Архитектура Acronis DeviceLock DLP

Acronis DeviceLock DLP представляет собой модульную архитектуру, состоящую из отдельных продуктов и встроенных дополнительных функциональных компонентов, возможности которых дополняют друг друга. Управление всеми модулями унифицировано, а лицензирование функциональных компонентов, отличных от Acronis DeviceLock Core, не является обязательным.

Эта архитектура позволяет клиентам приобретать только те функции DLP, которые им нужны, и постепенно обновлять их по мере развития их требований к защите данных

Основным компонентом Acronis DeviceLock Endpoint DLP является ядро DeviceLock, которое можно использовать отдельно в качестве базовой конфигурации этого продукта.

Он детально управляет доступом к данным и операциями передачи локально на защищенных конечных точках на основе контекста операции, такого как вовлеченные пользователи, используемые каналы, тип данных, к которым осуществляется доступ/передача, направление потока, дата и время и т. д.

Эти контекстно-зависимые элементы управления регулируют доступ пользователей к периферийные устройства и порты, печать документов, операции копирования/вставки буфера обмена, захват снимков экрана, операции форматирования и извлечения мультимедиа, управление доступом к обнаружению типа файла и синхронизация с локально подключенными мобильными устройствами.

• Интегрированная среда централизованного управления. Включает все компоненты централизованного управления и администрирования Acronis DeviceLock DLP.
• Элементарное управление — детальное управление локальными потоками данных на основе класса устройства, группы пользователей или уникальных идентификаторов устройства.
• Независимый от интерфейса подключения — определяет истинный тип устройства и применяет контекстно-зависимые элементы управления на его основе, независимо от используемого интерфейса подключения.

Этот дополнительный модуль для Acronis DeviceLock Core расширяет возможности контекстно-зависимого управления для сетевого обмена данными между защищенными конечными точками.

Acronis DeviceLock NetworkLock контролирует потоки сетевых данных через наиболее рискованные приложения и протоколы. К ним относятся популярные почтовые платформы, веб-почта, мессенджеры (IM), облачное хранилище файлов, социальные сети, веб-доступ, веб-поисковики, локальные сетевые ресурсы и торрент-обмен файлами P2P, а также протоколы FTP и Telnet.

• Глубокая проверка пакетов (DPI) — независимый от приложений и браузера контроль над сетевыми соединениями через SMTP, HTTP/HTTPS, WebDAV, FTP, Telnet и общий доступ к файлам P2P для определения протокола и типа приложения независимо от используемых сетевых портов.
• Проверка зашифрованного трафика. Возможность проверки как простого, так и защищенного SSL трафика позволяет применять контекстно-зависимый контроль над более широким диапазоном сетевых потоков данных, а также извлекать данные, передаваемые в SSL-туннелях, для дальнейшей проверки содержимого.
• Брандмауэр IP с отслеживанием состояния — выборочная фильтрация сетевых соединений, не контролируемых DPI Acronis DeviceLock NetworkLock.

Этот дополнительный компонент расширяет функции Acronis DeviceLock Core и Acronis DeviceLock NetworkLock за счет управления локальными и сетевыми каналами с учетом содержимого.

Acronis DeviceLock ContentLock выполняет проверку содержимого и фильтрацию файлов и других объектов данных, которые используются или передаются с защищенного компьютера, чтобы обеспечить контроль на основе конфиденциальности обнаруженного содержимого. Acronis DeviceLock ContentLock может идентифицировать и проверять три основные категории содержимого: текстовые данные, двоичные файлы и различные типы данных и метаданных.

• Подтвержденный тип файла — проверяйте двоичное содержимое файла, чтобы надежно определить фактический тип файла, независимо от его расширения или имени файла, и применяйте меры контроля на основе этой информации.
• Универсальное обнаружение контента. Обнаружение как структурированных текстовых данных на основе отраслевых и национальных словарей ключевых слов и шаблонов регулярных выражений, так и неструктурированного двоичного и текстового контента с помощью анализа данных.
• Поддержка классификации данных. Определение меток классификации, присвоенных документам и файлам продуктами Boldon James Classifier. Автоматически классифицируйте корпоративные данные по предварительно созданным или определяемым пользователем уровням классификации.

Этот дополнительный модуль для Acronis DeviceLock Core позволяет отслеживать действия конечных пользователей на основе событий, связанных с защитой от потери данных. UAM расширяет доказательную базу для расследования инцидентов безопасности и упрощает обнаружение подозрительного поведения пользователей и неправомерного использования привилегий доступа.

Acronis DeviceLock User Activity Monitor записывает экран компьютера пользователя вместе с экранными действиями, нажатиями клавиш и информацией о приложениях, которые использовались на компьютере во время записи. Журналы UAM автоматически собираются в центральную базу данных журналов DLP. Администраторы безопасности могут использовать встроенные инструменты для просмотра и анализа журналов UAM как локально на конечной точке, так и в центральной базе данных журналов.

• Настраиваемые правила записи. Запись действий конечного пользователя может быть запущена или остановлена в зависимости от параметров состояния системы или событий DLP. Независимые политики UAM можно настроить для конечных точек в корпоративной сети, а также для тех, которые находятся в автономном режиме или за пределами площадки.
• Централизованный сбор журналов — журналы UAM автоматически собираются в базе данных центрального хранилища. Максимальный размер журнала можно определить с помощью различных параметров переопределения и настраиваемой продолжительности хранения.
• Встроенные средства просмотра журналов UAM. Просматривайте и анализируйте записанные сеансы UAM как локально на конечной точке, так и централизованно на сервере журналов с помощью встроенных средств просмотра журналов с видеопроигрывателем для записи экрана, средством просмотра нажатий клавиш и средством просмотра процессов.

Автономный продукт, который сканирует корпоративные конечные точки, сетевые системы хранения, общие файловые ресурсы и базы данных Elasticsearch, чтобы обнаружить уязвимый конфиденциальный контент, хранящийся в неправильных местах, и защитить его с помощью автоматических, настраиваемых действий по исправлению и предупреждений для администраторов ИТ-безопасности и систем SIEM.

Acronis DeviceLock Discovery позволяет организациям получить представление и контроль над конфиденциальными «данными в состоянии покоя», хранящимися в их ИТ-среде, для упреждающего предотвращения утечки данных и обеспечения соответствия нормативным и корпоративным требованиям безопасности данных.

Дополнительный автономный компонент пост-анализа — Acronis DeviceLock Search Server (DLSS) — может использоваться для выполнения полнотекстового поиска в центральной базе данных журналов аудита, теневых журналах и файловых репозиториях, заполняемых данными агентами Acronis DeviceLock.

Acronis DLSS призван сделать трудоемкие процессы анализа журналов при аудитах информационной безопасности и расследованиях инцидентов намного быстрее и точнее.