04.02.2016

Шифрование дисков "на лету": как защитить конфиденциальную информацию

Интернет-портал safe.cnews.ru, февраль, 2016<br>
Экспертный комментарий Ильи Щавинского, менеджера по развитию бизнеса компании "Аладдин Р.Д."

Системы прозрачного шифрования дисков – высокотехнологичный наукоемкий продукт, разработка и поддержка которого по силам весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо.

Как отмечалось в статье "Как управлять рисками утечки критичных данных", бизнес вынужден постоянно снижать уровень риска утечки конфиденциальной информации. Наиболее простой и сравнительно недорогой способ – это использование систем прозрачного шифрования. Основное достоинство прозрачного шифрования заключается в том, что от пользователя не требуется никакого участия в процессах, все они происходят в фоновом режиме "на лету".

От постановки требований к системе зависит многое

Системы прозрачного шифрования, представленные на рынке, имеют, на первый взгляд, много общего: ведь все они решают одну и ту же задачу. Но у бизнеса всегда есть свои специфические требования. Ниже приведён список наиболее актуальных из них.

Требования, предъявляемые к системам прозрачного шифрования

Описание требований
1 Стойкость шифрования Стойкость защиты должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод шифрования
2 Надёжность алгоритмов шифрования Используемый алгоритм шифрования не должен иметь слабых мест, которыми могли бы воспользоваться криптоаналитики
3 Безопасное использование ключей Ключ шифрования должен быть недоступен для злоумышленника. Несоблюдение принципов безопасного использования ключей шифрования может поставить под угрозу защищённость информации, даже при том, что в системе будут реализованы самые криптостойкие алгоритмы
4 "Прозрачность" шифрования Шифрование должно происходить максимально "прозрачно" для пользователя – он не замечает процесса зашифрования и расшифрования данных во время работы
5 Устойчивость к ошибкам Система должна быть максимально устойчива к случайным ошибкам и неправильным действиям пользователей
6 Многофакторная аутентификация Выполнение проверки прав пользователей на доступ к защищаемым данным должно быть реализовано на основе средств многофакторной аутентификации
7 Дополнительный функционал для работы в чрезвычайных ситуациях В чрезвычайных ситуациях, когда становится известно о попытке физического доступа или попытке изъятия серверного оборудования, крайне полезным инструментом защиты становится возможность экстренного прекращения доступа к данным
8 Защита от инсайдеров Все пользователи системы, включая системных администраторов и технический персонал, должны иметь доступ к физической файловой системе исключительно в рамках своих полномочий, прописанных в ИБ-политиках компании

Источник: "Аладдин Р.Д.", 2016

Первые два пункта, касающиеся надёжности и стойкости алгоритмов шифрования, требуют от поставщиков службы криптографии соответствия их продуктов требованиям регуляторов. В РФ это использование ГОСТ 28147‐89 с длиной ключа 256 бит в решениях от криптопровайдеров, имеющих лицензию ФСБ России.

Как защититься от системного администратора?

Злоумышленники, интересующиеся приватными данными, могут находиться и внутри компании. Серьёзную угрозу, от которой не спасёт криптография, представляют технические специалисты и системные администраторы компании. Но при всем при этом они, в силу своих должных обязанностей, обязаны следить за работоспособностью систем, обеспечивающих безопасность на каждом компьютере.

В условиях текущей непростой экономической ситуации у ряда сотрудников, включая системных администраторов, возникает желание скопировать корпоративную информацию для её продажи на чёрном рынке или в качестве дополнительного преимущества перед конкурентами-соискателями при устройстве на новую работу. Это обостряет отношения между руководством и персоналом компаний.

А значит, выбираемая система прозрачного шифрования просто обязана иметь механизмы, реализующие комплекс требований по защите от системного администратора, что нашло своё место в списке требований к решению.

Виртуальная файловая система – важный компонент защиты

Так какой же механизм лежит в основе лучших в своём классе систем прозрачного шифрования, позволяющий реализовать многочисленные требования, представленные выше? На практике он выражается простой формулой: файл для владельца информации доступен в расшифрованном виде, а для всех остальных – только в зашифрованном виде без доступа к ключам. Специалисты называют этот функционал "одновременностью доступа".

"Но если на компьютере пользователя установлена ОС Windows, что в РФ практически стало корпоративным стандартом, то достижение "одновременности доступа" – задача не из простых. Виной тому эффект когерентности Windows: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Поэтому приходится решать и проблему "одновременности существования" файлов", – рассказывает Илья Щавинский, менеджер по развитию бизнеса компании "Аладдин Р.Д.". А проблема решается оригинальным способом при помощи совместной работы "виртуальной файловой системы" (ВФС) и фильтра драйвера файловых систем, схема работы которых приведена ниже.

Виртуальная файловая система


Источник: "Аладдин Р.Д.", 2016

Как видно из схемы, диспетчер кэша "считает", что работает с двумя разными файлами. Для этого ВФС формирует дополнительную парную структуру описателей файлов. Специальный драйвер файловых систем обеспечивает постоянное обновление зашифрованного файла в реальной файловой системе, вслед за изменением его незашифрованной копии в ВФС. Таким образом, находящиеся на диске данные всегда зашифрованы.

Для ограничения доступа к файлам драйвер файловых систем при обращении к защищённым ресурсам загружает в оперативную память ключи шифрования. Сама же ключевая информация защищена ключевой парой сертификата пользователя и хранится в криптохранилище.

В результате авторизованный пользователь видит одну файловую систему, виртуальную с расшифрованными файлами, а неавторизованные в то же самое время будут видеть физическую (реальную) файловую систему, где имена и содержимое файлов зашифрованы.

Системные администраторы и другие технические специалисты, у которых нет возможности получить ключи шифрования в расшифрованном виде, будут работать с реальной, надёжно зашифрованной файловой системой. При этом у них сохраняется возможность корректно выполнять свои служебные обязанности, например, создавать резервные копии зашифрованной информации, не нарушая конфиденциальности самой информации. Тем самым выполнятся важное требование о защите информации от инсайдеров.

Без многофакторной аутентификации риски не снизить

Для многофакторной аутентификации пользователей для загрузки операционной системы и для доступа к зашифрованным данным обычно применяют токен или смарт-карту – устройство, на которых хранится сертификат открытого ключа этого пользователя и соответствующий ему закрытый ключ.

Централизованная система управления и хранения ключей шифрования защищает от потери этих ключей ‐ они находятся на защищённом сервере и передаются пользователю лишь по мере необходимости. Также компания контролирует доступ сотрудников к принадлежащим им данным и в любой момент может запретить его. Кроме того, возможен мониторинг событий доступа к защищённым данным, а также включение режима шифрования всех данных, отправляемых на флэш-накопители и т.д.

Состав типичной системы прозрачного шифрования


Источник: "Аладдин Р.Д.", 2016

За выполнение операций с зашифрованными дисками, с сертификатами пользователей, а также за управление учётными записями, лицензиями и компьютерами отвечает сервер бизнес-логики. Вся ключевая информация хранится в криптохранилище, расположенном в базе данных MS SQL. Данные о ресурсах (компьютерах, ноутбуках), а также учётные записи пользователей хранятся в MS Active Directory.

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы от клиентского агента к серверу бизнес-логики. Для управления системой и её аудита предусмотрена рабочая станция администратора, который обладает строго определённым набором привилегий. Все это отражено на схеме выше.

При отключении токена доступ к защищённым данным автоматически блокируется, а без него и знания пароля невозможно получить доступ к защищённой информации во время отсутствия владельца персонального компьютера.

В случае случайной поломки или пропажи токена пользователю достаточно сообщить об этом администратору безопасности. При этом происходит генерация новых паролей и сертификатов, а также выдача нового токена. При первом запуске с этим ключом компьютер пользователя после ручного ввода ключа шифрования системного диска произведёт полное перешифрование соответствующих данных на накопителе.

Следование стандартам ИБ – лучшее средство защиты информации

Но встаёт вопрос "А каким образом происходит загрузка операционной системы и драйверов, если диск зашифрован полностью?". Есть несколько решений, одно из которых заключается в том, что осуществляется переименование средствами ПО клиентского агента загрузчика Windows и запись с реальным именем ссылки на другой загрузчик, предоставляемый вендором системы шифрования.

В дальнейшем при запуске компьютера используется новый загрузчик, который, в свою очередь, расшифровывает и загружает исходный загрузчик операционной системы Windows. "За внешней простотой скрыта очень непростая технология. Ведь для совместимости с парком оборудования многочисленных производителей "железа" приходится обеспечивать поддержку разных версий BIOS и UEFI. Кроме того, производители программного обеспечения должны быть готовы практически к любым, пусть и недокументированным действиям операционной системы и её трансформациям", – уточняет Владимир Милишников, главный специалист ДИБ КЦ ПАО "Ростелеком".

Подводя итоги, необходимо отметить, что системы прозрачного шифрования дисков – высокотехнологичный наукоёмкий продукт, разработка и поддержка которого доступна весьма ограниченному кругу компаний. Но свою основную функцию – снижение уровня риска утечки конфиденциальной информации – они выполняют неплохо. А ведь скомпрометированные данные сейчас стоят намного дороже "железа", на котором они хранятся и обрабатываются, а также самих средств защиты вместе взятых