Data Discovery cũng là một công cụ để phát hiện các dữ liệu nhạy cảm nằm trong một ổ đĩa nào đó, dựa vào các bản mẫu đã được tạo từ đó thành lập ra thêm những bản mẫu khác. Từ đó có thể quy định chặt chẽ hơn về dữ liệu nhạy cảm để bảo vệ dữ liệu tốt hơn.
Trong DLP cũng giúp cho người quản trị có thể quy định những thiết bị cắm ngoài nào được phép sử dụng bằng công cụ Device Control. Trong Device Control người quản trị có thể làm việc theo nhóm hay trên từng client.
Hình 68: Device Control
DLP cho phép ngắt tất cả các thiết bị gắn ngồi có thể truyền dữ liệu ra bên ngồi và cũng có thể quy định một vùng mạng cụ thể mà client có thể hoạt động bình thường.
Ports (COM & LPT) Imaging devices PCMCIA adapters Floppy disk controllers
Infrared devices (thiết bị hồng ngoại) Print Screen Key (phím)
Removable disk drives (thiết bị lưu trữ di động)
Riêng USB thì DLP cịn cung cấp khả năng lọc thiết bị dựa vào thơng số kỹ thuật của nó như nhà sản xuất, Model, Serial ID. DLP cũng cung cấp một công cụ nhỏ giúp bạn biết được các thơng số này có thể down trực tiếp trên web console.
Hình 70: Download trực tiếp cơng cụ trên web console
DLP cũng cho phép chúng ta giới hạn vùng mạng được phép hoạt động của thiết bị. việc cho phép hoạt động này áp dụng trên tất cả các giao diện mạng đối với các máy có nhiều card mạng.
Như vậy sản phẩm Data Lose Prevention cung cấp cho chúng ta môt giải pháp thơng minh để có thể tự động bảo vệ dữ liệu nhạy cảm dựa vào nội dung của dữ liệu tránh dữ liệu lọt ra bên ngồi tổ chức. Nó chống lại việc sao chép, gửi dữ liệu đi hay di chuyển dữ liệu khỏi máy tính hay khỏi tổ chức. Nó khơng chống được việc mất dữ liệu do virus xóa file hay hỏng ổ cứng hay do người dùng xóa file. .... Việc kết hợp DLP với ESP sẽ giúp bảo vệ người dùng cuối toàn diện hơn trước các hiểm họa về an tồn cơng nghệ thơng tin mà người dùng đang phải đối mặt, các hiểm họa ngày càng phức tạp và có ảnh hưởng khơng nhỏ đến nền kinh tế một khi nó hiện hữu.
I.3. Triển khai Endpoint Security Platform
I.3.1. Các thành phần của ESP
Trong việc triển khai ESP có 3 thành phần triển khai và 2 thành phần dành cho việc quản trị các thành phần này làm việc với nhau thơng qua mã hóa sử dụng cặp khóa public/private key với độ dài khóa cho phép là 1024, 2048, 4096. Những thành phần của ESP bao gồm:
ESP Server ESP Relay ESP Agent ESP Console Web Reports
Sau đây chúng ta sẽ cùng đi qua về các thành phần này để biết nó làm gì trong hệ thống của ESP.
I.3.2. ESP Server
Các máy chủ ESP giống như là bộ sưu tập các máy chủ ứng dụng, nó giống như trái tim của hệ thống ESP. Nó gửi, nhận các luồng thơng tin đến và đi từ các ESP Agent, và lưu trữ kết quả trong cơ sở dữ liệu của ESP. ESP hỗ trợ sử dụng nhiều máy chủ để tăng thêm sức mạnh cho hệ thống.
hình cao hơn nhiều đấy là cần CPU 8 core và Ram 16 Gb. Dung lượng ổ cứng tối thiểu cho cơ sở dữ liệu là 5Gb và 20-50Gb cho việc backup dữ liệu. và để chạy cho tầm 200 000 Agent thì cần phải dùng ổ đĩa 3x (RAID 10). ESP Server giao tiếp với các Agent trên cổng 52311 vì vậy cần phải cấu hỉnh ở tất cả các Route và Firewall nội bộ mở cổng 52311 trên cả hai giao thức TCP/UDP và ESP Server cũng được khuyến cáo cắm vào đường mạng có tốc độ 100Mb hoặc cao hơn.
