Mobiele geheugens worden almaar populairder en kleiner. Alle mobiele apparatuur met dataopslag verbieden is niet echt praktisch. Centennial DeviceWall legt afdwingbare regels op voor het gebruik ervan.

Centennial DeviceWall vergrendelt allerlei mobiele (verplaatsbare) apparatuur, dus niet alleen opslagmedia. De software stelt u in staat een beveiligingsreglement op te stellen waarmee u vastlegt welke medewerkers in uw bedrijf toegang hebben tot welke soorten van toestellen. Elke toestelsoort die niet specifiek toegestaan is, is automatisch geblokkeerd voor een gebruiker. DeviceWall blokkeert alleen de toegang tot toestellen die werkelijk een beveiligingsrisico vertegenwoordigen. Een usb-toetsenbord, usb-muis, usb-scanner of usb-printer vormt bijvoorbeeld geen beveiligingsrisico en die zal DeviceWall dus negeren. Bij de beveiliging van cd’s en dvd’s gaat het niet alleen om extern aangesloten lezers of schrijvers, maar ook om de ingebouwde. Zo kunt u gebruikers toestaan te lezen van cd’s maar bijvoorbeeld niet om bestanden vanaf het netwerk of hun pc te branden op een cd-r of cd-rw.

XML

DeviceWall is een client/server-oplossing. U beheert alles met het DeviceWall Control Center. Op alle andere pc’s in het netwerk die u wilt beveiligen draait dan een clientagent en die agenten communiceren met het Control Center. Veiligheidsbeheerders kunnen op hun pc een DeviceWall Monitor installeren om hen in staat te stellen op afstand het aantal geblokkeerde of toegestane toestelverbindingen op het netwerk te volgen, ook als ze niet ingelogd zijn in het DeviceWall Control Center. Vanuit het Control Center kunt u ook agenten distribueren over het netwerk en uiteraard uw beveiligingsreglement uploaden naar de agenten.

DeviceWall slaat nu alle reglementen op als xml-documenten en die worden gepubliceerd via een IIS-webserver, zodat ze gedownload kunnen worden door de clientagent. Zoals u al begrijpt, zorgt het gebruik van http ervoor dat de DeviceWall-beveiliging ook kan werken over firewalls en routers heen. Het hoofdreglement bepaalt de toegangsrechten tot elke toestelklasse voor elke gebruiker op het netwerk. U kunt ‘trustees’ (vertrouwelingen) definiëren – zowel individuele gebruikers als groepen – voor elke toestelklasse die lees- en/of schrijftoegang of -verbod hebben voor de toestellen in deze klasse. De met een toestelklasse geassocieerde lijst van vertrouwelingen noemen we een ACL of ‘Access Control List’ (toegangscontrolelijst). Elke gebruiker die niet in zo’n ACL voorkomt, zal geen enkel toestel uit de gedefinieerde toestelklassen mogen gebruiken. De gebruikers en gebruikersgroepen die zichtbaar zijn in het Control Center, zijn uiteraard uw Windows-gebruikers en -groepen (of die van Active Directory).

Ook in de nieuwe versie is er geen tweewegintegratie tussen DeviceWall en Active Directory, zodat u geen gebruik kunt maken van de Group Policy in Active Directory om toesteltoegang voor gebruikers te regelen. In plaats daarvan loopt dat via een eigen DeviceWall beheersysteem dat op IIS draait op een Windows server.

Conclusie

DeviceWall werkt goed, maar we zouden wel enige uitbreidingen in de functionaliteit op prijs stellen. Zo willen we rechten kunnen vastleggen voor specifieke individuele toestellen naast alle toestellen in een toestelklasse en liefst ook nog voor bepaalde media die in één toestel passen. Zo zouden bijvoorbeeld van een bepaalde signatuur voorziene bedrijfsmedia wel mogen, maar andere niet. De apart verkrijgbare Policy Customizer helpt hierbij, maar perfect is het allesbehalve.

Johan zwiekhorst