Продукт для шифрования информации на корпоративном сервере
В конце лета компания SecurIT анонсировала новую версию одного из своих программных продуктов - Zserver. Этот продукт предназначен для обеспечения защиты информации, размещаемой на серверах. В его основу положена клиент-серверная технология, что позволяет устанавливать серверную часть под операционными системами Windows NT/2000/2003, а административную - на всех Windows-платформах.
Основное назначение программы - защита информации, хранящейся на серверах, от несанкционированного доступа. Как правило, в организациях основная информация, базы данных, документы, бухгалтерская и иная отчетность хранятся в тех местах, к которым имеется общий доступ, в частности на корпоративных серверах.
Защита информации с помощью Zserver 3.0 реализуется за счет создания зашифрованных дисков, доступ к которым разрешается лишь после загрузки в память сервера ключа, которым диск был зашифрован. Если ключ не загружен в память, зашифрованный диск будет выглядеть для пользователей как неотформатированный раздел. Загрузка ключа осуществляется с помощью консоли администратора с использованием защищенного TCP/IP-соединения. Это соединение применяется даже в том случае, если административная и серверная части установлены на одном компьютере. Защита TCP/IP-соединения обеспечивается с помощью шифрования передаваемых данных с использованием сессионных ключей, что исключает возможность перехвата информации при анализе сетевого трафика. Поэтому появляется возможность управления серверами не только по локальной сети, но и при подключении через Internet.
Шифрование дисков в новой версии программы может выполняться несколькими способами. Обычный - когда шифруется уже имеющийся диск. Особенность этого процесса в новой версии заключается в том, что шифрование может выполняться в фоновом режиме и незаметно для пользователей. На хороших серверных платформах на шифрование раздела объемом в 16 Гбайт затрачивается до 15 минут. Если раздел больше - соответственно увеличивается и время шифрования. Обычно закрывать доступ требуется далеко не ко всей имеющейся информации, поэтому разделы для конфиденциальной информации могут быть и небольшими.
Второй вариант - быстрое форматирование с шифрованием; возможен только для вновь созданного раздела, еще не имеющего файловой структуры. Если файловая структура существует, то при форматировании она будет уничтожена. Удобство этого метода заключается в том, что при наполнении раздела диска информация будет размещаться на нем уже в зашифрованном виде и время на шифрование существенно сокращается.
Следующее улучшение в новой версии программы - использование нескольких криптографических алгоритмов, в том числе поддерживающих ГОСТ 28147-89. Реализация последнего стала возможной за счет подключения внешнего модуля шифрования, который является программным эмулятором платы «Криптон» компании «Анкад» и имеет сертификат ФАПСИ. Этот модуль и алгоритм AES, также поддерживаемый программой, используют ключи длиной 256 байт. Расширены и возможности хранения ключей на смарт-картах. Теперь на одной смарт-карте можно хранить до 16 различных ключей. И в случае использования ключей с разными алгоритмами, применяемых для шифрования различных разделов, все они могут храниться на одной смарт-карте. Возможность хранения нескольких ключей на одной смарт-карте позволяет упростить процедуру формирования политики безопасности для доступа пользователей к различным разделам. Теперь пользователю, имеющему доступ к нескольким разделам, достаточно иметь одну смарт-карту вместо нескольких, как требовалось в предыдущей версии.
Если в локальной сети имеется несколько серверов, на которых требуется защищать информацию, серверная часть должна устанавливаться на каждый из них. А вот административная часть может быть установлена всего на одном компьютере (хотя может быть установлена у любого пользователя, которому разрешается выполнять операции с зашифрованными дисками), и при этом будет обеспечивать возможность управления всеми серверами. Для подключения административного модуля к нескольким серверам достаточно выбрать их в списке и выполнить подключение, вводя имя пользователя и пароль для каждого из серверов. Если значения имени и пароля для всех серверов едины, их можно будет при подключении ввести всего один раз.
Новая версия Zserver получила возможность поддержки кластерных систем (для этого требуется специальная версия Cluster Edition). Этот продукт устанавливается на все серверы кластера, на одном из них зашифровываются общие диски, а потом на все серверы загружают ключи, которыми и «открывают» зашифрованные диски. Сохранены и возможности работы с динамическими дисками, при этом поддерживаются все их разновидности - от базовых до RAID-5.
Начинаем работу
Рассмотрим, какие задачи выполняются серверной и клиентской (административной) частями программы. Ядро системы - сервер защиты данных - устанавливается на сервере с защищаемой информацией и осуществляет прозрачное шифрование данных. После установки ядра системы автоматически запускаются системные драйверы и служба SecurIT Zkernel, которая непосредственно реализует операции на сервере по командам от клиентской части Zserver Administrator.
Клиентская часть управляет предоставлением доступа к дискам, операциями с ключами и пользователями системы Zserver (см. экран 1). К операциям с ключами относятся такие действия, как генерация ключей, запись их на смарт-карту или файл, дублирование, загрузка ключей на сервер. Как уже говорилось, через клиентскую часть можно записывать на смарт-карту до 16 различных ключей и загружать их на различные серверы в соответствии с установленной схемой защиты данных. Ключи загружаются в оперативную память сервера и ни при каких обстоятельствах не сбрасываются во временные файлы, размещаемые на носителях данных. Только при загруженном ключе может осуществляться доступ к зашифрованным дискам, выполняться шифрование и дешифрация данных.
