Алексей Голдбергс Microsoft Россия Александр Чигвинцев RSA IS 301. презентация

Содержание

Защита и контроль доступа к информации Алексей Голдбергс Microsoft Россия Александр Чигвинцев RSA IS 301

Слайд 2Защита и контроль доступа к информации
Алексей Голдбергс
Microsoft Россия
Александр Чигвинцев
RSA

IS 301

Слайд 3
Права доступа (ACL)
Авторизованные пользователи
Периметр сети
Неавторизованные пользователи
Авторизованные пользователи
Неавторизованные пользователи
Да
Утечка информации
Проблема утечки информации

Слайд 5Защита и контроль доступа к информации Решение
Много названий…
Digital Rights Management (DRM)
Enterprise Digital

Rights Management (e-DRM)
Information Rights Management (IRM)
Enterprise Rights Management (ERM)
Суть одна…
Предотвращение несанкционированного доступа к конфиденциальной информации посредством:
Назначения политик использования
Шифрования

Слайд 6Защита встроена в документы
+
AD Rights Management Services (AD RMS)
Контроль доступа к

информации на всем жизненном цикле документов
Права на доступ к документу следуют за документом
Пользователи назначают права доступа непосредственно внутри документа / сообщения
Пользователи могут определять кто может просматривать, редактировать, распечатывать и пересылать сообщение
Ограничение доступа только авторизованным пользователям
Организация может создавать свои шаблоны политик AD RMS

Слайд 7
Автор получает сертификаты
Автор определяет права доступа к файлу и автоматически создает

“Лицензию публикации” для файла (файл шифруется)
Автор распространяет файл
При открытии файла получателем приложение соединяется с RMS сервером, который проверяет полномочия пользователя и выпускает “Лицензию использования”
Приложение при работе с файлом обеспечивает исполнение правил

1

4

3

5

2

Принцип работы

Слайд 9Сертификация пользователей
Клиент генерирует запрос RAC, включая Machine Certificate и полномочия пользователя
Сервер

проверяет полномочия пользователя (SID) в Active Directory
Сервер генерирует для пользователя пару ключей RSA и RAC
Сервер сохраняет копию пары ключей в базе, шифруя своим открытым ключом
Сервер шифрует секретный ключ RAC открытым ключом машины
Сервер включает открытый ключ RAC в открытом виде
Сервер подписывает сертификат и отправляет клиенту

Сервер сертификации AD RMS

Machine Certificate

Rights Account Certificate

Открытый ключ машины
Открытый ключ RAC
Секретный ключ RAC
Секретный ключ сервера RMS

Легенда

Слайд 10Сертификация пользователей
Клиент генерирует запрос Client Licensing Certificate (CLC), включая RAC
Сервер лицензирования

генерирует новую уникальную пару ключей RSA и Client Licensing Certificate
Сервер шифрует секретный ключ CLC на открытом ключе RAC и включает в CLC
Сервер включает в CLC открытый ключ CLC в открытом виде
Сервер включает в CLC свой открытый ключ в качестве сертификата лицензиата в открытом виде
Сервер подписывает сертификат в качестве подчиненного ключа лицензирования и отправляет клиенту

Сервер лицензирования AD RMS

RAC

Client Licensing Certificate

Открытый ключ сервера

Открытый ключ RAC
Открытый ключ CLC
Секретный ключ CLC
Секретный ключ сервера RMS

Легенда

Слайд 11Защита документа


Содержимое
Приложение и RMS-клиент генерируют 128-битный ключ симметричного шифрования AES для

шифрования содержимого
Содержимое документа шифруется ключом шифрования содержимого
Ключ шифрования содержимого шифруется открытым ключом сервера AD RMS, взятым из CLC
RMS-клиент создает лицензию публикации, которая включает в себя зашифрованный ключ шифрования содержимого
RMS-клиент подписывает лицензию публикации секретным ключом CLC, полученным с помощью секретного ключа RAC

Сервер
AD RMS

Открытый ключ сервера RMS
Открытый ключ RAC
Секретный ключ RAC
Открытый ключ CLC
Секретный ключ CLC

