Data Loss Prevention (DLP) with Enterprise Rights Management

Статья
08/22/2016

Материалы о рабочей среде.Предотвращение потери данных с помощью управления полномочиями на уровне компании

Уэс Миллер (Wes Miller)

Cодержание

Размышляя о предотвращении потери данных
Составные части управления полномочиями
Как оно работает?
Где слабые места?
Защищаете ли вы свои активы?

Я работаю в компании, которая занимается разработкой программ для создания списка разрешенных приложений. Это кардинально отличается от типичного подхода к обеспечению защиты компьютера. Существует еще один, возможно, также атипичный, подход к безопасности. О нем и о том, почему он является единственным способом действительно защитить секретную информацию, я хотел бы поговорить в этом месяце.

На конференции RSA, которая проходила в году в Сан-Франциско, я прогуливался по выставочному этажу, сравнивая товары, предлагаемые каждым из поставщиков и, надо сказать, я был поражен. За очень редким исключениям, поставщики, выставившие свои товары, предлагали реагирующие, а не профилактические решения безопасности. Небольшое объяснение. Когда мы строим дом, мы делаем его безопасным, включая замки на дверях и окнах. Если нужно большая безопасность, то устанавливается система сигнализации. Еще большая? Добавим изгородь. Когда мы хотим обезопасить строение, мы не игнорируем замки, сигнализацию и изгородь, наняв вместо этого охранника или двух, для обхода территории. Сами по себе они ничего не защитят.

Дополнительные материалы

Управление полномочиями на доступ к данным в системе 2007 Microsoft Office

office.microsoft.com/en-us/help/HA101029181033.aspx

Управление полномочиями на доступ к данным в Windows SharePoint Services

msdn.microsoft.com/library/ms458245

Службы управления полномочиями Windows 2008

microsoft.com/windowsserver2003/technologies/rightsmgmt

Службы управления полномочиями Windows Server 2003

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

Службы управления полномочиями: Защита активов

blogs.technet.com/rmssupp/default.aspx

Партнеры служб управления полномочиями Windows 2008

microsoft.com/windowsserver2003/partners/rmspartners.mspx

Размышления о предотвращении потери данных

Взглянем на более реалистичный пример. Многие мои клиенты интересовались блокированием портов USB для предотвращения утечек информации из их компании (после устранения потенциальных проблем с входящими потоками). Но реальность состоит в том, что попытки остановить поток данных на самом порте ни от чего не защищают. На самом деле, это ничем не отличается от оставления здания открытым для всех и найма охранника. Конечно, он нормальный парень, – но он физически не может охватить все входы и выходы. В конечном итоге, в обеих сценариях он является неверным средством для нашей задачи.

Проблема блокирования доступа к порту, как и всех прочих решений, пытающихся помочь в проверке или защите общие UNC-папки, или выполнить проверку пакетов с отслеживанием состояния, или любую другую проверку, состоит в их реагирующей природе. Они пытаются уловить данные, когда они оставляют организацию. Но к тому моменту делать что-то обычно уже поздно.

Это напоминает мне о ситуации, которая возникала в корпорации Майкрософт (и, без сомнения, знакома читателям). В эпоху до появления управления полномочиями на доступ к данным (IRM) в Microsoft Office и служб управления полномочиями (RMS) в Windows, вся интересная почта, даже явно помеченная как конфиденциальная, направлялась в печать в конце рабочего дня. Увы, политики, резкие слова, инспекция пакетов, безопасность общих ресурсов и даже угроза прекращения не всесильны. Требуется что-то еще — например, технологии управления полномочиями от корпорации Майкрософт, которые помогут защитить содержимое Office. Я стал сторонником, в первую очередь IRM и RMS, когда они завоевали мое уважение, как решения безопасности, а не просто как технологии аудита, наблюдения и обеспечения соответствия стандартам.

Каковы достоинства IRM/RMS при защите содержимого Office, по сравнению с обычной защитой этого содержимого посредством паролей?

