Enterprise vault что это
Безопасность конфиденциальных данных с Traefik Enterprise и Vault
У каждой компании есть свои секреты. Пожалуй, любое приложение и сервис владеет конфиденциальной информацией, такой как имена пользователей и пароли, лицензионные ключи, учетные данные для входа в базы данных и т.д. — которая должна быть скрыта от посторонних лиц.
Одной из самых важных категорий данных, которые хранятся современными приложениями, являются TLS сертификаты, позволяющие осуществлять зашифрованную передачу через HTTPS. Хорошей новостью для пользователей Traefik Enterprise является то, что теперь работать с конфиденциальными данными стало проще, чем когда-либо, благодаря поддержке Vault в Traefik Enterprise 2.3.
Vault — это инструмент с открытым исходным кодом, разработанный и поддерживаемый компанией HashiCorp, предлагающий безопасное и зашифрованное центральное хранилище данных для конфиденциальной информации. Vault в Traefik Enterprise 2.3 может использоваться для управления сертификатами двумя способами. Во-первых, Vault можно использовать в качестве хранилища ключей для сертификатов. Во-вторых, Vault может быть резолвером (resolver) сертификатов, что позволяет ему динамически генерировать сертификаты «на лету». Давайте рассмотрим оба варианта использования.
Использование Vault в качестве хранилища ключей для сертификатов
Traefik уже давно поддерживает работу с такими key-value хранилищами, как Consul, etcd, и ZooKeeper. Vault провайдер для Traefik Enterprise 2.3 и более поздних версий может подключаться к Vault аналогичным образом, используя его в качестве хранилища key-value данных для хранения и извлечения TLS-сертификатов.
Первым шагом является настройка механизма Vault secrets для использования с Traefik Enterprise. На данный момент Traefik Enterprise поддерживает движок KV Secrets Engine — Version 2, который в настоящее время является движком по умолчанию и легко включается из командной строки. Рекомендуется использовать отдельно KV хранилище для TLS сертификатов, и помните, что все сертификаты должны быть закодированы в base64 и храниться в корне KV secrets engine.
Далее, остается только включить Vault Provider в статическую конфигурацию Traefik Enterprise. На это потребуется всего несколько строк кода, и типичный пример (на языке YAML) может выглядеть именно так:
Этот фрагмент указывает на URL сервера Vault и устанавливает token, необходимый для аутентификации с ним. (В настоящее время провайдер Vault поддерживает только аутентификацию через токены.) Он также указывает, как часто провайдер будет извлекать данные из KV-хранилища Vault.
Вот и все! После настройки Traefik Enterprise распознает сертификаты в хранилище для их обработки. И, как обычно для Traefik Enterprise, конфигурация обновляется автоматически всякий раз, когда вы добавляете или удаляете сертификаты из хранилища Vault.
Если вы хотите узнать больше о том, как настроить Vault Provider для Traefik Enterprise, ознакомьтесь с документацией.
Использование Vault в качестве резолвера сертификатов для PKI
Опытные пользователи Traefik знают о поддержке автоматической генерации сертификатов с использованием ACME-протокола и совместимых сервисных провайдеров, таких как Let’s Encrypt. В Traefik Enterprise 2.3 добавлены новые, дополнительные средства автоматизации процесса генерации сертификатов в виде поддержки инфраструктуры открытых ключей — Vault Public Key Infrastructure (PKI).
Механизм Vault PKI secrets включает в себя встроенные функции аутентификации и авторизации, которые позволяют генерировать сертификаты «на лету», не погружаясь в традиционный процесс генерации ключей вручную и их передаче в центр сертификации (Certificate Authority).
Такая автоматизация особенно ценна в динамических, основанных на микросервисах средах, где сервисы, как правило, недолговечны, а контейнеры быстро создаются и уничтожаются по запросу.
Настройка Vault в качестве резолвера сертификатов почти так же проста, как и настройка Vault Provider, который обсуждался ранее. После установки Vault с включенным движком PKI Secrets Engine настройка функции требует добавления всего нескольких строк в статическую конфигурацию Traefik Enterprise. Например:
После завершения настроек резолвера сертификатов и назначения его в Routes в Traefik Enterprise, Vault начнет генерацию сертификатов для запросов, которые соответствуют шаблонам. Чтобы узнать больше о том, как это работает, обратитесь к документации.
Существует также удобное руководство пользователя, которое описывает процесс развертывания простого TLS-совместимого сервиса с Vault на Kubernetes.
