数据泄漏预防(DLP)是由一些遵从性机制所要求的,例如PCI DSS和HIPAA,但是其他的网络也可能发现它有助力例如防止学生作弊。
- 数据泄漏预防(DLP)
- DLP过滤器
- DLP指纹
- DLP存档
- 最佳实践
通过展示DLP提供的能力以及何时使用它,您将能够决定在您的网络中实现DLP的最合适的方法。
传统的防火墙和第一代UTM的设计是为了防止攻击和骚扰进入你的网络。Web过滤只应用于传入的流量。尽管 这是将其应用于两个方向的最佳实践,但许多人只对传入的流量应用反病毒和电子邮件过滤。
DLP阻止特定数据的流出。
离开您的网络的流量如何影响安全性?
同事们经常在你的网络中共享敏感文件。敏感信息也在服务器之间共享,这些服务器协同工作来承载单个应用 程序。但是,如果像金融信息这样的敏感数据公之于众,它可能会产生严重的影响。股票价格、银行交易、隐 私和密码安全都可能受到损害。
DLP有助于确保您的网络遵循您的实际组织所要求的规则,并且不提供重要的信息。
FortiGate扫描与您的防火墙策略相匹配的流量,寻找您指定的DLP模式。
当您配置一个模式时,无论是预定义的还是自定义的,DLP不会直接检查流量。相反,它将模式与代理或IPS 引擎的进程通信,后者进行扫描。因此,当您进行故障排除时,您可能需要通过您没有手动启用的模块来调查 流量流。
如果扫描找到匹配,则执行过滤器的相应动作。在这张幻灯片上的例子中,前两个过滤器与文件不匹配,但是 第三个过滤器完成了,所以FortiGate执行了它的操作。
- 区分用于消息筛选类型的文件的过滤器类型
- 为文件和消息配置DLP过滤器
通过展示知道何时使用DLP以及如何配置DLP过滤器的能力,您将能够在您的网络中执行DLP。
首先,您需要修改GUI菜单设置来显示DLP(默认情况下隐藏)。您可以在Feature Visibility 页面上这样做。 然后,转到Security Profiles下的DLP子菜单,创建一个DLP传感器。在里面,添加一个过滤器。
在每个过滤器中,您将指定:
- 匹配标准
- 扫描哪些协议
- 当流量匹配时,FortiGate适用的行为
注意:DLP只在代理模式虚拟域(VDOM)中可用
在Examine the Following Services 部分时,选择应该扫描哪些网络协议。与其他安全特性一样,安全协议 不在可以被扫描的网络服务列表中。但是,如果您启用了SSL/SSH Inspection (特别是深度检查), FortiGate将扫描您选择的每一个协议及其安全的等效项。例如,如果您选择HTTP的复选框,那么它将扫描 HTTP和HTTPS。更多关于深度检查的信息可以在证书操作课程中找到。
注意:FortiOS的载体模型也检查MMS服务(MM1、MM3、MM4和MM7)。
默认设置仅为Log Only。如果您不确定要选择哪一个动作,那么默认设置可能是有用的。当您研究您的网络时, 请使用这个动作来查看哪些敏感信息正在被传输。稍后,您可以调整您的传感器,并选择最合适的操作来阻止 来自WAN的敏感文件。
Messages会扫描文字、信用卡号码或其他直接嵌入协议的基于文本的模式,而不是作为文件。有两个预配置 的消息过滤器可用:Credit Card 和SSN。
如果预定义的DLP模式与您所寻找的完全不匹配,您可以使用Regular Expression 选项来配置您自己的定制 模式。使用PCRE语法。带有复杂表达式的支持表达式和性能总是因正则表达式引擎而变化。因此,如果您正 在寻找参考资料,请特别关注PCRE,而不是其他的,比如类似命名的Perl语言。
File更改了适合于文件的可用选项,如文件大小、指纹和水印。
Details选项卡提供关于源、目的地、动作等的更多信息。Security选项卡提供了额外的信息,如过滤器类型、 过滤器类别和DLP过滤器索引。
文件名称模式是直观的。如果文件名是完全匹配的,或者匹配指定的模式,则FortiGate执行指定的动作。
如果一个重要的文件名可以有变化,(用户经常试图通过将文件重命名为无害的名称来逃避DLP),那么您应 该使用模式进行匹配,而不是使用确切的文件名。配置FortiGate以匹配所有预定的文件名,但没有意外的文件 名。例如,浏览器通常会重命名重复文件名的下载,以防止意外地覆盖现有的不同的、但相同命名的文件。例 如,他们会在文件扩展之前添加(2)。同样,Windows重新命名文件的副本,以便它们从副本开始。所以你 应该使用一个名称模式,比如nice.jpg,而不是确切的文件名,nicepainting.jpg。
这张幻灯片上的例子显示了哪个过滤器会匹配文件名,哪些过滤器不会。
但是,如果文件名与任何模式不匹配怎么办?如果文件名完全不同,那么一个广泛的模式会导致误报呢?例如, 如果我们想要阻止所有可执行文件,而不考虑名称或平台该怎样?
文件类型匹配的行为正如您所期望的那样。FortiGate不能通过扩展来识别文件类型(例如,.doc)。这是因为 用户可以通过重命名扩展来绕过DLP。相反,FortiGate通过扫描匹配的二进制模式来识别文件类型;也就是说, 文件类型如何在特定的区域中存储数据,具体的模式是1和0。然而,为了使用这种精确的技术,FortiGate必须 有一个相应的解码器来理解二进制数据来源。没有一个解码器,FortiGate不能破译1和0的字符串,因此不能识 别文件类型。
File Types 列表包含一个预定义的文件类型列表,您可以从中选择。
File Name Patterns 是一个字段,您必须创建并输入您想要应用的定制模式。最初,这个列表将是空的。你在 Search 文本框中输入想要的模式,然后点击green plus (+) 将其添加到列表中。在将其添加到列表之后,您 可以选择该模式将其添加到过滤器中。在将其添加到模式列表之后,它将保留在那里供将来使用,并且可以使 用搜索字段进行Search。
当你在File Types 下拉列表中进行选择时,DLP会扫描你选择的文件类型的文件内容,而不管文件名称或扩展 名。即使该文件被重新命名为不同的扩展名,DLP也会检测到它。
当你在File Name Patterns 字段中输入一个值之后,DLP会扫描文件的名称,寻找与你指定的值相匹配的文件。
通过展示知道何时使用以及如何配置DLP指纹识别的能力,您将能够更好地控制允许离开您的网络的文件类型。
FortiGate可以使用一个叫做文档指纹的基于内容的过滤器。文档指纹识别使用一个或多个循环冗余校验(CRC) 校验和来标识特定的文件。您可以一次将这个基于内容的过滤器应用到许多文件中,包括大文件。
文档指纹的准确性有多高?DLP会计算和存储多少校验和?
文件本身并不存储在FortiGate中,只有块的校验和。更小的块意味着将为每个文件计算更多的校验和,而DLP 将更准确地进行指纹识别。也就是说,即使有人在一些地方修改了文件,指纹识别仍然能够识别它,因为其他 块的校验和仍然是匹配的。代价是更多的校验和需要更多的存储空间。因此,您必须决定性能和准确性之间的 最佳平衡。
注意:文档指纹特性需要一个带有内部存储的FortiGate。
敏感性水平有两个影响:
- 它出现在日志文件中。
- 当您在DLP传感器中配置每个过滤器时,您将通过指定敏感级别来选择文件过滤器将使用哪个指纹。所有具有敏感性水平的指纹都将被包含在该过滤器中。
使用CLI,您可以配置FortiGate,以便在每天、每周或每月的基础上连接到文件共享。每次它连接时, FortiGate可以自动为共享的所有文件重新创建校验和,或者保留旧的指纹(以防旧版本的文件仍在流通)。
通过文件共享进行指纹识别,您可以添加许多文件,并为每次添加或更改更新的指纹。在配置时,选择哪一种 敏感级别FortiGate会用来标记这些指纹。
在DLP传感器中,在CLI上启用了指纹识别功能(配置),这允许您选择敏感度级别。当您在CLI的DLP传感器 上配置了一个过滤器,通过设置过滤器-指纹,File Finger Print 下拉列表出现在GUI上。在文件手指打印下拉 列表中,你可以根据他们的敏感级别标签,选择一个默认的敏感级别——Critical、Private、Warning—或者 根据他们的敏感程度标签,选择你自己的自定义指纹组。
DLP将扫描和检查这些规则(过滤器),用于指纹匹配,从上到下。由于DLP将文件校验和存储在块中,它检 测到指纹文件已经从原始文件中更改,并在DLP传感器中定义了动作。
诊断测试应用DLPfingerprint CLI命令提供了许多选项来查看统计信息、转储所有块,或者刷新所有VDOM 中的所有文档源。
这张幻灯片上的例子展示了一个带有几个过滤器的DLP传感器。每个过滤器搜索不同类型的敏感信息的流量, 比如信用卡号或指纹。如果流量与过滤器匹配,则FortiGate将应用该过滤器的动作。
请记住,DLP过滤器是按顺序从上到下对匹配进行评估的。FortiGate使用第一个匹配过滤器。例如,假设一个 电子邮件包含一个信用卡号(序列1过滤器说要阻止它),但是也有敏感文本(序列5过滤器说要记录,但是允 许)。FortiGate将只使用序列1过滤器,而电子邮件被阻止,不允许。
- 用DLP存档
- 实现总结存档
- 实现完整的存档
通过展示如何配置DLP存档的能力,您将能够使用存档特性来支持短期的取证调查。
它可以记录交通摘要——也就是日志——如果启用的话,可以记录流量中包含的完整文件和消息。
如果您熟悉在旧版本的FortiOS中进行的内容存档,您将会在这里识别总结档案和完整的档案。
总结存档记录了一条记录流量的日志消息,因此根据协议的不同而有所不同。例如,对于电子邮件消息,总结 存档将包含发送者的电子邮件地址、收件人的电子邮件地址和大小。当用户访问互联网时,FortiGate记录了他 们访问的每个URL。
这在取证调查中很有用;然而,这并不是为了长期使用。根据您所存档的内容,完全存档可能需要大量的 FortiGate的磁盘、CPU和RAM资源,从而降低性能。
例如,如果您完全DLP存档了100 MB的文件,那么FortiGate将存储超过100 MB的存储空间,它存储了数据加 上以太网、IP和其他在网络传输中使用的头信息,以及日志消息。因此,它需要的存储空间略大于100 MB。它 还需要RAM和CPU,直到FortiGate完成将文件写到硬盘上。完整的DLP存档也会消耗硬盘空间,而FortiGate 因其他UTM特性可能需要这些磁盘空间。
因此,出于性能方面的原因,最好使用FortiAnalyzer或外部存储设备。
如果你需要检查和存档电子邮件——特别是在很长一段时间里——那么FortiMail可能是更好的选择。它有本地 存档,加上反垃圾邮件、安全消息传递,以及其他一些深入的特性,这些特性是FortiGate的SMTP代理无法支 持的。
- 定义实现DLP的最佳实践
- 使用最佳实践来避免实施问题、常见问题和网络问题
通过展示特定于DLP的最佳实践和故障排除能力,您将能够识别、预防和解决大多数与DLP相关的问题。
在实现DLP时,为了防止问题,您需要考虑几个因素。
请记住,DLP过滤器应用于所列出的顺序。确保你最精确的过滤器首先被列出,最后列出的过滤器越多。您还 应该确保任何基于filename的过滤器都被正确地应用于完成所需的任务。
在事件后的取证和达到PCI DSS依从性的方法中也推荐了存档和日志记录。您还需要在内部团队之间创建适当 的过滤器,以确保在内部来源中没有无意的泄漏。此外,确保所有的过滤器都正确地复制到冗余的防火墙策略,以 确保业务连续性。
使用学习配置文件来简化DLP过滤器的创建,并确保没有遗漏任何潜在的泄漏,这也是一个最佳实践。
- 定义DLP的目的和功能
- 区分用于消息筛选类型的文件的过滤器类型
- 为文件和消息配置DLP过滤器
- 配置DLP指纹
- 启用DLP存档
- 定义实现DLP的最佳实践
- 使用最佳实践来避免实现问题、常见问题和网络影响
