Secret Disk

Secret Disk это средство обеспечения конфиденциальности информации, чувствительной к утечке. Secret Disk защищает информацию на рабочих станциях и серверах от несанкционированного доступа и предотвращает ее утечку. Ключевым механизмом защиты является шифрование - даже в случае, если злоумышленник получит доступ к информации, воспользоваться ею в своих целях или скомпрометировать ее он не сможет.

Secret Disk специализированный продукт, фокусированный на конкретной задаче. Он обладает широким набором механизмов шифрования и обеспечивает безопасность данных от утечки на всех логических уровнях:

• Шифрование дисков (FDE) – шифрование логических томов дисков для хранения и переноса данных
• Шифрование системного диска (SDE) – контроль загрузки и защита системного раздела ОС Windows
• Шифрование файлов и папок – защита конфиденциальной информации от привилегированных пользователей
• Защита виртуальных дисков – криптографическая защита информации в виртуальных дисках (файлы и папки)
• Защита USB-флеш – защита информации при использовании флеш-накопителей и USB HDD

Механизмы можно сочетать между собой, это дает возможность подобрать оптимальный вариант защиты согласно бизнес-задачам при обработке, хранении, переносе информации. Причем как внутри периметра ИТ-инфраструктуры, так и за ее пределами.

Прозрачность процессов шифрования мы определяем в двух категориях. Первое на чем следует сфокусироваться – при таком подходе файлы зашифровываются «на лету», в процессе работы с ними. Это свойство позволяет пользователю выполнять все свои рабочие сценарии с зашифрованными документами так, словно они не зашифрованы. Пользователь не вовлечен в процесс шифрования, монтирования дисков и пр. и скорость отклика документа на его действия остается такой же, как и до зашифрования. Второй аспект – прозрачность рассматривается с точки зрения инвазивности в систему. Secret Disk не нарушает работу самой операционной системы, адаптивно встраивается в загрузчика, не нарушая при этом процесс загрузки. И что самое важное, продукт не влияет на производительность рабочей станции. Это позволяет применять его на компьютерах и ноутбуках, обладающих даже средним уровнем мощности.

Зашифрованные документы отображаются пользователю как обычные, в них нет непонятных символов, подгружаются они очень быстро. Все что ему нужно сделать – пройти двухфакторную аутентификацию с помощью физического токена/смарт-карты (для Windows) или используя ключевой контейнер пользователя (для Linux).

В таком случае компания понесет убыток в размере стоимости одного ноутбука. Информация любой степени важности, попадая в руки злоумышленника в зашифрованном виде не может быть скомпрометирована, продана конкурентам, использована для шантажа или требования выкупа. Злоумышленники могут потратить годы и десятилетия на попытки расшифровать данные на диске. В современных условиях за это время любая информация коммерческого характера теряет свою актуальность и перестает быть ценной.
В ряде случаев применяется усиленная конфигурация, при которой единственная возможность продолжить дальше работу на ноутбуке, подвергнувшемуся атаке – полностью форматировать диск. В таком случае информация будет утеряна безвозвратно.

В силу того, что Secret Disk применяет низкоуровневые программные компоненты для решения задач криптографии (драйверы, системные службы, файловые системы, таблицы разметки, низкоуровневые встраиваемые стеки обработки информации на дисках и пр.) мы получаем очень высокие показатели производительности механизмов шифрования. В большинстве случаев пользователь не способен физически определить, работает он с зашифрованной или незашифрованной информацией. Визуальных признаков деградации производительности он не почувствует.

Для начала необходимо выбрать на каком объекте должна обрабатываться информация в защищённом виде — на стационарном компьютере, ноутбуке или сервере, и определить количество этих объектов. Следующий шаг – выбор операционной системы. Важно также понимать, какие могут понадобиться виды защиты и является ли для вас обязательным использование в своей ИТ-инфраструктуре сертифицированных средств защиты. С выбором можно определиться самостоятельно, либо заполнить форму «Опросный лист» на сайте, указать все критерии и отправить запрос. Наши специалисты помогут вам определиться с выбором.