Enterprise Vault™ Pуководство для пользователей Outlook (Полная функциональность)
Сведения о Enterprise Vault и почтовом ящике Outlook
Enterprise Vault автоматически перемещает сообщения электронной почты и вложения из папок почтового ящика Outlook в область интерактивного хранения, называемую хранилищем. Этот процесс называется архивированием. Enterprise Vault работает автоматически и обычно выполняет архивирование во время низкой загрузки.
Сообщения электронной почты, заархивированные в Enterprise Vault, останутся доступными в программе Outlook следующими способами:
Большинство администраторов настраивают Enterprise Vault так, чтобы в почтовом ящике присутствовал ярлык для каждого заархивированного сообщения электронной почты. Ярлык замещает сообщение электронной почты в папке почтового ящика и обеспечивает мгновенный доступ к заархивированной электронной почте. В списке элементов Outlook для ярлыка предусмотрен следующий специальный значок:
Внешний вид и поведение ярлыка аналогично исходному сообщению электронной почты. Например, вы можете открыть сообщение электронной почты с помощью его ярлыка, переадресовать это сообщение и ответить на него, а также скопировать или переместить его в другую папку. Администратор может сконфигурировать Enterprise Vault так, чтобы срок действия ярлыков истекал через определенное время. Ярлык с истекшим сроком действия удаляется из почтового ящика, однако заархивированный элемент останется в вашем хранилище.
Если администратор включил этот режим, Outlook отображает хранилище на панели навигации как Virtual Vault.
Администратор может настроить программу Enterprise Vault так, что она будет архивировать элементы, отличные от сообщений электронной почты Outlook. В этом случае вы увидите заархивированные элементы календаря, задания или заметки Outlook в представлении соответствующей папки Virtual Vault.
Хотя архивирование выполняется автоматически, администратор может настроить программу Enterprise Vault так, чтобы можно было выбрать любое из следующих действий.
Сохранить элементы в хранилище вручную в любое время. При сохранении элемента Enterprise Vault добавляет его в ваше хранилище в виде заархивированного элемента. Enterprise Vault обращается с сохраненными вами элементами точно так же, как и с любым другим заархивированным элементом.
Восстановить заархивированные элементы, то есть переместить или скопировать заархивированные элементы обратно в почтовый ящик в их первоначальном формате. Нет необходимости восстанавливать заархивированные элементы для их переадресации, ответа на них или выполнения других действий.
Перенести PST-файлы в Enterprise Vault. Outlook автоматически создает PST-файлы для локального хранения данных электронной почты. Эти файлы часто отображаются в Outlook с пометкой «Личные папки». Как правило, Enterprise Vault не архивирует информацию, содержащуюся в PST-файлах на компьютере. Однако в зависимости от того, как настроен перенос PST-файлов, либо администратор может заархивировать эти элементы для вас, либо вы сами можете выбрать перенос PST-файлов в Enterprise Vault.
Если у вас есть доступ к нескольким учетным записям Microsoft Exchange, имейте в виду, что вы можете использовать действия Enterprise Vault только для элементов в основном почтовом ящике. Основным является первый почтовый ящик Exchange, добавленный в профиль Outlook.
Symantec Enterprise Vault: логика работы
Сервер Enterprise Vault (дальше – EV) состоит из нескольких основных компонентов: серверные компоненты – сервисы и задачи, осуществляющие функции архивирования, индексирования, хранения и восстановления; административная консоль для настройки и управления сервисами, задачами и архивами; компоненты веб-доступа для осуществления пользовательского доступа в архив и дополнительных компонентов.
В частности, для архивирования Exchange-сервера они будут следующие:
После установки и настройки сервера EV сервисы и задачи начинают в фоновом режиме выполнять сканирование целевых серверов (в частности Exchange) на наличие объектов, которые должны быть перемещены в архив, индексировать поступившие в архив объекты, а так же обрабатывать запросы на доступ к объектам, которые уже находятся в архиве. Для доступа к Exchange используется MAPI-клиент (MS Outlook), который ставится на сервер EV.
Большинство этих задач используют базы, размещённые на SQL-сервере (локальном или внешнем):
Настройки архивирования хранятся в политиках. Настроек архивирования достаточно много – регулировать можно фактически любой момент процесса архивирования, начиная от типа объектов, которые необходимо архивировать, заканчивая кнопками EV доступными в почтовом клиенте пользователю.
