27.06.2013

Стражи корпоративного покоя

Журнал "Хакер", № 6 (173), июнь, 2013
<br>Статья Марата Давлетханова о продуктах линейки Secret Disk, разработанных компанией  "Аладдин Р.Д."

Разворачиваем корпоративную систему криптографической защиты.

Сегодня у всех на слуху всевозможные угрозы, связанные с подключением корпоративной информационной системы к Интернету, и потому может сложиться представление, что, надёжно защитив сетевой периметр, можно чувствовать себя в безопасности. Но это не так. Существует еще угроза несанкционированного физического доступа к конфиденциальной информации. Кража оборудования, некорректная утилизация носителей, их незаконное изъятие — всё это может привести к самым серьёзным последствиям.

Введение

Единственный действительно надёжный способ защититься от несанкционированного физического доступа — использовать криптографию. Ведь, когда информация надёжно зашифрована, даже если носитель попадёт в руки злоумышленника, раскрыта она не будет. Правда, организовать такую систему в масштабах предприятия — задача не из простых. При её решении необходимо учитывать большое количество разных факторов, в частности наличие серверов с конфиденциальной информацией, в том числе и серверов приложений, халатность пользователей, которые не умеют или не желают работать с рекомендованными средствами защиты, и так далее.

Для построения криптографической системы защиты конфиденциальной информации необходимы специальные продукты. Это должны быть корпоративные системы, обладающие необходимыми функциональными возможностями, высокой степенью надёжности и централизованным управлением. Их использование при грамотной настройке позволяет нивелировать все узкие места системы защиты.

Сегодня мы рассмотрим развёртывание такой системы криптографической защиты на примере продуктов серии Secret Disk (aladdin-rd.ru/catalog/secret disk). К сожалению, на рынке нет серьёзных продуктов, которые могли бы справиться со всем спектром задач, поэтому нам придётся использовать сразу два решения: Secret Disk Enterprise для защиты информации на рабочих станциях и Secret Disk Server NG для шифрования данных на серверах.

Принцип работы

Во всех продуктах серии Secret Disk используются схожие принципы работы. Начать нужно с того, что все они реализуют прозрачное шифрование информации. Суть данного подхода заключается в следующем. Информация на защищённом носителе всегда находится только в зашифрованном виде. При обращении к ней пользователя она раскодируется непосредственно в оперативной памяти с использованием загруженного в неё ключа. А при записи данных автоматически происходит обратный процесс.

У прозрачного шифрования есть существенные преимущества. Во-первых, данные на носителе всегда находятся только в закодированном виде. И когда бы жёсткий диск ни был изъят из компьютера, получить с него закрытую информацию будет весьма затруднительно. Во-вторых, это чрезвычайно удобно для конечных пользователей. Фактически сотрудники могут работать с данными, как и прежде (спокойно открывать и сохранять документы), при этом процессы шифрования и дешифрования будут протекать для них абсолютно прозрачно. Благодаря этому прозрачное шифрование оптимально для защиты информации в корпоративных информационных системах.

В состав продуктов из серии Secret Disk не входят реализации криптографических алгоритмов, в них используются внешние криптопровайдеры. Это специальные модули, в которых и реализованы сами алгоритмы шифрования. Например, они есть в составе всех операционных систем семейства Windows. Правда, присутствуют в них в основном устаревшие алгоритмы: DES и Triple DES. Поэтому разработчики рекомендуют использовать их собственный криптопровайдер — Secret Disk NG Crypto Pack (его можно бесплатно загрузить с официального сайта) с реализацией алгоритма AES.

Вообще, использование криптопровайдеров очень удобно, поскольку позволяет сделать продукт универсальным, разрешить ему работать практически с любым алгоритмом шифрования. Особенно это важно для государственных структур и организаций, работающих с информацией, которая составляет государственную тайну. Согласно действующему законодательству, они могут использовать только сертифицированные средства защиты информации. Причем сертифицированием именно криптографических средств занимается ФСБ России, а всего остального — ФСТЭК России.