СКЗИ принято считать средства защиты, которые обеспечивают безопасность данных с помощью криптографии. Поэтому все продукты линейки Secret Disk являются СКЗИ. Важно также учитывать - согласно законодательству, легальное использование СКЗИ в организациях предполагает, что данное средство соответствует стандартам регулирующих органов, и надежность его работы подтверждена сертификатом соответствия. Secret Disk для Windows и Secret Disk Server используют ядро SDCE, сертифицированное ФСБ России по классам защиты KC1/KC2. Secret Disk для Linux, в основе которого лежит ядро SDCE, проходит сертификацию по требованию KC1/KC2.

По решаемым задачам данные средства очень сильно отличаются.
СКЗИ выполняет одну базовую функцию - обеспечение конфиденциальности информации. Если информация похищена, украдена, попала в руки злоумышленника - она не должна быть скомпрометирована. Компрометация информации — это использование ее против интересов владельца. В целях предотвращения компрометации информации криптографические методы делают ее нечитаемой. Это узкоспециализированная, но очень важная и, пожалуй, единственная задача средств криптографической защиты. У СКЗИ есть дополнительные функции – например, контроль доступа посредством двухфакторной аутентификации пользователя для предоставления ему доступа к информации.
СЗИ от НСД — это программный комплекс, который в основном обеспечивает контроль доступа к различным объектам операционной системы или периферийному оборудованию. Иногда СЗИ от НСД может использовать криптографию, но, как правило, эта криптография не сертифицирована. За пределами периметра ИТ-инфраструктуры СЗИ от НСД не работает, а СКЗИ продолжает защищать информацию благодаря шифрованию.

Принцип работы ГИС необходимо рассматривать с точки зрения нескольких логических уровней, на которых обрабатывается и хранится конфиденциальная информация. Таким образом можно эффективно определить объекты защиты конфиденциальности информации.
Выделяют следующие логические уровни обработки конфиденциальной информации:

• Автоматизированные рабочие места (АРМ) пользователей информационной системы, на которых производится ввод и обработка конфиденциальной информации. Как правило, элементов ГИС этого типа больше всех остальных.
• Файловые сервера и сервера приложений, на которых реализована основная бизнес-логика производственных операций информационной системы, а также размещены хранилища файлов документов, содержащих конфиденциальные данные. Дополнением к этому могут служить сервера с хранилищами резервных копий системы.
• Сервера баз данных, на которых концентрируются внушительные объемы конфиденциальной информации и производятся высокоинтенсивные операции обработки этой информации.

Продукты компании «Аладдин» Secret Disk и Крипто БД обеспечивают полный спектр решений для выполнения требований приказа №117 ФСТЭК России и приказа №117 ФСБ России:

Secret Disk не блокирует доступ к защищаемым данным, даже если срок лицензии истёк. Когда срок действия лицензии закончился Secret Disk продолжит работать, но возможности приложения будут ограничены: пользователи смогут подключать виртуальные диски в режиме "только чтение", возможность изменять сохраненные файлы или создавать новые будет недоступна, администраторы не смогут создавать новых пользователей и новые диски. После получения новой лицензии эти ограничения будут сняты.

Защита конфиденциальности информации на рабочих станциях пользователей.

Продукты Secret Disk 5 и Secret Disk Enterprise используются, когда организация находится в одной из следующих ситуаций:

• Большое количество командировок сотрудников
• Активное использование ноутбуков, в том числе новых моделей
• Широкая филиальная структура
• Гибридный режим работы – часть времени сотрудники на «удалёнке», а часть в офисе
• Регулярный обмен файлами через съёмные носители
• Сложная ИТ-инфраструктура и несколько ИТ-администраторов
• Частая работа с корпоративной информацией за пределами офиса
• Необходимость соблюдения требований по импортозамещению ПО в ИТ-инфраструктуре

Самым часто используемым механизмом Secret Disk является шифрование системного раздела жесткого диска. Системный раздел содержит данные, представляющие особый интерес для хакеров и конкурентов - учётные записи пользователей, логины и пароли к различным информационным ресурсам, электронная почта, лицензионная информация используемых программ и т.д. Злоумышленники могут получить все эти данные, анализируя временные файлы ОС, файлы подкачки, файлы-журналы приложений, дампы памяти, а также образ, сохраняемый на диск при переходе системы в «спящий» режим. Secret Disk защищает системный раздел и всю хранящуюся на нем информацию. Если есть второй диск, можно дополнительно включить защиту и на нем.
Данные, хранящиеся на зашифрованных дисках и в зашифрованных папках персонального компьютера, доступны только администратору Secret Disk и пользователям, владеющими электронными ключами и зарегистрированными в Secret Disk. Остальные пользователи, включая системного администратора, не могут получить доступ к зашифрованным данным. Защита конфиденциальной информации обеспечивается шифрованием данных «на лету» с помощью надёжных алгоритмов шифрования. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на зашифрованном диске данные всегда зашифрованы. Защищённый диск можно подключать и отключать. Отключённый зашифрованный диск выглядит как неформатированный.