Для применения политик используется специальная задача – Provisioning Task. Она распространяет по специальным группам инициализации политики (одна политика на группу) – клиентские и для почтовых ящиков. Фактически при этом идёт рассылка настроек через скрытые (hidden) сообщения по почтовым ящикам, которые входят в группу. В группу инициализации могут входить кроме почтовых ящиков группы рассылок (политики применяются ко всем членам группы рассылки), организационные единицы AD (политики применяются ко всем почтовым ящикам, которые находятся в ней и ко всем членам групп рассылок, которые находятся в ней), LDAP-запросы и даже вся почтовая организация целиком.
Рассылка политик по умолчанию происходит ежедневно в полночь. Но можно сделать 2 рассылки в день. Первую в любое время с полуночи до полудня, вторую в любое время с полудня до полуночи.
После завершения рассылки политик по конечным ящикам нужно для каждого конкретного почтового ящика задействовать архивирование (по умолчанию после рассылки политик задача архивирования не может сразу же приступить к процессу архивирования).
Только после получения политик и включения архивирования для почтового ящика он начинает сканироваться на наличие архивных документов и плагин для Outlook/OWA начинает обрабатывать запросы на доступ к архивным документам. Обе задачи обрабатывает специальная задача – задача по архивированию.
В случае сбора архивных документов объекты из почтового ящика помещаются в очередь на сервере EV. Сбор документов запускается по расписанию (можно запускать раз в час или раз в 15 минут в определённое время суток). При этом, для защиты от переполнения очереди все сообщения, которые не попали в очередь до запуска очередного сбора в архив в очередь не попадают, и их перемещение в архив откладывается. После того как объект был обработан, в зависимости от настроек, он или удаляется сразу из ящика (и вместо него можно оставить объект-ярлык) или остаётся в ящике до того момента, пока объект не будет помещён в резервную копию на сервере EV.
В случае попытки открытия ярлыка или попытки восстановления объекта плагин Outlook/OWA отправляет запрос на IIS-сервер, работающий на сервере EV, тот в свою очередь достаёт объект из архива и возвращает пользователю.
Кроме этого, пользователю может быть настроен доступ к архиву в офлайне (доступа ни к почтовому серверу, ни к серверу EV нет) и возможность визуализации архива в Outlook в виде дополнительного почтового ящика – при этом будет доступен прозрачный поиск и по архиву и по почтовому ящику. При этом следует помнить, что при подключении функции офлайнового архива требуется место на диске – в папку пользователя в специальный файл складывается архив, по умолчанию его размер ограничен 4 гигабайтами.
После этого небольшого вступления можно приступить к рассмотрению системных требований, установке и дальнейшей настройке сервера EV.
Станислав Булдаков
Symantec Enterprise Vault
Содержание
Первый продукт Enterprise Vault был разработан в конце 90-х гг. специалистами американской компании kVaultSoftware, поглощенной компанией VERITAS, которая, в свою очередь, была приобретена в 2005 г. корпорацией Symantec. Функционал Enterprise Vault, изначально ограниченный архивированием почтовых объектов, впоследствии был существенно расширен за счет других типов источников (файлов и SharePoint), организации уровневого хранения информации и таких инструментов e-discovery, как поиск, анализ информации в архивах и построение compliance-стратегии.
При этом в свойствах «заглушки» отображаются все свойства архивированного объекта. Пользователь, обратившись к своему файлу, увидит его полный размер, а не размер ярлыка. Внешне «заглушки» практически не отличаются от оригинальных объектов (рис. 1).Таким образом, процедура доступа пользователей к заархивированным объектам не изменяется, а на сервере значительно уменьшается объем хранимых данных.
Рис. 1. Пользовательский вид заархивированного файлового сервера
В качестве объектов архивирования могут выступать почтовые ящики и общие папки MS Exchange, почтовые ящики Lotus Domino, объекты MS SharePoint, файлы на сетевых ресурсах. Для построения compliance-стратегии используется функционал архивирования журналов MS Exchange и Domino, а также трафика SMTP. Кроме того, существует большое количество коннекторов для Enterprise Vault от сторонних систем, которые могут быть использованы для архивирования других объектов (таких как ECM-системы, системы обмена мгновенными сообщениями и др.). Для компаний, практикующих доступ мобильных пользователей к корпоративной почте, Enterprise Vault предлагает широкие возможности интеграции.
