'

Алексей Голдбергс Microsoft Россия Александр Чигвинцев RSA IS 301.

Понравилась презентация – покажи это...





Слайд 0


Слайд 1

Защита и контроль доступа к информации Алексей Голдбергс Microsoft Россия Александр Чигвинцев RSA IS 301


Слайд 2

Права доступа (ACL) Авторизованные пользователи Периметр сети Неавторизованные пользователи Авторизованные пользователи Неавторизованные пользователи Да Утечка информации Проблема утечки информации


Слайд 3


Слайд 4

Защита и контроль доступа к информации Решение Много названий… Digital Rights Management (DRM) Enterprise Digital Rights Management (e-DRM) Information Rights Management (IRM) Enterprise Rights Management (ERM) Суть одна… Предотвращение несанкционированного доступа к конфиденциальной информации посредством: Назначения политик использования Шифрования


Слайд 5

Защита встроена в документы + AD Rights Management Services (AD RMS) Контроль доступа к информации на всем жизненном цикле документов Права на доступ к документу следуют за документом Пользователи назначают права доступа непосредственно внутри документа / сообщения Пользователи могут определять кто может просматривать, редактировать, распечатывать и пересылать сообщение Ограничение доступа только авторизованным пользователям Организация может создавать свои шаблоны политик AD RMS


Слайд 6

Автор получает сертификаты Автор определяет права доступа к файлу и автоматически создает “Лицензию публикации” для файла (файл шифруется) Автор распространяет файл При открытии файла получателем приложение соединяется с RMS сервером, который проверяет полномочия пользователя и выпускает “Лицензию использования” Приложение при работе с файлом обеспечивает исполнение правил 1 4 3 5 2 Принцип работы


Слайд 7


Слайд 8

Сертификация пользователей Клиент генерирует запрос RAC, включая Machine Certificate и полномочия пользователя Сервер проверяет полномочия пользователя (SID) в Active Directory Сервер генерирует для пользователя пару ключей RSA и RAC Сервер сохраняет копию пары ключей в базе, шифруя своим открытым ключом Сервер шифрует секретный ключ RAC открытым ключом машины Сервер включает открытый ключ RAC в открытом виде Сервер подписывает сертификат и отправляет клиенту Сервер сертификации AD RMS Machine Certificate Rights Account Certificate Открытый ключ машины Открытый ключ RAC Секретный ключ RAC Секретный ключ сервера RMS Легенда


Слайд 9

Сертификация пользователей Клиент генерирует запрос Client Licensing Certificate (CLC), включая RAC Сервер лицензирования генерирует новую уникальную пару ключей RSA и Client Licensing Certificate Сервер шифрует секретный ключ CLC на открытом ключе RAC и включает в CLC Сервер включает в CLC открытый ключ CLC в открытом виде Сервер включает в CLC свой открытый ключ в качестве сертификата лицензиата в открытом виде Сервер подписывает сертификат в качестве подчиненного ключа лицензирования и отправляет клиенту Сервер лицензирования AD RMS RAC Client Licensing Certificate Открытый ключ сервера Открытый ключ RAC Открытый ключ CLC Секретный ключ CLC Секретный ключ сервера RMS Легенда


Слайд 10

Защита документа Содержимое Приложение и RMS-клиент генерируют 128-битный ключ симметричного шифрования AES для шифрования содержимого Содержимое документа шифруется ключом шифрования содержимого Ключ шифрования содержимого шифруется открытым ключом сервера AD RMS, взятым из CLC RMS-клиент создает лицензию публикации, которая включает в себя зашифрованный ключ шифрования содержимого RMS-клиент подписывает лицензию публикации секретным ключом CLC, полученным с помощью секретного ключа RAC Сервер AD RMS Открытый ключ сервера RMS Открытый ключ RAC Секретный ключ RAC Открытый ключ CLC Секретный ключ CLC CLC Лицензия публикации RAC .doc Легенда Лицензия публикации и информация о правах доступа включается в документ


Слайд 11

Доступ к защищенному документу Приложение извлекает лицензию публикации из защищенного документа Клиент запрашивает у сервера RMS лицензию использования и включает в запрос лицензию публикации и RAC Сервер проверяет RAC и извлекает ключ шифрования содержимого Сервер расшифровывает ключ шифрования содержимого использую свой секретный ключ Сервер генерирует лицензию использования и шифрует ключ шифрования содержимого на открытом ключе RAC Сервер AD RMS Содержимое .doc Лицензия публикации RAC Лицензия использования Сервер помещает ключ шифрования содержимого в лицензию использования Сервер подписывает лицензию использования своим секретным ключом и отправляет клиенту Клиент извлекает секретный ключ RAC используя секретный ключ машины (Lockbox.dll) и извлекает ключ шифрования содержимого Клиент расшифровывает ключ шифрования содержимого и приложение расшифровывает содержимое Приложение включает лицензию использования в документ


