Secret disk 4 workgroup edition

Введение

Защита хранимых данных — всей информации, находящейся на жестких дисках и съемных носителях, — важная задача в области информационной безопасности. Внедрять криптографическую защиту необходимо повсеместно, однако общемировая статистика показывает, что далеко не во всех организациях выполняется шифрование данных, и это приводит к серьезным проблемам.

В первую очередь шифровать требуется данные на рабочих станциях пользователей и на съемных носителях, используемых в работе. В любой момент сотрудник может потерять свое рабочее устройство или съемные накопители информации, особенно если речь идет о мобильных станциях, например ноутбуках

В медиасфере постоянно появляются новости о забытых устройствах с важной корпоративной информацией и, как следствие, о громких утечках, произведенных случайными людьми или злоумышленниками, нашедшими забытые компьютеры. По данным отчета компании InfoWatch, в 2015 году 7,6% зарегистрированных утечек информации осуществлены через украденные и утерянные устройства

С развитием мобильности персонала и возросшей популярностью практики BYOD (buy your own device), когда сотрудники используют в работе собственные портативные компьютеры и устройства, данный риск многократно возрастает. Подобную тенденцию отмечают аналитики Verizon: по данным, собранным из множества источников, утеря и кражи устройств хранения и обработки информации находятся на третьем месте по числу инцидентов — 9,7% от всех утечек информации.

Не стоит забывать о шифровании данных на стационарных рабочих местах и серверах. Существует риск целевой атаки — кражи компьютеров, ноутбуков, серверов, жестких дисков и flash-накопителей непосредственно в офисных помещениях и дата-центрах компаний. Недобросовестная конкурентная борьба зачастую не ограничивается кибервторжением, нередки случаи физического взлома и выноса оборудования с конфиденциальной информацией с дальнейшим использованием полученных данных для извлечения прибыли и нанесения непоправимого ущерба конкуренту.

Все описанные выше угрозы требуют двойного решения — необходимо обеспечить конфиденциальность данных на случай потери контроля над носителями, а также сохранность самой информации. И если последняя проблема решается созданием резервных копий в защищенном месте (на облачном сервере или другой площадке), то проблема конфиденциальности может быть решена только с помощью криптографических средств. Рынок средств шифрования достаточно большой, на нем представлено множество продуктов, в основном иностранного производства, оценить достоинства и недостатки отдельных продуктов очень сложно даже подготовленному ИБ-специалисту. В данном обзоре мы подробно рассмотрим одно из решений по шифрованию хранимых данных — продукт Secret Disk Enterprise от российской компании «Аладдин Р.Д.».

2011

Cертификация ФСТЭК Secret Disk 4.3.1

Сертифицированный Secret Disk 4.3.1. рекомендован для использования в ИСПДн до 2 класса и для создания автоматизированных систем до класса защищенности 1Г включительно. Решение обеспечивает защиту системного раздела, разделов жестких и виртуальных дисков, томов на динамических дисках, а также съемных носителей и различных карт памяти. Для защиты доступа к зашифрованным данным используется процедура строгой аутентификации с применением ключа eToken. При этом скрывается сам факт наличия данных на диске, что делает доступ к ним невозможным для злоумышленника даже при краже или утере диска с информацией или всего компьютера. Это особенно актуально для мобильных сотрудников компаний, использующих в своей работе ноутбуки.

Сертифицированная версия Secret Disk 4.3.1. отличается более полным функционалом, улучшенными пользовательскими возможностями, удобством установки и использования продукта. Среди ее ключевых преимуществ:

  • расширение спектра поддерживаемых операционных систем Microsoft – новая версия 4.3.1. совместима с 64-разрядными ОС, в том числе Windows Vista;
  • упрощение внедрения Secret Disk за счет автоматической проверки на совместимость с главной загрузочной записью перед шифрованием системного раздела и предоставления рекомендаций по выполнению дальнейших шагов;
  • повышение отказоустойчивости Secret Disk за счет усиленного контроля целостности;
  • расширение круга поддерживаемых продуктов Aladdin – новая версия 4.3.1. совместима с программно-аппаратным комплексом Электронный ключ eToken 5;
  • поддержка безопасной коллективной работы с защищенными данными;
  • возможность работы с англоязычным интерфейсом.

