Инструкция по настройке интеграции с DLP-системой InfoWatch

Назначение документа

В данном документе представлено описание механизма отправки запросов в DLP-систему InfoWatch, а также процесс активации отправки данных в DLP-систему для релиза 26.1 и выше.

Документ предназначен для использования системными администраторами.

Общее описание

DLP-система — специализированное программное обеспечение, предназначенное для защиты компании от утечек информации.

Со стороны Диска в DLP-систему отправляются запросы на проверку при загрузке и скачивании:

• Файлов.
• Архивов.
• Папок.

Передача данных осуществляется через InfoWatch Traffic Monitor SDK методом pushAPI SDK. Передачу данных в DLP-систему InfoWatch выполняет сервис dlpworker.

Проверка данных выполняется в синхронном режиме -- загружаемые или скачиваемые файлы/архивы/папки не будут доступны, пока не будет получен ответ от DLP-системы. В случае негативного результата проверки файлы/архивы/папки не будут загружены или скачаны (будет отображена ошибка при загрузке/скачивании).

Настройка отправки данных в DLP-систему

Шаг 1. Включите функциональность

1. Перейдите в веб-интерфейс установщика VK WorkSpace по адресу http://<ваш_домен>:8888.

2. Нажмите на кнопку в правом верхнем углу и выберите пункт Продукты.

3. В списке продуктов включите опцию Система проверки файлов Диска через DLP:

   

   Нажмите на кнопку Сохранить.

4. На главной странице установщика VK WorkSpace нажмите на кнопку Сгенерировать автоматически и перезапустите установку контейнеров, после завершения установки будут созданы контейнеры сервиса dlpworker и его конфигурация.

Шаг 2. Создание папки для изменения конфигурации инсталляции

Примечание

Рекомендуется размещать пользовательские настройки в директории custom_configs, а не в папке configs. Размещение конфигураций в папке custom_configs вместо стандартной configs необходимо для предотвращения потери данных в процессе обновления или переразвертывания инсталляции.

1. В <директория с установщиком> создайте папку custom_config с вложенной папкой teamBox.

   sudo mkdir -p custom_configs/teamBox
   

2. Скопируйте папки конфигураций сервисов в custom_config:

   sudo cp -r <директория с установщиком>/configs/dlpworker <директория с установщиком>/custom_configs
   sudo cp -r <директория с установщиком>/configs/teamBox/jet <директория с установщиком>/custom_configs/teamBox
   sudo cp -r <директория с установщиком>/configs/teamBox/cld-unzipper <директория с установщиком>/custom_configs/teamBox
   sudo cp -r <директория с установщиком>/configs/teamBox/cloclo <директория с установщиком>/custom_configs/teamBox
   

Шаг 3. Настройка конфигурации сервиса dlpworker

1. Перейдите в конфигурационный файл <директория с установщиком>/custom_configs/dlpworker/static.yaml.

2. В конфигурационном файле static.yaml укажите настройки подключения к DLP-системе:

   workdisk.ru:
       policy:
           on_error: block
           on_timeout: block
           on_size_limit: block
       timeout: 30s
       max_file_size: 1073741824
       service: infowatch
       infowatch:
           address: <your_infowatch_host.example>:1234
           token: <your_token>
           company: WorkDisk
           imservice: im_WorkDisk
           capture_server_fqdn: dlpworker
           push_api_version: 1.9
           push_api_address: <your_infowatch_host.example>:1234/verdict
           push_api_retry_count: 5
           get_verdict_timeout: 25s
           check_file_chunk_bytes: 100480 
           tls:
               enabled: true
               client_cert_file: </path/to/file.cert>
               client_key_file: </path/to/file.key>
               server_name: <your_infowatch_host.example>
               server_skip_pki: true
               server_fingerprints:
               - <fingerprint>
   

   где:

   • блок policy отвечает за настройку поведения сервиса при (allow -- разрешать скачивать/загружать файл, block -- запрещать скачивать/загружать файл):

     • on_error -- внутренней ошибке dlpworker.

     • on_timeout -- повышении таймаута на запрос в DLP-систему (регулируется параметром timeout).

     • on_size_limit -- передаче файла, размер которого превышает заданный в параметре max_file_size.

   • timeout -- таймаут подключения в DLP-систему.

   • max_file_size -- максимальны размер файла для передачи в DLP-систему.

   • service -- наименование DLP-системы, через которую будут проверяться файлы (noop, infowatch).

   • блок infowatch отвечает за настроку подключения к DLP-системе:

     • address -- адрес DLP-сервера.

     • token -- токен доступа.

     • company -- наименование компании отправителя.

     • imservice -- наименование сервиса отправителя.

     • capture_server_fqdn -- наименование сервера отправителя.

     • push_api_version -- версия push_api.

     • push_api_address — адрес HTTP-сервера, возвращающего результат проверки.

     • push_api_retry_count — количество попыток получения результата.

     • get_verdict_timeout -- время ожидания ответа от DLP-системы. Необходим для оценки времени реакции DLP-системы.

     • check_file_chunk_bytes -- размер чанков файла для разбивки при передаче.

   Внимание

   Для каждого домена необходимо задать отдельную конфигурацию. Пример:

   example1@domain.ru:
       policy:
           on_error: block
           on_timeout: block
           on_size_limit: allow
       timeout: 50s
       max_file_size: 1073741824
       service: infowatch
   
   example2@domain.ru:
       policy:
           on_error: block
           on_timeout: block
           on_size_limit: allow
       timeout: 50s
       max_file_size: 1073741824
       service: infowatch
   

3. Перезапустите сервис для применения изменений:

   systemctl restart dlpworkerN
   

   где N -- номер инстанса сервиса.

Шаг 4. Настройка сервиса jet

Чтобы выполнялась проверка при загрузке файлов на Диск:

1. Перейдите в конфигурационный файл <директория с установщиком>/custom_configs/teamBox/jet/config.yaml.

2. Добавьте домены, указанные в файле конфигурации static.yaml сервиса dlpworker , в конфигурационный файл config.yaml в блок jet:

   jet:
       dlp_domains:
           - workdisk.ru  
   

3. Перезапустите сервис для применения изменений:

   systemctl restart jetN
   

   где N -- номер инстанса сервиса.

Шаг 5. Настройка сервиса cloclo

Чтобы выполнялась проверка при скачивании с Диска:

1. Перейдите в конфигурационный файл <директория с установщиком>/custom_configs/teamBox/cloclo/config.yaml.

2. Добавьте домены, указанные в файле конфигурации static.yaml сервиса dlpworker, в конфигурационный файл config.yaml в блок features:

   features:
       dlp_domains:
           - workdisk.ru  
   

3. Перезапустите сервис для применения изменений:

   systemctl restart clocloN
   

   где N -- номер инстанса сервиса.

Шаг 6. Настройка сервиса cld-unzipper

Чтобы выполнялась проверка содержимого архива при загрузке на Диск:

1. Перейдите в конфигурационный файл <директория с установщиком>/custom_configs/teamBox/zip/cld-unzipper-config.yaml.

2. Добавьте домены, указанные в файле конфигурации static.yaml сервиса dlpworker, в конфигурационный файл config.yaml в блок features:

   features:
       dlp_domains:
           - workdisk.ru  
   

3. Перезапустите сервис для применения изменений:

   systemctl restart cld-unzipperN
   

   где N -- номер инстанса сервиса.

Примечание

При добавлении доменов только в конфигурационный файл одного из сервисов (Шаг 4 -- Шаг 6):

• jet -- будут отправляться запросы на проверку только при загрузке на Диск.

• cloclo -- будут отправляться запросы на проверку только при скачивании с Диска.

• cld-unzipper -- будут отправляться запросы на проверку содержимого архива только при загрузке на Диск.

Шаг 7. Применение настроек

1. Перейдите в веб-интерфейс установщика VK WorkSpace по адресу http://<ваш_домен>:8888.

2. В строке состояния установки нажмите на кнопку меню и выберите Запустить проверку.

   

3. Найдите в списке сервисов jet, cloclo, cld-unzipper и запустите шаг up_container для применения конфигураций.