В Secret Disk для Windows все пользователи должны быть оснащены USB-токенами или смарт-картами. Токен содержит ключевую пару, на которой производится аутентификация пользователя, он не хранит ключ шифрования от Secret Disk. Ключ шифрования Secret Disk находится в криптохранилище на рабочей станции или на сервере управления, в зависимости от того, какая архитектура системы используется. Пара асимметричных ключей пользователя используется для аутентификации, поэтому потеря токена не несет никаких рисков. В случае утери пользователю просто выдают новый токен. Такой способ идентифицировать пользователя является наиболее надежным.

Secret Disk 5 поддерживает:

• Microsoft Windows 10
• Microsoft Windows 8.1
• Microsoft Windows 8
• Microsoft Windows 7
• Microsoft Windows Vista

Да, Secret Disk 5 сертифицирован ФСТЭК по УД4 как средство контроля доступа, техническая поддержка продукта осуществляется до 2030 года. В ряде случаев Secret Disk 5 может быть оснащен криптоядром SDCE, которое является сертифицированным ФСБ России СКЗИ по классам КС1/КС2.

Для рабочих станций используются:

• Microsoft Windows 10
• Microsoft Windows 8.1
• Microsoft Windows 8
• Microsoft Windows 7 SP1

Для серверной части используются:

• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008 R2

Основное отличие Secret Disk Enterprise от других продуктов линейки — это наличие серверного управления и возможность администрирования функциями криптографии на большом количестве рабочих станций одновременно. Ну или обеспечению управления на большом количестве рабочих станций.

Да, Secret Disk Enterprise совместим с Microsoft Active Directory. Microsoft Active Directory является ресурсной системой для Secret Disk. Из Microsoft AD импортируются объекты, рабочие станции, пользователи, сертификаты пользователей. На базе этих сущностей строится матрица доступа и политики шифрования в Secret Disk Enterprise.

Да, поддерживает. Организация отказоустойчивой схемы крайне важна для бесперебойной работы в крупных ИТ-инфраструктурах. Конфигурация в виде отказоустойчивого кластера может быть развернута как поверх Microsoft Failover Cluster - для обеспечения повышенной защищенности, так и без него - путем развертывания нескольких серверов SDMS, с последующим подключением их к единой базе данных, размещенной на выделенном сервере. В целях дальнейшего повышения отказоустойчивости возможно использование кластеризации на уровне СУБД.

Secret Disk Enterprise неинвазивный продукт. Он не требует существенного изменения или переконфигурирования элементов ИТ-инфраструктуры. Органично встраиваясь в систему безопасности и взаимодействуя с такими службами как Active Directory, Certificate Authority Service, Public Key Infrastructure продукт позволяет сэкономить большое количество ресурсов на администрировании и эксплуатации.

Да, поддерживается работа с CSP от КриптоПРО и Инфотекс, также имеется собственное средство, обеспечивающее криптографическую защиту данных отечественными алгоритмами – Secret Disk Crypto Engine.

Secret Disk для Linux так же, как и другие продукты из линейки служит для обеспечения безопасности данных. Он обеспечивает конфиденциальность чувствительной к утечке информации на рабочих станциях под управлением российских операционных систем на базе Linux.

Лицензия на продукт продлевается каждый год. Техническая поддержка включена в стоимость лицензии и заканчивается вместе с завершением лицензии. После завершения срока лицензии в случае ее непродления зашифрованные ресурсы доступны в формате read only, без возможности вносить изменения. Для заказчиков, не имеющих четкого плана по импортозамещению создана универсальная лицензия, в рамках которой может быть осуществлен однократный переход с Secret Disk для Windows на Secret Disk для Linux (только для новых покупок, не trade in).