Экран 1. Окно Zserver Administrator |
Первое, что обычно делается при запуске административного модуля, — подключение к серверам, предварительно описанным в конфигурации программы. Можно подключаться ко всем серверам одновременно, можно к некоторым из них. После подключения в панели программы будут показаны имеющиеся на сервере диски, данные об электронном ключе защиты, используемые алгоритмы, подключенные пользователи. Для загрузки ключей необходимо считать их со смарт-карты. Поскольку каждый раздел может быть зашифрован отдельным ключом, в память сервера можно одновременно загрузить несколько ключей. После загрузки ключей смарт-карты можно спрятать, поскольку ключи уже будут находиться в памяти сервера и для дальнейшей работы с данными смарт-карта уже будет не нужна.
Подключение и отключение зашифрованных дисков, их шифрование при первом обращении либо форматирование с шифрованием также выполняются по командам из административной консоли. Все действия и состояния серверных дисков отображаются в административной панели значками, которые показывают, какие диски зашифрованы, открыты и доступны для пользователей, над какими выполняется процесс шифрования и на какой стадии он находится. Если диск зашифрован, а ключ загружен в оперативную память, то при открытии диска к нему получат доступ все пользователи, которые имеют разрешения, заданные операционной системой. Также доступ к данным получат все приложения, которые будут работать на этом диске. Но если диск зашифрован, а ключ в память не загружен, то диск будет оставаться недоступным для операционной системы и, следовательно, для всех пользователей и приложений. Все пользователи, имеющие права администратора в Zserver, при работе с административным модулем будут видеть загруженные ключи и состояние дисков независимо от того, кто загружал ключи или работает с дисками.
Открыть раздел просто, а вот закрыть его сложнее, если с данными продолжают работать приложения и какие-либо файлы на диске являются открытыми. В этом случае для принудительного закрытия нужно использовать специальные сценарии (речь о них впереди).
В процессе зашифровывания дисков выполняется их полное шифрование, включая всю служебную информацию (загрузочную запись, таблицу размещения файлов). Поэтому нельзя зашифровать диски, содержащие файлы операционной системы (в том числе файл подкачки и служебные файлы Active Directory), а также загрузочный раздел - в этом случае может быть нарушена работоспособность операционной системы. Процесс шифрования выполняется поблочно на уровне физических секторов, а для шифрования каждого отдельного блока Zserver формирует уникальный ключ шифрования на основе используемого ключа диска.
Реакция на тревогу
Но вот все подготовительные работы завершены и данные размещены на зашифрованных дисках, подключение к которым разрешается только после предъявления смарт-карт. Что делать, если потребуется мгновенно выполнить отключение зашифрованных дисков, невзирая на то что с данными могут продолжать работать программы и пользователи? Для решения подобных задач в комплект Zserver включен модуль подачи сигнала тревоги - Alarm. Он может загружаться как на сервер, где установлено ядро программы, так и на любую рабочую станцию.
После подачи сигнала тревоги происходит мгновенное отключение защищенных дисков, ключи шифрования удаляются из оперативной памяти, доступ к зашифрованным дискам блокируется. Подача сигнала тревоги осуществляется по протоколу TCP/IP, с помощью механизмов, задействованных в программе администрирования. Сам сигнал может быть подан либо через вызов этого модуля, либо через подключенные к нему датчики (например, датчики, которые подключаются через один из портов компьютера), либо посредством «красной кнопки», также подключаемой к одному из портов. Модуль оповещает все серверы согласно настройкам и в зависимости от того, откуда поступил сигнал.
Работы, связанные с выполняемыми программой Zserver функциями, можно автоматизировать. Это значит, что при выполнении тех или иных функций можно «научить» программу выполнять дополнительные операции. Дополнительные действия (задаваемые в виде сценариев) можно связать с операциями открытия или закрытия защищенного диска, а также со срабатыванием сигнала тревоги. С этой целью в качестве дополнительного пакета поставляется Zserver Script Pack. Это приложение позволяет расширить функциональность системы Zserver и выполнять определенные, заданные пользователем действия для более тесной интеграции Zserver с остальными компонентами операционной системы и серверными приложениями.
Zserver Script Pack использует модуль Windows Script Components, который обеспечивает простой способ создания COM-компонентов с помощью языков написания сценариев, например Microsoft Visual Basic Scripting Edition (VBScript) и других, совместимых со спецификацией ECMA 262 (например, Microsoft JScript 2.0 и JavaScript 1.1). В базовую поставку включено несколько готовых сценариев, по которым можно изучить последовательность написания скриптов. Что можно делать с помощью сценариев? Например, при открытии диска можно запускать программу его тестирования (если диск был отключен некорректно, можно было потерять данные), при подаче сигнала тревоги дополнительно можно настроить отправку почтовых и SMS-сообщений, выполнить принудительное отключение некоторых служб и программ, заменить имя зашифрованного диска - при этом сам диск размонтируется, а его имя получает другой, заранее подготовленный раздел.
Таким образом, Zserver обеспечивает выполнение нескольких задач: хранение информации на защищенных шифрованием дисках, существенное ограничение прав администратора за счет использования разных смарт-карт, обработку ситуаций по проверке доступа и оповещение заинтересованных лиц. Применение этой программы позволит значительно повысить уровень защиты конфиденциальной информации в любой компании.
Михаил Брод (mbrod@exler.ru) — технический обозреватель