Мы живем в эпоху информационных технологий. Как и всякий инструмент, IT — «обоюдоострое» орудие труда, которое можно использовать и в благих, и в корыстных целях. Поэтому методы киберпреступности и средства обеспечения информационной безопасности (ИБ) развиваются параллельно, стимулируя друг друга. И если простым пользователям достаточно антивируса и антиспама, то компаниям приходится выстраивать сложные стратегии защиты бизнес-данных и создавать комплексные системы ИБ.
Задача защиты информации идет не только «изнутри», от потребностей бизнеса, но и «извне», от требований международных стандартов и законов. И выполнить эти требования не так-то просто — достаточно вспомнить, какие жаркие дискуссии окружают закон 152-ФЗ «О персональных данных».
Решать эту сложную задачу нужно комплексно, задействуя и организационные меры, и технические средства. К последним относятся использование сетевых экранов (брандмаэуров), VPN-каналов, систем защиты от утечек (DLP) и др. Одним из самых эффективных способов защиты конфиденциальной информации является шифрование. Действительно, если цифровые данные по сути являются последовательностью нулей и единиц, логично привлечь математику. Т. е. произвести операции, которые позволяют работать с этими данными только «своим», имеющим ключ для расшифровки. Для всех «чужих» зашифрованная информация предстает «китайской грамотой», а порой и вовсе недоступна.
При этом хорошая система шифрования может решать сразу несколько задач: предотвращать утечки данных, пресекать попытки несанкционированного доступа (вплоть до уничтожения информации), обеспечивать защиту резервных копий данных.
Российские и зарубежные производители представляют на рынке множество систем шифрования данных, в основном реализующих отдельные аспекты ИБ. В данном случае мы рассмотрим отечественную разработку — комплексное программно-аппаратное решение Zserver Suite от компании SecurIT, которое позволяет решить все перечисленные выше задачи. В состав решения входят продукты Zserver и Zbackup — соответственно для защиты рабочих данных и резервных копий.
Zserver
Система Zserver реализует «прозрачное» шифрование данных, хранящихся на корпоративных серверах, обеспечивая защиту конфиденциальной информации.
Шифровать можно не только файлы и папки, но и служебную информацию (например, таблицы размещения файлов). При записи данных на диск происходит автоматическое шифрование в режиме реального времени (online), при чтении — расшифровывание. Для посторонних лиц, не имеющих прав доступа и ключей шифрования, информация все равно что не существует.
Система Zserver осуществляет:
- шифрование носителей данных (жестких дисков и дисковых массивов, CD/ DVD, магнитных лент, а также хранилищ SAN);
- управление общими ресурсами и доступом приложений к дискам;
- поддержку технологии кластеризации Microsoft Cluster Service;
- использование различных алгоритмов шифрования (RC5, AES, XTS-AES и ГОСТ 28147-89);
- реализацию заданных сценариев работы.
Ключи шифрования данных на диске вводятся при загрузке сервера со смарт-карты, защищенной PIN-кодом. Подобрать PIN-код невозможно: число попыток ввода ограничено. Перезагрузка сервера без смарт-карты тоже ничего не даст злоумышленнику — в этом случае защищенные диски недоступны: ключ шифрования находится только в оперативной памяти и при перезагрузке стирается из нее.
Надежность защиты хранимых данных гарантируют современные криптостойкие алгоритмы шифрования с длиной ключа от 128 бит.
Администратор системы может вводить ключи шифрования и управлять решением (изменять настройки, подключать и отключать диски, распределять права доступа) удаленно — как с любого компьютера локальной сети, так и через Интернет.
Дополнительную гибкость обеспечивает модульная схема подключения внешних криптопровайдеров («Криптон», «КриптоПро»).
