Le module Cloud Storage offre le chiffrement de fichiers des données stockées dans le Cloud.
Cela ne change pas la façon dont les utilisateurs exploitent les données stockées dans le Cloud.
Les utilisateurs utilisent toujours les mêmes applications de synchronisation spécifiques aux fournisseurs pour envoyer des données au Cloud ou en recevoir depuis celui-ci. Le but de Cloud Storage est de s'assurer que les copies locales des données stockées dans le Cloud sont chiffrées de manière transparente et qu'elles seront donc toujours stockées dans le Cloud sous une forme chiffrée.
Dans le SafeGuard Policy Editor, créez des Définitions Cloud Storage (CSD, Cloud Storage Definitions) et utilisez-les dans les stratégies Protection de périphériques.
Après attribution d'une stratégie Cloud Storage aux ordinateurs d'extrémité, les fichiers présents dans les emplacements couverts par la stratégie sont chiffrés de manière transparente sans interaction avec l'utilisateur :
■ Les fichiers chiffrés seront synchronisés vers le Cloud.
■ Les fichiers chiffrés reçus du Cloud peuvent comme d'habitude être modifiés par les applications.
Pour accéder aux fichiers chiffrés Cloud Storage sur les ordinateurs d'extrémité sans Cloud Storage, SafeGuard Portable peut être utilisé pour lire les fichiers chiffrés.
Remarque : cloud Storage chiffre uniquement les nouvelles données stockées dans le Cloud.
Si les données sont déjà stockées dans le Cloud avant l'installation de Cloud Storage, ces données ne seront pas automatiquement chiffrées. Si vous voulez chiffrer ces données, vous devez les supprimer du Cloud, puis les saisir de nouveau après installation de Cloud Storage.
17.1 Conditions requises pour le logiciel de Cloud Storage
Pour activer le chiffrement des données stockées dans le Cloud, le logiciel fourni par le fournisseur de Stockage dans le Cloud :
■ doit fonctionner sur l'ordinateur sur lequel Cloud Storage est installé.
■ doit avoir une application (ou un service système) stockée dans le système de fichiers local et synchroniser les données entre le Cloud et le système local.
■ doit stocker les données synchronisées dans le système de fichiers local.
17.2 Création de définitions Cloud Storage (CSD)
Remarque : lorsqu'ils sont chiffrés, certains dossiers (par exemple, le dossier d'installation Dropbox) peut empêcher l'exécution du système d'exploitation ou d'applications. Lorsque vous créez des définitions Cloud Storage pour les stratégies de protection des périphériques, assurez-vous que ces dossiers ne sont pas chiffrés.
1. Dans la zone de navigation Stratégies, sélectionnez Définitions Cloud Storage.
2. Dans le menu contextuel Définitions Cloud Storage, cliquez sur Nouvelle > Définition Cloud Storage.
3. La boîte de dialogue Nouvelle définition Cloud Storage apparaît. Saisissez un nom de définition Cloud Storage.
4. Cliquez sur OK . La définition Cloud Storage apparaît avec le nom saisi sous le noeud racine Définitions Cloud Storage dans la zone de navigation Stratégies.
5. Sélectionnez la définition Cloud Storage. Dans la zone de travail à droite, le contenu d'une définition Cloud Storage apparaît :
■ Nom de la cible :
Il s'agit du nom que vous avez saisi initialement. Il sert à référencer la définition Cloud Storage comme cible dans une stratégie de type Protection du périphérique.
■ Application de synchronisation :
Saisissez le chemin et l'application qui synchronise les données avec le Cloud (par exemple, <Bureau>\dropbox\dropbox.exe). L'application doit résider sur un lecteur local.
■ Dossier de synchronisation :
Saisissez le ou les dossiers qui seront synchronisés avec le Cloud. Seuls les chemins locaux sont pris en charge.
SafeGuard Cloud Storage prend en charge les espaces réservés pour les chemins dans l'Application de synchronisation et le Dossier de synchronisation.
17.2.1 Espaces réservés pris en charge
Les espaces réservés suivants peuvent être utilisés lors de la spécification des chemins pour Application de synchronisation et Dossier de synchronisation. Vous pouvez sélectionner ces espaces réservés en cliquant sur le bouton déroulante du champ Chemin.
Résolu à la valeur suivante sur l'ordinateur d'extrémité
Espace réservé
Valeur de la variable d'environnement. Exemple :
<%NOMUTILISATEUR%>.
