Серверные технологии: храним, защищаем, обслуживаем
По данным исследования «Information Security Breaches Survey 2006» (ISBS 2006), в ходе которого PriceWaterhouseCoopers и DTI опросили более 1 тыс. компаний, 80% крупных организаций обладают высоко конфиденциальной информацией. Кроме того, 74% имеют в активе данные, нарушение целостности, искажение или недоступность которых приведет к значительному ущербу для бизнес-процесса. Подобная информация чаще всего хранится и обрабатывается на корпоративных серверах. Вывод напрашивается сам собой: обеспечение безопасности конфиденциальной информации и построение серверной защиты являются важнейшими приоритетами для современных компаний. Возможные пути реализации – в данной статье.
Современный уровень развития отечественных компаний (не говоря уже о международных) достиг того, что практически вся важная информация, которую можно отнести к разряду коммерческой тайны, хранится в электронном виде на серверах локальной сети: почтовом, файловом, серверах баз данных и т.п. Понятно, что при этом одной из первоочередных задач является защита их от несанкционированного доступа, или, попросту говоря, от воровства. Главная сложность здесь заключается в том, что доступ к такого рода данным нельзя закрыть полностью. Сотрудники компании должны иметь возможность работы с этой информацией, естественно, в пределах своих прав. Те данные, которыми оперируют бухгалтеры, по понятным соображениям не стоит просматривать менеджерам. Ну а, например, планы развития компании, банк бизнес-идей или стратегии выхода на новые рынки вообще должны быть доступны только руководству.
Понятно, что компаниям необходима очень гибкая система защиты информации на корпоративных серверах, которая с одной стороны может свести к минимуму все возможные риски, в том числе, и возникающие из-за пресловутого «человеческого фактора», а с другой – обеспечить возможность работы сотрудников с необходимой для исполнения служебных обязанностей информацией.
Серверные системы защиты данных
Для того, чтобы понять, как данные на сервере можно защитить от несанкционированного доступа, необходимо разобрать варианты действий злоумышленников.
Наиболее распространенным из них является физический доступ к компьютеру, способы получения которого ограничиваются только фантазией потенциального вора: здесь и методы социальной инженерии, и подкупы, и даже банальный взлом. Действительно надежно защититься абсолютно от всех подобных случаев невозможно. Как известно, ни одна компания в мире не застрахована от того, чтобы однажды не оказаться мишенью для вора. Но раз мы не можем уберечь данные от попадания в руки злоумышленников, значит, нам остается только одно - сделать так, чтобы они не принесли ему никакой пользы, а нам – никакого вреда, в случае пропажи. Одним из способов достижения этой цели является шифрование корпоративной информации, часто являющейся коммерческой тайной.
Сегодняшний рынок продуктов и решений, призванных защитить информацию, хранящуюся и обрабатываемую на самых разных носителях, предлагает широкий выбор различных средств защиты на основе криптографических преобразований т.е. шифрования. Однако подавляющее большинство из них не адекватно стоящим задачам. Дело в том, что всяческие утилиты для шифрования не учитывают специфику корпоративного использования: большие объемы информации, необходимость предоставлять доступ по локальной сети, простое и удобное управление системой защиты и т.п. Поэтому для защиты информации на серверах используются специфичные продукты, которые обязательно должны удовлетворять следующим критериям.
Первый и самый главный из них - реализация принципа прозрачного (или фонового) шифрования. Заключается он в следующем. Данные на жестком диске сервера всегда, даже во время работы с ними пользователей, находятся только в закодированном виде. И когда бы злоумышленник не получил прямой доступ к серверу, он станет обладателем бессмысленного набора байтов. Работа с информацией пользователей становится возможна, благодаря установленному на сервере программному обеспечению (ПО). ПО считывает данные с жесткого диска и расшифровывает их в оперативной памяти. Таким образом, конфиденциальная информация никогда не попадает на винчестер сервера в открытом виде. Данная реализация позволяет сотрудникам компании работать так, будто никакой системы защиты информации нет вообще. Важной особенностью продуктов, реализующих принцип прозрачного шифрования, является то, что «открытость» или «закрытость» информации зависит от наличия или отсутствия ключа шифрования в оперативной памяти сервера. Если он есть, то защищенный диск доступен и определяется как раздел жесткого диска. В противном случае это место «кажется» операционной системе просто неразбитым пространством.