I.3.3. ESP Agent
ESP Agent được cài trên các máy client mà chúng ta muốn ESP quản lý. Các ESP Agent sẽ lấy thông tin của máy client cung cấp cho ESP Server, ESP Server tìm thấy sự liên quan giữa các máy chứa ESP Agent với bộ sưu tập Fixlet tìm ra các lỗ hổng bảo mật và độ lệch so với môi trường hoạt động mong muốn. Nếu một lỗ hổng bảo mật được tìm thấy thì ESP Agent sau đó có thể thực hiện hành động khắc phục nhận được từ ESP Console. Trong hầu hết các trường hợp ESP Agent hoạt động âm thầm và người dùng không hề biết tới, tuy nhiên trong một số trường hợp chúng ta có thể đưa ra lời nhắc nhở với người dùng nhờ một màn hình nhắc nhở.
Hình 71: Một lời nhắc từ ESP
ESP Agent có thể chạy trên máy tính đáp ứng cấu hình tối thiểu sau đây:
+ Phần cứng: các máy tính chạy trên nền x86, Mac hoặc SPARC với
32 MB RAM và 20 MB không gian ổ cứng.
+ Hệ điều hành: Windows 95, 98, NT 4 +, Me, 2000, Server 2003, XP,
Vista, Longhorn, Vista, Windows 7, Windows 2008, Red Hat Linux 8.0, và 9.0, Red Hat Enterprise Linux 3,0 và 4,0, Red Hat Fedora Core 3,0, 4,0 và 5,0, Solaris 7, 8, 9 & 10, 11,00 và 11,11 HPUX, AIX 5,1, 5,2 và 5,3, SUSE 8, 9 & 10, Mac OS X 10,3 và 10,4.
I.3.4. ESP Relay
ESP Relay giúp nâng cao hiệu quả cho hệ thống. Thay vì mỗi máy tính trong mạng trực tiếp truy cập vào ESP Server thì các máy này sẽ kết nối và trao đổi dữ liệu với ESP Relay và ESP Relay sẽ chuyển tiếp đến ESP Server, ESP Relay được sử dụng để giảm gánh nặng cho ESP Server. Hàng trăm ESP Agent có thể trỏ đến một ESP Relay, do đó chỉ cần có một yêu cầu duy nhất kết nối đến máy chủ. ESP Relay có thể chuyển tếp các kết nối khá tốt do đó nâng cao hiệu quả của hệ thống. ESP cũng có thể tự động thiết lập relay, tự động xác định tốt nhất cấu hình cho hiện trạng mạng của chúng ta.
của các Fixlet tải về để phân phối cho các ESP Agent mà nó quản lý. có thể mơ tả một quá trình làm việc như sau. Các ESP Agent sẽ kiểm Tra trên các máy mà nó được cài đặt các sự liên quan đến Fixlet lưu trữ trên ESP bằng cách gửi các thơng tin về máy đó lên ESP Relay, ESP Relay sẽ chuyển các thông tin này lên cho ESP Server và người quản trị đưa ra quyết định đối với các lỗ hổng phát hiện ra thống qua ESP Console và ESP Server sẽ thực hiện tài về các bản vá và lưu trữ trên server sau đó chuyển xuống cho các ESP Relay, ESP Relay nhận được dữ liệu lưu lại là chuyển xuống cho các ESP Agent, các ESP Agent thực hiện cập nhật bản vá. các ESP Agent kết nối sau nếu tồn tại các lỗ hổng tương tự thì sẽ được ESP Server chuyển thơng báo vá cho ESP Relay, ESP Relay sẽ chuyển thông báo này cho các ESP Agent và ESP Agent sẽ thực hiện tài về các bản vá này từ trên ESP Relay. Các hành động được thực hiện sẽ báo cáo liên tục về trạng thái của nó với ESP Server và các thơng tin này có thể tìm thấy trên ESP Console và Web Report.
ESP Relay chỉ hỗ trợ trên nền hệ điều hành Windows. Yêu cầu phần cứng của ESP Relay phụ thuộc vào lượng Client kết nối đến nó, thường thì một ESP Relay có thể quản lý từ vài trăm đến vài ngìn Agent.
I.3.5. ESP Console
ESP Console liên kết các thành phần của ESP với nhau nó cũng là cơng cụ để người quản trị đưa ra các chính sách hay theo dõi sự ổn định của hệ thống cũng là nơi hiển thị các bào cáo an ninh hệ thống. ESP Console là một cơng cụ quản lý nó có thể chạy trên bất cứ máy nào có thể kết nối đến ESP Server. ESP Console kết nối đến ESP Server theo giao thức http cổng 52311 và truyền dữ liệu bằng ODBC cổng 1433 của TCP. Các quản trị viên sử dụng ESP Console kết nối đến server được xác thực bằng cặp khóa public/private
key và những cập khóa này chỉ được tạo bởi Master Operator. Dữ liệu truyền từ ESP Console đến ESP Server cũng được mã hóa.