CLC

Лицензия публикации

RAC

.doc

Легенда

Лицензия публикации и информация о правах доступа включается в документ

Слайд 12Доступ к защищенному документу
Приложение извлекает лицензию публикации из защищенного документа
Клиент запрашивает

у сервера RMS лицензию использования и включает в запрос лицензию публикации и RAC
Сервер проверяет RAC и извлекает ключ шифрования содержимого
Сервер расшифровывает ключ шифрования содержимого использую свой секретный ключ
Сервер генерирует лицензию использования и шифрует ключ шифрования содержимого на открытом ключе RAC

Сервер
AD RMS



Содержимое

.doc

Лицензия публикации

RAC

Лицензия использования

Сервер помещает ключ шифрования содержимого в лицензию использования
Сервер подписывает лицензию использования своим секретным ключом и отправляет клиенту
Клиент извлекает секретный ключ RAC используя секретный ключ машины (Lockbox.dll) и извлекает ключ шифрования содержимого
Клиент расшифровывает ключ шифрования содержимого и приложение расшифровывает содержимое
Приложение включает лицензию использования в документ

Слайд 13Структура защищенного документа





Информация
о правах
Ключ
шифрования
содержимого
Зашифрован открытым ключом сервера
Лицензия публикации
Содержимое документа
(текст, графика и

т.д.)

Лицензия использования

Ключ
шифрования
содержимого

Права
конкретного
пользователя

Зашифрован открытым ключом пользователя

Создается при защите документа

Выдается сервером после аутентификации получателя

Зашифрован ключом шифрования содержимого (AES 128-бит)

Зашифрован открытым ключом сервера

Зашифрован открытым ключом пользователя

Слайд 14Элементы AD RMS
Пара ключей : RSA-1024
Ключ шифрования содержимого: AES-128
SLC: Server Licensor

Certificate
RAC: Rights Account Certificate
CLC: Client Licensor Certificate
SPC: Security Processor Certificate
PL: Лицензия публикации
UL: Лицензия использования

Сертификаты и лицензии AD RMS

Слайд 15Компоненты сервера AD RMS
Web-сервисы
Сертификации
Публикации
Лицензирования
Консоль управления
Шаблоны политик
БД
Конфигурация
Журналы
Службы каталога

Кластер AD RMS
NLB
HSM
Web-сервисы
Сертификации
Публикации
Лицензирования

Log DB
Клиенты обращаются

к
Active Directory
Service Connection Point

Слайд 16Архитектура AD RMS
Кластер сертификации AD RMS

Слайд 17File Classification Infrastructure

Слайд 18
5
3
6
Автор публикует документы на SharePoint Server
Получатель запрашивает документы с SharePoint
SharePoint

защищает файл исходя из разрешений в библиотеке документов
SharePoint посылает файл получателю
Приложение запрашивает разрешения с AD RMS сервера
Приложение представляет файл и применяет разрешения

Интеграция с SharePoint Server

1

2

4

Слайд 19Сканирование содержимого сообщений (включая вложения)
Применение шаблонов AD RMS с помощью транспортных

правил Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений)

Интеграция с Exchange Server 2010 Автоматическая защита сообщений


Слайд 20Интеграция с Exchange Server 2010
Поддержка IRM в Outlook Web Access (OWA)
Использование

окна предварительного просмотра
Поддержка Explorer, Firefox и Safari
Полнотекстовый поиск
Просмотр бесед

Поддержка IRM в Windows Mobile

Поддержка голосовых сообщений
Защита от пересылки неуполномоченным пользователям

Настройки защиты Outlook
Автоматическое применение шаблонов политик RMS при создании сообщения

Слайд 21RMS-клиент
Приложения с поддержкой IRM
Компоненты инфраструктуры AD RMS

Слайд 22Партнерство Microsoft и RSA
Партнерство создано для встраивания защитных механизмов в инфраструктуру

на основе
Содержимого
Контекста
Личности пользователя
Microsoft будет встраивать технологии классификации данных RSA DLP в будущие продукты и платформы защиты данных
RSA осуществило интеграцию Microsoft RMS с RSA DLP Suite 6.5
Автоматическое применение политик RMS на основе критичности хранимых данных

Слайд 23Данные кредитных карт
Персональные данные
Медицинские данные
Что такое «конфиденциальные данные»?
Требования регуляторов
Интеллектуальная собственность
Финансовая информация
Служебная

тайна

Коммерческая тайна


Слайд 24




Конфиденциальные данные

Методология RSA DLP
Обнаружение
Действия пользователей
Мониторинг
Пользователи
Обучение
Контроль безопасности
Принуждение
Политики направленные

на защиту конфиденциальных данных

?