Совместимость с решениями на платформе «1С:Предприятие 8»

Три продукта семейства Secret Disk компании «Аладдин Р.Д.» прошли сертификационные тесты на совместимость с решениями на платформе «1С:Предприятие 8». Полученный сертификат «Совместимо! Система программ 1С:Предприятие» подтверждает корректность работы и удобство применения решений Secret Disk для защиты конфиденциальной информации и баз данных для «1С:Предприятие 8.2».

«1С:Предприятие» является одной из наиболее распространенных в России платформ для автоматизации различных задач управления и учета. Зачастую, в системах на базе «1С:Предприятие» хранится информация конфиденциального характера, утеря которой может привести к самым серьезным последствиям, вплоть до потери бизнеса. Обеспечить необходимый уровень защиты баз данных «1С» помогают продукты линейки Secret Disk компании «Аладдин Р.Д.». Используемый в решениях Secret Disk метод «прозрачного» шифрования и двухфакторной аутентификации с помощью электронных ключей eToken, делает невозможным доступ злоумышленников к данным, хранящимся на рабочей станции или сервере.

С целью подтверждения корректной работы продуктов Secret Disk с системой «1С:Предприятие», в компании «1С» проведены тестовые испытания. В программе тестирования приняли участие три решения: Secret Disk Server NG — комплекс защиты корпоративных баз и конфиденциальных данных на серверах; и Secret Disk 4 – решение для индивидуального использования, предназначенное для защиты конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере, а также редакция Secret Disk 4 Workgroup Edition, обеспечивающая сетевой доступ к защищенным ресурсам для небольших групп пользователей. Результаты тестирования признаны успешными, продуктам присвоен статус «Совместимо! Система программ 1С:Предприятие».

При использовании решений Secret Disk совместно с «1С:Предприятием 8», пользователи могут располагать на зашифрованном носителе файловые и клиент-серверные информационные базы, что позволит предотвратить несанкционированный доступ к данным со стороны своих сотрудников и внешних лиц, кражу или изъятие. Продукты не только надежно защищают данные, но и скрывают сам факт их наличия, например, в случае потери ноутбука или передачи его в сервисный центр для ремонта. Простые в использовании решения легко устанавливаются и требуют подготовки на уровне квалифицированного пользователя.

2016: Secret Disk Enterprise 2.6 (SDE)

В Secret Disk Enterprise v. 2.6 был добавлен ряд новых функций и возможностей, в числе которых:

  • реализована высокая совместимость Secret Disk Enterprise v. 2.6 на уровне загрузчика операционной системы. Достигнуто максимальное расширение парка совместимых моделей персональных компьютеров и ноутбуков:
  • загрузчик BIOS (Legacy BIOS) совместим с исчерпывающим количеством современных моделей персональных компьютеров и ноутбуков;
  • загрузчик UEFI (UEFI BIOS) теперь реализует защиту от скрытых попыток обновления операционной системы, что гарантирует стабильную и продолжительную работу системы;
  • реализована полная поддержка ОС Microsoft Windows 10:
  • дистрибутив агента полностью пересобран для корректной инсталляции работы в новой ОС Microsoft – Windows 10. На сегодняшний день он соответствует всем требованиям этой ОС, но сохранил полную совместимость с предыдущими версиями, начиная с Windows 7 SP1;
  • создан новый интерфейс (GUI) агентского ПО, поддерживающий стандарт Microsoft Windows 10, при этом сохранилась возможность использования традиционного интерфейса:
  • агент SDA теперь обладает вторым интерфейсом, выполненным в стиле Metro UI, что является не просто новым требованием Microsoft по изменению внешнего вида программ, а развитием продукта в сторону поддержки сенсорного ввода с мобильных устройств;
  • реализована защита системы от случайных/ошибочных действий пользователя во время выполнения процессов шифрования данных:
  • теперь продукт реализует функции проверки корректности обработки ошибочных действий пользователя и многое другое, что в итоге делает Secret Disk Enterprise одним из наиболее стабильных и надёжных продуктов на рынке;
  • реализован новый универсальный инсталлятор клиентского ПО:
  • новый инсталлятор будет особенно применим для тех заказчиков, которые обладают большим парком компьютеров с нестандартной конфигурацией. Единый универсальный инсталлятор агентского ПО самостоятельно (в автоматическом режиме) определяет конфигурацию и состав соответствующих компонентов операционной системы, а также принимает решение о том, какие именно компоненты необходимо установить на компьютер.

Технические подробности

Концепция Secret Disk Enterprise (SDE) заключается в централизованном хранении и управлении ключами шифрования дисков, информацией о пользователях, их связях с дисками, и т. д. Все операции в SDE основаны на взаимодействии между клиентской и серверной компонентами системы.

Secret Disk Enterprise построен по технологии клиент-сервер. Клиентская часть представлена приложением Secret Disk Agent, выполняемым на рабочих станциях пользователей. Серверная часть состоит из трех основных компонентов:

  • сервер бизнес-логики;
  • шлюз клиентов;
  • административный Web-портал.

Архитектура Secret Disk Enterprise

Сервер бизнес-логики

Сервер бизнес-логики отвечает за операции с зашифрованными дисками, сертификатами пользователей, а также управление учётными записями пользователей, лицензиями, компьютерами, выполнение функций обслуживания и т.д.

Сервер бизнес-логики формирует для каждой клиентской рабочей станции очередь команд. Он не имеет возможности обратиться к клиентской части напрямую, поэтому всё взаимодействие инициирует Secret Disk Agent через Шлюз клиентов.

Шлюз клиентов

Шлюз клиентов выполняет аутентификацию и перенаправляет запросы Secret Disk Agent серверу бизнес-логики, выполняя промежуточную роль в следующих процессах: обмен ключевой информацией, получение клиентским программным обеспечением команд сервера, обмен служебной информацией.

Конфиденциальная информация пользователей хранится на зашифрованных дисках рабочих станций. Для зашифрования/расшифрования информации на диске используется криптокопия ключа этого диска, зашифрованная с использованием мастер-ключа базы данных.

В базе данных хранятся криптокопии мастер-ключа базы данных, поэтому, чтобы получить мастер-ключ для работы с дисками, необходимо расшифровать его криптокопию. Для этого используется утилита «Мастер первоначальной настройки». Сама операция называется «подключением криптохранилища».

Административный Web-портал

Веб-портал предоставляет графический интерфейс для работы с функциями аудита и администрирования. Доступность тех или иных функций зависит от принадлежности к той или иной роли.

(нажмите на картинку, чтобы увидеть ее в полном размере)

Secret Disk Agent

Доступ к SDMS имеют уполномоченные Администратором безопасности Операторы. Функции пользователей выделены в виде приложения Secret Disk Agent, которое устанавливается на каждом клиентском компьютере. В нём пользователь может подключать и отключать диски, а все прочие функции выполняются по запросу сервера через механизм команд, которые формирует сервер для каждого клиента в виде очереди. Назначенные клиенту задачи выполняются по мере опроса клиентом сервера.

База данных SQL

Все данные, которыми оперирует система SDMS, хранятся в базе данных на сервере под управлением Microsoft SQL Server 2005/2008/2012. В базе данных хранятся сведения о файловой системе для каждого клиентского компьютера, операциях пользователя, а также сертификаты и симметричные ключи ко всем зашифрованным дискам. Ключи к зашифрованным дискам клиентов зашифрованы мастер-ключом, который, в свою очередь, защищён ключевой парой сертификата Оператора, хранящегося на USB-ключе или смарт-карте последнего.

Технические подробности

Secret Disk Server NG – это программно-аппаратный комплекс защиты корпоративной информации (баз данных, файловых архивов, бизнес-приложений и их данных), хранящейся на серверах под управлением серверных операционных систем Microsoft Windows.

Защита информации обеспечивается шифрованием данных «на лету» с помощью стойких алгоритмов шифрования. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на диске данные всегда зашифрованы.

Подключённый защищённый диск используется точно так же, как и обычный диск. Отключённый защищённый диск представляется системе как неформатированный.

