Автоматизация управления и организация конфиденциальных данных в компоненте FCI

В большинстве компаний хранится огромное количество неструктурированных данных: документы Microsoft Word, электронные таблицы, изображения, файлы данных из прикладных программ — список можно продолжать бесконечно. Хотя такие приложения как SharePoint помогают упорядочить подобные данные, в действительности в них размещается лишь около 10% данных. Остальные хранятся на файл-серверах почти без контроля и возможности управления. Специалисты компаний зачастую не имеют представления о том, какие данные находятся на файл-серверах — там царит полный хаос.

Учтите также различные требования компаний к обработке данных: ограничение круга лиц, имеющих доступ к данным, шифрование, предотвращение печати, копирования, пересылки в рамках защиты от потери данных (DLP), резервное копирование и хранение в течение определенного времени или, наоборот, удаление после истечения срока.

Никогда прежде значение классификации и управления данными не было столь велико. Требования нормативных актов становятся все более строгими. За невыполнение требований законодательства компаниям грозят крупные штрафы и даже тюремное заключение для руководителей. Кроме того, компании, «теряющие» данные клиентов, лишаются их доверия.

Многие организации пытаются классифицировать данные несколькими способами:

  • размещают документы в разных местах;
  • создают правила резервного копирования или сценарии собственной разработки, которые архивируют и удаляют данные определенного типа и «возраста»;
  • применяют политики службы управления правами Active Directory (AD RMS) или шифруют конфиденциальные данные;
  • используют программу шифрования диска Windows BitLocker для защиты определенных томов, содержащих важные данные.

Проблема в том, что многие из этих подходов зависят от правильных решений, принимаемых сотрудником по размещению и классификации данных. Это связано с неприемлемыми рисками. Лучший вариант — настроить файловый сервер, в котором размещены данные, для поиска номеров социального страхования, номеров кредитных карт, названий специальных проектов и других подобных данных, с последующей автоматической классификацией. После того, как данные будут классифицированы, можно запланировать задачи (например, резервное копирование, шифрование, защита прав, перемещение, удаление) на основе классификации.

Инфраструктура классификации файлов

Я вспоминаю, как готовил выступление на конференции TechEd 2006 по новому компоненту Windows Server 2003 R2, именуемому диспетчером ресурсов файлового сервера File Server Resource Manager (FSRM). Компонент FSRM расширяет возможности файловых серверов Windows за пределы простой квоты на том, реализованной в операционной системе.

FSRM позволяет назначать квоты группам пользователей на уровне папок. Вы также управляете не только размером используемого пространства, но и тем, как это пространство используется, через фильтры реального времени, блокирующие определенные типы файлов. Например, можно создать фильтр блокировки файлов для MP3-файлов. Пользователь, пытающийся записать MP3-файл, получает сообщение об отказе в доступе. Эти действия можно настраивать (например, можно отправлять пользователю по электронной почте сообщения с объяснением, почему отправлено сообщение, и ссылкой на корпоративную политику). FSRM также располагает превосходными функциями подготовки отчетов, в которых показано, как и кем используется пространство файлового сервера.

В Windows Server 2008 R2 компонент FSRM наделен новой возможностью: инфраструктурой классификации файлов File Classification Infrastructure (FCI). В этом компоненте используются правила для автоматического назначения файлам специфических свойств и последующего выполнения задач с этими файлами на основе классификации. Например, правило классификации обеспечивает поиск строк в формате номера социального страхования — nnn-nn-nnnn ([0-9]{3}-[0-9]{2}-[0-9]{4}) — и если они обнаружены, то свойству «Личные сведения» (PII) назначается значение Moderate («Умеренно»), как показано на экране 1.

