Как работает Secret Disk Server NG

Secret Disk Server NG – это программно-аппаратный комплекс защиты корпоративной информации (баз данных, файловых архивов, бизнес-приложений и их данных), хранящейся на серверах под управлением серверных операционных систем Microsoft Windows.

Защита информации обеспечивается шифрованием данных "на лету" с помощью стойких алгоритмов шифрования. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на диске данные всегда зашифрованы.

Подключенный защищённый диск используется точно так же, как и обычный диск. Отключенный защищённый диск представляется системе как неформатированный.

Для выполнения задач администрирования сервера используется электронный ключ или смарт-карта eToken. Шифрование и подключение защищённых дисков, резервное копирование и восстановление мастер-ключей осуществляются лишь после предъявления eToken зарегистрированного администратора и ввода соответствующего пароля. В системе Secret Disk Server NG может быть несколько зарегистрированных администраторов.

В Secret Disk Server NG имеется инструмент резервного копирования защищённого хранилища, в котором содержатся зашифрованные копии мастер-ключей и информация об администраторах Secret Disk Server NG.

Для чрезвычайных ситуаций предусмотрен инструмент "красная кнопка". Он позволяет удалённо отключать защищённые диски. При определённых настройках нажатие "красной кнопки" приводит также к удалению с сервера ключевой информации. В результате даже если злоумышленники завладеют нужным электронным ключом или смарт-картой eToken, узнают пароль и будут обладать полным доступом к серверу, они не смогут прочесть информацию, не располагая резервной копией защищённого хранилища.

При этом Secret Disk Server NG не имеет встроенных средств шифрования, а использует внешние — входящие в состав операционной системы криптографический драйвер режима ядра и Microsoft Enhanced CSP или/и отдельно устанавливаемые криптопровайдеры Signal-COM CSP, КриптоПро CSP или Infotecs CSP, а также пакет дополнительных алгоритмов шифрования Secret Disk.

Стандартный поставщик криптографии Secret Disk Server NG использует:

• криптографический драйвер режима ядра, входящий в состав Microsoft Windows и реализующий алгоритмы DES и Triple DES — для шифрования дисков;
• Microsoft Enhanced CSP — для генерирования и защиты мастер-ключей защищённых дисков, а также аутентификации.

Кроме того, Secret Disk Server NG совместим с Signal-COM CSP, КриптоПро CSP или Infotecs CSP. Использование этих поставщиков службы криптографии позволяет шифровать диски по алгоритму, соответствующему ГОСТ 28147-89 "Система обработки информации. Защита криптографическая", и защищать мастер-ключи защищённых дисков также с использованием сертифицированных российских криптографических средств.

С веб-сайта компании Aladdin можно бесплатно загрузить пакет дополнительных алгоритмов AES и Twofish, дополняющий стандартную поставку криптографии Secret Disk Server NG.

Сертификаты открытого ключа

Для выполнения любого действия по администрированию Secret Disk Server NG необходимо иметь смарт-карту или USB-ключ eToken с электронной лицензией администратора. Кроме того, в памяти eToken должен находиться сертификат открытого ключа администратора Secret Disk Server NG и соответствующий ему закрытый ключ. Можно использовать уже имеющиеся сертификаты (например, сертификат для входа в сеть или ЭЦП и шифрования почты). Если у администратора нет цифрового сертификата, Secret Disk Server NG сгенерирует закрытый ключ и сертификат.

При работе с КриптоПро CSP, Signal-COM CSP или Infotecs CSP используются сертификаты открытого ключа, совместимые с этими поставщиками службы криптографии. В остальных случаях в Secret Disk Server NG применяются сертификаты на основе ключей RSA. Таким образом, у администратора может быть не один, а два или даже три сертификата — по одному для каждого стандарта.

Как правило, если в организации используются сертифицированные российские средства шифрования, то администратору достаточно иметь сертификат с закрытым ключом, созданный с помощью Signal-COM CSP, КриптоПро CSP или Infotecs CSP. Диски при этом шифруются только по алгоритму, соответствующему ГОСТ 28147-89. Если же использование именно российских криптографических средств является необязательным, то применяется сертификат, связанный с ключевой парой RSA, а диски шифруются по алгоритмам AES, DES, Triple DES или Twofish. Таким образом, в большинстве практических случаев администратор использует единственный сертификат.

Шифрование дисков

Secret Disk Server NG не имеет встроенных средств шифрования, а использует внешние — входящие в состав операционной системы Microsoft Enhanced CSP или/и отдельно устанавливаемые криптопровайдеры, а также пакет дополнительных алгоритмов шифрования Secret Disk.

Алгоритмы, реализуемые криптографическим драйвером режима ядра, входящим в состав Windows (DES и Triple DES), всегда доступны для использования. Алгоритм, соответствующий ГОСТ-28147-89, можно использовать при наличии на сервере и рабочей станции администратора поставщика службы криптографии КриптоПро CSP, Signal-COM CSP или Infotecs CSP. Кроме того, если на сервере установлен пакет дополнительных криптографических алгоритмов Secret Disk, то возможно применение алгоритмов AES и Twofish.

