Алексей Голдбергс Microsoft Россия Александр Чигвинцев RSA IS 301

Права доступа (ACL) Авторизованные пользователи Периметр сети Неавторизованные пользователи Авторизованные пользователи Неавторизованные пользователи Да Утечка информации

ERM DLP ECM

Защита встроена в документы + Шифрование Политики: Права доступа Права использования Контроль доступа к информации на всем жизненном цикле документов Права на доступ к документу следуют за документом Пользователи назначают права доступа непосредственно внутри документа / сообщения Пользователи могут определять кто может просматривать, редактировать, распечатывать и пересылать сообщение Ограничение доступа только авторизованным пользователям Организация может создавать свои шаблоны политик AD RMS

Автор данных Получатель 1.Автор получает сертификаты 2.Автор определяет права доступа к файлу и автоматически создаетЛицензию публикации для файла (файл шифруется) 3.Автор распространяет файл 4.При открытии файла получателем приложение соединяется с RMS сервером, который проверяет полномочия пользователя и выпускает Лицензию использования 5.Приложение при работе с файлом обеспечивает исполнение правил

Запрос RAC 1)Клиент генерирует запрос RAC, включая Machine Certificate и полномочия пользователя 2)Сервер проверяет полномочия пользователя (SID) в Active Directory 3)Сервер генерирует для пользователя пару ключей RSA и RAC 4)Сервер сохраняет копию пары ключей в базе, шифруя своим открытым ключом 5)Сервер шифрует секретный ключ RAC открытым ключом машины 6)Сервер включает открытый ключ RAC в открытом виде 7)Сервер подписывает сертификат и отправляет клиенту Сервер сертификации AD RMS Machine Certificate Rights Account Certificate Открытый ключ машины Открытый ключ RAC Секретный ключ RAC Секретный ключ сервера RMS Lockbox.dll Легенда

Запрос CLC 1)Клиент генерирует запрос Client Licensing Certificate (CLC), включая RAC 2)Сервер лицензирования генерирует новую уникальную пару ключей RSA и Client Licensing Certificate 3)Сервер шифрует секретный ключ CLC на открытом ключе RAC и включает в CLC 4)Сервер включает в CLC открытый ключ CLC в открытом виде 5)Сервер включает в CLC свой открытый ключ в качестве сертификата лицензиата в открытом виде 6)Сервер подписывает сертификат в качестве подчиненного ключа лицензирования и отправляет клиенту Сервер лицензирования AD RMS RAC Client Licensing Certificate Открытый ключ сервера Открытый ключ RAC Открытый ключ CLC Секретный ключ CLC Секретный ключ сервера RMS Lockbox.dll MC Легенда

Содержимое 1)Приложение и RMS-клиент генерируют 128-битный ключ симметричного шифрования AES для шифрования содержимого 2)Содержимое документа шифруется ключом шифрования содержимого 3)Ключ шифрования содержимого шифруется открытым ключом сервера AD RMS, взятым из CLC 4)RMS-клиент создает лицензию публикации, которая включает в себя зашифрованный ключ шифрования содержимого 5)RMS-клиент подписывает лицензию публикации секретным ключом CLC, полученным с помощью секретного ключа RAC Lockbox.dll Сервер AD RMS Открытый ключ сервера RMS Открытый ключ RAC Секретный ключ RAC Открытый ключ CLC Секретный ключ CLC CLC Лицензия публикации RAC Информация о правах доступа.doc Легенда 6)Лицензия публикации и информация о правах доступа включается в документ

1)Приложение извлекает лицензию публикации из защищенного документа 2)Клиент запрашивает у сервера RMS лицензию использования и включает в запрос лицензию публикации и RAC 3)Сервер проверяет RAC и извлекает ключ шифрования содержимого 4)Сервер расшифровывает ключ шифрования содержимого использую свой секретный ключ 5)Сервер генерирует лицензию использования и шифрует ключ шифрования содержимого на открытом ключе RAC Сервер AD RMS Содержимое Лицензия публикации Информация о правах.doc Лицензия публикации RAC Запрос лицензии использования Лицензия использования 5)Сервер помещает ключ шифрования содержимого в лицензию использования 6)Сервер подписывает лицензию использования своим секретным ключом и отправляет клиенту 7)Клиент извлекает секретный ключ RAC используя секретный ключ машины (Lockbox.dll) и извлекает ключ шифрования содержимого 8)Клиент расшифровывает ключ шифрования содержимого и приложение расшифровывает содержимое 9)Приложение включает лицензию использования в документ Лицензия использования Права использования Lockbox.dll