Таким образом, программное обеспечение, в котором реализован принцип прозрачного шифрования, самым выгодным образом отличается от простых криптографических утилит, которые не подходят для корпоративного использования. Ведь каждый раз перед началом рабочего дня придется расшифровывать всю информацию, а после него – зашифровывать ее обратно. Это, во-первых, будет отнимать очень много времени, а во-вторых, в течение всего дня данные оказываются ничем не защищены.
Вторым критическим критерием для отбора серверных криптографических продуктов являются объекты, с которыми они могут работать. Здесь самым важным моментом является возможность шифрования реальных разделов винчестеров. Дело в том, что сегодня на рынке представлено довольно большое количество продуктов для криптографической защиты т.н. файлов-контейнеров, которые могут подключаться к системе в качестве виртуальных дисков. Но хотя в них и реализован принцип прозрачного шифрования, для корпоративного использования они не подходят. Во-первых, скорость чтения и записи информации с виртуальных дисков напрямую зависит от их размеров и количества подключенных пользователей. Во-вторых, существует относительно высокая вероятность повреждения файла-контейнера в результате деятельности вирусов, сбоев программного и аппаратного обеспечения и т.д. При этом вся информация, хранящаяся в нем, будет безвозвратно утеряна. Ну и, в-третьих, файл-контейнер обладает мобильностью, то есть его можно скопировать на какой-либо носитель и вынести из офиса компании.
Таким образом, подходящим для защиты информации на сервере может считаться только тот продукт, который удовлетворяет обоим перечисленным выше требованиям. Помимо этого существует целый ряд критериев, которые считаются общими для всех криптографических систем. Основной среди них - использование надежных, широко известных алгоритмов шифрования. Эксперты в области информационной безопасности не рекомендуют выбирать те продукты, в которых применяются закрытые разработки различных производителей ПО, так как в подавляющем большинстве случаев в надежности они серьезно уступают. Кроме того, стоит отметить, что у разных компаний есть различные требования к криптоалгоритмам. В некоторых случаях существует даже законодательное ограничение на использование только сертифицированных средств шифрования данных – на этом аспекте мы остановимся ниже.
Четвертым критерием оценки криптографических систем является способ хранения ключей шифрования и принцип аутентификации администратора. Наиболее рискованный вариант, когда ключи записываются вместе с данными в закодированном на основе обычного пароля виде. В этом случае надежность всей криптографической системы, фактически, сводится к надежности (как известно, довольно невысокой) парольной защиты. Поэтому оптимальным вариантом является использование для аутентификации администратора токенов или смарт-карт. В этом случае ключи шифрования могут храниться в их защищенной памяти (и никогда не покидать её, что является базовым преимуществом смарт-карточной архитектуры) или же надежно шифроваться с их помощью. Но и это еще не все. Желательно, чтобы в серверной системе криптографической защиты были реализованы некоторые дополнительные функции. Одной из них является возможность экстренного отключения зашифрованных дисков в чрезвычайных ситуациях, например, при нападении на офис. Возможность интеграции системы защиты информации в общую систему безопасности предприятия представляется наиболее логичным методом защиты, поскольку в этом случае можно организовать автоматическое отключение дисков при возникновении определенных ситуаций: срабатывание сигнализации, датчика движения в серверной комнате и т.п.
Еще одной особенностью системы криптографической защиты информации на сервере является возможность удаленного администрирования. Ее наличие позволяет разделить функции системного администратора и администратора безопасности. При этом первый никак не может повлиять на безопасность данных и нет необходимости предоставлять последнему доступ в серверную комнату.
Но прямой доступ к серверу - не единственный способ воровства информации. Другим достаточно распространенным вариантом является копирование различных баз данных (почтовых, бухгалтерских и т.п.) собственно сотрудниками компании, у которых есть вполне легальный доступ к этим данным. «Группой риска» для компании в этом плане являются привилегированные пользователи, уровень полномочий которых с точки зрения доступа значительно выше, к ним в частности, относятся и те самые системные администраторы. Дело в том, что у них есть возможность получить доступ к любым данным и "замести за собой следы". При этом сами они являются чисто техническими специалистами, не привязанными к компании, а в некоторых случаях, вообще приходящими, то есть сотрудничающими с несколькими организациями. Поэтому во избежание утечки коммерческих данных необходимо, чтобы корпоративная система информационной безопасности предусматривала возможность разграничения прав доступа, независимую от системных администраторов, управляющих работой сервера.
Выбор серверной системы защиты данных
К выбору системы защиты коммерческих данных от несанкционированного доступа нужно подходить с особой тщательностью. И хотя сегодня на рынке присутствует не так уж и много игроков, остановиться на каком-то одном из них непросто: у каждого есть свои преимущества и недостатки. Попробуем привести краткий пример первичного анализа продуктов по описанным выше критериям. Сравним наиболее близкостоящие друг к другу продукты одной ниши, а именно Secret Disk Server NG от компании Aladdin, StrongDisk Server от «Физтех-софт» и Zserver - от SecurIT.
Все они реализуют принцип прозрачного шифрования, а поэтому удовлетворяют первому критерию.
Второй параметр – это объекты защиты. Продукт Zserver предназначен для обеспечения безопасности отдельных разделов жестких дисков и данных, размещенных на дисковых массивах и в хранилищах SAN. Система StrongDisk Server не работает с хранилищами SAN, но зато позволяет зашифровывать мобильные носители и файлы-контейнеры. И хотя это напрямую не относится к защите информации на сервере, эта возможность несколько расширяет область использования продукта. Secret Disk Server NG работает с жесткими дисками и любыми их массивами, а также со съемными дисками и динамическими томами.
Третьим параметром сравнения является реализованная в системах защиты криптографическая технология. В этом продукты Secret Disk Server NG и Zserver очень похожи. У них вообще нет встроенных средств шифрования, а для криптографических преобразований используются внешние криптопровайдеры – специальные программные или аппаратные модули с реализованными в них различными алгоритмами шифрования. Один из них встроен в операционную систему Windows. Таким образом, всем пользователям доступны криптографические технологии DES и Triple DES. Кроме того, с сайтов разработчиков можно загрузить отдельные модули с надежными и широко распространенными алгоритмами шифрования. Кстати, в качестве криптопровайдеров могут использоваться сертифицированные ФСБ РФ модули, реализующие алгоритм ГОСТ 21847-89. Особняком стоит система StrongDisk Server. Дело в том, что в ней самой реализовано несколько различных алгоритмов шифрования: Triple DES, AES, Blowfish, Twofish, CAST и IDEA. И это накладывает ряд законодательных ограничений на ее использование и распространение. Реализована в программе StrongDisk Server и возможность подключения внешних криптопровайдеров.
Следующий шаг - сравнение продуктов по способу хранения ключа шифрования и аутентификации администратора. В StrongDisk Server ключ хранится вместе с защищенной информацией в закодированном виде. А администратор безопасности сам выбирает данные, которые используются для его расшифровывания: обычный пароль, файл-ключ, специальный код в памяти USB-токена или их сочетания. В Zserver для хранения ключа используется защищенная память USB-токенов или смарт-карт, входящих в комплект поставки системы. Еще дальше пошли разработчики из компании Aladdin. В комплект поставки их продукта Secret Disk Server NG входят USB-токены eToken, которые используются не просто как «защищенные дискеты» для хранения ключей, а в качестве активных криптографических устройств. Как уверяют разработчики, ключи eToken не могут быть продублированы даже самим администратором, что обеспечивается архитектурными особенностями смарт-карты. При подключении защищённых дисков (включение шифрования) и администрировании системы администратор проходит процедуру строгой двухфакторной аутентификации. Для этого используется ключ или смарт-карта eToken PRO, в котором хранится аппаратно сгенерированный закрытый ключ, соответствующий цифровому сертификату X.509. Ключ хранится в защищённой памяти eToken, никогда не выходит наружу и не может быть перехвачен (что подтверждено сертификатами безопасности eToken). eToken подключается к компьютеру администратора, трафик между ним и сервером защищен.