Таким образом, для решения, которое реализует шифрование информации, нужно сразу два сертификата — ФСБ на сам криптографический модуль и ФСТЭК на остальные функции (аутентификацию пользователей, отсутствие программных закладок и прочее). Эта проблема также решается с помощью криптопровайдеров. Достаточно использовать один из сертифицированных ФСБ криптопровайдеров (например, КриптоПро CSP или Signal-COM CSP) и сертифицированную ФСТЭК версию Secret Disk.

Ещё одна важная особенность рассматриваемых продуктов — вся ключевая информация (ключи шифрования, закрытые ключи цифровых сертификатов) хранится на USB-токенах eToken. Это гарантирует их надёжную защиту в любых ситуациях, включая кражу злоумышленниками.

Развёртывание Secret Disk Enterprise

Как мы уже говорили, Secret Disk Enterprise — это система криптографической защиты информации, размещённой на рабочих станциях и ноутбуках корпоративной сети. Её основное отличие заключается в полном централизованном управлении шифрованием. Данное решение состоит из трёх серверных компонентов, которые все вместе называются Secret Disk Manager Server. Основной из них — так называемый сервер бизнес-логики. Именно он управляет криптографическими операциями, сертификатами, учётными записями и прочим.

Второй компонент — шлюз клиентов. Он является посредником между сервером бизнес-логики и пользователями, выполняя аутентификацию последних и гарантируя поступление на сервер только легитимных команд на выполнение тех или иных операций. Третий компонент — административный Web-портал. Он представляет собой интегрированный в продукт Web-интерфейс, с помощью которого осуществляются администрирование и аудит системы защиты.

В небольших сетях все серверные компоненты могут быть установлены на один компьютер, например, непосредственно на контроллер домена. Это позволит сократить затраты на внедрение системы защиты. Однако разработчики рекомендуют использовать такую архитектуру только в сетях, число пользователей в которых не превышает 100 человек. Если их больше 100, но меньше 500, предлагается вынести СУБД на другой сервер. При ещё большем числе пользователей рекомендуется выделить на отдельную аппаратную платформу сервер бизнес-логики, организовать кластер серверов и прочее. Подробно всё это расписано в документации. Мы же будем рассматривать простейший вариант.

Начинается процедура развёртывания Secret Disk Enterprise с подготовки сервера. Как мы уже говорили, в небольших сетях можно использовать существующую платформу, например, контроллер домена. Перед установкой рассматриваемого продукта нужно позаботиться о необходимом дополнительном ПО: понадобится Web-сервер Microsoft IIS (для работы административного портала), СУБД Microsoft SQL версии 2005 и выше, драйвер для токенов eToken, Microsoft .NET Framework 3.5 SP1 и выше.

Сама установка сервера Secret Disk Enterprise ведётся из обычного дистрибутива и не представляет особого интереса. Пожалуй, единственное, на что можно обратить внимание, — выбор компонентов. По умолчанию предлагается инсталлировать все модули. Однако при необходимости их можно устанавливать отдельно на разные аппаратные платформы.

Сразу после установки сервера рассматриваемого продукта автоматически запускается мастер настройки. С его помощью можно быстро ввести все основные параметры работы системы защиты. На первом этапе нужно настроить новую базу данных системы. Для этого необходимо за несколько шагов указать корпоративный домен и выбрать параметры шифрования (криптопровайдер, алгоритм, длину и срок действия ключа). Примечательно, что для защиты базы данных системы, дисков и системных разделов могут использоваться разные настройки.

При создании базы данных нужно обратить внимание на два момента. Первый из них — сертификат оператора. В терминологии системы под оператором понимается сотрудник, который подключает и отключает криптохранилище (в нём содержатся все используемые для шифрования дисков ключи). Для его авторизации используется сертификат, закрытый ключ которого хранится на токене. Именно его и нужно указать в ходе настройки.

