AD RMS + WS 2012 = Автоматический поиск и защита конфиденциальных данных


Наверняка у вас возникало острое желание (или необходимость) защитить с помощью RMS все файлы внутри папки или все файлы с определённым содержимым. Примеры жизненных сценариев:

  • Доступ ко всем данным c файлового сервера должен сохраняться только у работающих сотрудников компании, даже если файлы скопированы локально или уволившийся сотрудник унёс их на USB-накопителе
  • Ко всем файлам, содержащим более 10 номеров кредитных карт или номеров паспорта, должна применятся политика “только чтение и только бухгалтерия”
  • Ко всем файлам Excel объёмом более 10 Мб, содержащим номера телефонов, применять политику “доступ только для начальника отдела продаж” т.к. предположительно в них выгружена база данных клиентов

Благодаря встроенному механизму Windows Server File classification Infrastructure (FCI) мы можем находить файлы, подлежащие защите и применять к ним RMS-политики.

  1. С помощью FCI находим файлы, попадающие под критерии, и прикрепляем к ним одну из меток. При перемещении файлов на другой сервер под управлением Windows Server метки сохраняются
  2. Для файлов с определёнными метками в качестве действия задаём "RMS Encryption" и выбираем применить существующий шаблон RMS-политики или задать параметры политики вручную

Совместное использование FCI и AD RMS было возможно и ранее (мы об этом рассказывали, честно-честно).
Что изменилось с выходом Windows Server 2012:

  • Больше не нужно устанавливать AD RMS Bulk protection tool и создавать собственные скрипты - функциональность доступна в опции FSRM серверной роли File and Storage Services server
  • Файлы защищаются “на лету” – при появлении нового файла он тут же классифицируется и защищается

Для задач классификации доступен большой выбор критериев, в том числе путь к файлу, его расширение, размер, дата создания, автор, определённое содержимое и т.п. Наиболее интересен поиск содержимого в файлах – анализ осуществляется на основании настраиваемых regex-выражений, что позволяет задавать в качестве критериев:

  • Наличие слов или словосочетаний в произвольном порядке
  • Корни слов, не обращая внимание на падежи или суффиксы
  • Данные в определённом формате, например номера кредитных карт, телефонов, паспортов, адреса электронной почты
  • Определённое количество данных, например более 10 номеров кредитных карт

А также осуществлять поиск не только по текстовым документам, но и по TIFF-изображениям!

Кроме документов Microsoft Office также можно защищать и любые другие документы. Можно выделить два подхода для защиты неподдерживаемых файлов:

  • Помещать любой файл в RMS-контейнер с помощью Rights Protected Folder Explorer (RPFe)
  • Задействовать партнёрский RMS protector для шифрования определённых типов файлов, например PDF, CAD или изображений

Рассмотрим действия, которые нужно выполнить для автоматизации защиты документов Office, PDF и остальных файлов, содержащих более 30 номеров российских паспортов:

  • Установка ролей сервера, RPFe и PDF protector оставлена за кадром
  • Создать новый классификатор (Classification property) с названием “Перс.Данные” и возможным значением “Номера паспортов”
  • Создать новое правило классификации (Classification rule) на вкладке Classification Management tab в оснастке File Server Resource Management (FSRM)
    • Задать название “Защищать с помощью RMS все файлы с 10+ номерами паспортов”
    • Задать сканируемые папки или наборы файлов во вкладке Scope
    • Выбрать метод классификации “Content classifier” в разделе Classification
    • Выбрать присваиваемый классификатор “Перс.Данные” и отметить значение “Номера паспортов”
    • В дополнительных настройках (кнопка Configure) выбрать тип выражения (Expression Type) “Regular expression”, вставить выражение “\d{4}\s{0,2}\d{6}” в поле Expression field
    • Данный regex позволяет находить номера паспортов в форматах 1234123456, 1234 123456, 1234  123456
    • Установить параметр “minimum number of occurrences” равным 10 для того чтобы правило не срабатывало для документов с менее чем 10 номерами паспортов
  • Создать 3 задания (File Management Task) для документов Office, PDF и остальных файлов соответственно
    • В область действия (Scope) каждого задания будут входить только файлы с соответствующими расширениями и помеченные как “Перс.Данные – Номера паспортов”
    • Для защиты документов Office будет использована стандартная опция “RMS Encryption”
    • Для защиты PDF будет запускаться утилита Foxit RMS protector, подробное руководство в разработке
    • Остальные файлы будут упаковываться в защищённые контейнеры путём передачи параметров в RPFe, подробное руководство
  • Настроить запуск сканирований по расписанию
  • Настроить формат выдачи отчётов и адрес электронной почты получателя для уведомлений о найденных и защищённых конфиденциальных файлах

Описанные в этой статье технологии предоставляют целый ряд возможностей под рабочим названием DLP-lite (Data Leakage Prevention). Суффикс lite не случаен, т.к. некоторые возможности присутствуют только в лучших DLP-системах – определение истинного типа файла по file-header, поиск информации по сложным паттернам (цифровым отпечаткам), в различных кодировках, whitelisting, морфологический анализ, распознавание изображений и т.п.

Хорошие новости – некоторые DLP-вендоры (Symantec, McAfee, Websense, RSA) уже поддерживают AD RMS, интеграция с другими может быть реализована предельно просто благодаря новому AD RMS File API.  В совместных сценариях для обнаружения информации используется движок DLP-решения, а для защиты – AD RMS.

Посетите доклад по классификации данных на TechEd 2012 чтобы узнать ещё больше интересного!

Пост также опубликован в блоге продуктовой группы AD RMS

Comments (0)

Skip to main content