Дальше можно переходить к разбору дополнительных возможностей систем серверной криптографической защиты. Стоит отметить, что многие из них у рассматриваемых продуктов похожи друг на друга (это не значит, что они есть абсолютно во всех продуктах этого класса). А поэтому мы кратко разберем их на примере первой в нашем списке системы защиты. Как мы уже говорили, одной из наиболее важных является функция экстренного отключения зашифрованных дисков. Она может запускаться с компьютеров пользователей и по команде внешних устройств. Интересно, что в комплект поставки Secret Disk Server NG и Zserver входят специальные проводные кнопки и радиобрелоки, которые используются для подачи сигнала «тревога».
Другим очень важным моментом является наличие возможности задавать скрипты или сценарии, которые запускаются при совершении определенных событий: подключении или отключении дисков, подачи сигнала «тревога». В Secret Disk Server NG администратор может устанавливать сценарии для каждого защищенного диска в отдельности. Это важно, поскольку для разных серверов могут понадобиться различные действия. Так, например, для сервера баз данных необходимо корректно завершить работу СУБД. В противном случае существует риск повреждения БД со всеми вытекающими отсюда последствиями. Поэтому даже при экстренном отключении необходимо, чтобы СУБД правильно завершила свою работу. В тоже время для файлового сервера таких ограничений нет. Поэтому диски на нем могут отключаться сразу.
Также немаловажной функцией является возможность перешифровывания защищенных дисков с новым ключом. Она может пригодиться при возникновении риска компрометации информации, например, при утере офицером безопасности своего токена, обнаружении следов взлома и т.п.
Отдельного упоминания заслуживает функция резервного копирования защищенной информации. В продукте Zserver такой возможности нет. При ее использовании резервные копии можно создавать с помощью любых внешних программ при подключенных защищенных дисках. Естественно, данные в этом случае в архив попадают в открытом виде, а для их защиты компания SecurIT предлагает отдельную систему. В StrongDisk Server возможность резервного копирования есть, но она касается только файлов-контейнеров, чего в нашем случае явно недостаточно. Secret Disk Server NG реализована возможность резервного копирования защищенных разделов жестких дисков и открытых в эксклюзивном режиме файлов без остановки работающих сервисов и приложений.
Интересной особенностью систем Zserver и Secret Disk Server NG, которая отсутствует в StrongDisk Server, является возможность приостановки процесса шифрования дисков, его отмены и продолжения. И ее нельзя недооценивать. Помимо удобства в использовании эта функция защищает от одной опасности. Дело в том, что процесс криптографических преобразований больших объемов данных занимает относительно много времени (это касается первоначального шифрования, перешифровывания и полного расшифровывания информации). И какой-то сбой в работе операционной системы или, например, отключение электропитания может привести к тому, что данные будут утеряны.
Достойная отдельного упоминания уникальная возможность есть у продукта Zserver. Речь идет о так называемом кворуме ключей. Суть этой функции заключается в следующем. При шифровании информации сгенерированный системой ключ делится на несколько частей, каждая из которых выдается одному ответственному сотруднику. В будущем для того, чтобы подключить закрытый диск, необходимо загрузить в память сервера установленное офицером безопасности количество частей этого ключа. Причем не обязательно все. Такой подход снижает риск влияния человеческого фактора на информационную безопасность (никто из сотрудников не может получить доступ к информации в одиночку) и обладает достаточной гибкостью для обеспечения работоспособности системы (защищенный диск можно открыть даже тогда, когда не все ответственные сотрудники находятся в офисе).