Существуют механизмы полного перебора, которые могут нарушить защиту пароля, используемую документами Office.
Содержимое, защищенное обычными паролями, шифруется не так, как документы, защищенные IRM/RMS.
IRM и RMS работают вместе, чтобы защищать содержимое на самых низких уровнях внутри Windows.
IRM/RMS позволяет защищать содержимое, используя очень детальные элементы управления доступом, назначаемые учетным записям Active Directory.

Но что именно такое IRM и RMS? Эти технологии, впервые поставленные в Microsoft Office 2003, позволяют защищать интеллектуальную собственность, хранящуюся в документах Office, включая электронную почту, читаемую через Microsoft Outlook, Outlook Mobile Access и Outlook Web Access через Internet Explorer, путем шифрования документов и управления доступом к самому содержимому.

Большинство типов документов Office, включая новые документы на основе XML, а также электронную посту, можно шифровать, но файлы .msg (сообщения электронной почты, часто присоединяемые к другим сообщениями) нельзя. (Посетите office.microsoft.com/en-us/help/HA101029181033.aspx чтобы получить полный список файлов, которыми можно управлять с помощью IRM.) Документ не расшифровывается, пока он не открыт пользователем, которому были даны полномочия автором документа.

IRM, по сути, является клиентским уровнем управления полномочиями, предоставляемым через приложение, с поддержкой RMS, а RMS – серверным уровнем. Сервер RMS содержит информацию, используемую для определения полномочий, данных пользователям и проверяет учетные данные этих пользователей. Компонент IRM в приложении с поддержкой RMS позволяет устанавливать эти полномочия и управлять ими. Вместе, IRM и RMS позволяют полномочным пользователям читать документ, изменять его или редактировать его без ограничений (в зависимости от данных полномочий).

Когда полномочный пользователь открывает защищенное IRM содержимое через приложение Office, содержимое дешифруется и делается читаемым, либо редактируемым, внутри этого приложения. Держите в уме, что хотя IRM и RMS работают над обеспечением безопасности информации, у пользователя, который твердо намерен ее нарушить, всегда есть шанс сделать это. Если пользователь решает выбрать «аналоговый путь» (цифровую камеру или другую программу снятия изображения экрана, либо даже воспроизведение ключевой информации ручным набором), IRM немногое может сделать для ее защиты. Но в большинстве ситуаций, оно остается довольно надежной мерой безопасности.

Составные части управления полномочиями

Управление полномочиями Майкрософт состоит из четырех компонентов, которые я освещу подробно. Я также кратко опишу SDK RMS и полезный набор средств RMS Toolkit. Первый из этих компонентов является встроенным; остальные можно загрузить с microsoft.com/windowsserver2003/technologies/rightsmgmt.

Управление полномочиями на доступ к данным Компонент, встроенный в Microsoft Office 2003 и систему 2007 Office (а также в мобильные версии Outlook, Excel, Word и PowerPoint, через Windows Mobile 6x), позволяет пользователям назначать разрешения документам Word, книгам Excel, презентациям PowerPoint, формам InfoPath, сообщениям электронной почты Outlook, и файлам XML Paper Specification (XPS), тем самым позволяя или запрещая получателям этих файлов их перенаправлять, копировать, распечатывать, пересылать по факсу, копировать и вставлять информацию из них и использовать клавишу Print Screen. Разрешения можно устанавливать, отталкиваясь от пользователей или документов.

В среде Active Directory можно также устанавливать разрешения для групп, а если организация использует Microsoft Office SharePoint Server 2007, можно устанавливать разрешения на библиотеках (отметьте, что технически содержимое дешифруется при хранении в SharePoint, затем шифруется повторно при выдаче пользователям). Если не устанавливать их на истечение через определенный срок, разрешения IRM остаются с документов вне зависимости от того, когда или куда он отправлен.

IRM не доступно для версий Office под Apple Macintosh, но для пользователей Mac имеются способы использования защищенного RMS содержимого. Ждите подробностей в следующем выпуске нашей рубрики.

Службы управления полномочиями (сервер) Они доступны для Windows Server 2003 и являются доступной ролью в Windows Server 2008. Сервер RMS является ядром корпоративного управления полномочиями Майкрософт. Он производит сертификацию доверенных сущностей (пользователей, клиентских компьютеров и серверов), определяя и публикуя полномочия и условия использования, записывая серверы и пользователей, давая права на доступ к защищенной информации и предоставляя необходимые административные функции, позволяющие полномочным пользователям получать доступ к защищенной полномочиями информации.

Рис. 1 показывает экран диспетчера серверов, позволяющий установить роль RMS в системе Windows Server 2008. Хотя у RMS имеется порядочно зависимостей, мастер проведет пользователя через весь процесс, устанавливая все зависимости за него.

Рис. 1. Выбор роли сервера служб управления полномочиями (щелкните изображение, чтобы увеличить его)

Роль сервера RMS (на Windows Server 2003 или Windows Server 2008) требует серверной системы с:

Microsoft Message Queue Server (MSMQ)
IIS с включенной ASP.NET
Active Directory
SQL Server Enterprise Edition (для производственных сред) или Microsoft SQL Desktop Engine (MSDE), или SQL Server Express (подходит для тестовых сред)

Как было отмечено, даже если эти компоненты не установлены, они будут настроены в ходе установки Windows Server 2008. Для производственной реализации необходим действительный цифровой сертификат SSL для сервера(ов), чтобы RMS могли поддерживать должную безопасность между клиентами и серверами. Но для тестирования, RMS может предоставить тестовый сертификат, установленный как часть установки роли. Рис. 2 показывает, как выглядит консоль RMS при работе на Windows Server 2008.

Рис. 2. Консоль RMS (щелкните изображение, чтобы увеличить его)

Службы управления полномочиями (клиент) Это позволяет поддерживающим RMS приложениям работать с сервером RMS, чтобы сделать возможными публикацию и потребление защищенного полномочиями содержимого. Клиент встроен в Windows Vista и Windows Server 2008; для предыдущих версий Windows его можно загрузить и установить, чтобы дать этим операционным системам возможности RMS.

В случае расширения собственного корпоративного развертывания, как правило, желательно разворачивать клиент RMS через новые системы, групповую политику или System Center Configuration Manager (SCCM), вместо его ручного развертывания.

Надстройка управления полномочиями для Internet Explorer Для Internet Explorer 6.0 и более поздних версий, она позволяет просматривать защищенное полномочиями содержимое изнутри Internet Explorer.

SDK RMS Позволяет разработчикам создавать собственные приложения, которые могут защищать их собственное содержимое, используя API служб управления полномочиями на основе SOAP.

Набор средств RMS Toolkit Читатели вероятно найдут, как нашел и я, набор средств RMS Toolkit чрезвычайно полезным при развертывании и отладке инфраструктуры RMS. Набор средств содержит ряд удобных программ, помогающих гарантировать, что система RMS работает как надо. Отметьте, что на деле RMS Toolkit не является частью RMS и, в силу этого, не имеет официальной поддержки Майкрософт.

Как оно работает?

При защите документа с помощью RMS, путем щелчка «Защитить документ» под вкладкой рецензирования в Word 2007 или «Защитить книгу» в Excel 2007, необходимо указать учетную запись, которую хотите использовать как автор документа – учетную запись с привилегиями владения документом. В идеале, это должна быть учетная запись Active Directory, хотя RMS позволяет использовать испытательную учетную запись Windows Live – которую может быть нежелательно использовать собственно в рабочей системе.

После проверки подлинности с помощью учетной записи (см. рис. 3), можно указать эту учетную запись или добавить учетные записи на роль владельца. Затем можно быстро указать высокоуровневые полномочия (см. рис. 4) или более детально определить полномочия для пользователей, которым следует выделить разрешения на чтение или изменение защищаемого документа.

Рис. 3 Указание учетной записи, которую следует использовать (щелкните изображение, чтобы увеличить его)

Рис. 4. Установка разрешений (щелкните изображение, чтобы увеличить его)

Теперь документ защищен. Как следствие, пользователям, пытающимся открыть документ, придется предоставлять учетные данные, прежде чем он сможет быть открыт. Вдобавок, будут обеспечены привилегии, определенные владельцем документа.

RMS использует IIS и ASP.NET для проверки подлинности любого пользователя, открывающего документ, чтобы проверить его удостоверение и права на доступ и чтобы передать эту информацию обратно клиенту RMS и инфраструктуре IRM в Office. Основываясь на Active Directory и полномочиях, определенных RMS, конечному пользователю будет дан неограниченный доступ к документу, либо ограниченный доступ, либо никакого.

RMS использует инфраструктуру, полагающуюся на язык XrML для описания полномочий, принадлежащих конечным пользователям защищенного IRM содержимого. По сути эти полномочия содержатся в лицензии XrML, которую можно присоединить к цифровому содержимому и, таким образом, сохранить. Поскольку XrML является стандартом, этот язык также может быть использован другими приложениями, стремящимися защитить содержимое похожим образом. Дополнительную информацию можно найти на xrml.org.

Где слабые места?

Как я упоминал ранее, RMS и IRM не являются неуязвимыми; если злонамеренный «полномочный» пользователь твердо настроен нарушить безопасность защищенного IRM содержимого, то это возможно, хоть и требует некоторых усилий.

Вдобавок, содержимое, потенциально уязвимо для перехвата подрывными вредоносными программами и нестандартными способами работы программ записи экрана. Хотя RMS прилагают усилия для предотвращения записей экрана и неуполномоченного копирования, они не всесильны. Я видел некоторые решения, пытающиеся пойти немного дальше, чем IRM и RMS, защищая дополнительные типы содержимого. Информацию о других поставщиках программного обеспечения, создающих решения на основе RMS, можно увидеть в microsoft.com/windowsserver2003/partners/rmspartners.mspx.

Я полагаю, что корпоративное управление полномочиями является сейчас единственным рациональным способом защиты «не стоящего на месте содержимого» систем. Если изучить типы содержимого, подвергающиеся сейчас наибольшей угрозе (электронные письма, документы Office, и т.д.), то можно заметить, что большую их часть можно легко защитить с помощью IRM и RMS, но этого не делается. Хотя технологии шифрования всего тома, такие как BitLocker в Windows Vista позволяют обеспечить безопасность содержимого, находящегося в определенном месте и, в целом, поддерживать его защиту даже в случае нарушения безопасности системы, они не защищают содержимое в общих ресурсах, на почтовых серверах или на серверах SharePoint.

Поскольку содержимое «на воле» обычно нельзя защитить, развились решения, пытающиеся отслеживать содержимое и устранять его. IRM и RMS были искусно разработаны для подключения к Active Directory, Exchange, Office и Windows – как следствие, они не требуют серьезного обучения, особенно для конечных пользователей, потребляющих содержимое – а предоставляемая ими защита колоссальна. Более подробные сведения о них можно увидеть на врезке «Дополнительные материалы».

Защищаете ли вы свои активы?

Используете ли вы RMS и IRM в своей организации сегодня? Отправляйте мне свои мысли по поводу RMS и IRM – я буду рад услышать от читателей, как и зачем они развернули (или нет) RMS и IRM, как и мнения о том, защищена ли ваша организация от потери данных другими механизмами.

Уэс Миллер (Wes Miller) — старший технический руководитель продуктов в CoreTrace (CoreTrace.com) в Остине, штат Техас. Ранее Уэс работал в компании Winternals Software, а также в корпорации Майкрософт в должности руководителя программы. Связаться с Уэсом Миллером можно по адресу technet@getwired.com.

Cодержание

Дополнительные ресурсы