Слайд 12

Структура защищенного документа Информация о правах Ключ шифрования содержимого Зашифрован открытым ключом сервера Лицензия публикации Содержимое документа (текст, графика и т.д.) Лицензия использования Ключ шифрования содержимого Права конкретного пользователя Зашифрован открытым ключом пользователя Создается при защите документа Выдается сервером после аутентификации получателя Зашифрован ключом шифрования содержимого (AES 128-бит) Зашифрован открытым ключом сервера Зашифрован открытым ключом пользователя


Слайд 13

Элементы AD RMS Пара ключей : RSA-1024 Ключ шифрования содержимого: AES-128 SLC: Server Licensor Certificate RAC: Rights Account Certificate CLC: Client Licensor Certificate SPC: Security Processor Certificate PL: Лицензия публикации UL: Лицензия использования Сертификаты и лицензии AD RMS


Слайд 14

Компоненты сервера AD RMS Web-сервисы Сертификации Публикации Лицензирования Консоль управления Шаблоны политик БД Конфигурация Журналы Службы каталога Кластер AD RMS NLB HSM Web-сервисы Сертификации Публикации Лицензирования Log DB Клиенты обращаются к Active Directory Service Connection Point


Слайд 15

Архитектура AD RMS Кластер сертификации AD RMS


Слайд 16

File Classification Infrastructure


Слайд 17

5 3 6 Автор публикует документы на SharePoint Server Получатель запрашивает документы с SharePoint SharePoint защищает файл исходя из разрешений в библиотеке документов SharePoint посылает файл получателю Приложение запрашивает разрешения с AD RMS сервера Приложение представляет файл и применяет разрешения Интеграция с SharePoint Server 1 2 4


Слайд 18

Сканирование содержимого сообщений (включая вложения) Применение шаблонов AD RMS с помощью транспортных правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений) Интеграция с Exchange Server 2010 Автоматическая защита сообщений


Слайд 19

Интеграция с Exchange Server 2010 Поддержка IRM в Outlook Web Access (OWA) Использование окна предварительного просмотра Поддержка Explorer, Firefox и Safari Полнотекстовый поиск Просмотр бесед Поддержка IRM в Windows Mobile Поддержка голосовых сообщений Защита от пересылки неуполномоченным пользователям Настройки защиты Outlook Автоматическое применение шаблонов политик RMS при создании сообщения


Слайд 20

RMS-клиент Приложения с поддержкой IRM Компоненты инфраструктуры AD RMS


Слайд 21

Партнерство Microsoft и RSA Партнерство создано для встраивания защитных механизмов в инфраструктуру на основе Содержимого Контекста Личности пользователя Microsoft будет встраивать технологии классификации данных RSA DLP в будущие продукты и платформы защиты данных RSA осуществило интеграцию Microsoft RMS с RSA DLP Suite 6.5 Автоматическое применение политик RMS на основе критичности хранимых данных


Слайд 22

Данные кредитных карт Персональные данные Медицинские данные Что такое «конфиденциальные данные»? Требования регуляторов Интеллектуальная собственность Финансовая информация Служебная тайна Коммерческая тайна


Слайд 23

Конфиденциальные данные Методология RSA DLP Обнаружение Действия пользователей Мониторинг Пользователи Обучение Контроль безопасности Принуждение Политики направленные на защиту конфиденциальных данных ? RISK TIME Выявление Рисков Контроль Рисков


Слайд 24

Сеть ЦОД Конечные точки Политики RSA DLP Где искать? Как анализировать? Что делать? Журналы, оповещения Блокировать, разрешить Шифровать Переместить, удалить Fingerprinting Описанный контент RSA DLP – анализ данных на основе политик


Слайд 25

RSA DLP закрывает всю инфраструктуру Обнаружение Мониторинг Тренинг Блокировка ? RSA DLP Network RSA DLP Datacenter RSA DLP Endpoint ? ? ? Почта Web Файловые серверы ПК в сети ? ? ? ? ? ? ? ? RSA DLP Enterprise Manager ? ? ? ? ? ? ? ? ? ? ? ? SharePoint БД ? ? ? ? Мобильный ПК


Слайд 26

RSA DLP Enterprise Manager Удобное и наглядное представление данных


Слайд 27

Что такое политики DLP? Государственные или организационные регламенты, стандарты и лучшие практики Content blades – содержат описания (шаблоны) конфиденциальных документов DLP политики включают Content blades, определяют какие модули DLP задействовать и устанавливают ответные действия на нарушения Не конфиденциальные данные Конфиденциальные данные Политики Content blades


Слайд 28

Content Blades Expert Content Blades Редактируемые Content Blades


Слайд 29

Обнаружение и анализ информации Метод Content Description позволяет точно описывать контекст используя регулярные выражения, словари, логические операторы, весовые коэффициенты, загружаемы модули анализа содержимого (entities) и т.п.