Zserver состоит из пяти основных модулей (консоль управления, серверы шифрования, ключей и журналов, модуль подачи сигнала тревоги) и дополнительного набора сценариев работы (Zserver Script Pack). Модули взаимодействуют по технологии «клиент-сервер» с использованием протокола TCP/IP. Для каждой сессии формируется уникальный ключ шифрования, который обеспечивает защиту соединений и делает невозможным анализ сетевого трафика.
Консоль управления (Zconsole)
Данный модуль служит для администрирования (управления остальными модулями) и выполнения необходимых операций с системой. Консоль управления можно разместить на любом компьютере, связанном с сервером по протоколу TCP/IP (неважно, через локальную сеть или через интернет). Консоль позволяет управлять не только компонентами Zserver Suite, но и другими продуктами компании SecurIT.
Интерфейс консоли простой: модули и продукты представлены в виде дерева, как компоненты операционной системы (рис. 1).
Администратору предоставляется выбор, как определять полномочия по управлению системой: с помощью внутреннего механизма аутентификации или с использованием встроенных средств авторизации Windows (рис. 2).
Сервер шифрования
Данный модуль устанавливается на сервер с защищаемой информацией. В состав сервера шифрования входят:
- драйверы для перехвата обращений к носителям данных;
- криптоядро, реализующее алгоритмы шифрования данных;
- служба Zservice, выполняющая операции с сервером;
- набор системных библиотек;
- драйвер для работы с лицензионным ключом.
Для каждого сервера данных устанавливается свой сервер шифрования. Казалось бы, при больших объемах данных это влечет увеличение затрат. Но затраты с лихвой окупает принцип «разделяй и властвуй»: если у компаний много подразделений, можно каждому предоставить сервер, и все они будут зашифрованы независимо друг от друга. Такая «диверсификация» повышает общую защищенность информационных активов.
Модуль подачи сигнала тревоги
Данный модуль мгновенно блокирует доступ к защищаемой информации. Подача сигнала тревоги инициирует перезагрузку сервера, носители данных блокируются и становятся полностью недоступными, все ключи шифрования удаляются из оперативной памяти. Также сигнал тревоги можно отправить на сервер ключей и запустить заданные сценарии работы (если задействован Script Pack). Для возобновления нормальной работы сервера шифрования необходимо перезагрузить систему и загрузить ключи шифрования.
Подать сигнал тревоги можно разными способами (рис. 3):
- нажатием «тревожной кнопки»;
- двойным щелчком по значку модуля в системной панели;
- нажатием комбинации клавиш на клавиатуре;
- с помощью дополнительных средств (радиобрелок, сигнализация, телефонный звонок);
- звонком на специальный номер (с помощью специального модуля Phone Alarm).
Сервер ключей (Enterprise Key Server, EKS)
Данный модуль обеспечивает безопасное централизованное хранение ключей и их передачу на серверы шифрования. Он реализует автозагрузку ключей и автоматическое открытие зашифрованных носителей при запуске системы. Сервер ключей устанавливается отдельно от прочих модулей, его управление администратор осуществляет удаленно — разумеется, с помощью консоли.
Основные возможности сервера ключей:
- создание хранилища ключей, защищенного мастер-ключом;
- перешифровывание хранилища при смене мастер-ключа;
- генерация, копирование и хранение ключей;
- загрузка ключей (из файла, со смарт-карты или с другого сервера ключей);
- настройки доступа для всех ключей и операций с ними (рис. 4);
- защита от сбоев при записи в хранилище ключей.
Сервер журналов
Данный модуль предназначен для централизованного хранения и обработки событий, передаваемых на него клиентскими модулями (рис. 5). Единое хранилище журналов поддерживает одновременную работу большого числа клиентов и обеспечивает быструю обработку запросов администратора системы.
В принципе, устанавливать и использовать данный компонент необязательно. Zserver предлагает альтернативу: вести журналы с помощью Microsoft SQL Server.
Администратор просматривает и анализирует журналы всё в той же консоли управления (рис. 6).