После выбора алгоритма шифрования выполняется генерация уникального ключа шифрования диска. Для каждого администратора Secret Disk Server NG сгенерированный ключ шифрования диска зашифровывается с применением открытого ключа соответствующего сертификата и сохраняется в зашифрованном виде на системном диске сервера в так называемом защищённом хранилище.

Содержимое диска шифруется посекторно с использованием выбранного алгоритма шифрования и сгенерированного ключа шифрования диска. Процесс шифрования диска может быть приостановлен администратором или даже прерван (например, из-за перебоев электропитания), однако это не повлечёт за собой потерю данных. Приостановленный или прерванный процесс шифрования может быть возобновлён в любой удобный момент.

По завершении процесса шифрования всё содержимое диска становится зашифрованным, что обеспечивает надёжную криптографическую защиту хранящихся на нём данных. При прямом просмотре содержимое отключенного защищённого диска выглядит как случайная последовательность битов или, говоря по-другому, "белый шум", поскольку все данные зашифрованы. По содержимому раздела диска невозможно определить, является ли данный раздел просто неформатированным, или же на нём имеется какая-то информация.

Подключение диска

Для того чтобы открыть доступ к данным на защищённом диске, администратор Secret Disk Server NG должен подключить диск. Для этого хранящийся в памяти eToken закрытый ключ, доступ к которому возможен только после ввода пароля, будет использован для расшифрования ключа шифрования диска. Расшифрованный таким образом ключ шифрования диска загружается в драйвер Secret Disk Server NG (при использовании драйверов режима ядра) или передаётся поставщику службы криптографии (CSP).

Администрирование и ключевая схема

При обращении к любым инструментам управления Secret Disk Server NG администратор должен подключить к компьютеру свой eToken, указать свой сертификат и ввести пароль. Таким образом реализуется двухфакторная аутентификация администратора при обращении к элементам управления.

На сервере может быть зарегистрировано произвольное число администраторов Secret Disk Server NG. Любой администратор может добавить нового администратора или удалить существующего из списка зарегистрированных администраторов Secret Disk Server NG.

По умолчанию все администраторы равноправны по отношению ко всем защищённым дискам сервера. Вместе с тем в Secret Disk Server NG предусмотрена возможность коллективной работы администраторов с разграничением доступа: каждому защищённому диску можно сопоставить свой уникальный список администраторов, имеющих полномочия управлять данным защищённым диском.

При добавлении нового администратора указывается сертификат открытого ключа, который добавляемый администратор будет использовать. При этом ключи шифрования тех защищённых дисков, управлять которыми имеет полномочия добавляющий администратор, считываются из защищённого хранилища, расшифровываются с применением закрытого ключа добавляющего администратора, зашифровываются с использованием открытого ключа добавляемого администратора и записываются в защищённое хранилище. Таким образом, добавляемый администратор будет иметь полномочия управлять теми же защищёнными дискам, что и добавляющий администратор.

Контроль доступа к защищённым дискам

После подключения зашифрованных дисков хранящиеся на них данные становятся доступны пользователям и приложениям. Доступ по сети к зашифрованным дискам контролирует Secret Disk Server NG, а права отдельных пользователей или групп пользователей устанавливаются стандартными средствами операционной системы.

Secret Disk Server NG может разрешать или запрещать доступ по сети к зашифрованным дискам.

Secret Disk Server NG шифрует диски сервера, с которыми пользователи работают по сети. Поэтому Secret Disk Server NG для файл-сервера всегда разрешает доступ по сети к зашифрованным дискам. В этом случае права доступа пользователей или групп на уровне сетевого ресурса устанавливаются стандартными средствами операционной и файловой системы сервера. Системный администратор всегда может получить доступ к таким дискам через административные сетевые ресурсы.

Для защиты сервера приложений (сервер баз данных, почтовый сервер, сервера 1С, Lotus Domino и др.) используется Secret Disk Server NG для сервера приложений. На дисках сервера приложений размещаются данные, которые обрабатываются только самим сервером и прямой доступ пользователей по сети не нужен (например, файлы базы данных, обрабатываемые экземпляром СУБД Microsoft SQL Server, исполняющимся на этом же сервере, или хранилище писем почтового сервера, с которым работает установленный на этом же сервере Microsoft Exchange).

Secret Disk Server NG для сервера приложений не только шифрует диски сервера, но и позволяет установить полный запрет на доступ к ним по сети. В этом случае непосредственно обращаться к данным на таком диске будут только приложения, установленные на сервере. Доступ по сети к содержимому такого подключенного диска невозможно будет получить никому, даже системному администратору домена Windows через административные сетевые ресурсы (ресурсы вида \\<имя_сервера>\<буква_диска>$). Никто, даже системный администратор, не сможет скачать по сети с сервера базу данных, базу 1С или почтовую базу.

Secret Disk Server NG для файл-сервера и Secret Disk Server NG для сервера приложений различаются только на уровне лицензирования. Наличие лицензии Secret Disk Server NG для сервера приложений позволяет задействовать функционал Secret Disk Server NG, запрещающий доступ по сети к зашифрованным дискам.