Remarque : si des variables d'environnement contiennent plusieurs emplacements (par
<%nom_variable_environnement%>
exemple, la variable PATH), les chemins ne seront pas divisés en plusieurs règles. Ceci entraîne une erreur et la règle de chiffrement est non valide.
Répertoire du système de fichiers qui sert de dépôt commun pour les cookies Internet.
<Cookies>
Chemin type : C:\Documents and Settings\username\Cookies.
Dossier virtuel représentant le bureau Microsoft Windows.
<Desktop>
Résolu à la valeur suivante sur l'ordinateur d'extrémité
Espace réservé
Sous Windows Vista et Windows 7, il s'agit du dossier virtuel représentant l'élément du bureau
<Documents>
Mes documents (équivalent à
CSIDL_MYDOCUMENTS). Sous Windows XP, il s'agit du répertoire du système de fichiers utilisé pour stocker physiquement le dépôt de
documents communs d'un utilisateur. Chemin type : C:\Documents and Settings\username\My Documents.
Répertoire du système de fichiers qui sert de dépôt commun pour les éléments préférés de
<Favorites>
l'utilisateur. Chemin type : \Documents and Settings\username\Favorites.
Répertoire du système de fichiers qui sert de dépôt de données pour les applications locales
<Local Application Data>
(non itinérantes). Chemin type : C:\Documents and Settings\username\Local Settings\Application Data.
Répertoire du système de fichiers qui sert de dépôt de données pour les fichiers musique.
<Music>
Chemin type : C:\Documents and Settings\User\My Documents\My Music.
Répertoire du système de fichiers qui sert de dépôt de données pour les fichiers image. Chemin
<Pictures>
type : C:\Documents and Settings\username\My Documents\My Pictures.
Répertoire du système de fichier contenant les données d'application de tous les utilisateurs.
<Program Data>
Chemin type : C:\Documents and Settings\All Users\Application Data.
Dossier Program Files. Chemin type : \Program Files. Pour les systèmes 64 bits, celui-ci sera
<Program Files>
étendu en deux règles : une pour les applications 32 bits et une pour les applications 64 bits.
Répertoire du système de fichiers qui sert de dépôt commun pour les fichiers musique de tous
<Public Music>
les utilisateurs. Chemin type : C:\Documents and Settings\All Users\Documents\My Music.
Répertoire du système de fichiers qui sert de dépôt commun pour les fichiers image de tous
<Public Pictures>
les utilisateurs. Chemin type : C:\Documents and Settings\All Users\Documents\My Pictures.
Répertoire du système de fichiers qui sert de dépôt commun pour les fichiers vidéo de tous les
<Public Videos>
Résolu à la valeur suivante sur l'ordinateur d'extrémité
Espace réservé
utilisateurs. Chemin type : C:\Documents and Settings\All Users\Documents\My Videos.
Répertoire du système de fichiers qui sert de dépôt commun pour les données spécifiques aux
<Roaming>
applications. Chemin type : C:\Documents and Settings\username\Application Data.
Dossier système Windows. Chemin type : C:\Windows\System32. Pour les systèmes 64 bits,
<System>
celui-ci sera étendu en deux règles : une pour le 32 bits et une pour le 64 bits.
Répertoire du système de fichiers qui sert de zone de transit pour les fichiers en attente d'écriture
<Temporary Burn Folder>
sur un CD-ROM. Chemin type : C:\Documents and Settings\username\Local Settings\Application Data\Microsoft\CD Burning.
Répertoire du système de fichiers qui sert de dépôt commun pour les fichiers temporaires
<Temporary Internet Files>
Internet. Chemin type : C:\Documents and Settings\username\Local Settings\Temporary Internet Files.
Dossier du profil de l'utilisateur. Chemin type : C:\Users\username.
<User Profile>
Répertoire du système de fichiers qui sert de dépôt commun pour les fichiers vidéo. Chemin
<Videos>
type : Un chemin type est par exemple
C:\Documents and Settings\NomUtilisateur\My Documents\My Videos.
Répertoire Windows ou SYSROOT. Ceci correspond aux variables d'environnement
<Windows>
%windir% ou %SYSTEMROOT%. Chemin type : C:\Windows.
Toutes erreurs dans les espaces réservés sont journalisées.
17.2.2 Espaces réservés pour le fournisseur de stockage dans le Cloud
En tant que responsable de la sécurité, vous pouvez utiliser des espaces réservés pour les fournisseurs du stockage dans le Cloud afin de définir des applications de synchronisation et des dossiers de synchronisation. Ces espaces réservés représentent les applications tierces de stockage dans le Cloud prises en charge. Vous pouvez utiliser l'espace réservé pour spécifier une certaine application tierce comme application de synchronisation et même utiliser le même espace réservé pour qu'il pointe vers les dossiers de synchronisation que l'application tierce utilise véritablement pour la synchronisation.