Zserver Script Pack
Zserver Script Pack использует модуль Windows Script Components (WSC), который обеспечивает простой способ создания COM-компонентов. В библиотеке хранятся сценарии на языке Jscript, но можно задействовать любые языки создания сценариев, совместимые со спецификацией ECMA 262 (VBScript, JavaScript 1.1 и т. д.).
Для управления сервером можно использовать готовые сценарии или разработать на их основе собственные. Сценарии позволяют выполнять следующие действия:
- запуск/ остановка системных служб;
- проверка диска;
- закрытие сетевых сессий и файлов, открытых удаленными пользователями;
- оповещение пользователей сети через службу Messenger;
- отправка сообщения по электронной почте;
- перезагрузка компьютеров сети;
- запуск/ завершение приложения (процесса) на удаленном компьютере.
Zbackup
Принцип работы Zbackup аналогичен принципу работы Zserver, только объектом защиты является информация при резервном копировании. Основные возможности продукта:
- использование криптостойких алгоритмов шифрования с длиной ключа от 128 бит;
- возможность подключения криптографического модуля «Криптон», «КриптоПро» или платы «Криптон» (сертифицированы ФАПСИ), реализующих шифрование с 256-битным ключом;
- формирование уникальных ключей шифрования;
- интеграция с системой Zserver, использование единого интерфейса управления;
- поддержка всех типов стримеров, в т. ч. ленточных библиотек;
- совместимость с популярными приложениями для резервного копирования (Symantec Backup Exec, CA ARCserve Backup и др.), а также создания и записи CD/ DVD (Nero, WinOnCD, EasyCDCreator и др.).
Отличительные особенности Zserver Suite
Использование смарт-карт с PIN-кодом
Для надежного и безопасного хранения ключей шифрования в системе используются смарт-карты ACOS, каждая из которых может содержать до 16 ключей (в различных ячейках памяти). Если при чтении смарт-карты находится несколько ключей, при подключении система предлагает выбрать один из них.
Для активации смарт-карты требуется ввести PIN-код из восьми произвольных символов.
Встроенная операционная система контролирует правильность кода доступа, поэтому получить доступ к памяти карты без корректной аутентификации невозможно.
Подобрать PIN-код «перебором» или наугад невозможно, т. к. число попыток ввода строго ограничено. Когда попытки исчерпаны, смарт-карта блокируется. С использованием стороннего ПО можно сделать 8 попыток, а с использованием ПО Zserver — всего 4 попытки.
Дело в том, что каждый код Zserver проверяет два раза: в прямой и обратной последовательности. Обратная последовательность (например, «алобарап» вместо «парабола») рассматривается как код, введенный «под принуждением». Эта «хитрость» предусмотрена для случаев, когда злоумышленник угрожает применить силу и заставляет доверенного пользователя набрать правильный PIN-код.
После ввода PIN-кода «под принуждением» система удаляет из памяти смарт-карты все записанные ключи шифрования и выводит сообщение о системной ошибке. Если нет резервных копий ключей, доступ зашифрованной ими информации будет невозможен.
Работа со смарт-картами осуществляется с помощью любых PC/SC-совместимых считывателей. Стандартная поставка Zserver Suite включает устройство для работы со смарт-картами, подключаемое через USB-интерфейс.
Кворум ключей шифрования
Система позволяет разбивать ключи шифрования на фрагменты и определять кворум — число фрагментов для формирования полноценного ключа. Например, если ключ разбивается на 4 фрагмента, а кворум — 2, то любые две части ключа из этого набора, загруженные в память сервера, сформируют исходный ключ шифрования. При этом порядок загрузки фрагментов неважен.
Отследить кворум ключей можно в консоли управления. Состояния ключа отображаются разными значками, при этом в скобках указывается, сколько фрагментов ключа загружено и сколько необходимо для кворума.
