Огляд Secret Disk Enterprise

1. Вступ
2. Архітектура і системні вимоги Secret Disk Enterprise
3. Функціональні можливості Secret Disk Enterprise
4. Ліцензування Secret Disk Enterprise
5. Робота з Secret Disk Enterprise
6. Робота з Secret Disk Agent
7. Робота з Secret Disk Reader
8. Висновки

1. Введення

2. Архітектура та системні вимоги

3. Функціональні можливості

4. Ліцензування

5. Робота з продуктом

5.1. Адміністративний web-портал

5.2. Робота з Secret Disk Agent

5.3. Робота з Secret Disk Reader

6. Висновки

Вступ

Захист даних, що зберігаються - всієї інформації, що знаходиться на жорстких дисках і знімних носіях, - важливе завдання в області інформаційної безпеки. Впроваджувати криптографічний захист необхідно повсюдно, проте загальносвітова статистика показує, що далеко не у всіх організаціях виконується шифрування даних, і це призводить до серйозних проблем.

В першу чергу шифрувати потрібно дані на робочих станціях користувачів і на знімних носіях, які використовуються в роботі. У будь-який момент співробітник може втратити своє робоче пристрій або знімні накопичувачі інформації, особливо якщо мова йде про мобільні станціях, наприклад ноутбуках. У медіасфері постійно з'являються новини про забутих пристроях з важливою корпоративною інформацією і, як наслідок, про гучні витоках, вироблених випадковими людьми або зловмисниками, що знайшли забуті комп'ютери. За даними звіту компанії InfoWatch, в 2015 році 7,6% зареєстрованих витоків інформації здійснені через вкрадені і втрачені пристрою. З розвитком мобільності персоналу та зростанням популярності практики BYOD (buy your own device), коли співробітники використовують в роботі власні портативні комп'ютери та пристрої, даний ризик багаторазово зростає. Подібну тенденцію відзначають аналітики Verizon: за даними, зібраними з багатьох джерел, втрата і крадіжки пристроїв зберігання і обробки інформації знаходяться на третьому місці за кількістю інцидентів - 9,7% від усіх витоків інформації.

Не варто забувати про шифрування даних на стаціонарних робочих місцях і серверах. Існує ризик цільової атаки - крадіжки комп'ютерів, ноутбуків, серверів, жорстких дисків і flash-накопичувачів безпосередньо в офісних приміщеннях і дата-центрах компаній. Недобросовісна конкуренція часто не обмежується кібервторженіем, нерідкі випадки фізичного злому і виносу обладнання з конфіденційною інформацією з подальшим використанням отриманих даних для отримання прибутку і нанесення непоправної шкоди конкуренту.

Всі описані вище загрози вимагають подвійного рішення - необхідно забезпечити конфіденційність даних на випадок втрати контролю над носіями, а також збереження самої інформації. І якщо остання проблема вирішується створенням резервних копій в захищеному місці (на хмарному сервері або іншому майданчику), то проблема конфіденційності може бути вирішена тільки за допомогою криптографічних засобів. Ринок засобів шифрування досить великий, на ньому представлено безліч продуктів, в основному іноземного виробництва, оцінити достоїнства і недоліки окремих продуктів дуже складно навіть підготовленому ІБ-фахівця. В даному огляді ми докладно розглянемо одне з рішень щодо шифрування даних, що зберігаються - продукт Secret Disk Enterprise від російської компанії «Аладдін Р.Д.».