Les espaces réservés pour le fournisseur de stockage dans le Cloud sont encapsulés par <! et
!>.
Espaces réservés actuellement pris en charge :
<!Dropbox!>
Exemple :
Au cas où vous utiliseriez Dropbox comme fournisseur de stockage dans le Cloud, vous pouvez simplement saisir <!Dropbox!> pour l'Application de synchronisation :. Si vous ne spécifiez pas explicitement de dossier de synchronisation, <!Dropbox!> est aussi copié dans la liste des dossiers sous Dossier de synchronisation.
En supposant que
■ vous avez utilisé les espaces réservés <!Dropbox!> comme application de synchronisation et <!Dropbox!>\encrypt comme dossier de synchronisation dans la définition Cloud Storage (CSD, Cloud Storage Definition)
■ Dropbox est installé sur le ordinateur d'extrémité
■ l'utilisateur dispose de d:\dropbox configuré en tant que dossier à synchroniser avec Dropbox :
Lorsque le ordinateur d'extrémité Sophos SafeGuard reçoit une stratégie avec une CSD comme celle-ci, il interprète automatiquement les espaces réservés de la CSD pour qu'ils s'accordent avec le chemin de Dropbox.exe pour l'application de synchronisation, puis il lit la configuration Dropbox et définit la stratégie de chiffrement dans le dossier d:\dropbox\encrypt.
17.2.3 Exportation et importation des définitions Cloud Storage
En tant que responsable de la sécurité, vous pouvez exporter et importer des définitions Cloud Storage. Une CSD sera exportée sous la forme d'un fichier XML.
■ Pour exporter une CSD, cliquez sur Exporter une définition Cloud Storage... dans le menu contextuel de la définition Cloud Storage désirée dans la zone Stratégie.
■ Pour importer une CSD, cliquez sur Importer une définition Cloud Storage dans le menu contextuel de la définition Cloud Storage désirée dans la zone Stratégie.
Les deux commandes sont aussi disponibles dans le menu Actions du Policy Editor.
17.3 Création d'une stratégie de protection des périphériques avec le Cloud Storage cible
Des définitions Cloud Storage doivent avoir été créées auparavant.
Vous définissez les paramètres pour chiffrer les données de stockage dans le Cloud dans une stratégie du type Protection de périphérique.
1. Dans la zone de navigation Stratégies, créez une nouvelle stratégie du type Protection de périphérique.
2. Sélectionnez une définition Cloud Storage que vous avez créée auparavant comme cible.
3. Cliquez sur OK . La nouvelle stratégie s'affiche dans la fenêtre de navigation sous Éléments de stratégie. Dans la zone d'action, tous les paramètres pour la stratégie du type Protection de périphérique apparaissent et peuvent être changés.
4. Pour le paramètre Mode de chiffrement du support, sélectionnez Basé sur fichier. Le chiffrement basé sur volume n'est pas pris en charge.
5. Sous Algorithme à utiliser pour le chiffrement, sélectionnez l'algorithme à utiliser pour le chiffrement des données dans les dossiers de synchronisation définis dans la CSD.
6. Paramétrez Clé à utiliser pour le chiffrement sur Clé définie pour le chiffrement pour définir la clé ou les clés qui seront utilisées pour le chiffrement.
7. Paramétrez L'utilisateur est autorisé à créer une clé locale sur Oui.
Remarque : les utilisateurs doivent utiliser les clés locales pour le chiffrement Cloud Storage.
Ceci est particulièrement important pour partager les données chiffrées stockées dans le Cloud avec les utilisateurs qui n'ont pas Sophos SafeGuard. Pour créer des clés locales, reportez-vous à la section Clés locales à la page 114.
8. Si vous activez le paramètre Copier SG Portable sur la cible, SafeGuard Portable, une application qui peut être utilisée pour lire des fichiers chiffrés sur les ordinateurs Windows sur lesquels Sophos SafeGuard n'est pas installé, est copié dans chaque dossier de
synchronisation.
9. Le paramètre Dossier en texte brut vous permet de définir un dossier qui sera exclu du chiffrement. Les données stockées dans les sous-dossiers du dossier en texte brut défini seront aussi exclues du chiffrement. SafeGuard Cloud Storage crée automatiquement des dossiers en texte brut vides dans tous les dossiers de synchronisation définis dans la Définition Cloud Storage.