数据丢失防护
ShareFile 中的数据丢失防护 (DLP) 功能允许您根据文件中找到的内容限制访问和共享。
您可以使用支持 ICAP 的任何第三方 DLP 安全套件扫描上载到存储区域的文档,这是一种用于内联内容扫描的标准网络协议。然后,您可以根据 DLP 扫描的结果以及要控制访问的严格程度的首选项来调整共享和访问权限。
支持的 DLP 系统
StorageZones Controller 使用 ICAP 协议与第三方 DLP 解决方案进行交互。将 ShareFile 与现有 DLP 解决方案一起使用,无需更改现有策略或服务器。但是,如果您预计负载很大,您可能希望专用 ICAP 服务器来处理 ShareFile 数据。
常用的符合 ICAP 标准的 DLP 解决方案包括:
- 赛门铁克数据丢失防护
- McAfee DLP 防止
- Websense TRITON AP-DATA
- RSA 数据丢失防护
由于 ShareFile 使用现有的 DLP 安全套件,因此您可以为数据检查和安全警报维护单点策略管理。如果您已经使用上述解决方案之一扫描传出电子邮件附件或 Web 流量中的敏感数据,则可以将 ShareFile StorageZones Controller 指向同一服务器。对于这些现有的 DLP 系统,如果底层 DLP 系统本身支持 ICAPS,我们也支持安全的 ICAP (IAPS)。
启用 DLP
若要为 ShareFile 和 StorageZones Controller 启用 DLP,请执行以下三个操作:
- 在您的 ShareFile 帐户上启用 DLP 功能。
- 在 StorageZones Controller 服务器上启用 DLP。
- 为每个文件分类配置允许的操作。
以下部分将详细介绍这些操作。
在您的 ShareFile 帐户上启用 DLP 功能
要请求或确认您的 ShareFile 子域已启用 DLP,请向 Citrix Support 发送请求。
对于某些帐户,启用 DLP 可能还需要为 ShareFile 网站启用较新的用户体验。为 DLP 启用帐户后,您可以继续在 StorageZones Controller 服务器上启用 DLP。
在 StorageZones Controller 服务器上启用 DLP
使用以下步骤在 StorageZones Controller 部署上配置 DLP 设置:
- 安装或升级到存储区 Controller 5.3 或更高版本。
- 在 StorageZones Controller 控制台中
http://*localhost*/configservice/login.aspx,单击 ShareFile 数据选项卡。如果区域存在,请单击“修改”。 -
选中启用 DLP 集成复选框,然后在 ICAP REQMOD URL 字段中键入 DLP 服务器的 ICAP 地址。地址格式为:
icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod OR \*icaps://<name or IP address of your DLP server>:<port>/reqmod\* The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP). For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field: icap://\*dlp-server.example.com\*:1344/reqmod OR \*icaps://dlp-server.example.com:11344/reqmod\* <!--NeedCopy--> - 单击“保存”或“注册”。
启用 DLP 后,通过检查监视选项卡上的 DLP ICAP 服务器状态条目,确认 DLP 服务器是否可以访问。
基于 DLP 扫描结果控制访问
在帐户和 StorageZones Controller 上启用 DLP 后,上载到启用 DLP 的存储区域的每个文件的每个版本都将被扫描以查找敏感内容。扫描结果作为数据分类存储在 ShareFile 数据库中。
DLP 设置会根据文件的 DLP 分类限制可用于文件的普通权限和共享控件。共享文档时,用户仍然可以选择阻止匿名访问,即使 DLP 设置允许用户匿名共享文档。但是,如果用户尝试以违反 DLP 设置的方式共享文件,ShareFile 会阻止他们这样做。
数据分类如下:
- 已扫描:良好 — 由 DLP 系统扫描并通过正常的文件。
- 已扫描:已拒绝 — 由 DLP 系统扫描并发现包含敏感数据的文件。
- 未扫描 — 尚未扫描的文件。
“未扫描”分类适用于存储在 Citrix 管理的存储区域或未启用 DLP 的其他存储区域中的所有文档。此分类还适用于在配置 DLP 之前上传的启用了 DLP 的存储区域中的文件。此分类还适用于由于外部 DLP 系统不可用或响应速度较慢而等待扫描的文件。
每个项目的分类由 ICAP 服务器响应规则确定。如果 DLP ICAP 服务器响应时显示应阻止或删除内容的消息,则该文件将被标记为已扫描:已拒绝。否则,文件将被标记为已扫描:良好。
对于每个数据分类,您可以设置不同的访问和共享限制。对于三个类别中的每个类别,ShareFile 管理员都会选择允许执行以下操作:
- 员工可以下载或共享文件。
- 第三方客户端用户可以下载或共享文件。默认情况下,客户端共享处于禁用状态,但可以在管理 > 高级首选项 > 允许客户端共享文件下启用。
- 匿名用户可以下载文件
当用户共享文件时,只有具有下载权限的用户才能接收该文件。因此,当您为数据分类启用共享权限时,还必须授予至少一类用户下载权限。
在 ShareFile 中配置 DLP 设置
- 在 ShareFile Web 界面中,单击 管理 > 数据丢失防护。
- 将“根据文件 内容限制对文件的访问”选项更改为“是”。
- 为每个数据分类配置允许的操作。
重要:
ShareFile On-Demand Sync 工具需要下载权限才能正常操作。如果您的部署包括 ShareFile On-Demand Sync,则为所有内容分类启用员工下载。
当存储区域 Controller 向 DLP 系统发送文件时,它会包含指示文件所有者的元数据。该文件还包括文件驻留在 ShareFile 中的文件夹路径。此信息允许 DLP 服务器管理员查看特定于 ShareFile 有关包含敏感内容的文件的详细信息。
DLP 的高级设置