RISK

TIME

Выявление Рисков

Контроль Рисков

Слайд 25Сеть
ЦОД
Конечные точки
Политики
RSA DLP
Где искать?
Как анализировать?
Что делать?
Журналы, оповещения
Блокировать, разрешить
Шифровать
Переместить, удалить
Fingerprinting
Описанный контент
RSA

DLP – анализ данных на основе политик

Слайд 26


RSA DLP закрывает всю инфраструктуру



Обнаружение
Мониторинг
Тренинг
Блокировка

RSA DLP Network
RSA DLP Datacenter
RSA DLP Endpoint



Почта
Web
Файловые

серверы

ПК в сети









RSA DLP Enterprise Manager













SharePoint

БД





Мобильный
ПК

Слайд 27RSA DLP Enterprise Manager Удобное и наглядное представление данных

Слайд 28Что такое политики DLP?
Государственные или организационные регламенты, стандарты и лучшие практики

Content

blades – содержат описания (шаблоны) конфиденциальных документов

DLP политики включают Content blades, определяют какие модули DLP задействовать и устанавливают ответные действия на нарушения

Не конфиденциальные данные

Конфиденциальные данные

Политики

Content
blades

Слайд 29Content Blades
Expert Content Blades
Редактируемые Content Blades

Слайд 30Обнаружение и анализ информации
Метод Content Description позволяет точно описывать контекст используя

регулярные выражения, словари, логические операторы, весовые коэффициенты, загружаемы модули анализа содержимого (entities) и т.п.

Слайд 31Загружаемы модули анализа содержимого (Pluggable Entities)



Компиляция в байт-код и получение загружаемого

модуля

Entity Manager позволяет загружать и управлять “pluggable entities”

“Pluggable entities” подключаются к content blades и используются в политиках DLP

Скрипт на Lua



Слайд 32Что такое Fingerprint?
Цифровой “отпечаток” определенного файла или содержимого (например, абзац)
Бинарное представление

файла или контента используется для вычисления хеш-суммы

Любые изменения исходных данных отражаются в вычисленных хеш-суммах

Слайд 33Как работает Fingerprinting в DLP?
От файлов автоматически берутся fingerprints с помощью

т.н. Crawler – отдельных процессов
Crawler могут работать по расписанию для запуска в часы низкой загрузки
Crawler читает файлы, создает хеши и отсылает результаты в Enterprise Manager
Хеши становятся содержимым правила (Content Blade)
Для поиска информации используются все имеющиеся хеши в активных правилах

Слайд 34Fingerprinting со всего файла Fingerprinting бинарных файлов

Весь файл

Единый хеш

Хеш

Образ диска (.ISO)

Фото/видео
(.JPG, .AVI и т.д.)

Хеш

Top Secret

Слайд 35Частичный Fingerprinting Как работает частичный Fingerprinting

kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
360 символьный пример
Хеш 1,
Хеш 2,
Хеш

3 и т.д.

Из текста в 360 символов подсчитывается 61 хеш

Слайд 36

Поиск текста по частичным совпадениям Пример хеширования частей текста

Исходный документ

Новый документ

Копирование и вставка

Слайд 37Поиск текста по частичным совпадениям Пример хеширования частей текста

Отправка по Email –

заблокируется Network
Печать – заблокируется Endpoint
Нарушение политики – обнаружится и устранится с помощью Datacenter

DLP обнаруживает часть документа

}

Слайд 38Fingerprinting баз данных
Концепция та же – Crawler сканируют и хешируют ячейки

в СУБД
Администратор указывает:
От каких колонок брать Fingerprint
Данные из каких колонок должны быть для срабатывания политики
Поддерживаемые БД:
Oracle 10i & 11g
SQLServer 2005 & 2008
Также может обрабатывать XLS, CSV или TSV файлы

