Защита данных на ПК с ОС Microsoft На основе продуктов и решений "Аладдин Р.Д.". Часть 2

У любой компании независимо от ее масштаба, вида деятельности и уровня развития возникает вопрос обеспечения безопасности данных на рабочих станциях пользователей. Несанкционированный доступ к конфиденциальным данным может оказать драматическое влияние на бизнес компании. Ущерб может включать в себя как прямые финансовые потери, так и репутационные издержки. Последствия утраты ноутбука с реквизитами для операций с банковскими счетами, финансовой и иной секретной информацией трудно недооценить.

Secret Disk Enterprise, рассматриваемый в предыдущей и настоящей статьях, служит для обеспечения конфиденциальности данных на рабочих станциях пользователей.

Архитектура SDE

При разработке продукта была применена многоуровневая схема, что позволило сделать систему масштабируемой, расширяемой, отказоустойчивой.

Функционально SDE состоит из клиентской и серверной частей:
Серверная часть – Secret Disk Management Server (SDMS), служит для централизованного администрирования и управления клиентами.
Клиентская часть – Secret Disk Agent (SDA), устанавливается на рабочие станции пользователей, выполняет команды, полученные об их исполнении.

Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, особенностями их работы с дисками и так далее. Все операции в SDE основаны на взаимодействии между клиентской частью и серверными компонентами системы. Secret Disk Enterprise построен на многозвенной архитектуре. Серверная часть (SDMS) включает основные компоненты:

• сервер бизнес-логики;
• шлюз клиентов;
• административный веб-портал;
• сервер БД.

Сервер бизнес-логики обеспечивает проведение работ с зашифрованными дисками, сертификатами пользователей, управление учетными записями пользователей, лицензиями, компьютерами, выполнение сервисных функций. Он формирует для каждой рабочей станции очередь команд. Обращение к клиентской части напрямую не допускается, поэтому все взаимодействие инициирует Secret Disk Agent через шлюз клиентов.

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики. При взаимодействии клиентской и серверной частей SDE происходит обмен ключами, получение клиентским программным обеспечением команд сервера и некоторой служебной информацией.

Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.

В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется мастер первоначальной настройки. Сама операция называется «подключение криптохранилища».

Мастер первоначальной настройки также используется при установке программного обеспечения SDMS. Доступ к этому приложению имеет только пользователь в роли оператора.

Административный веб-портал, по сути, представляет собой графический интерфейс для управления учетными записями пользователей, сертификатами, шифрованными дисками, получения информации о настройках системы SDE. Доступ к нему могут получить только администратор ИБ, оператор и аудитор, разумеется, с ограничениями, определенными их ролями.

База данных SQL. Вся информация, которой оперирует система SDMS, хранится в базе данных на сервере под управлением Microsoft SQL Server 2005/2008. Там же хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы на мастер-ключе, который хранится на USB-ключе или смарт-карте eToken оператора.

SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии мастер-ключей, конфигурации рабочих станций.

Доступ к Active Directory осуществляется только в режиме чтения, следовательно, никто из пользователей SDMS не может вносить изменения в AD.

С клиентской частью все намного проще. Она представ- лена единственным компонентом – ПО Secret Disk Agent, вы- полняющимся на рабочих станциях пользователей.

Secret Disk Agent устанавливается на каждом клиентском компьютере и выполняет полученные от сервера бизнес-логики команды. Их выполнение осуществляется автоматически без участия пользователя.

По запросу пользователя могут быть выполнены только две операции: подключить и отключить диск с зашифрованной информацией.

Варианты развертывания SDE

Существует три основных сценария развертывания SDE,и у каждого есть свои особенности:

• Хост-установка – установка всех компонентов SDMS на один сервер.
• Установка с выделенным сервером БД.
• Установка с разделением ролей (сервер бизнес-логики, шлюз клиентов, административный веб-портал, сервер БД устанавливаются на разные серверы).

Хост-установка

Этот метод предусматривает размещение всех компонентов и совмещение ролей в рамках единственного сервера. Данный сценарий рекомендуется для ознакомления с возможностями продукта, выполнения пилотных проектов и внедрений до 100 рабочих мест. Количество в 100 рабочих мест указывается производителем ПО. Результаты нагрузочного тестирования на различных типах оборудования официально не анонсировались.

Ограничение в количестве рабочих мест в большей степени связано с требованиями, предъявляемыми компаниями к отказоустойчивости и доступности сервисов, нежели с ограничениями самого продукта. В сущности, совмещение ролей негативно сказывается на производительности и отказоустойчивости решения в целом. Тем не менее для тестирования возможностей продукта или для внедрения на предприятиях, чьи требования к отказоустойчивости, доступности и балансировке нагрузки невысоки, данный сценарий вполне подходит.

Выделенный сервер БД

За счет отдельного сервера БД, с одной стороны, обеспечивается более высокий уровень защиты информации, а с другой, снижается нагрузка на сервер управления. Здесь мы видим более удачный, с точки зрения безопасности, подход. Критично важные данные переносятся в другой сегмент, однако отказоустойчивость и балансировка нагрузки по-прежнему не обеспечены. Тем не менее появляются возможности для дальнейшего развития.