Для выполнения задач администрирования сервера используются электронный ключ или смарт-карта. Шифрование и подключение защищённых дисков, резервное копирование и восстановление мастер-ключей осуществляются лишь после предъявления электронного ключа зарегистрированного администратора и ввода соответствующего пароля. В системе Secret Disk Server NG может быть несколько зарегистрированных администраторов.

В Secret Disk Server NG имеется инструмент резервного копирования защищённого хранилища, в котором содержатся зашифрованные копии мастер-ключей и информация об администраторах Secret Disk Server NG.

Для чрезвычайных ситуаций предусмотрен инструмент «красная кнопка». Он позволяет удалённо отключать защищённые диски. При определённых настройках нажатие «красной кнопки» приводит также к удалению с сервера ключевой информации. В результате, даже если злоумышленники завладеют нужными электронным ключом или смарт-картой, узнают пароль и будут обладать полным доступом к серверу, они не смогут прочесть информацию, не располагая резервной копией защищённого хранилища.

Secret Disk Server NG не имеет встроенных средств шифрования. По умолчанию он использует стандартные средства, входящие в состав Microsoft Windows: криптографический драйвер режима ядра (реализующий алгоритмы DES и Triple DES) и Microsoft Enhanced CSP для защиты мастер-ключей.

Кроме того, Secret Disk Server NG совместим с внешними криптопровайдерами: Signal-COM CSP, КриптоПро CSP и Infotecs CSP, использование которых позволяет шифровать диски в соответствии с ГОСТ 28147-89 «Система обработки информации. Защита криптографическая», и защищать мастер-ключи с использованием сертифицированных российских криптографических средств.

С Web-сайта компании «Аладдин Р.Д.» можно также бесплатно загрузить пакет расширения Secret Disk Crypto Extension Pack AES и Twofish, дополняющий стандартную поставку криптографии Secret Disk Server NG.

Правила формирования заказной конфигурации

1. Определение требуемого числа рабочих мест администраторов Secret Disk Server NG.

Для каждого рабочего места необходим один электронный ключ с лицензией администратора Secret Disk Server NG. При выборе смарт-карт не забудьте приобрести устройства для чтения смарт-карт.

2. Уточнение типа и характера использования данных.

Для определения необходимых лицензий сервера Secret Disk Server NG уточните тип и характер использования данных, которые необходимо защитить на сервере (это могут быть база данных, почтовый сервер, сервер приложений, файловый архив).

Лицензия файл-сервера на фиксированное число пользователей позволяет предоставлять созданные на сервере защищённые диски в общее пользование. Максимальное количество одновременных подключений по сети ко всем защищённым дискам одного сервера может быть 5, 10, 25, 50, 100 или неограниченным. Уточните число пользователей, которые будут работать по сети с файлами на защищённых дисках.

Лицензия сервера приложений позволяет создавать на сервере защищённые диски, недоступные по сети. Эта лицензия необходима, если с помощью Secret Disk Server NG планируется защитить базу данных, почтовый сервер или любой другой сервер приложений.

При необходимости лицензии файл-сервера и сервера приложений могут быть записаны в память одного электронного ключа и использоваться на одном сервере одновременно.

3. Использование устройств для подачи серверу сигнала «тревога».

«Красная кнопка» подключается к USB- или COM-порту сервера или любой рабочей станции в сети. При нажатии на кнопку контакты замыкаются, и серверу подаётся сигнал «тревога». Для замыкания контактов также можно использовать любое другое исполнительное устройство, например, датчик охранной или пожарной сигнализации.

Радиоприёмник, подключаемый к порту USB- или COM-сервера или любой рабочей станции в сети, обеспечивает возможность дистанционной подачи серверу сигнала «тревога» с помощью радио-брелока. Радиус действия радио-брелока составляет порядка 50 метров, но зависит от особенностей помещения (наличие стен, перегородок из различных материалов).

В комплекте с радиоприёмником поставляется один радио-брелок. Один радиоприёмник может работать с 12 радио-брелоками.

Двухфакторная аутентификация

На сегодняшний день двухфакторная аутентификация является одним из самых надежных методов обеспечения безопасности данных, потому что включает в себя «ответы» на следующие вопросы:

  • Что я имею?
  • Что я знаю?