 

Использование инфраструктуры FCI для?классификации файлов
Экран 1. Использование инфраструктуры FCI для?классификации файлов

После того, как данные классифицированы, задача управления файлами ищет данные, чей классификатор PII имеет значение Moderate или High, а затем применяет политику AD RMS, которая ограничивает способы использования данных. Также могут применяться другие действия, такие как шифрование или перемещение данных. В сущности, работа компонента FCI включает два этапа:

  1. Классификация данных с использованием автоматизированных правил.
  2. Выполнение операций с данными, основанными на этой классификации.

Огромное преимущество классификации перед обычными процессами поиска данных с последующим выполнением некоторого действия состоит в том, что действия не обязательно должны быть немедленными. Данные классифицируются периодически или при создании, а позднее могут быть выполнены многие наборы действий в зависимости от классификации данных. Это очень полезная функция для компаний.

Несмотря на все свои достоинства, технология не получила широкого распространения, хотя компании отчаянно нуждались в функциях подобного типа. Причина вялого внедрения довольно проста: компании не знают, с чего начать. Изначально инфраструктура классификации файлов не располагает стандартными свойствами классификации, стандартными правилами классификации и стандартными задачами, выполняемыми на основе готовых классификаций. Поэтому первоначально компаниям необходимо выяснить, какие классификации им нужны. Это препятствие тормозит весь процесс. Компании тратят месяцы, чтобы подготовить классификации, перед ними открываются сотни вариантов, а затем проект захлебывается и так и остается нереализованным.

Чтобы ускорить внедрение, Microsoft выпустила акселератор решений (с возможностью бесплатной загрузки) для Windows Server 2008 R2 под названием Data Classification Toolkit. В набор инструментов входят многочисленные свойства классификации, правила классификации, связанные с типовыми требованиями нормативных актов, и задачи на основе классификаций, ориентированные на политики AD RMS. Data Classification Toolkit располагает лишь 14 свойствами классификации, но они обеспечивают почти все нужды классификации и соответствия нормативным актам. Основные свойства набора инструментов перечислены в таблице.

 

Свойства классификации, входящие в Data Classification Toolkit

Обратите внимание, что для просмотра возможных значений можно использовать пользовательский интерфейс диспетчера ресурсов файлового сервера или Windows PowerShell. Например, с помощью команд PowerShell Server 2012 из приведенного листинга можно просмотреть значения Data Classification Toolkit для проверки соответствия нормативным актам.

Инфраструктура классификации файлов Windows Server 2012

Что изменилось в инфраструктуре классификации файлов Windows Server 2012? Многое, не только компонент FCI, но и используемая им классификация. FCI остается частью роли FSRM, которая в свою очередь является частью роли файловых служб и служб хранилища. Поэтому для активации FCI необходимо в первую очередь установить роль FSRM через диспетчер сервера (\File and Storage Services\File and iSCSI Services\File Server Resource Manager) или PowerShell:

Install-WindowsFeature FS-Resource-Manager

Важное изменение в Server 2012 FCI заключается в управлении свойствами классификации. В Server 2008 R2 свойства классификации являются локальными для каждого файлового сервера. Поэтому нужно внимательно следить, чтобы одинаковые свойства классификации были доступны на всех файловых серверах, иначе можно потерять классификации при перемещении файлов между файловыми серверами. Обычно это достигается с помощью главного или промежуточного файлового сервера, на котором определены все классификации, правила и задачи, с последующим экспортом настроек на другие файловые серверы (главный или промежуточный файловый сервер по-прежнему будет полезен в Server 2012).

В Server 2012 свойства классификации перемещены в новый контейнер в разделе Configuration (\Services\Claims Configuration\Resource Properties) леса Active Directory (AD). По-прежнему можно добавлять на сервер локальные свойства классификации, но для использования классификации AD необходимо выполнить подготовительный шаг леса Server 2012, обновить схему леса и создавать новые контейнеры. К достоинствам относится то, что свойства классификации централизованы и стандартны для всех файловых серверов.