Этот сценарий установки рекомендуется для внедрений от 100 до 500 рабочих мест. Указанное количество предоставлено производителем ПО. Как и в предыдущем случае результаты нагрузочного тестирования официально не были представлены.

Разделение ролей

Отдельно разворачивается административный веб-портал, сервер бизнес-логики и сервер БД (см. рис. 2). В этом случае появляются возможности по дальнейшему развитию с точки зрения повышения отказоустойчивости и доступности. Например, может быть выполнена кластеризация сервера БД на основе стандартных средств Microsoft. То есть речь идет о внедрении Failover Cluster. Что касается веб- портала, то для повышения отказоустойчивости и доступности стандартными средствами может быть организован NLB-кластер. Для сервера бизнес-логики пока предлагается вариант с использованием технологии stand by. В таком случае устанавливаются две одинаковые копии SDMS на два идентичных сервера, причем одна копия сервера рабочая, другая в выключенном состоянии, обе настроены на одну базу данных. Если рабочий сервер выходит из строя, то резервный может быть запущен и заменит исходный. Нетрудно заметить, что, с точки зрения дальнейшего развития, установка с разделением ролей – наиболее удачный вариант. Именно он дает возможность с ростом потребностей компании адаптировать решение по защите данных на рабочих станциях клиентов.

Кстати, в следующей версии SDE сервер бизнес-логики будет поддерживать технологию балансировки нагрузки Microsoft NLB.

Особенности системы

Давайте рассмотрим особенности нашей построенной системы.

Централизованное управление

В рамках SDE внедрена схема централизованного управления, посредством которой решаются следующие задачи:

• Настройка и изменение настроек клиентского ПО на рабочих станциях.
• Создание зашифрованных дисков.
• Обслуживание зашифрованных дисков (смена ключей шифрования, их резервное копирование и восстановление).
• Планы обслуживания (сервисные процедуры).
• Ведение журналов событий.

Установка клиентского ПО (SDA) выполняется через механизм групповых политик, то есть присутствует интеграция со службой каталога Active Directory.

Ролевая модель

Этот аспект хорошо проработан. В продукте имеются шесть собственных встроенных ролей, которые являются хорошей отправной точкой для начала работы. И вполне могут рекомендоваться к использованию, если собственная политика безопасности компании не противоречит предлагаемому подходу. Кроме того, существует возможность определять новые специализированные роли, что позволяет гибко настроить продукт в соответствии с действующей на предприятии политикой ИБ.

Итак, какие варианты нам предлагаются по умолчанию:

• Оператор.
• Администратор информационной безопасности.
• Пользователь.
• Аудитор.
• Агент восстановления ключей.
• Инженер по обслуживанию.

Первый пользователь, запустивший и успешно выполнивший первоначальную настройку, приобретает все предусмотренные в Secret Disk Enterprise роли. В дальнейшем роли пользователям назначает администратор информационной безопасности.

Оператор может выполнить следующие действия:

• подключить и отключить криптохранилище;
• выполнить план сервисного обслуживания;
• просматривать настройки Secret Disk Enterprise;
• выполнить запуск и остановку сервера бизнес-логики;
• выполнить резервное копирование и восстановление мастер-ключа.

Администратор информационной безопасности обладает следующими полномочиями:

• управление учетными записями компьютеров и пользователей, сертификатами и дисками;
• просмотр настроек Secret Disk Enterprise.
• Аудитор не имеет возможности вносить какие-либо изменения в настройки SDE. Он может лишь просмотреть выполненные оператором и администратором информационной безопасности настройки, а именно:
  • конфигурацию сервера (настройки, хранящиеся в реестре сервера бизнес-логики);
  • списки компьютеров, дисков, ролей, пользователей и их сертификатов, процедур, входящих в план обслуживания;
  • информацию о лицензии;
  • информацию о мастер-ключе;
  • журнал событий.

Пользователь на своем рабочем месте обладает возможностью только подключать и отключать защищенные диски.

Что касается агента восстановления, то его задачи – экспорт мастер-ключа шифрования системного раздела для экстренного доступа к данным в случае выхода из строя или потери eToken. Кроме того, он обладает правами аудитора.

Таким образом, встроенные роли во многих ситуациях окажутся вполне достаточными для решения всех задач, связанных с разделением полномочий. Что касается назначения роли пользователю или группе, то поскольку SDE интегрирован с AD, этот процесс не вызовет трудностей.

Подводя итоги краткого обзора продукта Secret Disk Enterprise, следует отметить, что продукт предоставляет возможность устранить проблемы защиты дисковых накопителей на рабочих станциях пользователей, что, несомненно, благотворно скажется на ситуации в ИБ для всего предприятия в целом.

Основными преимуществами продукта являются, во-первых, возможность построения расширяемого в дальнейшем решения, соответствующего уровню требований к защите данных и зрелости компании с точки зрения ИБ, во-вторых, поддержка российских криптоалгоритмов, что упрощает применение продукта на территории Российской Федерации, и, наконец, тесная интеграция со службой каталога Active Directory и гибкая ролевая модель, что в свою очередь избавляет ИТ-службы компании от многих проблем, связанных с развертыванием, управлением и поддержкой.

Автор выражает искреннюю признательность директору по продуктам компании «Аладдин Р.Д.» Крячкову А.В. за помощь при подготовке материала.