Второй момент — резервное копирование мастер-ключа (ключа, которым зашифровано криптохранилище). Система предлагает создать его копию в виде файла, защищённого паролем. Этим шагом лучше не пренебрегать. В противном случае при утрате мастер-ключа вся информация, которая хранится на защищённых носителях, будет безвозвратно утеряна. Поэтому резервную копию лучше сделать. Однако хранить её непосредственно на сервере Secret Disk Enterprise было бы верхом неосторожности! Лучше всего сохранить файл с мастер-ключом на флешке и сдать её на хранение в банковскую ячейку. Или выбрать другое надёжное место, например, сейф в кабинете генерального директора.

Заключительный этап развертывания Secret Disk Enterprise — установка программы-агента на всех компьютерах корпоративной сети, на которых будет храниться конфиденциальная информация. Сделать это можно и вручную. Однако гораздо более удобно использовать групповые политики Windows. Кстати, чтобы агенты смогли находить сервер системы защиты, в корпоративном DNS необходимо прописать запись, указывающую на службу _sdms.

После настройки можно включить сервер, смонтировать криптохранилище (для этого нужен токен оператора) и запустить административный портал.

Работа с Secret Disk Enterprise

В основном системой защиты управляют пользователи с ролью "Администратор". Это могут быть сотрудники отдела информационной безопасности или другие ответственные за защиту конфиденциальных данных лица. Основной инструмент управления — административный портал, который можно открыть в любом современном браузере. С его помощью администраторы информационной безопасности могут выполнять весь спектр своих задач: управлять пользователями и их сертификатами, подключением рабочих станций, создавать зашифрованные диски и так далее.

Список пользователей Secret Disk Enterprise получает из Active Directory. Для этого может применяться как автоматическая синхронизация, так и ручной выбор учётных записей. Однако недостаточно просто загрузить список пользователей. Для всех сотрудников, которые будут работать с защищёнными дисками, необходимо зарегистрировать их сертификаты (стандарта Х.509). Указывать их можно вручную, выбирая нужные файлы (предварительно сертификаты для каждого пользователя нужно создать), или же загружать непосредственно из Active Directory (конечно же, если они там были опубликованы). Нужно отметить, что помимо стандартных ролей администраторы могут создавать свои собственные, вручную указывая доступные им возможности. Это позволяет сделать систему защиты более гибкой.

Также в системе необходимо зарегистрировать те рабочие станции, на которых будет содержаться конфиденциальная информация. Информацию о них можно также загрузить из Active Directory. При этом по каждому компьютеру приводятся подробные данные: операционная система, NETBIOS-имя, DNS-имя, дата и время последнего обращения к серверу Secret Disk Enterprise и последней загрузки конфигурации, общий перечень разделов, список зашифрованных дисков и прочее. При этом у администратора безопасности есть возможность выполнить некоторые действия с рабочей станцией: заблокировать её, отключить использование кеша, обновить конфигурацию.

После внесения данных о пользователях и рабочих станциях можно переходить непосредственно к защите информации. Для этого в рассматриваемой системе реализовано несколько возможностей. Первая из них — создание виртуальных зашифрованных дисков. Они представляют собой файлы-контейнеры, которые можно подключать к операционке в качестве съёмных накопителей. Это очень удобный способ для хранения относительно небольшого числа документов и прочих данных.

Второй вариант защиты — шифрование разделов на жёстком диске рабочих станций. Речь идёт о полноценных разделах, отформатированных в выбранной файловой системе. Отдельно стоит упомянуть возможность шифрования системного раздела. При её использовании будет невозможно загрузить операционную систему рабочей станции или сервера без ключа пользователя.

При работе с Secret Disk Enterprise необходимо иметь в виду несколько важных моментов. Во-первых, создание, удаление и перешифрование защищённых дисков выполняется только администраторами безопасности. Простые пользователи могут только подключать или отключать зашифрованные разделы. Во-вторых, при создании защищённых дисков любых типов необходимо указывать хотя бы одного сотрудника, у которого есть к нему доступ. В-третьих, носители шифруются не сразу после команды администратора, а при первой авторизации на указанном компьютере сотрудника, которому разрешено его использование.

Работа самих пользователей в целом ничем не примечательна. Все, что сотрудники могут сделать, — подключить и отключить с помощью Secret Disk Agent созданный для них администратором безопасности виртуальный диск или зашифрованный раздел.

Развёртывание Secret Disk Server NG

Secret Disk Server NG — это система криптографической защиты информации, размещённой на серверах корпоративной сети. В ней используется принцип прозрачного шифрования, который мы уже описывали выше. При этом в данном продукте реализован целый ряд возможностей, которые нужны именно для защиты серверов. Это поддержка соответствующих систем хранения (RAID-массивы, динамические диски) и серверных операционных систем, управление правами доступа, система обеспечения целостности данных при шифровании, автоматизация работы с данными с использованием скриптов, наличие сигнала "тревога" для экстренного отключения дисков и прочее.

Secret Disk Server NG в основном предназначен для работы с целыми, предварительно созданными разделами на жёстких дисках сервера. После зашифровывания они перестают распознаваться операционной системой, которая "видит" в них просто неразмеченное пространство. Однако после подключения (загрузки в память сервера ключа шифрования) они превращаются в самые обыкновенные разделы, с которыми могут работать пользователи. К слову сказать, эти метаморфозы проходят абсолютно незаметно для сотрудников, которые могут даже и не подозревать о наличии в организации системы криптографической защиты.

Ещё до начала разговора о развёртывании рассматриваемого продукта нужно сделать одно важное отступление. Дело в том, что лицензия на него бывает двух типов — для файловых серверов и для серверов приложений. Разница между ними заключается в распределении прав доступа. Первый вариант позволяет просто разрешить или запретить использование защищённого диска по сети, а второй — настраивать гибкие права доступа к нему. Помимо этого, возможна и комбинированная лицензия. Всё это необходимо учесть при приобретении продукта.

Secret Disk Server NG состоит из трёх компонентов. Первый — сам сервер. Это основной модуль, который выполняет все операции с защищёнными дисками. Естественно, он должен быть установлен на том сервере, на котором будет использоваться. Второй компонент — интерфейс администратора. Он выполнен не в виде отдельной программы или, как это сейчас модно, Web-интерфейса, а в виде оснастки для консоли управления Microsoft (ММС). Третий компонент — Secret Disk Alarm. Это программно-аппаратный комплекс, который используется как "тревожная кнопка" — для подачи сигнала тревоги, при поступлении которого происходит экстренное размонтирование зашифрованных дисков.

Архитектура системы защиты достаточно проста. Серверный компонент инсталлируется на всех серверах, на которых будут защищённые диски. Оснастка для консоли управления устанавливается на компьютерах администраторов безопасности либо на серверах.

Secret Disk Alarm может устанавливаться на компьютер администратора безопасности, на комп службы охраны или на оба рабочих места сразу. Это обеспечит своевременное отключение защищённых дисков при возникновении любых непредвиденных ситуаций. Можно пойти ещё дальше и интегрировать "тревожную кнопку" с охранной сигнализацией. В этом случае диски будут автоматически отключаться при срабатывании последней. Это особенно актуально для серверов, которые должны работать круглосуточно, например, почтовых.

Сама установка описанных компонентов, в принципе, не представляет особого интереса. Она выполняется локально стандартным образом. Единственное, что придётся сделать администратору, — выбрать необходимые компоненты.

После установки всех компонентов нужно выполнить первичную настройку. Сделать это можно с помощью оснастки "Управление Secret Disk Server". После её запуска нужно открыть панель управления серверами и выбрать сервер, который требует защиты. При первом подключении автоматически предлагается создать нового администратора. Для этого необходимо указать его имя и предварительно созданный сертификат, находящийся в памяти подключенного к компьютеру токена (поставляется в комплекте с продуктом). Впоследствии зарегистрированный администратор сможет добавлять новых пользователей, имеющих права управления сервером. При этом создавать им сертификаты можно прямо в Server NG.

Описанную процедуру нужно выполнить для всех защищаемых серверов. Впоследствии при запуске оснастки подключение к ним будет автоматическим. Естественно, для этого необходимо, чтобы к компьютеру администратора были подключены токены с нужными сертификатами.

Использование Secret Disk Server NG

После завершения первичной настройки можно переходить непосредственно к работе с Server NG. И сначала необходимо зашифровать нужные разделы сервера. Для этого используется оснастка "Управление Secret Disk Server". В ней перечислены все существующие на выбранном сервере разделы. Администратору безопасности остаётся выбрать нужный, указать алгоритм шифрования и, при необходимости, сменить его метку и букву.

В процессе настройки шифрования система предлагает создать копию мастер-ключа в файле или распечатать её на принтере. Как мы уже говорили ранее, этой операцией лучше не пренебрегать. В противном случае при утрате администратором токена вся информация, находящаяся на защищённом диске, будет безвозвратно утеряна. Обрати внимание, что процесс шифрования может занять определённое время. Причём его можно в любой момент прервать и впоследствии продолжить с того же места.

После завершения шифрования необходимо настроить подготовленный раздел. Сделать это можно, открыв его свойства. В первую очередь нужно определить перечень администраторов, которые могут его подключать. Делать ответственным только одного сотрудника неправильно, поскольку он может заболеть, уехать в командировку или уйти в отпуск. Поэтому лучше предоставить доступ нескольким ответственным лицам.

Также необходимо определить возможность сетевого доступа. Например, если речь идёт о защите сервера базы данных, то подключение по сети к диску, на котором содержатся файлы с информацией, не нужно. Оно окажется лишь дополнительной угрозой, позволяя определенным пользователям просто-напросто скопировать базу на съёмный накопитель. Поэтому в таком случае сетевой доступ лучше вообще запретить. В результате пользователи смогут получать информацию только от СУБД и не смогут обойти авторизацию и контроль доступа.

При необходимости можно настроить сценарии, которые будут исполняться после подключения диска и перед его отключением. В их качестве можно использовать произвольные приложения или специально написанные скрипты. В частности, в нашем примере можно запускать СУБД при подключении диска и останавливать её при отключении.

Требует внимания администратора безопасности и настройка реакции системы на срабатывание "тревожной кнопки". Здесь доступны четыре варианта, начиная с игнорирования сигнала и заканчивая экстренным отключением без выполнения сценариев.

После шифрования дисков работать с ними очень просто. Администратор безопасности, обладающий необходимыми правами, подключает свой токен к компьютеру и даёт команду на подключение раздела. При этом он становится доступен всем пользователям (напрямую по сети или опосредовано через какое-то программное обеспечение, например через СУБД). В конце рабочего дня администратор отключает диск.

Синопсис

В этой статье мы затрагиваем такой важный аспект защиты конфиденциальной информации, как криптография. И в этом нет ничего удивительного, поскольку только шифрование позволяет обезопасить данные от несанкционированного физического доступа. Но для этого необходимо использовать серьёзные продукты, обладающие необходимым для корпоративных сетей функционалом и высокой степенью надёжности. Построение именно такой системы защиты, с использованием продуктов серии Secret Disk, криптопровайдеров и аппаратных USB-токенов для хранения ключевой информации, мы сегодня и рассматриваем.

Подводим итоги

Вне всякого сомнения, построенная таким образом корпоративная система шифрования может защитить информацию от несанкционированного физического доступа. Однако она не гарантирует её безопасность от других угроз, в частности от вредоносного ПО, действий инсайдеров и прочего. Шифрование — это лишь часть комплексной системы защиты, которая должна охватывать все известные на сегодняшний день потенциальные каналы утечки.