Слайд 39



Fingerprinting баз данных

Пример Fingerprinting баз данных:



Считаем хеши от этих ячеек Игнорируем эти ячейки

Слайд 40
DLP Endpoint


DLP Datacenter

DLP Network
Обнаружение критичных данных в местах хранения
Защита конфиденциальных данных


Мониторинг всего трафика в поисках критичных данных

Защита критичных данных, отправляемых в сеть

Обнаружение данных и мониторинг действий пользователей

Защита данных при их использовании

Политики

Инциденты




RSA DLP Enterprise Manager

Введение в RSA DLP Suite

Слайд 41

Серверы и рабочие станции
БД и хранилища
Каталоги Windows
Каталоги Unix
NAS

/ SAN
Windows 2000, 2003
Windows XP, Vista

SharePoint
Documentum
Microsoft Access
Oracle, MS SQL
Content Mgmt systems

Устранение

Удаление
Перемещение
Карантин
Уведомления
eDRM

300+ типов файлов

Microsoft Office
PDF
PST
Zip

Обнаружение

Анализ

Устранение

Сканирование хранилищ информации для измерения и снижения риска

RSA DLP Datacenter

Слайд 42Автоматическая отработка нарушений

Одно из возможных действий на обнаруженные инциденты –


наложение политик ADRMS

Слайд 43Компоненты DLP Datacenter/Endpoint Discovery
Enterprise Manager
Центральный сервер управления
Enterprise Coordinator
Контролирует все компоненты DLP

Suite
Рассылает политики и собирает инциденты
Site Coordinator
Получает от EC политик, отсылает инциденты и статусы агентов
Сокращает требования к каналам
Grid Worker
Агент сетевого сканирования

Стационарный агент сканирования

Временный агент сканирования

Слайд 44Сканирование данных агентами Datacenter/Endpoint Discovery
Enterprise Manager отправляет задание сканирования на Enterprise

Coordinator.
Enterprise Coordinator пересылает запрос на соответствующий Site Coordinator на локальном или удаленном сайте.
Site Coordinator устанавливает или подключается к агентам на «Grid workers» или на целевых системах.
Site Coordinator распределяет задания сканирования между агентами.
Агенты сканируют содержимое целевых систем.
Site Coordinator собирает с агентов результаты сканирования.
Enterprise Coordinator собирает результаты с Site Coordinator.
Enterprise Manager собирает результаты с Enterprise Coordinator, размещает их с базе данных и отображает пользователю.


5

1

8

7

2

3

4

6

Слайд 45Технология Grid
Скорость сканирования: 4 GB/час/CPU

Слайд 46Печать и запись
Копирование и сохранение
Локальные принтеры
Сетевые принтеры
Запись на

CD / DVD

Копирование на сетевые ресурсы
Копирование на внешние носители
Сохранение на внешние носители

Действия и котроль

Разрешить
Подтвердить
Запретить
Журналирование

USB

Внешние жесткие диски
Карты памяти
Сменные носители
Переносные устройства

Мониторинг

Анализ

Устранение

RSA DLP EndPoint

Слайд 47Endpoint – защита от удаления из системы
Enterprise Manager - Endpoint Group

Configuration
Противодействие удалению и остановки агента
Можно присвоить любое произвольное имя сервису агента



Произвольное имя – «маскировка» агента в системе

Слайд 48Endpoint – защита от удаления из памяти
Watchdog : RSA DLP Process

Monitor
Endpoint Agent and Watchdog










Watchdog Service

Endpoint Service

Два процесса контролируют друг друга и при необходимости перезапускаются











Слайд 49E-mail
Web-трафик
SMTP email
Exchange, Lotus и др.
Web-почта
Текст и вложения

FTP
HTTP
HTTPS
TCP/IP

Устранение

Аудит
Запрет передачи
Шифрование
Журналирование

Мгновенные сообщения

Yahoo IM
MSN Messenger
AOL Messenger

Мониторинг

Анализ

Устранение


RSA DLP Network

Слайд 50Пример внедрения DLP Network
Пользователи
HTTP, HTTPS, FTP, IM
Почтовый
сервер
SMTP
SMTP
Outbound
Relay
HTTPS
SSH
Сеть управления
SPAN
TAP
Интеллектуальная
маршрутизация
Администратор
Веб-прокси
Сервер
шифрования
CONTROLLER

Слайд 51Типовой сценарий работы
1. Администратор RMS создает шаблону для защиты данных
2. Администратор

RSA DLP разрабатывает политики поиска ценной информации и ее защиты с помощью RMS

3. Модуль RSA DLP ищет и классифицирует файлы с ценной и конфиденциальной информацией, находящейся на рабочих местах и в ЦОД

4. Модуль RSA DLP применяет политики RMS на основе заданной политики RSA DLP

Microsoft AD RMS


Найти заявки на патенты

Применить RMS для интеллектуальной собственности

Политика DLP для патентов

5. Пользователи обращаются к файлам; RMS обеспечивает доступ на основе заданной политики

Разработчики

Специалисты по маркетингу

Прочие

Слайд 52Выводы
ERM/DLP не существует «в вакууме»
Одной технологии недостаточно для построения целостной системы

защиты конфиденциальных данных
предотвратить утечку – лишь одна из задач
Выбирайте не точечное решение, а продукт являющийся частью большей системы
Это позволит защитить инвестиции в будущем и снизить полную стоимость владения

Слайд 53Аналоговые атаки

Слайд 5411/17/2010
≈600K+ ПК и устройств
≈2300 Бизнес-систем и приложений
Самая большая закрытая

беспроводная сеть
Самая большая кабельная сеть


140K+ пользователей
98 стран
550 офисов
1/3 с подключением только к Internet

6M+ внутренних сообщений в день
20M+ сообщений из Internet в день
97% из них «спам»

9.5M+ VPN-подключений в месяц
85K Outlook / IM пользователей в Internet

Dublin

Singapore

SVC





Redmond

120,000 Сайтов SharePoint
15 TB данных
2,000 общих ресурсов
120 TB данных

Инфраструктура Microsoft

Слайд 55Требования к защите информации
Microsoft должна защищать следующую информацию
Финансовые данные (не публичные)
Данные

о клиентах
Интеллектуальная собственной
Персональные данные
Microsoft должна следовать локальным и международным законам и регулятивным нормам. Таким как
GLBA
SOX
HIPAA
Директивы Европейского Союза
152-ФЗ «О персональных данных»

Слайд 56Архитектура

Слайд 57Ресурсы
Дополнительные сессии по теме
PS 107: Разворачиваем Office 2010 и настраиваем

защищенный обмен документами за один день (17/11, 18:00-19:00, Желтый конгресс-зал)
DC 202: Построение систем защищенного взаимодействия (18/11, 16:00-17:00, Синий Конгресс-зал)
Блоги
http://blogs.technet.com/securityrus
http://rsa.com

Слайд 58Официальные курсы и сертификация Microsoft
Более 300 официальных курсов Microsoft доступно в

России.
Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoft
интенсивное обучение с акцентом на практику
более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .
Microsoft предлагает гибкую систему сертификаций.





Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning

Слайд 59Специальные предложения

Сертификационный пакет со вторым шансом
Пакеты экзаменационных ваучеров со скидкой от

15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.

Сэкономьте 15% на сертификации вашей ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.

Microsoft Certified Career Conference
Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.
Сессии по технологиям и построению карьеры
Скидка 50% для сертифицированных специалистов Microsoft и студентов

Бесплатная подписка на TechNet для слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008

Детали: www.microsoft.com/rus/learning

С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

Слайд 60Обратная связь
Ваше мнение очень важно для нас. Пожалуйста, оцените доклад,

заполните анкету и сдайте ее при выходе из зала

Спасибо!

Слайд 61Вопросы
IS 301
Алексей Голдбергс
Эксперт по технологиям ИБ, Microsoft
http://blogs.technet.com/securityrus
Александр Чигвинцев
Менеджер по рабоче

с ключевыми клиентами, RSA
Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада

Похожие презентации

Тест по математике 1 класс Табличное сложение и вычитание в пределах 20 314
www.tcmc.spb.ru 274
Шаблон презентации 253
Быстрое создание электронной презентаций 336
Элементы языка QBasic 280
Шаблон презентации Школьный 743

Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.

Для правообладателей

Яндекс.Метрика