Архітектура і системні вимоги Secret Disk Enterprise

Secret Disk Enterprise включає в себе вісім компонентів - шість серверних модулів і два клієнтських продукту:

• Сервер бізнес-логіки - центральний компонент серверної частини Secret Disk Enterprise, забезпечує взаємодію всіх компонентів і процесів продукту. Виконаний у вигляді служби для операційної системи Windows.
• Шлюз клієнтів - серверний модуль для реалізації каналу зв'язку між клієнтським агентом і сервером бізнес-логіки. Реалізований у вигляді надбудови для Microsoft IIS - вбудованого веб-сервера в Microsoft Windows Server.
• Адміністративний web-портал - веб-додаток для адміністрування системи. Реалізація аналогічна шлюзу клієнтів - надбудова для IIS.
• База даних - зберігання всієї службової інформації Secret Disk Enterprise, включаючи сертифікати користувачів і ключі шифрування. Зберігання здійснюється в зашифрованому вигляді, як ключ шифрування використовується загальний майстер-ключ. За базу даних виступає СУБД Microsoft SQL.
• Модуль синхронізації з Active Directory - виконує синхронізацію даних про користувачів, сертифікатах і захищаються комп'ютерах між Secret Disk Enterprise і Active Directory.
• Модуль сертифікації - компонент для випуску сертифікатів Х.509 на електронних ключах і перевірка випущених сертифікатів при проведенні операцій з ними.
• Secret Disk Agent - клієнтську програму, яка безпосередньо здійснює криптографічні перетворення і захист даних, що зберігаються на робочих місцях, серверах і знімних накопичувачах.
• Secret Disk Reader - утиліта для доступу до зашифрованих даних поза захищеною інфраструктури, використовується для обміну захищеними контейнерами з зовнішніми користувачами.

Малюнок 1. Архітектура Secret Disk Enterprise

Системні вимоги для серверних компонентів Secret Disk Enterprise:

• Операційна система Microsoft Windows Server 2008 SP2, 2008 R2, 2012 2012 R2.
• Об'єм оперативної пам'яті - від 1 Гб і вище.
• Кількість вільного місця на жорсткому диску - мінімум 250 Мб (не включаючи обсяг СУБД).
• Наявність Microsoft .NET Framework версії 4.5 і вище.
• Наявність Microsoft IIS 6 і вище.
• Наявність встановлених драйверів JaCarta Unified Client і / або SafeNet Authentication Client.
• Наявність пакета Crypto Extension Pack і стороннього CSP (CryptoPro або ІнфоТеКС VIPNet) для реалізації шифрування за алгоритмом ГОСТ.
• Підтримувані версії СУБД MSSQL - 2008 SP1, 2008 R2 і 2012.

Системні вимоги Secret Disk Agent для захищаються комп'ютерів:

• Операційна система Microsoft Windows 7, 8, 8.1 або 10.
• Об'єм оперативної пам'яті - від 512 Мб і вище.
• Кількість вільного місця на жорсткому диску - мінімум 15 Мб.
• Підтримка USB 2.0 або SmartCard Reader для підключення апаратних токенів.
• Наявність встановлених драйверів JaCarta Unified Client і / або SafeNet Authentication Client.
• Наявність пакета Crypto Extension Pack і стороннього CSP (CryptoPro або ІнфоТеКС VIPNet) для реалізації шифрування за алгоритмом ГОСТ.

Системні вимоги Secret Disk Reader:

• Операційна система Microsoft Windows 7, 8, 8.1 або 10.
• Об'єм оперативної пам'яті - від 512 Мб і вище.
• Кількість вільного місця на жорсткому диску - мінімум 50 Мб.

Для всіх компонентів Secret Disk Enterprise не пред'являються спеціальні вимоги до решти апаратного забезпечення, досить відповідності мінімальним вимогам операційної системи. Підтримується робота всіх програмних компонентів в середовищах віртуалізації VMWare і Microsoft (Hyper-V). Для шифрування підтримуються файлові системи типів NTFS, FAT, FAT32 і exFAT.