Управление свойствами классификации. Управление свойствами классификации происходит в центре администрирования Active Directory (ADAC). Все свойства классификации по умолчанию отключены, поэтому нужно активировать те из них, которые необходимо увидеть. Кроме того, некоторые свойства классификации (такие как Company, Department и Project) должны иметь значения, прежде чем их можно будет использовать. Для управления свойствами ресурса запустите ADAC и перейдите к Dynamic Access Control («Динамический контроль доступа»), Resource Properties («Свойства ресурса»), где можно изменить и включить свойства и создать дополнительные классификации. На экране 2 показаны встроенные свойства ресурса в Server 2012. Обратите внимание, что в дополнение к 14 свойствам классификации из Data Classification Toolkit для Server 2008 R2 имеется несколько дополнительных свойств, а именно Company, Country и Folder Usage.

 

Управление свойствами классификации (ресурса) из центра администрирования Active Directory
Экран 2. Управление свойствами классификации (ресурса) из центра администрирования Active Directory

Управление свойствами классификации производится с помощью динамического контроля доступа ADAC, важного нового компонента Server 2012, который позволяет применять классификацию данных для управления доступом к ресурсам. Подробное рассмотрение динамического контроля доступа выходит за рамки данной статьи, но при высоком уровне он позволяет управлять доступом к ресурсам на основе классификации данных и атрибутов пользователя и компьютера, обращающегося к данным. Например, можно задействовать динамический контроль доступа для предоставления уровня доступа, если подразделение пользователя соответствует классификации подразделений данных. Таким образом удается избежать организации сотен, если не тысяч, групп просто для управления доступом. Классификация данных предназначена не только для защиты и организации данных в целях соответствия нормативным актам, но и для гораздо более контролируемого и логического управления доступом к ресурсам, нежели при использовании списков управления доступом (ACL) для каждого файла.

Получение правил классификации и задач управления. При переносе акцента на FCI централизация и включение свойств классификации по умолчанию наверняка помогут компаниям на первых порах, но как насчет правил классификации и задач управления — доступны ли они изначально без дополнительной настройки? Не доступны. Однако компания Microsoft обновила Data Classification Toolkit для работы с Server 2012. Вам следует загрузить и запустить его. Набор инструментов формирует несколько правил классификации и задач управления файлами на сервере.

Прежде чем запустить мастер импорта Data Classification Toolkit (который заполняет целевой сервер FSRM), важно задействовать большинство свойств классификации в AD, а затем обновить свойства классификации FSRM. Если не выполнить эти первоочередные шаги, процесс импорта завершится неудачей, так как свойства классификации будут недоступны шаблонам. Кроме того, следует разместить AD RMS в компании, чтобы иметь возможность применить политику AD RMS по умолчанию (это можно изменить позднее) и указать файлы конфигурации XML при импорте набора инструментов.

Настройка классификаций. Мастер Data Classification Toolkit (см. экран 3) проводит пользователя через настройки классификаций. Прежде всего, импортируйте базовые, готовые классификации на промежуточный сервер. С помощью набора инструментов удобно управлять FCI на одном сервере, настроить правила и задачи, а затем экспортировать эти настройки на все файловые серверы в компании. После того, как получен оптимальный набор настроек, экспортируйте его в XML-файл и разверните на производственных файловых серверах.

 

Основные действия Data Classification Toolkit
Экран 3. Основные действия Data Classification Toolkit

Data Classification Toolkit содержит три базовых шаблона классификации, облегчающие начало работы. Это просто XML-файлы, применяемые на файловом сервере; однако, скорее всего, потребуется настройка на конкретное применение. Шаблоны классификации:

  • Data Classification Toolkit Package.xml — стандартный набор правил и задач, направленных в основном на поиск в данных номеров социального страхования и информации о кредитных картах;
  • NIST SP 800-53 Classification Package Example.xml — NIST SP 800-53;
  • PCI-DSS Classification Package Example.xml — PCI-DSS.

