DLP’nin veri sınıflandırmasında olduğu gibi veri koruma seviyeleri ve ağ içindeki engelleme noktaları da farklılık gösterir. DLP’nin, kurulum konumuna göre nasıl çalıştığı ve hangi tür verileri koruduğu değişirken, aynı veri için birden çok koruma şekli de geçerli olabilir. Koruma noktaları üç farklı yapıda ele alınır.
UYARI: Bu yazı ve yazı dizisinin tamamı bir teknik proje halinde bir yüksek lisans programında zaten sunulmuştur. Bu yazıların ve içindeki herhangi bir bilginin izinsiz alınması, kopyalanması, çoğaltılması ve başka bir yerde farklı bir kişi tarafından yazılmış gibi yayınlanması/kullanılması kesinlikle yasaktır.
Verinin korunması için nerede bulunduğuna göre farklı yöntemler uygulanabilir. Öncelikle verinin konumunun tespit edilmesi DLP’den etkin bir biçimde yararlanmanın ilk şartıdır. DLP’de koruma yerleri ağda, depolama alanında ve uç noktada olmak üzere üç farklı yerdedir diyebiliriz. Bu yüzden veriyi koruma yerlerine göre ele alacağız.
NETWORK İÇİ KORUMA
Ağ içinde sürekli hareket halinde olan verileri (data in motion) kontrol etmek ve korumak için organizasyonlar tarafından DLP sistemlerinin network tipleri tercih edilerek gateway (ağ geçidi) yakınına veya ağ içindeki ana düğüm noktalarına yerleştirilir. Buradaki amaç ağdaki tüm hareketliliği gözlem altında tutmaktır. Network tipi DLP’de ağı gözetleyen bir “network monitor” ile e-posta trafiğine özel olarak bir “e-posta entegrasyon bileşeni” yapısı tercih edilir. Pratikte her iki yapı bir merkezi yönetim sunucusu altında birleştirilirken, geniş organizasyonlarda her iki yapı ayrı bir şekilde kontrol edilmekte ve yönetilebilmektedir. Ayrıca bu yapıda kullanımda olan verileri (data in use) kontrol etmek için tercih edilen agent yazılımlarından da yararlanılır.
Network içi kurulum düzenlerinde trafiğe ya pasif bir şekilde gözetleme yoluyla ya da aktif bir şekilde engelleme yapılarak müdahale edilmektedir. DLP ürünleri kurulum tipine bağlı olarak “proxy (vekil)”, “köprü (bridge)” ya da “TCP düşürme/zehirleme (poisoning)” yapılarıyla çalıştırılır. Her üç yapının da organizasyon tipine, ağdaki yoğunluk yapısına ve kullanım şekline göre hem olumlu hem de olumsuz yönleri bulunmaktadır. Network içi kurulum yapıları şu şekillerde işlev görürler:
- Proxy (Vekil): Proxy, üzerinden geçen trafiği sırasına göre düzenleyerek almış olduğu politikaya göre derinlemesine inceleyebilen bir protokol/uygulama bazlı çalışan sistemdir. Bu, DLP’de varsayılan olarak gelen mevcut bir yapı olarak kullanılabileceği gibi ağdaki çalışan Web Proxy sistemlerine entegre bir biçimde de kullanılabilir. DLP ürününün ağdaki mevcut proxy ile çalışabilmesi için, o proxy sunucunun ICAP protokolüne uyumlu olması gerekmektedir. Eğer değilse, DLP sistemine proxy işlevi de yüklenir. Bu yapıda genelde HTTP, HTTPS, FTP, anlık mesajlaşma gibi trafikler kontrol edilir. Eğer şifreli HTTPS trafiği de kontrol edilmek istenirse, DLP ürünün reverse SSL Proxy özelliğini desteklemesi gerekir. Ayrıca şifreli trafiğin analizi trafiğin yoğunluğuna bağlı olarak DLP ürününün çok güçlü donanımda olmasını da gerektirir. Özellikle HTTPS’li web e-posta ve sosyal ağ mesajlaşma sitelerindeki veri trafiğinin gözetlenebilmesi için DLP’de SSL denetlemesinin olması gerekmektedir. Vekil yapısında, e-posta trafiğinin ayrı bir cihaz üzerinden geçmesinin tercih edilmesi nedeniyle e-posta haberleşmesindeki yavaşlık problem olmazken, diğer trafiklerde DLP’den kaynaklı performans sorunlarından ötürü yavaşlık oluşabilir.
- Köprü / Transparan (Bridge): Bu yapı her ne kadar kurulum açısından kolaylık sağlasa da, tüm trafiğin bir anda tutulamayarak kaçağa neden olabilmesi açısından pek tercih edilmez. Bu yapıda sadece DLP üzerinden geçen trafikte anlık anormallik varsa oturum düşürülerek sonlandırılır. Trafiğin arttığı durumlarda aradan kaçan sızıntıların olması kuvvetle muhtemel olacağı bir mimari olduğu için genelde kullanılmamaktadır.