Выбор способа генерации ключа шифрования
Генерация ключа шифрования осуществляется на основе случайных данных (последовательности бит). Для ее сбора можно использовать различные источники (рис. 7):
- параметры движения «мыши»;
- шумы микрофона, подсоединенного к звуковой плате;
- время прихода пакетов данных на сетевую плату;
- квантовый генератор случайных чисел Quantis;
- средства интерфейса Microsoft Crypto API.
Параметры движения манипулятора «мышь», время прихода пакетов на сетевую плату и Microsoft Crypto API можно использовать совместно. Также можно вводить случайные последовательности вручную в HEX-редакторе. Созданный ключ записывается на смарт-карту или на другой носитель.
«Атомарные» операции шифрования
Первоначальное зашифровывание и расшифровывание раздела может занимать до нескольких часов. Если во время выполнения операции произойдет какой-либо системный сбой, например отключение питания, процесс шифрования прервется, что может привести к потере данных. Zserver решает данную проблему, реализуя длительные операции шифрования в виде «атомарных» транзакций. Если операция началась, она гарантированно будет завершена. Администратор в любое время может вручную приостановить операцию шифрования, а затем либо осуществить откат транзакции (возврат в начальное состояние), либо продолжить шифрование.
Перешифровывание раздела
Перешифровывание диска используется для смены ключа и/или алгоритма шифрования. Это может быть необходимо, когда есть риск компрометации ключа шифрования. Также данную операцию рекомендуется периодически выполнять «для профилактики».
В Zserver данная операция выполняется за один проход: каждый блок данных считывается с диска, расшифровывается старым ключом, зашифровывается новым и записывается обратно на диск. Данные расшифровываются только в памяти сервера, что абсолютно безопасно. Перешифровывание, как и первоначальное шифрование, выполняется в «фоновом» режиме и в виде «атомарных» транзакций.
Многопоточное шифрование
При использовании многопроцессорных и многоядерных серверов Zserver Suite позволяет существенно ускорить шифрование данных. Процесс шифрования разделяется на несколько самостоятельных потоков, каждый из которых может выполняться на отдельном процессоре или ядре процессора.
Для нейтрализации особенностей «вытесняющей» многозадачности, реализованной в ОС Windows, Zserver Suite предоставляет режим сбора информации о том, сколько потоков работает одновременно (опция «Статистика» в настройках Zserver). На основе этих данных администратор системы может определить и задать оптимальное число потоков для достижения максимального быстродействия (рис. 8).
Максимальный эффект от многопоточности достигается при шифровании блоков больших размеров, когда приложение производит запись или чтение файлов в больших объемах, например при резервном копировании информации на стример.
Администрирование нескольких серверов
Консоль управления позволяет одновременно подключаться к нескольким серверам Zserver и одновременно загружать на них ключи. Во время шифрования можно производить другие операции, как с этим сервером, так и с остальными. При отключении от сервера шифрование на нем будет продолжаться. В любой момент можно снова подключиться к серверу и проверить статус шифрования.
Свобода выбора: Zserver для Linux
Компании, отдающие предпочтение СПО, могут воспользоваться версией Zserver для Linux. Она состоит из трех основных модулей: сервер защиты данных, консоль управления сервером, модуль подачи сигнала тревоги. Функционал системы для Linux в большинстве случаев аналогичен функционалу версии для Windows.
Резюме
Система Zserver предоставляет удобный набор инструментов шифрования, воспользоваться которым может организация любого масштаба (от небольшой компании до международного холдинга) и любой сферы деятельности (финансы, торговля, производство, логистика).
Стойкие криптоалгоритмы, управление правами доступа и надежное хранение ключей шифрования позволяют гарантированно защитить корпоративные данные. Благодаря механизму «прозрачного» шифрования система работает незаметно для пользователей и приложений и не влияет на бизнес-процессы компании. Модульная архитектура обеспечивает масштабируемость и гибкость решения, а удобная панель управления реализует всесторонний контроль системы: от настроек компонентов до анализа событий.