Слайд 30

Загружаемы модули анализа содержимого (Pluggable Entities) Компиляция в байт-код и получение загружаемого модуля Entity Manager позволяет загружать и управлять “pluggable entities” “Pluggable entities” подключаются к content blades и используются в политиках DLP Скрипт на Lua


Слайд 31

Что такое Fingerprint? Цифровой “отпечаток” определенного файла или содержимого (например, абзац) Бинарное представление файла или контента используется для вычисления хеш-суммы Любые изменения исходных данных отражаются в вычисленных хеш-суммах


Слайд 32

Как работает Fingerprinting в DLP? От файлов автоматически берутся fingerprints с помощью т.н. Crawler – отдельных процессов Crawler могут работать по расписанию для запуска в часы низкой загрузки Crawler читает файлы, создает хеши и отсылает результаты в Enterprise Manager Хеши становятся содержимым правила (Content Blade) Для поиска информации используются все имеющиеся хеши в активных правилах


Слайд 33

Fingerprinting со всего файла Fingerprinting бинарных файлов Весь файл Единый хеш Хеш Образ диска (.ISO) Фото/видео (.JPG, .AVI и т.д.) Хеш Top Secret


Слайд 34

Частичный Fingerprinting Как работает частичный Fingerprinting kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 360 символьный пример Хеш 1, Хеш 2, Хеш 3 и т.д. Из текста в 360 символов подсчитывается 61 хеш


Слайд 35

Поиск текста по частичным совпадениям Пример хеширования частей текста Исходный документ Новый документ Копирование и вставка


Слайд 36

Поиск текста по частичным совпадениям Пример хеширования частей текста Отправка по Email – заблокируется Network Печать – заблокируется Endpoint Нарушение политики – обнаружится и устранится с помощью Datacenter DLP обнаруживает часть документа }


Слайд 37

Fingerprinting баз данных Концепция та же – Crawler сканируют и хешируют ячейки в СУБД Администратор указывает: От каких колонок брать Fingerprint Данные из каких колонок должны быть для срабатывания политики Поддерживаемые БД: Oracle 10i & 11g SQLServer 2005 & 2008 Также может обрабатывать XLS, CSV или TSV файлы


Слайд 38

Fingerprinting баз данных Пример Fingerprinting баз данных: Считаем хеши от этих ячеек Игнорируем эти ячейки


Слайд 39

DLP Endpoint DLP Datacenter DLP Network Обнаружение критичных данных в местах хранения Защита конфиденциальных данных Мониторинг всего трафика в поисках критичных данных Защита критичных данных, отправляемых в сеть Обнаружение данных и мониторинг действий пользователей Защита данных при их использовании Политики Инциденты RSA DLP Enterprise Manager Введение в RSA DLP Suite


Слайд 40

Серверы и рабочие станции БД и хранилища Каталоги Windows Каталоги Unix NAS / SAN Windows 2000, 2003 Windows XP, Vista SharePoint Documentum Microsoft Access Oracle, MS SQL Content Mgmt systems Устранение Удаление Перемещение Карантин Уведомления eDRM 300+ типов файлов Microsoft Office PDF PST Zip Обнаружение Анализ Устранение Сканирование хранилищ информации для измерения и снижения риска RSA DLP Datacenter


Слайд 41

Автоматическая отработка нарушений Одно из возможных действий на обнаруженные инциденты – наложение политик ADRMS


Слайд 42

Компоненты DLP Datacenter/Endpoint Discovery Enterprise Manager Центральный сервер управления Enterprise Coordinator Контролирует все компоненты DLP Suite Рассылает политики и собирает инциденты Site Coordinator Получает от EC политик, отсылает инциденты и статусы агентов Сокращает требования к каналам Grid Worker Агент сетевого сканирования Стационарный агент сканирования Временный агент сканирования


Слайд 43

Сканирование данных агентами Datacenter/Endpoint Discovery Enterprise Manager отправляет задание сканирования на Enterprise Coordinator. Enterprise Coordinator пересылает запрос на соответствующий Site Coordinator на локальном или удаленном сайте. Site Coordinator устанавливает или подключается к агентам на «Grid workers» или на целевых системах. Site Coordinator распределяет задания сканирования между агентами. Агенты сканируют содержимое целевых систем. Site Coordinator собирает с агентов результаты сканирования. Enterprise Coordinator собирает результаты с Site Coordinator. Enterprise Manager собирает результаты с Enterprise Coordinator, размещает их с базе данных и отображает пользователю. 5 1 8 7 2 3 4 6