Обратите внимание, что не обязательно использовать Data Classification Toolkit для импорта и экспортировать настройки классификации, но его шаблоны обеспечивают отличную отправную точку для подготовки собственных правил и задач. Иначе можно задействовать PowerShell. Для управления классификацией, помимо глобальных свойств классификации, хранимых в AD, используйте инструмент FSRM через навигационные узлы Classification Management и File Management Tasks. На экране 4 показаны доступные свойства классификации. Обратите внимание, что для каждого свойства классификации задана область. Свойства с глобальной областью извлекаются из AD. Также учтите, что каждое свойство имеет тип использования, показывающий, может ли оно применяться как часть проверки при динамическом контроле доступа, в инфраструктуре классификации файлов или для управления папками.

 

Диспетчер ресурсов сервера показывает доступные свойства классификации
Экран 4. Диспетчер ресурсов сервера показывает доступные свойства классификации

Навигационный узел Classification Rules позволяет управлять правилами заполнения свойств классификации. Если применить Data Classification Toolkit и импортировать стандартный Data Classification Toolkit Package.xml, то открывается доступ к нескольким правилам классификации; однако по умолчанию они отключены (импортированные задачи управления файлами также отключены по умолчанию).

Уделите некоторое время рассмотрению правил классификации, способов их работы и при необходимости созданию собственных правил. Убедитесь, что правила, которые нужно использовать в компании, включены, как показано на экране 5. Взгляните на подробные свойства правила классификации. Обратите внимание на возможность применения PowerShell для установки свойств классификации, что обеспечивает безграничную гибкость. Одно из действий, которое полезно применить к каждому правилу, — указать папки, к которым будет применяться правило (на вкладке «Область» свойств правила), и способ задания значений для свойства классификации.

 

Активация правила классификации с помощью действия Enable Rules
Экран 5. Активация правила классификации с помощью действия Enable Rules

Планирование действий классификации. Пока у нас настроены только свойства классификации и правила для их назначения. Теперь необходимо указать FCI, когда следует выполнить классификацию. Щелкните действие Configure Classification Schedule, которое открывает свойства FSRM на вкладке Automatic Classification («Автоматическая классификация»). В результате можно планировать сканирование для классификации неклассифицированных данных. Другая превосходная новая функция Server 2012, Allow continuous classification for new files («Разрешить постоянную классификацию для новых файлов»), классифицирует данные, как только они созданы.

Хранение данных классификации. На данном этапе данные классифицированы. Часто возникает вопрос: где хранить данные классификации? Данные классификации хранятся в альтернативном потоке данных NTFS в файле или папке с классификацией:

PS E:\unsc> Get-Item. \master_chief_eyes.jpg -Stream *
FileName: E:\unsc\master_chief_eyes.jpg
Stream Length
------ ------
: $DATA 39060
FSRM{ef88c031-595... 144

Это означает, что классификация сохраняется, даже если данные перемещаются между томами NTFS. Если используется новая файловая система Resilient File System (ReFS) Server 2012, то классификация не работает, так как ReFS не поддерживает альтернативных потоков данных в Server 2012. Кроме того, если тип данных подходящий, то классификация сохраняется в документе через модуль хранилища классификации. Microsoft Office — основной набор приложений, который обеспечивает хранение классификации в данных приложения. Это также означает, что классификация перемещается с документами, если они хранятся в SharePoint. Другие поставщики могут организовать хранение классификаций в данных документов. В Server 2012 классификация также хранится в дескрипторе безопасности, чтобы обеспечить проверку при динамическом контроле доступа на основе классификации.

Использование Проводника Windows. Windows Server 2012 и Проводник Windows 8 предоставляют классификацию как новую вкладку Classification при просмотре свойств файла или папки, что позволяет напрямую управлять классификацией; однако ручное назначение классификации с использованием Проводника Windows практически невозможно для всех данных компании. И все же существует возможность назначить классификацию на уровне папки, и тогда все папки и файлы в данной папке унаследуют эту настройку.