Первое – это электронный ключ или токен. Это специальное устройство, визуально напоминающее флэш-накопитель, но содержащее в себе крипто-процессор, на физическом уровне защищающий хранимую информацию. Приватный ключ позволяет легитимному пользователю выполнять вычисления с этим ключом, но не позволяет извлечь сам ключ.

Второе – ПИН-код или пароль доступа к токену. Лишь введя правильный ПИН-код, можно получить доступ к операциям с приватным ключом, чтобы извлечь из зашифрованной последовательности истинный ключ шифрования данных.

Количество попыток доступа строго ограничено и по умолчанию равно 10-ти. После достижения этого числа содержимое токена блокируется и не может быть использовано.

Для восстановления потерянного доступа к информации в продуктах Secret Disk используются ключевые контейнеры с парольной защитой и/или распечатанные промежуточные ключи, которые всегда хранятся у пользователя и не могут быть получены администратором или работником сервисной службы.

Технические характеристики

Параметр Значение
Поддерживаемые платформы
  • Microsoft Windows 10
  • Microsoft Windows 8.1
  • Microsoft Windows 8
  • Microsoft Windows 7
  • Microsoft Windows Vista
Типы поддерживаемых защищаемых ресурсов
  • Системный раздел жёсткого диска1
  • Основные разделы и логические диски в дополнительных разделах базовых жёстких дисков
  • Тома динамических дисков
  • Съемные диски (USB- и Flash-диски и др.)
  • Виртуальные диски
  • Файловые папки на системном и логических томах и съёмных дисках (за исключением системных папок операционной системы)
Типы файловых систем
  • NTFS
  • FAT 32
  • exFAT
  • FAT 12/16/VFAT

С возможностью переформатирования из одного типа в другой без расшифрования.

Размер защищаемых дисков
  • От 1 МБ (для FAT)
  • До 16 ТБ (для зашифрованных томов)
  • До 2 ТБ (для зашифрованных виртуальных дисков).

См. Особенности файловых систем NTFS и FAT

Модели электронных ключей
  • USB-токены и смарт-карты JaCarta с апплетом PKI: JaCarta PKI, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta PRO
  • USB-токены и смарт-карты eToken PRO (Java) 72K, eToken PRO Anywhere
Размер занимаемой памяти на электронном ключе От 4 Кб
Встроенные алгоритмы шифрования Нет
Поддерживаемые внешние поставщики службы криптографии (CSP) и блочные алгоритмы шифрования
  • Крипто-библиотеки режима ядра, входящие в состав пакета расширения Secret Disk Crypto Extension Pack, — рекомендуются как более быстрые и надёжные:
    • AES с длиной ключа 128/256-бит;
    • Twofish с длиной ключа 256-бит.
  • КриптоПро CSP и Vipnet CSP (реализуют российский стандарт, сертифицированы ФСБ России — рекомендуются государственным учреждениям и корпоративным пользователям):
  • Microsoft Enhanced Crypto Provider (входит в состав операционной системы):
    • AES с длиной ключа 128/256-бит;
    • RC2 с длиной ключа 128-бит (используется по умолчанию);
    • Triple DES с длиной ключа 168-бит.
Поддержка других алгоритмов шифрования
  • Через внешних поставщиков службы криптографии (CSP).
  • Через подключаемые библиотеки режима ядра.

История изменений

Версия 2.7.10.35

  • Добавлена поддержка последних требований Microsoft к работе в режиме Secure Boot: все используемые драйверы и загрузчики проверены и подписаны Microsoft и совместимы с актуальными версиями Windows 10 (sdA) и Windows Server 2019 (sdMS).
  • Пакет расширения криптографии встроен в основной инсталлятор и не требует отдельной установки при полном сохранении функциональности.
  • Из дистрибутива исключён сервер SDMS в разрядности x86 как неиспользуемый.
  • Полностью переработан инсталлятор, позволяя при обновлении не снимать защиту ресурсов пользователя и не удалять предыдущую версию. В связи с этим из дистрибутива исключён «sdAxx.exe», как неподдерживающий режим упрощённого обновления.
  • Добавлена поддержка минидрайверов JaCarta и eToken, позволяющая отказаться и на сервере, и на рабочих станциях от установки дополнительного платного программного обеспечения.
  • Значительно повышена отказоустойчивость сервера SDMS при работе с MSAD при малой пропускной способности канала соединения и большом количестве клиентов.