Функціональні можливості Secret Disk Enterprise

Функціональні можливості Secret Disk Enterprise можна умовно розділити на три основні групи:

1. Основні функції продукту:

• Забезпечення полнодіскового шифрування - перетворення всіх даних окремих дискових розділів, включаючи підтримку захисту системного (завантажувального) диска.
• Створення шифрованих файл-контейнерів, що підключаються до системи як віртуальні диски, з можливістю передачі контейнера у вигляді звичайного файлу зовнішнім користувачам.
• Шифрування файлів на знімних дисках, флеш-накопичувачах та інших носіях інформації.
• Реалізація власного завантажувача (з підтримкою Legacy BIOS і UEFI BIOS) з попередньої двухфакторной аутентификацией для забезпечення доступу до шифрованому системному диску. В якості другого фактора аутентифікації підтримуються електронні ключі JaCarta і eToken.
• Захист від аналізу, відновлення та розшифрування даних при несанкціонованому доступі до них.
• Застосування криптостійкі алгоритмів шифрування з використанням сторонніх служб криптографії (КріптоПро CSP і ViPNet CSP для реалізації алгоритмів ГОСТ 28147-89) і вбудованою служби Microsoft Windows для алгоритмів AES і TripleDES.
• Механізми надійного видалення даних для запобігання їх відновлення.
• Управління мережевим доступом до захищених ресурсів.
• Підтримка заміни ключів шифрування і перешіфрованія захищених даних.

1. Додаткові функції для забезпечення надійності роботи:

• Поступовий процес шифрування і розшифрування, стійкий до апаратних збоїв, включаючи можливість продовження роботи алгоритмів після раптового відключення комп'ютера.
• Підтримка вибудовування відмов кластерів для серверної частини Secret Disk Enterprise.
• Можливість резервного копіювання кріптохраніліща, що розміщується в СУБД продукту, і майстер-ключа від даного сховища.
• Підтримка сценаріїв відновлення доступу до зашифрованих даних у випадку втрати або поломки електронного ідентифікатора користувача.

1. Функції, спрямовані на зручність експлуатації:

• Управління всією системою через єдиний веб-портал з будь-якого пристрою з веб-браузером.
• Рольова модель доступу адміністраторів до системи управління.
• Повний аудит всіх дій і подій в системі.
• Реалізація періодичних процесів самообслуговування системи і стеження за критичними станами, які вимагають уваги адміністраторів.
• Прозорість і непомітність роботи системи для користувачів.

Ліцензування Secret Disk Enterprise

Продукт ліцензується за кількістю захищених робочих місць і наявності додаткового функціоналу. У базовій версії є більшість функцій продукту.

Перелік окремо ліцензованих механізмів:

• Шифрування папок і файлів.
• Захищені контейнери.
• Мережевий доступ до захищених ресурсів.
• Захист від копіювання на знімні носії.
• Підтримка кластерної конфігурації сервера.

Залежно від потреб замовники можуть придбати додатковий захисний функціонал окремо або замовити стандартну ліцензію, що включає в себе всі можливості продукту. Сертифікована в ФСТЕК Росії версія продукту ліцензується окремо і коштує трохи дорожче, до складу ліцензії входить МЕДІАКОМ, що включає в себе формуляр з голографічну наклейку, інсталяційний диск і копію сертифіката ФСТЕК Росії.

Всі ліцензії, крім демонстраційних, діють без обмеження терміну використання. Обмежена по терміну тільки технічна підтримка - при покупці нових ліцензій перший рік техпідтримка надається безоплатно, в подальшому можливо її продовження за додаткові гроші. Оновлення продукту здійснюється безкоштовно, при наявності діючого контракту на технічну підтримку.

Робота з Secret Disk Enterprise

Адміністративний web-портал

Після розгортання продукту відповідно до експлуатаційної документації адміністратор безпеки отримує доступ до web-порталу Secret Disk Enterprise. Головний екран веб-інтерфейсу містить розширене меню з посиланнями на всі функції продукту.

