iThome

這次我們一共測試了4家廠商所送測的DLP產品,其中,McAfee的Data Loss Prevention 3.0和趨勢的LeakProof 5.0都是主機型產品,至於Websense的Data Security Suite 7.1及Symantec的Data Loss Prevention 9.0則是具備代理程式及閘道器等2種元件,因此這兩款產品同時能以主機型及網路型的DLP架構部署於內部,或者是只使用其中一種配置。

兩種架構雙管齊下是未來趨勢

網路型DLP的好處在於,可以在不需要更動內部原有環境的前提下設置產品,同時由於它是採過濾流量的方式控管機密資料的外洩,因此只要是可以連接網路的任何裝置都必須接受管理,至於缺點則是無法控管機密資料在內部的流動狀況、不提供離線保護的功能,欲即時封鎖機密資料透過網路傳輸時,大多必須再整合第3方的閘道器產品,無法靠產品本身來完成。

主機型產品則剛好相反,由於是採代理程式的方式安裝在使用者的個人端電腦,因此可以和欲監控的平臺達到最緊密的整合,你可以透過代理程式封鎖機密資料的傳輸,同時可以搜尋個人端電腦上是否有需要控管的機密資料存在,不過此一類型產品的保護對象以Windows平臺的個人端電腦為主,無法管理異質平臺的主機,同時,由於是在個人端電腦上安裝軟體做管理,因此需留意代理程式與現有應用程式間的相容性問題,此外,在DLP搜尋電腦內部是否有機密資料時,會佔用到較多的系統資源。

最好的辦法,就是在內部同時部署2種不同類型的DLP產品。像Websense和Symantec兩家公司的產品早期是網路型DLP,不過後來為了因應用戶端的實際需求,因此便開始提供代理程式的元件。另外,在資安廠商中,McAfee是很早就有提供2種不同架構產品的業者,不過他們的做法和前者較為不同,兩者是各自獨立的產品,不過網路型設備可以透過自家的ePO平臺收集及產出報表訊息。

至於趨勢則是針對閘道器的部分加以努力,他們目前已經將DLP的模組移植到了現有的Threat Discovery Appliance(TDA)病毒防護設備,利用前款產品和DLP閘道器同樣採鏡射方式部署的特型,使其具備過濾機密資料的能力,據了解,產品目前已經在幾個企業內部的實際環境做測試,正式產品很快會推出。

針對部署架構差異,提供適當的元件做因應

部署架構是導入DLP時需要考慮到的一個重點,尤其是企業的架構龐大,甚至於需要針對多個據點來做管理。

以Symantec的DLP 9.0來說,這套產品在網路型的DLP方面,提供了多種不同的閘道器元件,用戶可以將閘道器部署在遠端據點內部,同時由於遠端設備本身也同時具備一份指紋特徵資料庫,因此檢查資料內容時,不需要一直和管理伺服器之間連線,可減少DLP傳送資料時,對於頻寬所造成的消耗,及管理伺服器的效能負荷。

基於相同目的,趨勢LeakProof隨著新版5.0產品的推出,也加入了一些新功能來做因應,他們的Remote Crawler技術,可以在本地分析完範本資料的內容特徵後,再將做好的指紋特徵檔傳送回遠端的管理伺服器,在DLP的建置初期,這樣的功能相當好用。

 

 我們如何測試DLP 

在iThome的測試環境,我們實際部署了Windows AD、SQL Server及檔案伺服器各一臺,以及數臺加入網域環境的Windows XP個人端電腦,模擬企業應用的真實環境來驗證DLP產品的功能。

在檔案伺服器上,我們準備了約4.5GB大小的檔案做為範本,讓各家的DLP產品製作指紋特徵,最後透過我們設定好一些的傳輸路徑測試DLP產品的防護能力。

我們在個人端電腦上安裝了MSN、Skype等2種即時通訊軟體,並且在政策上開放這類應用;除此之外,允許電腦透過HTTP、HTTPS閱覽網頁及收取郵件,本地端也開放使用Outlook離線收取郵件;其他不必要的服務,則假設透過閘道端的防火牆設備來阻擋。

此外,在個人端電腦上,我們也透過各家送測的DLP產品,設定了USB儲存裝置的白名單功能。

另外,我們也部署了一臺SQL Server,其中存放了測試用身分證字號及信用卡卡號等個資,模擬使用者透過內部系統偷取大量個資的洩密行為,了解DLP如何針對這些個資提供防護。

 

 建置經驗談──某製造業公司 

 郵件稽核等防護與DLP同時採用 

製造業公司B採網路型架構來建置Websense的Data Security Suite,在DRM與周邊控管的保護基礎下,增強資料的保護。

總部位於臺灣,從事製造業,在其他地方也設有據點的B公司(對方同樣不願具名),為了防止內部的技術資料不被外洩,因此在今年購買了Websense的Data Security Suite(DSS) 7.0,採網路型DLP的架構,以鏡射方式,部署在臺灣2個據點的網路出口,檢查流量當中是否含有機密資料。

目前他們一共部署了2臺DLP的閘道器,及1臺管理伺服器。對於他們來說,被界定為機密資料的檔案,主要是微軟的Office文件、設計圖,及圖檔等3種。

利用多種產品,提供多層次的資料防護

在此以前,其實B公司已經導入DRM及周邊控管等2種類型的防護產品,前者在功能上,雖然可以防止其他使用者不當存取檔案,但是對於擁有完整讀寫權限的人來說,可說是防不勝防,至於後者則是僅能封鎖一部分的資料傳輸管道,他們覺得購買DLP還是有必要性。

資訊部門表示,DLP的測試時間,前後為2個多月,在他們公司內部,前述幾種的機密資料主要都是放在檔案伺服器上,因此,也是從中抽取一些檔案做為範本,供DLP分析,製作出PreciseID指紋特徵。

PreciseID的防護對象以內含文字內容的Office文件為主,至於設計圖及圖檔等2類型的檔案,則是透過格式辨識的方式加以控管。

依各部門需求產生報表

相較於先前版本,他們所購買的DSS 7.0在架構上已有提供代理程式的元件,因此也具備主機型DLP的功能,不過在內部其他單位的要求下,他們目前先以網路型產品的方式部署DLP。

在設定上,對於DSS能夠支援的網路流量類型,他們選擇全部開啟,雖然他們內部也裝有郵件稽核的設備,不過由於員工的郵件寄出後,會先經過稽核設備,最後才會到達網路出口的閘道器,不會因為企業部署DLP而影響到原來的網路架構。

在報表的管理方面,目前他們的做法是由各部門主管要求閱覽報表時才會產出,至於當洩密事件發生時,DLP會先寄發郵件告知資訊部門,再由資訊部門轉告該單位的主管處理。

案例資訊

某製造業公司

● 員工人數:全球共10,000人以上

● 使用的DLP產品:Websense Data Security Suite 7.0 

● 使用現況:目前已部署2臺DLP的閘道器,及1臺管理伺服器,對於DSS能夠支援的網路流量類型,他們選擇全部開啟。

 

【相關報導請參考「資料外洩防護產品採購大特輯」】


熱門新聞

Advertisement