Выполнение задач управления. Классифицирование данных — гигантский шаг, но еще необходимо, чтобы FCI выполняла задачи на основе этих классификаций. Используйте задачи управления файлами FSRM для выполнения действий на основе классификации.

Если Data Classification Toolkit используется для импорта базового набора настроек, то некоторые задачи уже настроены, но отключены. Посмотрите на задачи и настройте и активируйте нужные на основе классификаций, для которых существуют правила. Например, если активировать правила, чтобы установить значение для свойства классификации Personally Identifiable Information (PII), то следует активировать действия на основе этого свойства классификации. Так, RMSProtect_ModerateAndHigh_PII (экран 6) выполняет задачу, если PII больше, чем Public, а затем связывает политику AD RMS с данными. Обратите внимание, что доступен пользовательский тип, который позволяет выполнить почти любое действие при условии, что существует подходящий метод сделать это из командной строки. У каждой задачи свое расписание и (как у правила классификации) возможность запуска задачи при применении классификаций.

 

Задача управления файлами защищает данные, классифицированные как личные сведения уровня Moderate или High
Экран 6. Задача управления файлами защищает данные, классифицированные как личные сведения уровня Moderate или High

Осталось лишь создать файлы данных, содержащих элементы, обнаруживаемые правилами, и данные автоматически классифицируются.

Сохранение инфраструктуры классификации файлов

FCI — превосходная технология, но прежде чем она станет полезной для вашей компании (даже прежде чем она будет внедрена), необходимо понять, какие уровни соответствия нормативным актам нужно обеспечить. Должна ли ваша компания выполнять требования определенных нормативных актов? Действуют ли в ней собственные стандарты сохранения, защиты и организации данных? Уясните эти требования, а затем начинайте внедрение FCI, которое состоит из следующих шагов, связанных с реализацией Server 2012.

  1. Активируйте свойства классификации AD, которые требуется использовать, и при необходимости определите значения.
  2. Установите роль FSRM на файловых серверах и Data Classification Toolkit на одном промежуточном или главном файловом сервере.
  3. В качестве отправной точки импортируйте шаблон. Настройте правила классификации и задачи в соответствии с нуждами компании.
  4. Экспортируйте настройки классификации из промежуточного или главного файлового сервера на все другие файловые серверы.
  5. Постарайтесь использовать существующие классификации для других целей, в частности, динамического контроля доступа.

Применяя готовую реализацию FCI вместо сторонних решений, можно добиться значительной экономии. Кроме того, данные должны быть «локальными» для файловых серверов Windows (то есть размещаться на непосредственно подключенных или монтированных томах из SAN). FCI не работает с удаленными данными, в том числе доступными через протокол Server Message Block.

В данной статье лишь поверхностно затронуты высокоуровневые возможности FCI. Это одна из технологий, которые могут буквально изменить способы функционирования компаний, но пока она недостаточно понята и не нашла широкого применения. Я настоятельно рекомендую всем компаниям изучить FCI и разобраться, как с ее помощью можно управлять неструктурированными данными.

Листинг. Команды PowerShell для просмотра значений Classification Toolkit Data при проверке

$propertyDefinition = get-fsrmclassificationpropertydefinition Compliancy_MS
Foreach ($possiblevalue in $propertyDefinition.PossibleValue)
{
$possibleValue
}
Description :
DisplayName : PCI DSS
Id : 2DD2F3EE-3BAB-45fc-B33F-65119B3B3C66
Name : PCI DSS
PSComputerName:
Description :
DisplayName : HIPAA/HITECH
Id : A9E2C599-7DC4-4bf1-90DA-E949EF25D045
Name : HIPAA/HITECH
PSComputerName:
Description :
DisplayName : SOX
Id : 0424473A-B85A-4071-8A8F-AB3F230864A0
Name : SOX
PSComputerName: