attente pour la numérisation. Par exemple, si la date spécifiée est « 30/10/2017 11h30 », seuls les fichiers créés avant cette date/heure seront mis en file d’attente pour être numérisés.

Exemples :

Pour tous les exemples, ouvrez PowerShell en tant que service réseau viaPsExec. Pour obtenir des instructions, reportez-vous aux étapes décrites plus haut dans cet article.

Pour mettre en file d’attente des éléments non scannés dans une zone, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->

Pour mettre en file d’attente tous les éléments scannés dans une zone dont la limite de file d’attente est de 100, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->

Pour mettre en file d’attente tous les éléments scannés créés avant 11 h 30 le 30/10/2017 et présentant les caractéristiques suivantes : marqués comme propres, dans une zone avec une limite de 200 files d’attente, exécutez la commande suivante.

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->

Désactiver DLP

Pour désactiver la DLP pour ShareFile et StorageZones Controller, effectuez les actions suivantes :

Désactiver DLP

  1. Connectez-vous à votre compte Sharefile et cliquez sur Paramètres.
  2. Dans la liste déroulante qui s’ouvre, sélectionnez Paramètres d’administration.
  3. Dans le menu qui s’ouvre, cliquez sur Sécurité.
  4. Dans le menu Sécurité, choisissez l’option Prévention contre la perte de données.
  5. Depuis l’écran DLP, accédez à la section Limiter l’accès aux fichiers en fonction de leur contenu et cliquez sur Non.
  6. Sélectionnez Save.