Архитектура и системные требования Secret Disk Enterprise

Secret Disk Enterprise включает в себя восемь компонентов — шесть серверных модулей и два клиентских продукта:

  • Сервер бизнес-логики — центральный компонент серверной части Secret Disk Enterprise, обеспечивает взаимодействие всех компонентов и процессов продукта. Выполнен в виде службы для операционной системы Windows.
  • Шлюз клиентов — серверный модуль для реализации канала связи между клиентским агентом и сервером бизнес-логики. Реализован в виде надстройки для Microsoft IIS — встроенного веб-сервера в Microsoft Windows Server.
  • Административный web-портал — веб-приложение для администрирования системы. Реализация аналогична шлюзу клиентов — надстройка для IIS.
  • База данных — хранение всей служебной информации Secret Disk Enterprise, включая сертификаты пользователей и ключи шифрования. Хранение осуществляется в шифрованном виде, в качестве ключа шифрования используется общий мастер-ключ. В качестве базы данных выступает СУБД Microsoft SQL.
  • Модуль синхронизации с Active Directory — выполняет синхронизацию данных о пользователях, сертификатах и защищаемых компьютерах между Secret Disk Enterprise и Active Directory.
  • Модуль сертификации — компонент для выпуска сертификатов Х.509 на электронных ключах и проверка выпущенных сертификатов при проведении операций с ними.
  • Secret Disk Agent — клиентское приложение, непосредственно осуществляющее криптографические преобразование и защиту хранимых данных на рабочих местах, серверах и съемных накопителях.
  • Secret Disk Reader — утилита для доступа к зашифрованным данным вне защищенной инфраструктуры, используется для обмена защищенными контейнерами с внешними пользователями.

Рисунок 1. Архитектура Secret Disk Enterprise

Системные требования для серверных компонентов Secret Disk Enterprise:

  • Операционная система Microsoft Windows Server 2008 SP2, 2008 R2, 2012, 2012 R2.
  • Объем оперативной памяти — от 1 Гб и выше.
  • Количество свободного места на жестком диске — минимум 250 Мб (не включая объем СУБД).
  • Наличие Microsoft .NET Framework версии 4.5 и выше.
  • Наличие Microsoft IIS 6 и выше.
  • Наличие установленных драйверов JaCarta Unified Client и/или SafeNet Authentication Client.
  • Наличие пакета Crypto Extension Pack и стороннего CSP (CryptoPro или ИнфоТеКС VIPNet) для реализации шифрования по алгоритму ГОСТ.
  • Поддерживаемые версии СУБД MSSQL — 2008 SP1, 2008 R2 и 2012.

Системные требования Secret Disk Agent для защищаемых компьютеров:

  • Операционная система Microsoft Windows 7, 8, 8.1 или 10.
  • Объем оперативной памяти — от 512 Мб и выше.
  • Количество свободного места на жестком диске — минимум 15 Мб.
  • Поддержка USB 2.0 или SmartCard Reader для подключения аппаратных токенов.
  • Наличие установленных драйверов JaCarta Unified Client и/или SafeNet Authentication Client.
  • Наличие пакета Crypto Extension Pack и стороннего CSP (CryptoPro или ИнфоТеКС VIPNet) для реализации шифрования по алгоритму ГОСТ.

Системные требования Secret Disk Reader:

  • Операционная система Microsoft Windows 7, 8, 8.1 или 10.
  • Объем оперативной памяти — от 512 Мб и выше.
  • Количество свободного места на жестком диске — минимум 50 Мб.

Для всех компонентов Secret Disk Enterprise не предъявляются специальные требования к остальному аппаратному обеспечению, достаточно соответствия минимальным требованиям операционной системы. Поддерживается работа всех программных компонентов в средах виртуализации VMWare и Microsoft (Hyper‐V). Для шифрования поддерживаются файловые системы типов NTFS, FAT, FAT32 и exFAT.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий