Шифрование дисков "на лету": как защитить конфиденциальную информацию
Экспертный комментарий Ильи Щавинского, менеджера по развитию бизнеса компании "Аладдин Р.Д."
Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.
Как отмечалось в статье "Как управлять рисками утечки критичных данных", бизнес вынужден постоянно снижать уровень риска утечки конфиденциальной информации. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме "на лету".
От постановки требований к системе зависит многое
Системы прозрачного шифрования, представленные на рынке, имеют, на первый взгляд, много общего: ведь все они решают одну и ту же задачу. Но у бизнеса всегда есть свои специфические требования. Ниже приведён список наиболее актуальных из них.
Требования, предъявляемые к системам прозрачного шифрования
| № | Описание требований | |
|---|---|---|
| 1 | Стойкость шифрования | Стойкость защиты должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования |
| 2 | Надёжность алгоритмов шифрования | Используемый алгоритм шифрования не должен иметь слабых мест, которыми могли бы воспользоваться криптоаналитики |
| 3 | Безопасное использование ключей | Ключ шифрования должен быть недоступен для злоумышленника. Несоблюдение принципов безопасного использования ключей шифрования может поставить под угрозу защищённость информации, даже при том, что в системе будут реализованы самые криптостойкие алгоритмы |
| 4 | "Прозрачность" шифрования | Шифрование должно происходить максимально "прозрачно" для пользователя – он не замечает процесса зашифрования и расшифрования данных во время работы |
| 5 | Устойчивость к ошибкам | Система должна быть максимально устойчива к случайным ошибкам и неправильным действиям пользователей |
| 6 | Многофакторная аутентификация | Выполнение проверки прав пользователей на доступ к защищаемым данным должно быть реализовано на основе средств многофакторной аутентификации |
| 7 | Дополнительный функционал для работы в чрезвычайных ситуациях | В чрезвычайных ситуациях, когда становится известно о попытке физического доступа или попытке изъятия серверного оборудования, крайне полезным инструментом защиты становится возможность экстренного прекращения доступа к данным |
| 8 | Защита от инсайдеров | Все пользователи системы, включая системных администраторов и технический персонал, должны иметь доступ к физической файловой системе исключительно в рамках своих полномочий, прописанных в ИБ-политиках компании |
Источник: "Аладдин Р.Д.", 2016
Первые два пункта, касающиеся надёжности и стойкости алгоритмов шифрования, требуют от поставщиков службы криптографии соответствия их продуктов требованиям регуляторов. В РФ это использование ГОСТ 28147‐89 с длиной ключа 256 бит в решениях от криптопровайдеров, имеющих лицензию ФСБ России.
Как защититься от системного администратора?
Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьёзную угрозу, от которой не спасёт криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере.
В условиях текущей непростой экономической ситуации у ряда сотрудников, включая системных администраторов, возникает желание скопировать корпоративную информацию для её продажи на чёрном рынке или в качестве дополнительного преимущества перед конкурентами-соискателями при устройстве на новую работу. Это обостряет отношения между руководством и персоналом компаний.
А значит, выбираемая система прозрачного шифрования просто обязана иметь механизмы, реализующие комплекс требований по защите от системного администратора, что нашло своё место в списке требований к решению.
Виртуальная файловая система – важный компонент защиты
Так какой же механизм лежит в основе лучших в своём классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, представленные выше? На практике он выражается простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал "одновременностью доступа".
"Но если на компьютере пользователя установлена ОС Windows, что в РФ практически стало корпоративным стандартом, то достижение "одновременности доступа" – задача не из простых. Виной тому эффект когерентности Windows: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Поэтому приходится решать и проблему "одновременности существования" файлов", – рассказывает Илья Щавинский, менеджер по развитию бизнеса компании "Аладдин Р.Д.". А проблема решается оригинальным способом при помощи совместной работы "виртуальной файловой системы" (ВФС) и фильтра драйвера файловых систем, схема работы которых приведена ниже.
Виртуальная файловая система
Источник: "Аладдин Р.Д.", 2016
Как видно из схемы, диспетчер кэша "считает", что работает с двумя разными файлами. Для этого ВФС формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы.
Для ограничения доступа к файлам драйвер файловых систем при обращении к защищённым ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище.
В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.
Системные администраторы и другие технические специалисты, у которых нет возможности получить ключи шифрования в расшифрованном виде, будут работать с реальной, надёжно зашифрованной файловой системой. При этом у них сохраняется возможность корректно выполнять свои служебные обязанности, например, создавать резервные копии зашифрованной информации, не нарушая конфиденциальности самой информации. Тем самым выполнятся важное требование о защите информации от инсайдеров.
Без многофакторной аутентификации риски не снизить
Для многофакторной аутентификации пользователей для загрузки операционной системы и для доступа к зашифрованным данным обычно применяют токен или смарт-карту – устройство, на которых хранится сертификат открытого ключа этого пользователя и соответствующий ему закрытый ключ.
Централизованная система управления и хранения ключей шифрования защищает от потери этих ключей ‐ они находятся на защищённом сервере и передаются пользователю лишь по мере необходимости. Также компания контролирует доступ сотрудников к принадлежащим им данным и в любой момент может запретить его. Кроме того, возможен мониторинг событий доступа к защищённым данным, а также включение режима шифрования всех данных, отправляемых на флэш-накопители и т.д.
Состав типичной системы прозрачного шифрования
Источник: "Аладдин Р.Д.", 2016
За выполнение операций с зашифрованными дисками, с сертификатами пользователей, а также за управление учётными записями, лицензиями и компьютерами отвечает сервер бизнес-логики. Вся ключевая информация хранится в криптохранилище, расположенном в базе данных MS SQL. Данные о ресурсах (компьютерах, ноутбуках), а также учётные записи пользователей хранятся в MS Active Directory.
Шлюз клиентов выполняет аутентификацию и перенаправляет запросы от клиентского агента к серверу бизнес-логики. Для управления системой и её аудита предусмотрена рабочая станция администратора, который обладает строго определённым набором привилегий. Все это отражено на схеме выше.
При отключении токена доступ к защищённым данным автоматически блокируется, а без него и знания пароля невозможно получить доступ к защищённой информации во время отсутствия владельца персонального компьютера.
В случае случайной поломки или пропажи токена пользователю достаточно сообщить об этом администратору безопасности. При этом происходит генерация новых паролей и сертификатов, а также выдача нового токена. При первом запуске с этим ключом компьютер пользователя после ручного ввода ключа шифрования системного диска произведёт полное перешифрование соответствующих данных на накопителе.
Следование стандартам ИБ – лучшее средство защиты информации
Но встаёт вопрос "А каким образом происходит загрузка операционной системы и драйверов, если диск зашифрован полностью?". Есть несколько решений, одно из которых заключается в том, что осуществляется переименование средствами ПО клиентского агента загрузчика Windows и запись с реальным именем ссылки на другой загрузчик, предоставляемый вендором системы шифрования.
В дальнейшем при запуске компьютера используется новый загрузчик, который, в свою очередь, расшифровывает и загружает исходный загрузчик операционной системы Windows. "За внешней простотой скрыта очень непростая технология. Ведь для совместимости с парком оборудования многочисленных производителей "железа" приходится обеспечивать поддержку разных версий BIOS и UEFI. Кроме того, производители программного обеспечения должны быть готовы практически к любым, пусть и недокументированным действиям операционной системы и её трансформациям", – уточняет Владимир Милишников, главный специалист ДИБ КЦ ПАО "Ростелеком".
Подводя итоги, необходимо отметить, что системы прозрачного шифрования дисков – высокотехнологичный наукоёмкий продукт, разработка и поддержка которого доступна весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо. А ведь скомпрометированные данные сейчас стоят намного дороже "железа", на котором они хранятся и обрабатываются, а также самих средств защиты вместе взятых