Информация о правах Ключ шифрования содержимого Зашифрован открытым ключом сервера Лицензия публикации Содержимое документа (текст, графика и т.д.) Лицензия использования Ключ шифрования содержимого Права конкретного пользователя Зашифрован открытым ключом пользователя Создается при защите документа Выдается сервером после аутентификации получателя Зашифрован ключом шифрования содержимого (AES 128-бит) Зашифрован открытым ключом сервера Зашифрован открытым ключом пользователя

Пользователь Издатель Отк.ключ Подпись SLC Сервер Издатель Сек.ключ Подпись Отк.ключ CLC Зашифрован на Пара ключей : RSA-1024 Ключ шифрования содержимого: AES-128 SLC: Server Licensor Certificate RAC: Rights Account Certificate CLC: Client Licensor Certificate SPC: Security Processor Certificate PL: Лицензия публикации UL: Лицензия использования Зашифрован на Издатель Подпись Ключ сод. UL Зашифрован на Сертификаты и лицензии AD RMS Машина Издатель Отк.ключ Сек.ключ Подпись SPC Защищено с использованием DPAPI и RSAVault Издатель Сек.ключ Подпись Отк.ключ RAC Издатель Подпись Ключ сод. PL

Web-сервисы Сертификации Публикации Лицензирования Консоль управления Шаблоны политик БД Конфигурация Журналы Службы каталога NLB HSM Web-сервисы СертификацииСертификации ПубликацииПубликации ЛицензированияЛицензирования Log DB Клиенты обращаются к Active Directory Service Connection Point

БД Сервер лицензирования БД БД Кластер лицензирования Кластер сертификации AD RMS

Задание: Политика RMS Классификация FCI

Автор данных Получатель Автор публикует документы на SharePoint Server 2.Получатель запрашивает документы с SharePoint 3.SharePoint защищает файл исходя из разрешений в библиотеке документов 4.SharePoint посылает файл получателю 5.Приложение запрашивает разрешения с AD RMS сервера 6.Приложение представляет файл и применяет разрешения

Сканирование содержимого сообщений (включая вложения) Сканирование содержимого сообщений (включая вложения) Применение шаблонов AD RMS с помощью транспортных правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений) Применение шаблонов AD RMS с помощью транспортных правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений) Сканирование содержимого сообщений (включая вложения) Сканирование содержимого сообщений (включая вложения) Применение шаблонов AD RMS с помощью транспортных правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений) Применение шаблонов AD RMS с помощью транспортных правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений) AD RMS

Поддержка IRM в Outlook Web Access (OWA) Использование окна предварительного просмотра Поддержка Explorer, Firefox и Safari Полнотекстовый поиск Просмотр бесед Поддержка IRM в Windows Mobile Поддержка голосовых сообщений Защита от пересылки неуполномоченным пользователям Настройки защиты Outlook Автоматическое применение шаблонов политик RMS при создании сообщения

Сервер AD RMS Active Directory Сервер БД MOSS 2007/2010 Exchange Server 2007/2010 Мобильные устройства (Windows Mobile 6.x) RMS-клиент Приложения с поддержкой IRM

Партнерство создано для встраивания защитных механизмов в инфраструктуру на основе Содержимого Контекста Личности пользователя Microsoft будет встраивать технологии классификации данных RSA DLP в будущие продукты и платформы защиты данных RSA осуществило интеграцию Microsoft RMS с RSA DLP Suite 6.5 Автоматическое применение политик RMS на основе критичности хранимых данных

Данные кредитных карт Персональные данные Медицинские данные Требования регуляторов Интеллектуальная собственность Финансовая информация Служебная тайна Коммерческая тайна

Конфиденциальные данные Обнаружение Действия пользователей Мониторинг Пользователи Обучение Контроль безопасности Принуждение Политики направленные на защиту конфиденциальных данных ? RISK TIME Выявление Рисков Контроль Рисков

Сеть ЦОД Конечные точки Политики RSA DLP Где искать? Как анализировать? Что делать? Журналы, оповещения Блокировать, разрешить Шифровать Переместить, удалить FingerprintingОписанный контент

Обнаружение Мониторинг Тренинг Блокировка RSA DLP Network RSA DLP Datacenter RSA DLP Endpoint ПочтаWeb Файловые серверы ПК в сети RSA DLP Enterprise Manager SharePoint БД Мобильный ПК

Государственные или организационные регламенты, стандарты и лучшие практики Content blades – содержат описания (шаблоны) конфиденциальных документов DLP политики включают Content blades, определяют какие модули DLP задействовать и устанавливают ответные действия на нарушения Не конфиденциальные данные Конфиденциальные данные Политики Content blades

Expert Content Blades Редактируемые Content Blades

Метод Content Description позволяет точно описывать контекст используя регулярные выражения, словари, логические операторы, весовые коэффициенты, загружаемы модули анализа содержимого (entities) и т.п.