Yêu cầu phần Cứng của ESP Console cũng khơng q cao u cầu Chíp 800Mhz dịng Pentum III và Ram 512Mb trở lên. ESP Console hỗ trợ cho tất cả các hệ điều hành của Windows với Internet Explorer version 5.0 trở lên. ESP Console địi hỏi một kết nối đến ESP Server băng thơng cao vì dữ liệu trao đổi nhiều và được mã hóa nên yêu cầu về băng thông là cần thiết tốt nhất là kết nối trong mạng LAN.
I.3.6. Web Reports
Web Reports cho phép chúng ta tạo ra các biểu đồ và đồ thị dữ liệu, giúp chúng ta kiểm toán tất cả các Fixlet hoạt động trên mạng của chúng ta. Web Reports cũng cho phép chúng ta xuất ra một định dạng file của Excel những thơng tin kiểm tốn. Ngồi ra với Web Reports người quản trị dễ dàng tạo ra các báo cáo riêng của mình với những thơng tin đầy đủ. Với Web Reports cho phép chúng ta hình dung dễ dàng hơn tình hình an tồn của cả hệ thống với hàng trăm ngàn máy tính.
10 các Fixlet được dùng gần đây nhất, top 10 Action được sử dụng gần nhất... Vởi Web Report cho chúng ta cái nhìn tổng quan về hệ thống với hàng loạt các báo cáo được hiển thị dạng sơ đồ và biểu đổ giúp dễ dàng hơn trong việc hình dung mức độ an ninh hệ thống.
I.3.7. Các mơ hình triển khai Endpoint Security Platform
Trong triển khai ESP có 3 thành phần cần quan tâm là ESP Server, ESP Relay, ESP Agent và có hai mơ hình triển khai các thành phần này đấy là:
- Triển khai theo dạng Single Server - Triển khai theo dạng Multiple Server I.3.8. Triển khai Single Server
Đây là kiểu triển khai cơ bản nhất có một ESP Server sẽ làm nhiệm vụ tập hợp tất cả các Fixlet từ Internet. Nơi đặt ESP Server là nơi mà người quản trị có thể sử dụng ESP Console kết nối đến được ESP Server, và từ ESP Console đưa ra quyết định phân phối xuống ESP Relay các ESP Relay này được đặt trong cùng lớp mạng với ESP Agent để việc truyền dữ liệu giữa ESP Relay tới ESP Agent được nhanh chóng mà ít ảnh hưởng đến đường truyền chung của hệ thống.
Hình 73: Single Server
Trên đây là mơ hình triển khai cơ bản của ESP cịn trong thực tế nó thường được triển khai như sau.
Server thông qua tường lửa cá nhân của họ(tường lửa này phải có hỗ trợ vpn, chẳng hạn như UTM của Checkpoint).
I.3.9. Triển khai Multiple Server
Triển khai Multiple Server là dạng triển khai sử dụng nhiều ESP Server do hệ thống của tổ chức lớn và phân tán. Kiểu triển khai này còn gọi là Distributed Server Architecture (DSA) (xem hình 74). Ở kiểu triển khai này mỗi máy chủ sẽ duy trì bản sao cơ sở dữ liệu ESP và chúng có thể đặt ở bất kỳ đâu trên thế giới.
Hình 75: Distributed Server Architecture
Trong trường hợp kết nối của hai máy chủ bị đứt các máy chủ tiếp tục làm việc với mạng nội bộ của mình. Ngay sau khi kết nối của hai máy chủ được thiết lập trở lại ngay lập tức chúng được đồng bộ lại dữ liệu. Lợi thế của
mơ hình triển khai này là khi một máy chủ bị hỏng hóc hay vì lý do nào đấy mà mất kết nối tới các ESP Relay và Agent thì các ESP Relay sẽ chuyển kết nối sang con máy chủ còn hoạt động.
Lợi thế của mơ hình này bao gồm:
- Dịch vụ vẫn được tiếp tục khi hai vùng mạng khơng có liên lạc với nhau.
- Dịch vụ vẫn được cung cấp khi có một máy chủ bị hỏng (tự động Failover)
- Phân phối tải điều khiển trong khi hệ thống hoạt động bình thường. - Tự động khơi phục lại khi có kết nối trở lại.