Эта возможность может оказаться полезной для небольших организаций, в которых часто один сервер выполняет сразу две функции: файл-сервера и сервера приложений (т.е на одном сервере есть диски, доступ к которым по сети должен быть разрешен, и есть диски, доступ к которым по сети не должен быть разрешен).

В этом случае можно приобрести сразу две лицензии: лицензию Secret Disk Server NG для файл-сервера (на требуемое число пользователей сетевых дисков сервера, например 10) и лицензию Secret Disk Server NG для сервера приложений. Тогда на сервере для одного зашифрованного диска доступ по сети может быть разрешён, а для другого – запрещён средствами Secret Disk Server NG.

Сценарии управления защищёнными дисками

Система предоставляет возможность создания собственных сценариев (командных файлов), выполняемых на сервере для каждого из защищённых дисков в отдельности:

• до подключения диска;
• после подключения диска;
• до отключения диска;
• после отключения диска.

Для написания сценария может быть использован любой из имеющихся в системе язык сценариев (командный файл, JavaScript, VBScript, Perl, «Monad»). На языке описания сценариев самостоятельно может быть написан требуемый сценарий работы при наступлении того или иного события.

Например, после подключения диска могут производиться:

• проверка содержимого диска программой Chkdsk;
• запуск служб, работающих с данными на этом диске (например, запуск экземпляра Microsoft SQL Server, работающего с базой данных, расположенной на этом диске).

Например, до отключения диска могут производиться:

• остановка служб, работающих с данными на этом диске (например, останов экземпляра Microsoft SQL Server, работающего с базой данных, расположенной на этом диске);
• закрытие сетевых сессий и файлов, открытых удалёнными пользователями.

Сигнал "тревога" и экстренное блокирование доступа

Для чрезвычайных ситуаций в Secret Disk Server NG предусмотрен механизм подачи сигнала "тревога". В случае опасности, подача сигнала "тревога" приведёт к выполнению на сервере команд, экстренно предотвращающих несанкционированный доступ.

Реализованный в Secret Disk Server NG механизм реакции на сигнал "тревога" позволяет отключать защищённые диски, а при определённых настройках на стороне сервера – также удалять с сервера ключевую информацию (защищённое хранилище). В результате, даже если злоумышленники завладеют нужным электронным ключом или смарт-картой eToken, узнают пароль и будут обладать полным доступом к серверу, они не смогут прочесть информацию, не располагая резервной копией защищённого хранилища.

В состав штатной поставки Secret Disk Server NG входит программно-аппаратный комплекс Secret Disk NG Alarm, состоящий из программного обеспечения и "красной кнопки".

Сигнал "тревога" может быть подан:

• с использованием программного обеспечения - с клавиатуры компьютера или "мышью";
• при нажатии "красной кнопки", входящей в комплект штатной поставки, и подключенной к одному из компьютеров локальной сети;
• от радио-брелока (приобретается дополнительно: в комплект входят радиоприемник, подключаемый к порту COM сервера, и до 12 радио-брелоков);
• от различных датчиков, обнаруживших несанкционированное проникновение в серверную комнату или открывание серверной стойки: датчики открывания дверей, движения, изменения объема;
• от кодового замка, используемого для защиты при входе в помещение и имеющего код входа под принуждением;
• с сотового телефона путем звонка на заданный номер и ввода требуемой комбинации цифр и пр.

Интерфейс подключения внешних устройств (кнопок, датчиков и пр.) открыт и документирован в эксплуатационной документации, что позволяет подключать к системе практически любые устройства.

Система контролирует не только нажатие "красной кнопки", но и постоянно диагностирует ее состояние так, чтобы кнопка не могла быть случайно или умышленно отключена и не сработать в нужный момент.

Реакция на сигнал «тревога» настраивается как для каждого из защищённых дисков в отдельности, так и для всего сервера.

Отработка сервером сигнала "тревога" происходит в два этапа. Вначале для каждого из защищённых дисков выполняются:

• сценарий, предусмотренный для выполнения перед отключением диска (он может быть пропущен для сокращения времени реакции данного диска на сигнал "тревога");
• удаление ключей шифрования диска из памяти сервера;
• сценарий, предусмотренный для выполнения после отключения диска (он может быть пропущен для сокращения времени реакции данного диска на сигнал "тревога").

После отработки "тревоги" каждым из защищённых дисков происходит отработка сигнала "тревога" для сервера целиком – это может быть удаление с диска сервера защищённого хранилища (если это задано настройками).

Для восстановления доступа к защищенной информации достаточно подключить заново зашифрованные диски с консоли администратора, подключив eToken администратора Secret Disk Server NG и введя его правильный пароль. Если же реакцией сервера на сигнал «тревога» было предусмотрено удаление с диска сервера защищённого хранилища, то для восстановления доступа к защищённым данным вначале потребуется восстановление защищённого хранилища из его резервной копии.

← Назад: Описание

Далее: Спецификация →