Слайд 44

Технология Grid Скорость сканирования: 4 GB/час/CPU


Слайд 45

Печать и запись Копирование и сохранение Локальные принтеры Сетевые принтеры Запись на CD / DVD Копирование на сетевые ресурсы Копирование на внешние носители Сохранение на внешние носители Действия и котроль Разрешить Подтвердить Запретить Журналирование USB Внешние жесткие диски Карты памяти Сменные носители Переносные устройства Мониторинг Анализ Устранение RSA DLP EndPoint


Слайд 46

Endpoint – защита от удаления из системы Enterprise Manager - Endpoint Group Configuration Противодействие удалению и остановки агента Можно присвоить любое произвольное имя сервису агента Произвольное имя – «маскировка» агента в системе


Слайд 47

Endpoint – защита от удаления из памяти Watchdog : RSA DLP Process Monitor Endpoint Agent and Watchdog Watchdog Service Endpoint Service Два процесса контролируют друг друга и при необходимости перезапускаются


Слайд 48

E-mail Web-трафик SMTP email Exchange, Lotus и др. Web-почта Текст и вложения FTP HTTP HTTPS TCP/IP Устранение Аудит Запрет передачи Шифрование Журналирование Мгновенные сообщения Yahoo IM MSN Messenger AOL Messenger Мониторинг Анализ Устранение RSA DLP Network


Слайд 49

Пример внедрения DLP Network Пользователи HTTP, HTTPS, FTP, IM Почтовый сервер SMTP SMTP Outbound Relay HTTPS SSH Сеть управления SPAN TAP Интеллектуальная маршрутизация Администратор Веб-прокси Сервер шифрования CONTROLLER


Слайд 50

Типовой сценарий работы 1. Администратор RMS создает шаблону для защиты данных 2. Администратор RSA DLP разрабатывает политики поиска ценной информации и ее защиты с помощью RMS 3. Модуль RSA DLP ищет и классифицирует файлы с ценной и конфиденциальной информацией, находящейся на рабочих местах и в ЦОД 4. Модуль RSA DLP применяет политики RMS на основе заданной политики RSA DLP Microsoft AD RMS Найти заявки на патенты Применить RMS для интеллектуальной собственности Политика DLP для патентов 5. Пользователи обращаются к файлам; RMS обеспечивает доступ на основе заданной политики Разработчики Специалисты по маркетингу Прочие


Слайд 51

Выводы ERM/DLP не существует «в вакууме» Одной технологии недостаточно для построения целостной системы защиты конфиденциальных данных предотвратить утечку – лишь одна из задач Выбирайте не точечное решение, а продукт являющийся частью большей системы Это позволит защитить инвестиции в будущем и снизить полную стоимость владения


Слайд 52

Аналоговые атаки


Слайд 53

54 3/17/2015 ?600K+ ПК и устройств ?2300 Бизнес-систем и приложений Самая большая закрытая беспроводная сеть Самая большая кабельная сеть 140K+ пользователей 98 стран 550 офисов 1/3 с подключением только к Internet 6M+ внутренних сообщений в день 20M+ сообщений из Internet в день 97% из них «спам» 9.5M+ VPN-подключений в месяц 85K Outlook / IM пользователей в Internet Dublin Singapore SVC Redmond 120,000 Сайтов SharePoint 15 TB данных 2,000 общих ресурсов 120 TB данных Инфраструктура Microsoft


Слайд 54

Требования к защите информации Microsoft должна защищать следующую информацию Финансовые данные (не публичные) Данные о клиентах Интеллектуальная собственной Персональные данные Microsoft должна следовать локальным и международным законам и регулятивным нормам. Таким как GLBA SOX HIPAA Директивы Европейского Союза 152-ФЗ «О персональных данных» 55


Слайд 55

Архитектура


Слайд 56

Ресурсы Дополнительные сессии по теме PS 107: Разворачиваем Office 2010 и настраиваем защищенный обмен документами за один день (17/11, 18:00-19:00, Желтый конгресс-зал) DC 202: Построение систем защищенного взаимодействия (18/11, 16:00-17:00, Синий Конгресс-зал) Блоги http://blogs.technet.com/securityrus http://rsa.com


Слайд 57

Официальные курсы и сертификация Microsoft Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . Microsoft предлагает гибкую систему сертификаций. Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning


Слайд 58

Специальные предложения Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!


Слайд 59

Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!


Слайд 60

Вопросы IS 301 Алексей Голдбергс Эксперт по технологиям ИБ, Microsoft http://blogs.technet.com/securityrus Александр Чигвинцев Менеджер по рабоче с ключевыми клиентами, RSA Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада


Слайд 61


×

HTML:





Ссылка: