Главная Security, Без рубрики, Новое Защита данных на рабочих станциях под управлением операционных систем Microsoft на основе продуктов и решений «Аладдин РД». Часть №2.
  • Защита данных на рабочих станциях под управлением операционных систем Microsoft на основе продуктов и решений «Аладдин РД». Часть №2.

    abauniver_10140457Один из важнейших аспектов информационной безопасности – защита данных ограниченного доступа (конфиденциальной информации, персональных данных, сведений, составляющих коммерческую тайну) от несанкционированного доступа. В этой статье продолжается рассмотрение механизмов обеспечения конфиденциальности данных, хранимых на рабочих станциях на основе решений «Аладдин Р.Д.».

    У любой компании независимо от ее масштаба, вида деятельности и уровня развития возникает вопрос обеспечения безопасности данных на рабочих станциях пользователей. Несанкционированный доступ к конфиденциальным данным, может оказать драматическое влияние на бизнес компании. Ущерб может включать в себя как прямые финансовые потери, так и репутационные издержки. Последствия утраты ноутбука с реквизитами для доступа к банковским счетам, финансовой и иной секретной информацией трудно недооценить.

    Secret Disk Enterprise, рассматриваемый в предыдущей и настоящей статьях, служит для обеспечения конфиденциальности данных на рабочих станциях пользователей.

    Архитектура SDE

    При разработке продукта была применена многоуровневая схема, что позволило сделать систему масштабируемой, расширяемой, отказоустойчивой.

    Функционально SDE состоит из клиентской и серверной частей:

    1. Серверная часть – Secret Disk Management Server (SDMS), служит для централизованного администрирования и управления клиентами.
    2. Клиентская часть – Secret Disk Agent (SDA), устанавливается на рабочие станции пользователей, выполняет команды, полученные от серверной части, отсылает отчёты об их исполнении.

    Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской частью и серверными компонентами системы.

    Secret Disk Enterprise построен на многозвенной архитектуре. Серверная часть (SDMS) включает основные компоненты:

    1. сервер бизнес-логики,
    2. шлюз клиентов,
    3. административный Web-портал,
    4. сервер БД.

    Давайте рассмотрим схему. См. рисунок 1.

    clip_image002

    Рисунок 1

    Сервер бизнес-логики обеспечивает проведение работ с зашифрованными дисками, сертификатами пользователей, управление учетными записями пользователей, лицензиями, компьютерами, выполнение сервисных функций. Он формирует для каждой клиентской рабочей станции очередь команд. Обращение к клиентской части напрямую не допускается, поэтому все взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.

    Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики. При взаимодействии клиентской и серверной частей SDE происходит обмен ключами, получение клиентским программным обеспечением команд сервера и некоторой служебной информацией.

    Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных. В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется мастер первоначальной настройки. Сама операция называется «подключением криптохранилища». Мастер первоначальной настройки также используется при установке программного обеспечения SDMS. Доступ к этому приложению имеет только пользователь в роли оператора.

    Административный Web-портал, по сути, представляет собой графический интерфейс для управления учетными записями пользователей, сертификатами, шифрованными дисками, получения информации о настройках системы SDE. Доступ к нему могут получить только администратор ИБ, оператор и аудитор с ограничениями, определенными их ролями.

    База данных SQL. Все те данные, которыми оперирует система SDMS хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008. Там же хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы на мастер-ключе, который хранится на USB-ключе или смарт-карте eToken оператора. SQL-база данных заимствует уже существующие сведения о сотрудниках организации из службы Active Directory (AD): их роли, сертификаты, криптокопии мастер-ключей, конфигурации рабочих станций. Доступ к Active Directory осуществляется только в режиме чтения, следовательно, никто из пользователей SDMS не может вносить изменения в AD.

    С клиентской частью всё намного проще. Она представлена единственным компонентом – ПО Secret Disk Agent, выполняющимся на рабочих станциях пользователей.

    Secret Disk Agent устанавливается на каждом клиентском компьютере, и выполняет полученные от сервера бизнес-логики команды. Команды выполняются автоматически без участия пользователя, по запросу которого могут быть выполнены только две операции: подключить и отключить диск с зашифрованной информацией.

    Варианты развертывания SDE

    Существует три основных сценария развертывания SDE, и у каждого есть свои особенности:

    1. Хост-установка – установка всех компонентов SDMS на один сервер;

    2. Установка с выделенным сервером БД;

    3. Установка с разделением ролей (сервер бизнес-логики, шлюз клиентов, административный Web-портал, сервер БД устанавливаются на разные серверы).

    Хост-установка

    Этот метод предусматривает размещение всех компонентов и совмещение ролей в рамках единственного сервера. Данный сценарий рекомендуется для ознакомления с возможностями продукта, выполнения пилотных проектов и внедрений до 100 рабочих мест[i]. Ограничение в количестве рабочих мест в большей степени связано с требованиями, предъявляемых компаниями к отказоустойчивости и доступности сервисов, нежели с ограничениями самого продукта. В сущности, совмещение ролей негативно сказывается на производительности и отказоустойчивости решения в целом. Тем не менее, для тестирования возможностей продукта или для внедрения на предприятиях, чьи требования к отказоустойчивости, доступности и балансировке нагрузки невысоки, данный сценарий вполне подходит.

    Выделенный сервер баз данных

    За счёт отдельного сервера баз данных, с одной стороны, обеспечивается более высокий уровень защиты информации, а с другой стороны снижается нагрузка на Сервер Управления. Здесь мы видим более удачный, с точки зрения безопасности, подход. Критично важные данные переносятся в другой сегмент, однако отказоустойчивость и балансировка нагрузки по-прежнему не обеспечена. Тем не менее, появляются возможности для дальнейшего развития в дальнейшем. Данный сценарий установки рекомендуется для внедрений от 100 до 500 рабочих мест[ii].

    Разделение ролей

    Отдельно разворачивается Административный Веб портал, Сервер Бизнес логики и сервер БД. (См. рисунок 2.) В этом случае появляются возможности по дальнейшему развитию решения с точки зрения повышения его отказоустойчивости и доступности. Так кластеризация сервера БД может быть выполнена на основе стандартных средств Microsoft. То есть речь идет о внедрении Failover Cluster, что касается Веб портала, то для повышения отказоустойчивости и доступности, стандартными средствами может быть организован NLB кластер. Для сервера Бизнес логики пока предлагается вариант с использованием технологии stand by. Устанавливаются две одинаковые копии SDMS на два идентичных сервера, причем одна копия сервера рабочая, другая в выключенном состоянии, обе настроены на одну базу данных. Если рабочий сервер выходит из строя, то резервный сервер может быть запущен и заменить исходный. Таким образом, нетрудно заметить, что, с точки зрения дальнейшего развития, установка с разделением ролей, наиболее удачный вариант. Именно этот он дает возможность с ростом потребностей компании адаптировать решение по защите данных на рабочих станциях клиентов. Кстати, в следующей версии SDE сервер бизнес логики будет поддерживать технологию балансировки нагрузки Microsoft NLB.

    clip_image004

    Рисунок 2

    Особенности системы

    Централизованное управление

    В рамках SDE внедрена схема централизованного управления, посредством которой решаются следующие задачи:

    1. Настройка и изменение настроек клиентского ПО на рабочих станциях;
    2. Создание зашифрованных дисков;
    3. Обслуживание зашифрованных дисков (смена ключей шифрования, их резервное копирование и восстановление);
    4. Планы обслуживания (сервисные процедуры);
    5. Ведение журналов событий.

    Установка клиентского ПО (SDA) выполняется через механизм групповых политик, т. е. интеграция со службой каталога Active Directory

    Ролевая модель

    Этот аспект хорошо проработан. В продукте имеются шесть собственных встроенных ролей, который являются хорошей отправной точкой для начала работы. И вполне могут рекомендоваться к использованию, если собственная политика безопасности компании не противоречит предлагаемому подходу. Кроме того, существует возможность определять новые специализированные роли, что позволяет гибко настроить продукт в соответствии с действующей на предприятии политикой ИБ. Итак, какие варианты нам предлагаются по-умолчанию:

    1. оператор;

    2. администратор информационной безопасности;

    3. пользователь;

    4. аудитор;

    5. агент восстановления ключей;

    6. инженер по обслуживанию.

    Первый пользователь, запустивший и успешно выполнивший первоначальную настройку, приобретает все предусмотренные в Secret Disk Enterprise роли. В дальнейшем роли пользователям назначает администратор информационной безопасности.

    Оператор может выполнить следующие действия:

    1. подключить и отключить криптохранилище;
    2. выполнить план сервисного обслуживания;
    3. просматривать настройки Secret Disk Enterprise;
    4. выполнить запуск и остановку сервера бизнес-логики;
    5. выполнить резервное копирование и восстановление мастер-ключа.

    Администратор информационной безопасности обладает следующими полномочиями:

    1. управление учётными записями компьютеров и пользователей, сертификатами и дисками;
    2. просмотр настроек Secret Disk Enterprise.

    Аудитор не имеет возможность вносить какие-либо изменения в настройки SDE. Он лишь может просмотреть выполненные оператором и администратором информационной безопасности настройки, а именно:

    1. конфигурацию сервера (настройки, хранящиеся в реестре сервера бизнес-логики);
    2. списки компьютеров, дисков, ролей, пользователей и их сертификатов, процедур, входящих в план обслуживания;
    3. информацию о лицензии;
    4. информацию о мастер-ключе;
    5. журнал событий.

    Пользователь на своем рабочем месте обладает возможностью только подключать и отключать защищённые диски.

    Что касается Агента восстановления, то его задачи – экспорт мастер-ключа шифрования системного раздела для экстренного доступа к данным в случае выхода из строя или потери eToken. Кроме того, обладает правами аудитора.

    Таким образом, встроенные роли во многих ситуациях окажутся вполне достаточными для решения всех задач, связанных с разделением полномочий. Что касается назначения роли пользователю или группе, то поскольку SDE интегрирован с AD, этот процесс не вызовет трудностей.

    Заключение

    Подводя итоги краткого обзора продукта Secret Disk Enterprise, следует отметить, что продукт предоставляет возможность снизить актуальность проблемы защиты дисковых накопителей на рабочих станциях пользователей, что, несомненно, благотворно скажется на ситуации в ИБ для всего предприятия в целом.

    Основными преимуществами продукта являются, во-первых возможность построения расширяемого в дальнейшем решения, соответствующего уровню требований к защите данных и зрелости компании с точки зрения ИБ, во-вторых поддержка российских криптоалгоритмов, что существенно расширяет спектр применения продукта, и, наконец, тесная интеграция со службой каталога Active Directory и гибкая ролевая модель, что в свою очередь избавляет ИТ службы компании от многих проблем, связанных с развертыванием, управлением и поддержкой.

    Литература

    [1] http://technet.microsoft.com/en-us/windows/dd408739

    [2] http://technet.microsoft.com/en-us/library/cc700811.aspx

    [3] http://www.aladdin-rd.ru/catalog/secret_disk/workgroup/

    [4] SDE – Secret Disk Enterprise

    http://www.aladdin-rd.ru/catalog/secret_disk/enterprise/details

    [5] Failover cluster – отказоустойчивый кластер

    http://technet.microsoft.com/en-us/library/ff182338(v=ws.10).aspx

    [6] NLB – Network Load Balancing

    http://technet.microsoft.com/en-us/library/cc770558(v=ws.10).aspx

    Автор выражает искреннюю признательность директору по продуктам компании «Аладдин Р.Д.» Крячкову А.В. за помощь при подготовке материала.

    Статья опубликована в журнале “Системный Администратор” №3 за 2012 г.

     

    Леонид Шапиро,

    MVP, MCT.


    [i] Количество в 100 рабочих мест указывается производителем ПО. Результаты нагрузочного тестирования на различных типах оборудования официально не анонсировались.

    [ii] Указанное количество предоставлено производителем ПО. Как и в предыдущем случае результаты нагрузочного тестирования официально не были представлены.

Комментарии

  1. Спасибо. Полезно.