Малюнок 2. Основний екран веб-порталу Secret Disk Enterprise

Основна навігація здійснюється через верхнє меню, в якому представлені наступні пункти:

• Користувачі - управління всіма користувачами системи, включаючи облікові записи привілейованих користувачів, настройка прав доступу і доступних до використання функцій продукту.
• Робочі станції - перелік захищених комп'ютерів, на яких встановлена ​​програма-агент, з можливістю перегляду переліку шифрованих дисків і папок і управлінням базовими настройками станцій.
• Диски - загальна інформація про всі захищених дисках і папках на всіх захищаються комп'ютерах з можливістю додавання нових дисків і проведення різних операцій над існуючими.
• Моніторинг - робота з журналами аудиту.
• Безпека - управління ролями, які можна застосувати для користувачів, робота з криптографічними алгоритмами і провайдерами та майстер-ключем бази даних.
• Адміністрування - обслуговування системи, управління параметрами сервера, настройка глобальних політик робочих станцій і робота з ліцензіями продукту.

У розділі «Користувачі» доступні чотири вкладки і бічне меню для фільтрації списку користувачів по організаційних одиниць (OU) з Active Directory. У розділі «Загальні» відображається коротка інформація по кожному з користувачів системи із зазначенням його ролі і прав доступу. У розділі «Управління» доступні можливості по видаленню, блокування і розблокування окремих користувачів, а також представлені посилання для швидкого переходу до журналів аудиту та редагування політик.

Малюнок 3. Управління користувачами в Secret Disk Enterprise

У Secret Disk Enterprise реалізовані глобальні політики, поширювані на всіх користувачів, які налаштовуються з розділу «Адміністрування». Для окремих користувачів глобальні політики можуть бути замінені персональними налаштуваннями.

Малюнок 4. Управління політиками окремого користувача в Secret Disk Enterprise

В політиках містяться наступні параметри:

• Дозвіл або заборона на використання кешу захищених ресурсів в разі відсутності зв'язку з сервером.
• Вкажіть, чи потрібно створення захищених контейнерів для передачі даних в зашифрованому вигляді за межі захищаються комп'ютерів.
• Дозвіл або заборона доступу до захищених змонтованим дискам по мережі.
• Включення або відключення функції шифрування папок.
• Управління відображенням значка агента в області повідомлень (трей).
• Включення або відключення попередження про відключення зайнятих дисків.
• Правила аудиту роботи зі знімними носіями.
• Управління політикою запису даних на знімні носії - дозвіл, заборона або обов'язкове застосування шифрування при записі.
• Політики роботи з сеансами користувача при підключенні і відключенні електронного ключа.
• Включення або відключення блокування робочої станції при відключенні електронного ключа.
• Налаштування автоматичного монтування дисків при відкритті сеансу користувача, з можливістю вибрати окремі диски для автоматичного підключення.

Розділ «Робочі станції» оформлений аналогічним чином, зліва блок фільтрації виведеного списку комп'ютерів по OU, праворуч три вкладки - загальна інформація про захищаються комп'ютерах, управління окремими комп'ютерами і управління шифрованими дисками на комп'ютерах. У блоці «Управління» кожну станцію можна видалити, заблокувати і розблокувати, політики безпеки для робочих станцій відсутні. Вибір дисків в блоці «Розділи, шифровані диски» перемикає на інтерфейс роботи з дисками з однойменного загального розділу.

Малюнок 5. Управління робочими станціями в Secret Disk Enterprise

У розділі «Диски» відображаються всі зашифровані диски, розділи і директорії на всіх захищаються комп'ютерах. Для об'єктів доступні різні операції - створення нового диска, перешіфрованіе на іншому ключі, підключення, відключення, переміщення, видалення і так далі.

Малюнок 6. Робота з зашифрованими дисками в Secret Disk Enterprise

Малюнок 7. Властивості зашифрованого диска в Secret Disk Enterprise

Журнали аудиту в розділі «Моніторинг» розбиті на чотири групи - звичайний аудит, важливі помилки і попередження, журнали активності користувачів і службові журнали обслуговування. Висновок таблиці з подіями обмежується за допомогою фільтрів з гнучкими параметрами налаштування. Присутня функція підтвердження прочитання окремих подій. По кожній події доступна докладна інформація з усіма необхідними даними.

Малюнок 8. Журнали аудиту в Secret Disk Enterprise

У Secret Disk Enterprise передбачено гнучке розмежування прав доступу адміністраторів до веб-консолі, спочатку в продукті виділені ролі користувача, оператора, аудитора і адміністратора безпеки. У підрозділі «Управління ролями» екрану «Безпека» є управління вбудованими ролями і виділення нових ролей. Крім того, кожну роль можна прив'язати в групі в Active Directory і таким чином автоматично розподіляти права доступу шляхом включення нових користувачів в групи.

Малюнок 9. Управління ролями користувачів в Secret Disk Enterprise

Secret Disk Enterprise вимагає виконання періодичних операцій з обслуговування системи. До таких операцій належить ресинхронізація з Active Directory, перевірка термінів дії сертифікатів користувачів, виявлення неактивних комп'ютерів і користувачів, контроль ліцензування та інші. Завдання по обслуговуванню запускаються автоматично за розкладом, в розділі «Адміністрування» є управління завданнями і періодичністю їх виконання.

Малюнок 10. Плани обслуговування в Secret Disk Enterprise

Робота з Secret Disk Agent

Програмне забезпечення Secret Disk Agent виконано у вигляді окремого додатка, яке вбудовується в контекстне меню «Провідника» Windows і відображає власну іконку в області повідомлень. В основному інтерфейсі продукту присутні кілька вкладок:

• Диски - ПЕРЕЛІК зашифрованістю дисків з можлівістю їх Підключення и Відключення.
• Папки - список захищений каталогів, управління захищений каталогами (шифрування, розшифрування) здійснюється з «провідника».
• Захіщені контейнери - розділ, аналогічні Наведеним «Диски», Включає в себе ПЕРЕЛІК Створення контейнеров и кнопки для їх Підключення и Відключення.
• Швидкий виклик - настройка глобальних комбінацій гарячих клавіш, после натіскання на Які відкріється інтерфейс Агента.
• Параметри сеансу - дані по підключенню до сервера безпеки и інформація про Поточні політіках безпеки.
• Налаштування інтерфейсу Modern SDA - службові опції розширення Modern SDA, призначеного для сумісності з "плитковим" інтерфейсом сучасних версій Windows.

Малюнок 11. Інтерфейс Secret Disk Agent

Контекстне меню в «Провіднику» містить розділ Secret Disk Agent з переліком доступних функцій для вибраного об'єкту. Якщо викликати меню на диску, буде запропоновано його шифрування і розшифрування, а в каталозі - можливість включити або виключити її захист. На файлах і каталогах також є пункт переміщення в захищений контейнер і два елементи, що відносяться до надійного видалення файлових об'єктів. Поточні захищаються каталоги відзначаються за допомогою спеціального символу, що спрощує орієнтування в файлової системі і відразу дозволяє визначити, які елементи захищені.

Малюнок 12. Розширення «Провідника» Windows в Secret Disk Agent

Якщо на комп'ютері включається захист системного завантажувального диска, Secret Disk Agent виробляє установку власного завантажувача, управління яким передається з BIOS (Legacy або UEFI). Завантажувач виробляє авторизацію користувача за допомогою апаратних ідентифікаторів або смарт-карт і використовує ключову пару сертифіката користувача на електронному ключі для доступу до розшифрування системного диска і завантаження операційної системи.

Малюнок 13. Завантажувач Secret Disk Agent

Для передачі файлів за межі захищаються робочих станцій використовуються захищені контейнери. Контейнер підключається як віртуальний жорсткий диск, а його вміст зберігається в спеціальному файлі з розширенням SDCA. У захищений контейнер можна скопіювати будь-які файли і каталоги, як на звичайний диск. При створенні контейнера програма запитує ім'я файлу для його зберігання. При підготовці контейнера до відправки програма генерує випадковий пароль з восьми символів, який використовується для відкриття контейнера на незахищеному комп'ютері, на якому встановлюється безкоштовний додаток Secret Disk Reader. При кожній підготовці до відправки створюється новий пароль. При цьому для доступу до контейнера на комп'ютері з встановленим Secret Disk Agent пароль не потрібно, оскільки для захисту ключа шифрування використовується ключова пара сертифіката користувача.

Малюнок 14. Відображення пароля для захищеного контейнера в Secret Disk Enterprise

Робота з Secret Disk Reader

Secret Disk Reader - безкоштовна програма, доступна для завантаження на сайті «Аладдін Р.Д.». Даний продукт може бути встановлений на будь-який комп'ютер без необхідності використання Secret Disk Agent. Призначення Secret Disk Reader - підключення захищених контейнерів для забезпечення роботи з файлами і каталогами, розміщеними в ньому.

Так само, як і Agent, Reader вбудовується в «Провідник» і додає свої функції для файлів з розширенням SDCA. При відкритті файлу захищеного контейнера програма запитує пароль і після його введення виробляє монтування нового віртуального диска в систему.

Малюнок 15. Запит пароля до захищеного контейнера в Secret Disk Reader

Після закінчення роботи з контейнером його можна відключити через виклик контекстного меню на віртуальному диску. Закритий контейнер можна повернути відправнику або передати іншим користувачам для подальшої роботи.

Малюнок 16. Робота із захищеними контейнерами в Secret Disk Reader

Висновки

Secret Disk Enterprise - багатофункціональний комплекс, що вирішує всі основні завдання з криптографічного захисту інформації, що зберігається. За допомогою даного продукту централізовано забезпечується захист будь-яких ресурсів - логічних розділів жорстких дисків, завантажувальних дисків, окремих каталогів і файлів. Застосування продукту дозволяє надійно захистити дані на дисках робочих станцій, ноутбуків і серверів в організаціях будь-якого рівня. Додаткові функції програми підвищують загальний рівень захищеності робочих станцій - надійне видалення і переміщення файлових об'єктів дозволяє гарантувати неможливість відновлення залишкової інформації з списаних або загублених носіїв, а двухфакторная аутентифікація надійно захищає дані від несанкціонованого доступу.

Функції роботи із захищеними контейнерами будуть корисні в будь-якій організації, так як дозволяють забезпечити процес обміну даними з контрагентами з інших мереж без ризику витоку або перехоплення конфіденційної інформації. Можливість організувати двонаправлений обмін даними через контейнери значно підвищує корисність даної функції. При цьому другий стороні не потрібно купувати продукт і розгортати сервер управління: досить встановити невелику безкоштовну програму для роботи з контейнерами.

Продукт дійсно відповідає званню рішення класу enterprise за рахунок наявності централізованого сервера управління, що підтримує кластеризацію і гнучке масштабування. Інтеграція з Active Directory, розподіл ролей і зручність доступу роблять продукт незамінним в складних інфраструктурах.

Преимущества:

• Повний набір функцій з криптографічного захисту даних, що зберігаються, можливість шифрування дисків, каталогів і файлів.
• Можливість обміну захищеними даними з користувачами, що знаходяться поза мережі, що захищається, за допомогою механізму контейнерів.
• Наявність двофакторної аутентифікації із застосуванням апаратних пристроїв - зовнішніх електронних ключів.
• Можливість застосування препарату без внесення змін до чинних бізнес-процеси.
• Підтримка інтеграції з Microsoft Active Directory.
• Прозорість роботи продукту для користувачів, що не вимагає їх залучення до процесу управління засобом захисту.
• Гнучка політика ліцензування, можливість вибору необхідного додаткового функціоналу.
• Наявність сертифіката ФСТЕК Росії і присутність в єдиному реєстрі російських програм.

недоліки:

• Відсутність власного криптопровайдера і, як наслідок, необхідність купувати додаткові кріптосредства для реалізації шифрування відповідно до вимог російського законодавства.
• Відсутність агентів під операційні системи, відмінні від Windows.