- TCP Zehirleme (Poisoning):Bu yapıda politikaları ihlal eden oturum TCP’nin yapısından gelen “TCP Reset” yöntemiyle düşürülmektedir. Bu yapı, proxy yapıda olduğu gibi trafiği kontrollü gönderemediği için, e-posta haberleşmesi gibi sunucuların bir kere gönderemediği (TCP reset aldığı için) mesajları arka arka tekrar denemesi nedeniyle başarısız olmaktadır. Bu yüzden köprü yapısıyla birlikte çok tercih edilmeyen kurulum türleri olarak bilinmektedirler.
DEPOLAMA ALANI KORUMASI
Bu yöntem, veri tabanları ile depolama sistemlerindeki durağan haldeki verileri (data at rest) korumak için verilerin önceden çeşitli yollarla keşfedilmesine dayanan bir mantıkta çalışır. Verilerin içerik keşfi yoluyla önceden tespit edilip işaretlenerek sızdırılması durumlarında çeşitli aksiyonların alındığı durağan haldeki verilerin DLP korumasında:
- SAN, NAS ve Exadata gibi depolama alanları,
- email, dosya paylaşım ve belge yönetim sunucusu gibi uygulama sunucuları,
- ve de son kullanıcıların iş istasyonları ile dizüstü bilgisayarlarındaki
yerleşik verilerin taranması bulunmaktadır. Depolama alanları ve sistemlerindeki verilerin içerik keşfi için kullanılan 3 temel yöntem vardır:
- Uzaktan Tarama: Merkezi bir sunucu tarafından depolama alanlarının uzaktan taranması yoluyla gerçekleşir. Uzaktan taramanın etkisi network bant genişliği ile hızına bağlı olarak değişir. İhlal politikalarının sürekli güncel tutulabilmesi için uzaktan taramanın da sık yapılması gerekmektedir.
- Agent Tabanlı Tarama: Sunuculara kurulan küçük ajan yazılımlar yoluyla lokal tarama yapılmasına dayanır. Taramada network kaynakları yerine doğrudan ajanın kurulu olduğu sistemin lokal kaynakları kullanılmaktadır. Ajanlı taraması büyük boyutlu depolama sistemlerinin taranmasında oldukça etkilidir ve uzaktan taramadan daha hızlıdır. Ajan bazlı taramada bir de bellek yerleşimli agent taraması vardır. Bu yöntemde tam zamanlı çalışan bir ajan yerine taramayı yapıp, çalışmasını durdurarak işleyen bir yapı vardır. Bellek yerleşimli ajan taraması kaynakları daha az tüketir.
- Uygulama Entegrasyonu: Belge yönetimi, içerik yönetimi ve diğer depolama depoları ile direkt entegrasyon sağlayan bir ajan kullanarak yapılır. Bu yöntemde doğrudan sistem içinde politika uygulaması sağlanabiliyor.
SON KULLANICI (UÇ NOKTA) KORUMASI
DLP ürünleri genelde en uygun maliyet açısından ve network çapında kapsama sağlamak adına ilk etapta network üzerinde kurulur. Fakat bütüncül veri güvenliğinde koruma alanının içine özellikle uç nokta kullanıcı sistemleri de girdiği için sadece ağ DLP ürünlerinin kullanımı güvenliğin önemli bir ayağını korumadan yoksun bırakmış olur. DLP’nin aslında en etkileşimli olduğu kullanımdaki veri (data in use) sınıfı kullanıcıların en çok kullandığı ve sızıntıların çok olabileceği verilerdir. Bu yüzden son kullanıcı veri güvenliğini sağlayan DLP ürünlerinin kurulması gerekmektedir. Endpoint DLP özellikli ürünler korumayı “agent” yani ajan tipi küçük yazılımlarla sağlar. Ajan yazılımlar sadece kurulu olduğu sistemi korumakla kalmaz, merkezi sunucudan kendisine yüklenen politikalar yoluyla verilerin network hareketliliğini de kontrol eder. Ajan yazılımların etkili olabilmesi için üzerine yüklenen politikaların sürekli güncel tutulması gerekir. Ajan yazılımların 4 farklı şekilde işleyen katmanı ve/veya özelliği bulunur:
- İçerik Tarama: Uç noktada depolanan içeriğin politika ihlallerine karşı taranmasıdır.
- Dosya Sistemi Koruması: Uç noktadaki içeriklerin yeniden keşfinden ziyade, herhangi bir ortama aktarılan verilerin taranmasında kullanılır. Özel içeriklerin USB ile harici depolama cihazlarına doğrudan ya da şifresiz olarak aktarılmasını engellemek için kullanılan bir koruma şeklidir.
- Ağ Koruması: Son kullanıcı cihazlarının ağ dışına çıkması durumunda ajan yazılımların üzerine son yüklü bulunan politikalara bağlı olarak network koruması görevini de sağlayan bir koruma şeklidir.
- Grafiksel Kullanıcı Arayüzü (GUI) ve Kernel Koruması: “Print Screen” tuşu ile ekran görüntüsü alma, kes/kopyala/yapıştır, uygulama kısıtlamaları veya CD’ye yazma gibi daha genel kullanım şekillerine odaklanmış bir korumadır.
Bir sonraki bölümde DLP’nin diğer güvenlik ürünleriyle olan entegrasyonu ve bunun sonucu olarak sağlanan bütüncül veri güvenliği konusu var.