Распределенная DLP – масштабируем без сбоев в безопасности

Когда нужно масштабировать DLP-систему

К кластеризации обычно прибегают в двух случаях: когда мощностей сервера уже недостаточно или необходим контроль распределенной филиальной сети из единого центра без существенного увеличения нагрузки на сеть предприятия и стоимости передачи данных. Расширение объема каналов связи или укрупнение серверных мощностей быстро решаются горизонтальным масштабированием. Но сложные ИС, такие как DLP, не всегда можно легко горизонтально масштабировать.

Какие требования предъявляют к DLP-системам для кластеризации?

• Выстроенное взаимодействие между DLP-системами на местах – т.е. системы, установленные в филиалах, не должны перегонять большие объемы данных между собой, а головной офис должен иметь прямой доступ к информации обо всех событиях информационного обмена в каждом из филиалов. При этом нагрузка на сеть должна быть минимальной, а ответы на запросы – оперативными.
• Единая точка входа, привилегированные пользователи должны иметь возможность работы с данными всех филиалов одновременно (поиск, отчеты и т.д.).
• Реализация ролевой модели доступа, которая поможет ограничить доступ к данным для отдельных пользователей или, наоборот, открыть доступ к нескольким филиалам.
• Предоставление данных в разных часовых поясах с синхронизацией. Для этого система должна быть гибкой и уметь отображать данные из разных филиалов в правильной временной последовательности.
• Хранение и обработка огромных (Пб+) объемов данных, суммарно значительно превышающих возможности отдельной DLP.
• Работоспособность даже в случае недоступности одного или нескольких филиалов.

Как масштабировать

Для решения вопросов объема хранилища и скорости работы с накопленными данными серверы объединяются в кластеры, что позволяет хранить и обрабатывать сотни терабайт и даже петабайты информации.

Создание кластерной DLP-системы – задача сложная и нестандартная в реализации. Вендоры, которые решаются создавать территориально распределенные системы, учитывают это еще при проектировании архитектуры. Если же DLP-система не рассчитывалась на кластер, то в будущем распараллелить ее будет проблематично. В первую очередь это связано с системами хранения данных. Например, если в качестве хранилища событий использовать популярную опенсорсную базу данных и придерживаться классического подхода при проектировании, то работа с ней на уровне приложения будет являться выполнением SQL-запросов, результаты которых представляют объединение нескольких таблиц. Но если часть данных из этих таблиц находится физически на разных серверах, то такое объединение выполнить средствами СУБД уже не представляется возможным. То есть уже построенное хранилище DLP-системы не подойдет для использования в кластере.

Рабочая схема горизонтального масштабирования – это установка в каждом филиале своей DLP-системы, соединенной с аналогичными системами в других филиалах. При этом каждая из таких систем автономна и хранит данные, собранные в своем филиале. Такая архитектура обеспечивает надежность работы всей системы и, например, в случае выключения DLP в одном филиале остальные продолжают функционировать корректно.

Главное преимущество кластеризации – информация обо всех коммуникациях в филиалах доступна в общем центре компетенций. Кластерная DLP-система организована так, что служба ИБ может оперировать данными как отдельно взятого филиала, так и всех регионов одновременно и строить сводные отчеты, выявлять тренды и статистические закономерности.

Как работает DLP-система с кластеризацией

• Хранение и обработка практически неограниченного объема данных территориально распределенной компании с возможностью дальнейшего масштабирования.
• Быстрый доступ к данным любого филиала за требуемый период времени из единого центра.
• Возможность четкого распределения прав доступа к данным.
• Статистические отчеты и аналитические срезы по данным всей сети.
• Изменение конфигураций и правил контроля всей сети одновременно.
• Оптимизация нагрузки на сеть компании.

Далеко не все современные решения по защите от утечек данных обладают возможностью кластеризации. А значит, при задаче контроля территориально распределенных предприятий все данные, перехваченные в филиалах, будут передаваться в центральную систему, где расположено хранилище. В результате – большая нагрузка на сеть предприятия, единая точка отказа и короткий срок хранения данных. Все это не дает службе безопасности эффективно использовать DLP-систему.

Практика работы с кластеризацией в DLP

Возможность оперирования данными разных филиалов в DLP-системе позволила выявить группу злоумышленников в удаленных регионах. Построив карту связей между филиалами, сотрудник службы безопасности в головном офисе обнаружил скрытые связи между топ-менеджерами сибирского и уральского офисов, которые вели переписку и передавали конфиденциальные данные по внешней электронной почте и в мессенджерах. По результатам проверки был раскрыт преступный сговор, грозивший срывом трех крупных сделок.

Благодаря кластеризации DLP-система "Гарда Предприятие" не ограничена в возможностях горизонтального масштабирования и объемах хранения. Чтобы проверить безопасность в вашей филиальной сети – закажите пилотный проект на сайте mfisoft.ru.