Secret Disk для Linux поддерживает российские операционные системы:

• Astra Linux 1.7, 1.8
• ALT Linux p11
• РЕД ОС 7.3, 8.0

Компании могут быть на разном уровне развития ИТ-инфраструктуры на Linux, но тем не менее движутся к развитию данного сегмента. Secret Disk для Linux обеспечивает безопасность данных в инфраструктуре любого уровня зрелости – бизнес-логика продукта не требует обязательного наличия службы каталогов, УЦ и службы PKI.

Да, Secret Disk для Linux является полностью отечественным сертифицированным средством и позволяет выполнить задачи импортозамещения в области защиты инфраструктуры. Основные продукты, которые замещает Secret Disk для Linux - Microsoft BitLocker, CheckPoint Endpoint Security, McAfee Complete Data Protection, Symantec Endpoint Protection, TrendMicro Endpoint Encryption, VeraCrypt.

Secret Disk для Linux соответствует 4му уровню доверия к средствам защиты информации согласно требованиям, установленным ФСТЭК России. Сертифицированный продукт может применяться для защиты ИСПДн до 1 уровня, КИИ 1 категории, ГИС до 1 класса, АСУ ТП до 1 класса и АС классов 1Д, 1Г, 2Б, 3Б.

Объектами защиты Secret Disk Server являются файловые сервера и сетевые диски файловых серверов, а также диски, предназначенные для хранения информации на серверах бизнес-приложений.

Secret Disk Server имеет клиент-серверную архитектуру, у каждого компонента свои требования к операционным системам.
Сервер поддерживает:

• Microsoft Windows Server 2022
• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2008 SP2

Рабочая станция администратора поддерживает:

• Microsoft Windows Server 2022
• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008 R2
• Microsoft Windows Server 2008 SP2
• Microsoft Windows 11
• Microsoft Windows 10
• Microsoft Windows 8.1
• Microsoft Windows 7 SP1

Необходимость экстренно отключить сервер до выяснения обстоятельств может возникнуть при стремительной массированной атаке на инфраструктуру. Secret Disk Server может быть оснащен функцией подачи тревоги или по-другому «красной кнопкой». Функция «красная кнопка» позволяет по сигналу обеспечить размонтирование дисков на сервере, что мгновенно предотвращает доступ к защищаемой информации. Дополнительно служба тревоги может удалить локальное криптохранилище на сервере, что гарантированно предотвратит возможность монтирования. Восстановление криптохранилища - простая файловая операция копирования, не занимающая много времени. Восстановление может быть начато только по решению непосредственного руководства компании. При этом важно убедиться, что атака на сервер нейтрализована. Копия криптохранилища должна храниться в сейфе руководства или в другом надежном месте.
Подробнее в документе – «Экстренная блокировка доступа к данным на серверах».

Secret Disk Server поддерживает возможность организации защищенных ресурсов, размещенных на кластере серверов. Отказоустойчивость обеспечивается за счет развертывания Secret Disk Server на всех нодах кластера и обязательном депонировании ключевой информации между нодами. В случае выхода из строя любой из нод кластера, следующая выбранная кластером нода перехватывает сеансы пользователей. Она обладает всей необходимой ключевой информацией и бесшовно предоставляет доступ клиентам к защищенному файловому хранилищу.

Данные зашифровываются в фоновом режиме и процесс выполняется с пониженным приоритетом, тем не менее, влияние на производительность файлового хранилища существует. Понижение производительности файлового сервера будет наблюдаться непосредственно в процессе зашифрования данных. По завершении процесса зашифрования все обращения к защищенному ресурсу проходят через наложенный поверх базового системного драйвер Secret Disk, который «на лету» выполняет функции encrypt или decrypt. При штатной работе продукта влияние на производительность, при учете возможного влияния со стороны дисковой подсистемы или сетевого подключения составит не более 10% от номинальной.

В Secret Disk Server предусмотрено управление списками доступа для администраторов. Каждый добавленный администратор сервера имеет полный доступ ко всем ресурсам, размещенным на данном сервере, но ему может быть ограничен доступ к конкретным ресурсам, путем конфигурирования списка доступа, доступного в свойствах самого ресурса. В случае ограничения для администратора доступа к ресурсу, тот перестает отображаться для него в интерфейсе управления сервером.