Virtual Vault Кроме вариантов интеграции Enterprise Vault с мобильными средами, стоит отметить возможность доступа к архивным объектам с помощью клиента Outlook Web Access, а также поиск заархивированных сообщений через Веб-браузер смартфона или планшета. Компаниям, планирующим переход на систему архивирования почты, может быть интересен функционал миграции PST или NSF-файлов в архив Enterprise Vault. Очень часто пользователи создают себе «на всякий случай» большое количество локальных почтовых файлов с дублирующими данными, которые в ходе проекта бывает сложно найти и затруднительно определить, какие из них реально нужны пользователям.
Теперь же все данные можно хранить и защищать консолидировано, без риска что-либо потерять. При хранении объектов в архивах Enterprise Vault использует встроенные средства оптимизации. Например, если сообщение с вложением большого размера было отправлено нескольким получателям, оно будет сохранено в архиве однократно. Кроме средств оптимизации хранения данных в архивах, Enterprise Vault дает возможность оптимизировать хранение на файловых серверах за счет введения политик хранения файлов. Например, можно заблокировать запись нежелательного контента на файловые хранилища. Данные политики могут быть настроены гибко, предоставляя отдельным пользователям как вариант возможность сохранения media-файлов в файловом хранилище.
За поиск и анализ информации отвечает компонент Enterprise Vault Discovery Accelerator. Он представляет собой модуль с отдельным интерфейсом для ИБ-специалистов с возможностью осуществлять поиск информации сразу во всех архивах Enterprise Vault. Критерии поиска могут включать в себя слова, фразы, даты, размеры и типы сообщений, данные по отправителю и адресату, вложениям и др. Результаты поиска могут быть экспортированы в один из распространенных форматов для последующего анализа или отправки ответа на внешний запрос. За работу с корпоративными политиками безопасности отвечает компонент Enterprise Vault Compliance Accelerator. Он позволяет автоматизировать проведение расследований в рамках всего предприятия, сгруппировав подлежащие мониторингу объекты в соответствии с организационной структурой компании.
Рис. 2. Взаимодействие Enterprise Vault и Data Classification Services
Symantec Enterprise Vault 9
Это корпоративное ПО предельно упростит решение широкого спектра задач, связанных с хранением, поиском и управлением неструктурированной информацией в масштабах организации.
Продукт позволит клиентским предприятиям существенно сократить затраты на архивирование информации, обнаружение дубликатов и удаление ненужных данных, а также поможет организовать работу в полном соответствии с законодательными и отраслевыми стандартами. Пользователям версии Enterprise Vault 9.0 предстоит оценить преимущества обновленных компонентов Enterprise Vault Discovery Collector и Discovery Accelerator, а также поддержку новых версий платформ Exchange Server, SharePoint Server и Lotus Domino.
В новой версии Symantec Enterprise Vault 9.0 реализована поддержка онлайновых продуктов Microsoft Business Productivity Online Suite (BPOS). Обновленный компонент Discovery Collector предусматривает расширенные возможности поиска и извлечения информации из неуправляемых источников данных, а также их отправки в Enterprise Vault в соответствии с юридическими требованиями. Компонент Enterprise Vault Discovery Accelerator использует новые, более эффективные технологии удаления дубликатов данных. Расширенный список платформ, поддерживаемых Enterprise Vault 9.0, включает в себя новые версии Microsoft Exchange Server 2010 Service Pack 1, Microsoft SharePoint Server 2010 и Lotus Domino 8.5.1. Пользователям платформы Lotus Domino также предоставляется возможность архивирования базы данных входящей электронной корреспонденции.
Новая версия Symantec Enterprise Vault была протестирована и сертифицирована на совместимость с устройствами Symantec FileStore. Благодаря тесной интеграции между этими продуктами, клиентские организации получат сквозное решение для управления и защиты информации в традиционных и облачных средах хранения. Предприятия смогут пользоваться встроенными механизмами защиты от вирусов, резервного копирования и восстановления данных, архивирования, создания мгновенных снимков (snapshot) и др. Организации, использующие решение Symantec NetBackup, теперь смогут использовать интегрированное агентское приложение для резервного копирования содержимого хранилищ Enterprise Vault.
Symantec Enterprise Vault 10
В версии Enterprise Vault 10 реализованы возможности сбора и архивирования информации, размещаемой на общедоступных социальных ресурсах, включая публикации в блогах, Twitter-сообщения и записи на страницах Facebook. Представители Symantec впервые анонсировали эту востребованную функциональность на конференции Visions 2011 в мае 2011 года. Новые механизмы, созданные с использованием технологий от партнерских компаний (Actiance, CommonDesk, Globanet, Hanzo и Socialware), позволят предприятиям организовать работу в соответствии с отраслевыми стандартами, такими как Financial Industry Regulatory Authority (FINRA).