Hình 76: DSA Failover
Với mơ hình này cung cấp dịch vụ chuyển đổi dự phịng và tự động failback khi kết nối được thiết lập trở lại. Các máy chủ sẽ liên lạc với nhau qua hai giao thức ODBC (1433) và HTTP(52311), các máy chủ cũng có thể
Để cài đặt ESP Server khi đã đáp ứng đủ nhu cầu về cấu hình phần cứng và hệ điều hành thì ESP cịn yêu cầu thêm một số phần mềm dịch vụ nữa là MSXML 6.0 nếu trên máy chưa cài thì sẽ được thực hiên cài ln vì nó có ln trong bộ cài ESP và yêu cầu máy được nối mạng và có thể truy cập ra internet. để bắt đầu cài đặt chúng ta cần phải download bộ cài từ trang web của Trend Micro hoặc đĩa CD do hãng cung cấp chúng ta thực hiện cài đặt với version mới nhất 7.2.5.22.
Chúng ta chạy file Trend-BES-7.2.5.22.exe chờ một lát cho trương trình này giải nén sẽ có một thơng báo hỏi bạn có cài MSXML 6.0 yes để tiếp tục.
sau khi cài xong MSXML 6.0 một màn hình Wellcome sẽ hiện ra.
Hình 77: Bắt đầu cài đặt ESP
Chúng ta Click Next để tiếp tục và Cancel để ngưng quá trình cài đặt. Sau khi click Next màn hình lựa chọn kiểu cài đặt sẽ hiện ra.
Hình 78: lựa chọn kiểu cài đặt
Ở đây cho chúng ta 2 sự chọn lựa chọn Evaluation là cài bản thử nghiệm trong vòng 30 ngày, lựa chọn Production nếu đã mua license của hãng. chúng ta chọn Production và tiếp tục nhấn Next sẽ hiện ra cửa sổ License Agreement.
Hình 79: License Agreement
Chúng ta nhấn Yes để tiếp tục no để hủy cài đặt và Back để quay lại bước trước. Màn hình Setup Type hiện ra
đặt sinh ra để khi cài lại sử dụng thì các Agent mới có thể kết nối đến máy chủ, lựa chọn thứ 3 là cài với một masthead file kiểu cài này chính là kiểu cài trong mơ hình nhiều máy chủ ESP sau khi máy chủ thứ nhất cài xong nó sẽ sinh ra một file actionsite.afxm, sau khi lựa chọn chúng ta click Next để tiếp tục. Màn hình Server Identification hiển thị.
Hình 81: Server Identification
Ở đây cho phép chúng ta điền địa chỉ IP của server hoặc tên theo domain dạng như ESP.kma.com và cổng mà server sẽ dùng để giao tiếp với các thành phần khác. sau khi chọn xong phần này chỉ cần Next và chờ đợi ESP cài đặt xong.
I.3.10.2. Triển khai ESP Agent
ESP Agent có hai kiểu triển khai thứ nhất là cài đặt bình thường trên từng máy client như một phần mềm bình thường(khơng hay khi tổ chức có nhiều máy client và các máy này phân tán). thứ hai là dùng cơng cụ triển khai sẵn có trên ESP Server.
Hình 82: Triển khai Agent
Cơng cụ này cho phép chúng ta triển khai dựa trên Active Directory chỉ cần các máy có Join vào Domain và có một tài khoản Administrator là có thể tự động cài đặt trên các máy này, thứ hai là dựa trên NT 4.0 dựa trên tên máy trong mạng kiểu này cũng cần có một tài khoản Administrator trên máy và máy phải bật chế độ remote desktop, thứ 3 là sử dụng một danh sách các máy đã được thống kê bao gồm IP, tài khoản và mật khẩu ở chế độ này cũng yêu cầu các máy client bật chế độ remote desktop.
Hình 83: điền User và Password của máy client
Hình 84: Điền IP hay dải IP client
Ở trong cửa sổ này chúng ta có thể điền theo IP máy cần triển khai hoặc một dải IP những máy cần triển khai hoặc load danh sách các máy cần triển khai. Thực hiên xong chúng ta click Next để tiếp tục và nó sẽ tự động cài đến khi hồn tất.
I.3.10.3. Triển khai ESP Relay
ESP Relay được nâng cấp lên từ một ESP Agent thông qua một Fixlet việc làm này được thực hiện trên ESP Console. Khi Fixlet này thực hiện thì ESP Server sẽ download về bản Relay tương ứng với version của mình và cài trên các máy được chọn làm Server Relay. Các máy làn Server Relay nên cùng giải mạng với các máy cài Agent khác để lưu thông được tốt hơn.
Như vậy việc triển khai ESP cũng hết sức đơn giản và nhanh chóng, việc cài đặt các thành phần của ESP cũng khơng đến nỗi q phức tạp nó