DLP от Microsoft: Утечка исключена

DLP от Microsoft: Утечка исключена

Ни для кого не секрет, что информация является главной ценностью компании. Если мыслить глобально, то любая работа любой компании сводится к получению и обработке информации.

От предоставления корректной информации в рамках определенных условий зависит успех компании, а утечка важной информации может привести к краху всего бизнеса. На протяжении нескольких последних лет технологии Data Loss Prevention (DLP), Digital Rights Management (DRM) и вопросы защиты информации компании в целом, с ростом информатизации и перевесом в сторону «непечатных» носителей, стали стремительно набирать популярность. Различные производители по-разному пытаются защитить свою информацию: документы, фильмы, музыку.
Например, в 2005 году было опубликовано несколько статей о том, что компания Sony в свои музыкальные диски специально «зашивала» Trojan-вирус, который во время запуска программы-плеера от Sony собирал информацию о плей-листе и отправлял данные на центральный сервер компании для обработки и анализа на предмет незаконного использования копий продукции компании. В то время открытие такого метода борьбы с «пиратством» вызвало бурю негодования среди Интернет-общественности.

Цель технологии AD RMS

Компания Microsoft, являясь лидером в производствеофисного программного обеспечения, разработала свою технологию для защиты стандартных типов документов. AD RMS – это следующая версия технологии RMS, которая реализована как отдельная роль в Microsoft Server 2008. Основой AD RMS стала Windows Rights Management Services, которая была доступна для серверной платформы 2003. Но на тот момент тема защиты данных компании от утечек не была так актуальна, поэтому технология не получила массового распространения. Суть технологии заключается в управлении и разграничении доступа к информации, которая находится в виде стандартных офисных документов MS Office. Новое поколение RMS отлично интегрируется с доменной средой AD и больше не является абсолютно отдельной опцией, теперь это часть общего комплекса сервисов Active Directory.

Компоненты и требования

Для того, чтобы интегрировать управление «электронными правами», необходимо
установить соответствующую роль для серверной платформы Microsoft Server 2008. При установке роли будут установлены все необходимые компоненты для запуска сервиса. Кроме роли сервера, понадобится база данных для хранения информации о конфигурации. База может быть представлена в виде Windows Internal Database
или полной версии, типа Microsoft SQL Server 2005 или 2008. Использование «внешней» независимой базы крайне желательно и является лучшими практиками, так как тольковнешняя база поддерживает обращения нескольких серверов RMS. Внутреннюю базу стоит использовать только для тестирования.
При установке роли AD RMS на сервер в доменном лесу автоматически формируется кластер AD RMS (только в случае использования полной внешней базы данных). Инфраструктура AD RMS подразумевает 2 серверные «подроли»:
выдача сертификатов и выдача лицензий. Назначение этих ролей более подробно будет
описано далее. Первый сервер RMS, который будет установлен, формирует корневой кла-
стер и занимается выдачей и сертификатов, и лицензий, то есть является универсальным. В корневой кластер можно добавить еще несколько серверов для балансировки нагрузки. Кластер AD RMS – это отдельная логическая связь между
серверами RMS и его не стоит путать с Failover Cluster или Network Load Balancing для серверов 2008. Для одного леса доменов может быть только один корневой кластер. В случае очень большой компьютерной сети можно использовать сервера лицензий, которые будут отвечать на запросы прав пользователей для чтения документов. Но лучшие практики говорят, что при больших нагрузках лучше увеличить количество
универсальных RMS серверов в корневом кластере.
На клиентских устройствах поддержку технологии RMS осуществляет соответствующий агент, который интегрирован в офисные приложения.

Как работает технология

Каждый профиль пользователя, компьютера, группы, сервиса или приложения получает свой сертификат, который называется RAC (Rights Account Certificate). Этот сертификат является «паспортом» для работы с системой RMS и удостоверяет личность. Сертификат выдается после проверки профиля на доступ к использованию сер-
виса RMS с помощью службы каталогов Active Directory. После того, как профиль получил
свой сертификат, владелец профиля может использовать сертификат для назначения прав для созданного им документа. Пользователь работает с RMSAware  приложениями, которые поддерживают использование технологии RMS, создает документы. На текущий момент RMS-Aware приложения включают весь пакет офиса 2007 или 2010, включая почтовые клиенты. Microsoft отдала права разработки модулей совместимости работы с RMS для других приложений соответствующим компаниям-разработчикам. Доступность таких модулей можно узнать на сайтах соответствующих производителей программного обеспечения, но в отличие от интегрированных модулей Microsoft, они могут быть платными. Пользователь применяет политики управления электронными правами доступа, которые и определяют, кто и как может использовать созданный
документ. Разграничения прав доступа включает следующие возможности: чтение, запись, изменение, печать, пересылка.
В момент применения политики для документа, сервер лицензий выдает лицензию на
публикацию документа. Весь контент документа зашифровывается, а права доступа
намертво «впечатываются» в документ и становятся его неотъемлемой частью. Таким образом, документ является защищенным вне зависимости от
доступности серверов RMS или другой корпоративной инфраструктуры. Если документ выносится за пределы компании (физически или любым другим методом), то программное обеспечение, например, на домашнем компьютере, не сможет открыть этот документ без доступа к RMS, так как он зашифрован.
Если другой пользователь хочет открыть защищенный документ, приложение, которое
открывает документ, связывается с сервером RMS, где проходит процесс авторизации для профиля пользователя относительно доступа к конкретному документу. После успешного прохождения авторизации, сервер выдает пользователю лицензию на использование документа. После того, как пользователь получил доступ к конкретному
документу, он может использовать его в любое время вне зависимости от подключения к корпоративной сети и доступности серверов RMS, так как лицензия на использование выдается на весь срок жизни документа.

Администрирование

Администрирование выполняется через стандартный интерфейс консоли управления
MMC. В AD RMS предусмотрены 4 роли для администрирования:

  • AD RMS Service – профиль сервиса, создается во время инсталляции роли сервера;
  • AD RMS Enterprise Administrator – профиль с полными полномочиями администри-
  • рования инфраструктуры и шаблонов прав;
  • AD RMS Template Administrator – профиль для создания и редактирования шаблонов политик прав доступа к документам;
  • AD RMS Auditor – профиль для управления логами и отчетами.
Итог

Технология Microsoft Rights Management Services является простым и недорогим DLP-
решением с хорошими показателями интеграции. Кроме того, это решение позволяет
усилить действие политик безопасности и повысить общий уровень безопасности компа-
нии. Для полного контроля выноса информации из организации, кроме DLP системы
необходим очень высокий уровень физической безопасности, а именно запрет и отслеживание использования фотоаппаратов или камер на территории компании, так как только в этом случае можно получить жесткие гарантии.


Залишити коментар
Будь ласка, введіть ваше ім’я
Будь ласка, введіть коментар.
1000 символів

Будь ласка, введіть email
або Відмінити

Інші статті в категорії IT, програмування, розробка Менеджмент, керування, KPI