Служба Data Classification Service, созданная на базе патентованной технологии Symantec Data Loss Prevention 11, отвечает за автоматическую классификацию почтовой корреспонденции и выбор подходящих политик хранения и архивации. Новая версия Enterprise Vault также тесно интегрируется с технологиями шифрования Symantec, что открывает перед сотрудниками организации широкие возможности классификации, хранения и обнаружения зашифрованной информации.
Другие ключевые особенности Enterprise Vault 10:
Технология Clearwell eDiscovery Platform, с недавнего времени используемая в продуктах Symantec, предоставит клиентам дополнительные возможности обработки, анализа и рецензирования записей, используемых в качестве доказательств в суде, необходимых для проведения аудиторских проверок, составления отчетов и решения других задач. В случае судебного разбирательства организации смогут доказать защищенность каждого документа на всех этапах обработки.
Охотник за потерянной информацией
Расширяется сфера применения Enterprise Vault
Enterprise Vault корпорации Symantec переходит в более тяжелую весовую категорию и превращается в нечто большее, чем просто средство архивирования электронной почты для сервера Exchange.
Приложения для архивирования электронной почты позволяют менеджерам ИТ централизованно хранить корпоративные сообщения. Это необходимо не только для выполнения требований правительства и других государственных органов, но и для того, чтобы данные были доступны для работников, которым необходимы соответствующие знания. Теперь Enterprise Vault, один из продуктов, лидирующих на рынке, позволяет менеджерам ИТ более эффективно определять местонахождение затерявшихся данных. А мобильным пользователям он предоставляет постоянный доступ к корпоративным архивам.
Начальная цена Enterprise Vault 6.0 составляет 3360 долл. Лаборатория eWeek Labs рекомендует устанавливать это приложение на стандартных двухпроцессорных системах со средним объемом ОЗУ, но с вместительными дисками SATA (Serial ATA) для хранения архива. Дополнить систему возможностью архивирования сообщений Exchange можно за 11 359 долл. Инструмент PST Migrator обойдется еще в 3410 долл. (все цены приводятся в расчете на 500 пользователей).
Резюме для руководителей
Enterprise Vault 6.0
Краткий список аналогов
— Assentor Archive (iLumin Software Services). Решение для архивирования электронной почты, работающее с широким кругом платформ (www.ilumin.com)
— NearPoint (Mimosa Systems). Продукт, недавно появившийся на рынке средств архивирования электронной почты. Обеспечивает также непрерывную защиту данных (www.mimosasystems.com)
Оценка основных характеристик
Соблюдение требований законодательства
Поддержка сервера электронной почты
Применение Enterprise Vault 6.0 фактически снимает все ограничения на использование электронной почты. Старые сообщения и крупные прикрепленные файлы автоматически переносятся из почтовых ящиков в систему Enterprise Vault. Эта миграция происходит в значительной мере прозрачно для пользователей. Перемещенные сообщения по-прежнему можно видеть в Outlook. Лишь маленькая иконка указывает, что сообщение помещено в архив. Когда пользователь щелкает мышкой по такому сообщению, Enterprise Vault 6.0 предоставляет ему данные, словно они находятся на его почтовом сервере.
В процессе архивирования Enterprise Vault индексирует контент (содержание как самих сообщений, так и прикрепленных файлов). Это позволяет в последующем производить поиск с помощью таких дополнительно устанавливаемых программ, как Discovery Accelerator, Compliance Accelerator и Archive Explorer. В состав Enterprise Vault 6.0 включен поисковый механизм AltaVista, который с успехом обнаруживает информацию в текстовых файлах и в файлах наиболее распространенных форматов.
В ходе тестирования удалось легко создать политики хранения для конкретных групп пользователей и типов данных. С помощью единой управляющей консоли MMC (Microsoft Management Console) можно создавать политики для файловых серверов, электронной почты и SharePoint 2003. Эти политики могут применяться к различным организационным подразделениям в Active Directory.
Дополнительная программа Offline Vault позволяет мобильным пользователям получить доступ к заархивированным данным, хранящимся в их ноутбуках. В Enterprise Vault 6.0 эти возможности усовершенствованы. Например, менеджеры ИТ могут сформулировать несколько политик, чтобы контролировать объем данных, хранящихся на мобильных компьютерах. Offline Vault для 100 пользователей стоит 403 долл.