Компиляция в байт-код и получение загружаемого модуля Entity Manager позволяет загружать и управлятьpluggable entities Pluggable entities подключаются к content blades и используются в политиках DLP Скрипт на Lua

Цифровой отпечаток определенного файла или содержимого (например, абзац) Бинарное представление файла или контента используется для вычисления хеш- суммы Любые изменения исходных данных отражаются в вычисленных хеш- суммах

От файлов автоматически берутся fingerprints с помощью т.н. Crawler – отдельных процессов Crawler могут работать по расписанию для запуска в часы низкой загрузки Crawler читает файлы, создает хеши и отсылает результаты в Enterprise Manager Хеши становятся содержимым правила (Content Blade) Для поиска информации используются все имеющиеся хеши в активных правилах

Весь файл Единый хеш Хеш Образ диска (.ISO) Фото/видео (.JPG,.AVI и т.д.) Хеш Top Secret

kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 360 символьный пример Хеш 1,Хеш 2, Хеш 3 и т.д. Из текста в 360 символов подсчитывается 61 хеш 300 символьный блок

Исходный документ Новый документ Копирование и вставка

Отправка по – заблокируется Network Печать – заблокируется Endpoint Нарушение политики – обнаружится и устранится с помощью Datacenter DLP обнаруживает часть документа }

Концепция та же – Crawler сканируют и хешируют ячейки в СУБД Администратор указывает: От каких колонок брать Fingerprint Данные из каких колонок должны быть для срабатывания политики Поддерживаемые БД: Oracle 10i & 11g SQLServer 2005 & 2008 Также может обрабатывать XLS, CSV или TSV файлы

Пример Fingerprinting баз данных: ФамилияИмя паспортаДолжностьДата приема ИвановИван Инженер ПетровПетр Администратор ВасильевВасилий Инженер АндреевАндрей Начальник Считаем хеши от этих ячеек Игнорируем эти ячейки

Механизмы защиты сторонних вендоров DLP EndpointDLP DatacenterDLP Network Обнаружение критичных данных в местах хранения Защита конфиденциальных данных Мониторинг всего трафика в поисках критичных данных Защита критичных данных, отправляемых в сеть Обнаружение данных и мониторинг действий пользователей Защита данных при их использовании Политики Инциденты Cтатистика и отчетностьАдм-ие системы и пользователей Обработка инцидентов Управление на основе политик RSA DLP Enterprise Manager

Серверы и рабочие станции БД и хранилища Каталоги Windows Каталоги Unix NAS / SAN Windows 2000, 2003 Windows XP, Vista SharePoint Documentum Microsoft Access Oracle, MS SQL Content Mgmt systems Устранение Удаление Перемещение Карантин Уведомления eDRM 300+ типов файлов Microsoft Office PDF PST Zip ОбнаружениеОбнаружение АнализАнализУстранениеУстранение Сканирование хранилищ информации для измерения и снижения риска

Одно из возможных действий на обнаруженные инциденты – наложение политик ADRMS

Enterprise Manager Центральный сервер управления Enterprise Coordinator Контролирует все компоненты DLP Suite Рассылает политики и собирает инциденты Site Coordinator Получает от EC политик, отсылает инциденты и статусы агентов Сокращает требования к каналам Grid Worker Агент сетевого сканирования Стационарный агент сканированияВременный агент сканирования

1.Enterprise Manager отправляет задание сканирования на Enterprise Coordinator. 2.Enterprise Coordinator пересылает запрос на соответствующий Site Coordinator на локальном или удаленном сайте. 3.Site Coordinator устанавливает или подключается к агентам на «Grid workers» или на целевых системах. 4.Site Coordinator распределяет задания сканирования между агентами. 5.Агенты сканируют содержимое целевых систем. 6.Site Coordinator собирает с агентов результаты сканирования. 7.Enterprise Coordinator собирает результаты с Site Coordinator. 8.Enterprise Manager собирает результаты с Enterprise Coordinator, размещает их с базе данных и отображает пользователю

Автоматическое распределение агентов Автоматическая балансировка Динамическое масштабирование Скорость сканирования: 4 GB/час/CPU