要调整 DLP 扫描过程,请编辑 StorageZones Controller 上找到的设置文件wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.config。下表介绍了与 DLP 相关的每个设置。
| 设置 | 说明 | 默认值 |
|---|---|---|
| 扫描间隔 | DLP 服务检查 DLP 队列中的新文件并将其发送到 DLP ICAP 服务器进行处理的频率。 | 30 秒 |
| icap-response-timeout | 在将 ICAP 服务器标记为不可用之前, StorageZones Controller 等待 ICAP 响应的时间。 | 30 秒 |
| icap-exclude-extensions | 要从 DLP 扫描中排除的以逗号分隔的扩展名列表。DLP 服务器不处理名称以其中一个扩展名结尾的文件,但将文件标记为“已扫描:确定”。示例值:“exe,jpg,bin,mov” | 无 |
| icap-max-file-size-bytes | 发送到 DLP 服务器进行处理的文件的最大大小(以字节为单位)。值为 0 表示没有最大值,并且发送所有文件大小。使用非零值配置时,DLP 服务器不会处理大于配置大小的文件,而会标记为已扫描:良好。 | 31457280 (30 MB) |
| x 队列-项目到流程 | 每次扫描间隔迭代要扫描的排队项目的最大数量。减小此值可减轻将大量文件添加到 StorageZone 时对 DLP 服务器的影响。 | 512 |
| 最大队列处理线程 | 用于耗尽 DLP 扫描队列的最大并发处理器线程数。根据允许到您的 ICAP 服务器的最大同时连接数来设置此值。它应该在合理的限制范围内,以避免阻止使用同一个 ICAP 服务器的其他网络服务。 | 4 |
| Icap-reqmod-http-request-verb | 默认情况下,使用 PUT 动词进行网络调用。如果需要,您可以将此设置更改为 POST。 | PUT |
DLPExistingFiles 工具
ShareFile StorageZones Controller 提供了通过 ICAP 将存储中心与数据丢失防护 (DLP) 提供程序集成的选项。
但是,ICAP 服务通过仅由新创建的文件填充的队列进行工作。这意味着服务不会扫描启用 ICAP 之前的区域中存在的文件。此工具有助于将这些文件排队以进行扫描,还可以将扫描的文件排队以进行重新扫描。
正如名称所述,该工具仅适用于 DLP ICAP 服务。
要求
该工具是一个 PowerShell 脚本,因此需要运行 PowerShell。PsExec 或类似的工具,因为脚本需要作为网络服务运行才能访问网络共享位置。
位置
对于已安装的 StorageZones Controller,该工具可以在中找到<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1。默认情况下, StorageZones Controller 安装位置C:\inetpub\wwwroot\Citrix\StorageCenter。
运行工具前的注意事项
该工具可能需要为单个操作运行多次,具体取决于以下情况。
- 为队列大小限制提供的限制。
- 给定条件的项目数。除非队列大小限制设置为零或更小,否则此考虑是正确的。在这种情况下,该工具假定队列目录中的最大大小为 200,000 个项目。
例如,如果使用该工具对未扫描的项目进行排队,则队列大小限制设置为 500 个项目。当超过 500 个未扫描项目时,该工具将在队列中填满 500 个项目后停止。为了跟踪停止的位置,该工具会存储上次检索项目的创建日期。该工具将日期存储在 <storage zones controller installation location>\SC 的临时文件中,名称为 DLPExistingFiles-enddate.temp。
在每次运行之前,该工具都会查找此文件。如果文件存在,则工具将其中的创建日期用作下一批文件的标记。完成某个操作后,该工具不会删除临时文件。相反,区域管理员可以在某个操作的所有批处理完成后删除该文件。由于这种情况,当完成完整操作时,应手动删除临时文件(如果存在),然后再执行其他操作。
使用 PsExec 运行该工具
打开命令窗口并使用以下命令运行 PsExec。
PsExec.exe -i -u "nt authority\network service"
"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->
这将打开作为网络服务运行的 PowerShell。要验证它是否确实作为网络服务运行,请运行 whoami 并检查结果。
PowerShell 打开后,直接在那里运行该工具以执行任何必要的任务。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->
命令行选项
以下选项可用于运行该工具:
-
-runscan (必填):此选项用于指定要排队以进行扫描的文件类型。子选项:
- 未扫描:未扫描的文件。例如,未扫描的 pre-DLP era 文件。
- 已扫描: 良好:已标记为“干净”的扫描文件。
- ScannedRejected:已被标记为不干净的扫描文件。
- Scanned:所有扫描的文件。
- -queueLimit (可选):此选项用于指定工具停止前队列中允许的项目数。
- -date (可选):排队等待扫描的项目的最大创建日期。例如,如果日期被指定为“10/30/2017 年 11:30 AM”,则只有那些在此日期/时间之前创建的文件才会排队进行扫描。
示例:
对于所有示例,请通过 PSExec 打开 PowerShell 作为网络服务。有关说明,请参阅本文前面的步骤。
要在区域中排队未扫描的项目,请运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->
要将队列限制为 100 的区域中的所有扫描项排队,请运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->
要对 2017 年 10 月 30 日上午 11:30 之前创建的具有以下特征的所有扫描项进行排队,请执行以下操作:在队列限制为 200 的区域中标记为“干净”时,运行以下命令。
<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->