Разработчики компании Aladdin «отвечают» на это несколькими уникальными функциями, реализованными в их детище. Две из них мы уже рассмотрели (резервное копирование защищенных дисков и использование токенов в качестве активных криптографических устройств с поддержкой PKI). Осталось сказать пару слов о последней. Речь идет о реализации многопоточного шифрования информации. Эта возможность позволяет добиться больших скоростей криптографических преобразований. Разница особенно сильно заметна на многопроцессорных серверах, а также в однопроцессорных системах с технологией Hyper-Threading.
Ну а теперь пришла пора вспомнить о третьем наиболее распространенном способе воровства конфиденциальной информации с корпоративных серверов. Речь идет о блокировании сетевого доступа к защищенным дискам. Это значит, что ни один сотрудник, даже системный администратор, не сможет обратиться к закрытой информации по сети с помощью стандартных средств операционной системы. Продукты Zserver и Secret Disk Server NG обеспечивают работу с информацией только опосредовано, через приложения, работающие на стороне сервера: СУБД, почтовый сервер и т.п. Такой подход позволяет в действительности контролировать доступ к данным с помощью работающих в этих приложениях политик, не позволяя людям копировать базы и файлы целиком.
И последняя особенность, о которой стоит упомянуть в сравнении выбранных продуктов, относится не к технологической реализации, а скорее к возможностям применения и такому немаловажному аспекту в деле защиты данных, как доверие качеству продукта. Собственно, речь идёт о наличии российских сертификатов.
Федеральный Закон «Об информации, информатизации и защите информации», принятый 20 февраля 1995 года, содержит список организаций и учреждений, которые в обязательном порядке должны использовать только сертифицированные системы защиты данных. Сертификат является подтверждением надежности продукта, отсутствии недекларированных возможностей, специально оставленных «дыр» и т.п. Иными словами, сертификат – это не только вопрос обязательств перед законом, но и доверия к компании-разработчику и её продукту.
Подобные сертификаты выдаются ФСТЭК России (Федеральная служба по техническому и экспортному контролю) после прохождения соответствующих испытаний продукта. Среди рассмотренных нами систем серверной защиты сертификатом обладает пока лишь одна - Secret Disk Server NG, причем сертификаты ФСТЭК имеют все ее элементы: программные модули, смарт-карты и USB-ключи.
Подводим итоги
Приходится констатировать, что на сегодняшний день в России, по сравнению с США и странами Европы, развитие рынка информационной безопасности носит «догоняющий» характер. Причем главная проблема заключается не в том, что у нас нет качественных продуктов или технологий. Российские специалисты ценятся во всем мире, а их разработки стабильно вызывают интерес зарубежных рынков и отдельных компаний (вспомним хотя бы факт того, что в этом году Россия получила статус «страны-партнера» CeBIT - крупнейшей IT-выставки в мире). Однако при наличии рыночного предложения всех возможных технологических средств защиты, отечественные компании регулярно сталкиваются с проблемами в области ИТ-безопасности, в частности, с утечками конфиденциальных данных, следствием которых являются открытые продажи различных баз данных, потеря финансовых активов, клиентов, репутации… Налицо парадокс.Предложение есть, но руководство отечественных компаний все еще не выделяет достаточно средств на их приобретение, явно недооценивая возможные риски, зачастую весьма и весьма высокие. Между тем затраты на систему информационной безопасности, возможно и не столь явно, но окупаются. Это можно легко понять, представив возможный инцидент и его последствия для конкретной компании.
К сожалению, зрелость отечественного бизнеса, особенно компаний сегмента SMB, пока еще не вышла на уровень понимания информационной безопасности как метода управления рисками. Задумываясь о приобретении средств защиты лишь постфактум, когда конфиденциальные данные уже стали известны тем, для кого они не предназначались, отечественный бизнес рискует, и ставки здесь достаточно высоки. Остаётся лишь надеяться, что международный опыт, заставит наши компании задуматься и сделать правильный вывод о необходимости использования средств защиты информации, в том числе, и систем криптографической защиты конфиденциальных данных на корпоративных серверах.