Печать и запись Копирование и сохранение Локальные принтеры Сетевые принтеры Запись на CD / DVD Копирование на сетевые ресурсы Копирование на внешние носители Сохранение на внешние носители Действия и котроль Разрешить Подтвердить Запретить Журналирование USB Внешние жесткие диски Карты памяти Сменные носители Переносные устройства МониторингМониторинг АнализАнализУстранениеУстранение

Enterprise Manager - Endpoint Group Configuration Противодействие удалению и остановки агента Можно присвоить любое произвольное имя сервису агента Произвольное имя – «маскировка» агента в системе

Watchdog : RSA DLP Process Monitor Endpoint Agent and Watchdog Watchdog Service Endpoint Service Два процесса контролируют друг друга и при необходимости перезапускаются

Web-трафик SMTP Exchange, Lotus и др. Web-почта Текст и вложения FTP HTTP HTTPS TCP/IP Устранение Аудит Запрет передачи Шифрование Журналирование Мгновенные сообщения Yahoo IM MSN Messenger AOL Messenger МониторингМониторинг АнализАнализУстранениеУстранение

Пользователи HTTP, HTTPS, FTP, IM Почтовый сервер SMTP Outbound Relay HTTPS SSH Сеть управления SPAN TAP Интеллектуальная маршрутизация Администратор Веб-прокси Сервер шифрования

1. Администратор RMS создает шаблону для защиты данных 2. Администратор RSA DLP разрабатывает политики поиска ценной информации и ее защиты с помощью RMS 3. Модуль RSA DLP ищет и классифицирует файлы с ценной и конфиденциальной информацией, находящейся на рабочих местах и в ЦОД 4. Модуль RSA DLP применяет политики RMS на основе заданной политики RSA DLP Microsoft AD RMS Разработчики Специалисты по маркетингу Прочие Просмотр, редактирование, печать Просмотр Доступ закрыт Политики RMS для интеллектуальной собственности RSA DLP Найти заявки на патенты Применить RMS для интеллектуальной собственности Политика DLP для патентов 5. Пользователи обращаются к файлам; RMS обеспечивает доступ на основе заданной политики Разработчики Специалисты по маркетингу Прочие Ноутбуки, настольные ПК Сервер SharePointФайловый сервер

ERM/DLP не существует «в вакууме» Одной технологии недостаточно для построения целостной системы защиты конфиденциальных данных предотвратить утечку – лишь одна из задач Выбирайте не точечное решение, а продукт являющийся частью большей системы Это позволит защитить инвестиции в будущем и снизить полную стоимость владения

5412/16/ K+ ПК и устройств 2300 Бизнес-систем и приложений Самая большая закрытая беспроводная сеть Самая большая кабельная сеть Самая большая закрытая беспроводная сеть Самая большая кабельная сеть 140K+ пользователей 98 стран 550 офисов 1/3 с подключением только к Internet 140K+ пользователей 98 стран 550 офисов 1/3 с подключением только к Internet 6M+ внутренних сообщений в день 20M+ сообщений из Internet в день 97% из них «спам» 6M+ внутренних сообщений в день 20M+ сообщений из Internet в день 97% из них «спам» 9.5M+ VPN- подключений в месяц 85K Outlook / IM пользователей в Internet 9.5M+ VPN- подключений в месяц 85K Outlook / IM пользователей в Internet 120,000 Сайтов SharePoint 15 TB данных 2,000 общих ресурсов 120 TB данных 120,000 Сайтов SharePoint 15 TB данных 2,000 общих ресурсов 120 TB данных

Microsoft должна защищать следующую информацию Финансовые данные (не публичные) Данные о клиентах Интеллектуальная собственной Персональные данные Microsoft должна следовать локальным и международным законам и регулятивным нормам. Таким как GLBA SOX HIPAA Директивы Европейского Союза 152-ФЗ «О персональных данных» 55

Дополнительные сессии по теме PS 107 PS 107: Разворачиваем Office 2010 и настраиваем защищенный обмен документами за один день (17/11, 18:00- 19:00, Желтый конгресс-зал) DC 202 DC 202: Построение систем защищенного взаимодействия (18/11, 16:00-17:00, Синий Конгресс-зал) Блоги

Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя. Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: % Доказательство 75 сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение 57 % Доказательство 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности

Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

IS 301 Алексей Голдбергс Эксперт по технологиям ИБ, Microsoft Александр Чигвинцев Менеджер по рабоче с ключевыми клиентами, RSA Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада