全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
DLP產品實測:McAfee Data Loss Prevention
文/李宗翰 (記者) 2013-09-23
針對網路端防護,可分別建置負責不同功能的實體或虛擬Appliance


如同其他McAfee企業級應用產品,McAfee DLP全部元件均可整合在集中管理平臺ePO,而且方式不只一種。你可以在ePO嵌入NDLP管理元件之後,設定與DLP Manager的通訊,就能在ePO同時管理HDLP和NDLP;或是在DLP Manager設定加入ePO,即可取得設定HDLP政策與事件檢視的能力。

●建議售價:Total Protection for Data Loss Prevention Appliance Software套件,1U為4800~7500元,11U起算(懇懋科技提供)
●原廠:McAfee (02) 2757-6677
●網址:www.mcafee.com
●代理商:懇懋科技(02)2748-0099
●伺服器作業系統需求:微軟Windows Server 2003/2008/2012
●伺服器硬體需求:Intel Pentium 4 2.8 GHz處理器、1GB記憶體、80GB磁碟空間
●用戶端作業系統需求:微軟Windows XP/Vista/7/8 , Windows Server 2003/2008/2008 R2/2012

就市面提供DLP產品的廠商來說,McAfee在相當早期就投入發展,如今相關的產品線和提供的功能相當齊全,能夠涵蓋端點與網路端的資料外洩行為監視與控管,尤其在網路端防護上,用戶可在自身環境下,獨立建置多臺實體或虛擬的Appliance,以分別針對DLP監控、阻擋、探查、管理等用途。

除了具有多種搭配模式的特色,McAfee DLP和其他DLP產品一樣,皆可透過關鍵字和正規表示式的定義,來偵測端點和網路存取的資料內容,是否包含特定的機敏資料,隨後能將這些資料加以分類,然後可專門針對這些類型的資料,設定套用保護或探索的原則。

上述的資料控管作法屬於內容分類的應用模式,McAfee的另一個特色是,可搭配標記技術(Tagging),將特定的標記嵌入檔案,這功能在一般DLP產品中較為罕見,市面上同樣實作類似概念的產品,只有Verdasys Digital Guardian。

提供多種DLP應用的軟硬體產品,均可整合在單一管理架構
2006年併購Onigma公司之後,該公司推出了軟體Host Data Loss Prevention(HDLP,現在稱為DLP Endpoint),2008年併購Reconnex公司之後,他們續推Network DLP(NDLP)系列的硬體設備Prevent、Monitor、Discover、Manager(現在全部統一納入DLP系列,不再使用Network DLP這個名稱),而且毫無意外地,它們都整合到McAfee一貫搭配的集中管理平臺ePolicy Orchestrator(ePO)。

在這樣的架構下,McAfee將它們各自對應到不同的資料處理狀態。

若資料處於使用中(data-in-use),DLP Endpoint針對的是使用者Windows個人電腦環境,提供設備管制、資料洩漏行為的監控、發現與攔阻。當資料處於存放中(data-at-rest),則是由DLP Discover來執行資料的盤點、分類與指紋檔製作。

若資料處於傳輸中(data-in-motion)的狀態,McAfee提供的是DLP Monitor和DLP Prevent,針對的對象主要是網路傳輸過程中發生的資料洩漏行為,前者可提供涵蓋各種通訊協定的偵測機制,不論是否觸犯保護規則,相關事件都會保留,以便事後完整分析,後者則是專門負責對於電子郵件、網頁(HTTP/HTTPS)、即時通訊(IM)與檔案傳輸(FTP),提供自動阻擋的功能。

至於DLP Manager,可以集中管理上述5種DLP產品的設定與政策,並提供角色分權、事件管理、報表等功能。

一般而言,DLP Prevent、DLP Monitor、DLP Discover、DLP Manager的配置都是硬體設備,固定搭配McAfee DLP 4400這一款2U尺寸的特製伺服器,裡面採用雙路Xeon 5660、24GB記憶體與12臺1TB容量SATA硬碟,而McAfee出貨時直接提供整合軟體的硬體Appliance選擇,而且如果後續需要擴充建置多臺Appliance,軟體使用授權不另外計價,只需要採購硬體設備即可,這種作法也是有別於其他家DLP的地方。

搭配特有的標記技術
除此之外,DLP Endpoint對於機敏資料的識別,不單是一般常見的內容分類,還支援獨特的檔案標記技術。

系統會將標記資訊存放在每一個受保護檔案的延伸屬性(extended file attributes,EA),或是備用的資料流(Alternate Data Streams,ADS,NTFS檔案系統對於特定檔案所包含的中繼資料),之後這些額外附加的資訊都會持續跟隨檔案。如此一來,上了標記的檔案,不論如何透過何種方式變造,DLP Endpoint就可以藉此持續追蹤敏感資料的轉換,而且維持其分類。對於其他單純透過特徵或內容比對的DLP產品而言,這是無法達到的效果,一旦檔案的Hash值改變,可能後續就無法追蹤。

例如我們對於一個已上了McAfee DLP標記的文件檔,就算將裡面的某些段落複製到其他檔案中,然後將這個檔案透過電子郵件以附件形式寄出,這一封電子郵件本身也將套用和原本文件檔同樣的標記。

針對檔案的來源控管,無論是從檔案伺服器複製出去、應用程式產生或既有檔案內容裡面有管制的關鍵字,DLP Endpoint可以強制套用標記規則。對於多種變更檔案形式的手法,像是檔名異動、格式轉換、壓縮、加密,DLP Endpoint也都可以協助維護一致的標記資訊。

而檔案傳輸在其他管道時,像是電子郵件、網頁上傳、列印或轉存至外接儲存裝置,這套DLP產品也仍然能夠針對這些內容上的標記,繼續強制施行保護規則。

若用戶儲存資料所在磁碟區的檔案系統不支援EA或ADS,DLP Endpoint會將原本打算標記在檔案的資訊,以中繼檔案(meta-file)的形式儲存在磁碟上,而且這些中繼檔都會放在一個名為ODB$的隱藏資料夾。

要設定標記功能,需透過專屬的規則來進行,而DLP Endpoint的標記規則在應用上,可分為應用程式和位置等兩種類型,前者是依照建立檔案的應用程式、檔案的類型或副檔名,作為標記的條件,後者則是根據檔案原本存放的位置來判定,一旦使用者電腦存取符合條件的檔案,就會用標記。

看起來,標記與內容分類似乎是截然不同的資料處理方式,不過在DLP Endpoint的應用環境下,這兩種規則可以彼此結合運用,而且在執行資料探索(Discover)的過程中,也可以同時針對發現到的機敏資料直接套用標記。

此外,上述內容分類所包含的註冊文件功能(Registered Documents),就是McAfee DLP使用的位置型標記的延伸,而且由於它會針對整個資料夾的內容加以分類與識別指紋,因此可以偵測資料夾當中的所有檔案,若單靠位置型標記的作用,就無法偵測到套用標記之前就存在的其他文件。對於重複存在各個存放位置的機敏資料,註冊文件只需做一次分類,但位置型標記就必須全部都套用。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome