Zserver Suite на страже данных

В последнее время на фоне угроз, исходящих из Интернета, вопросы внутренней защиты данных как-то отошли на второй план. Тем не менее ни один хакер или вирус наверняка не смогут нанести компании такого ущерба, как небрежный или халатный сотрудник, имеющий доступ к критичной информации. При этом оградить себя от подобного риска довольно просто, например с помощью шифрования.

Продукт предоставлен компанией «Инфобезпека»

Если компания работает с конфиденциальными данными, то защитить их от хищения и несанкционированного распространения – ее первоочередная задача. И в этой области (подразумевающей возможность физического доступа к данным потенциального злоумышленника) до сих пор не придумали ничего лучшего и более надежного, чем шифрование. Вопрос другой, что именно шифровать. К примеру, специалисты Gartner в первую очередь обращают внимание на магнитные ленты с резервными копиями и ноутбуки сотрудников, т. е. те носители, которые (в силу различных причин) проще всего потерять или похитить. Ленты, кстати, здесь упоминаются отнюдь не ради красного словца – известно множество инцидентов, когда во вполне уважаемых компаниях их случайно выбрасывали или теряли при транспортировке.

Впрочем, жизнь ставит перед нами все новые задачи. Сегодня, к примеру, многие предпочитают для резервного копирования использовать оптические диски, а оперативная информация может подвергаться опасности, скажем, во время рейдерских атак, которые, как ни печально это признавать, стали у нас действенным аргументом в конкурентной борьбе. А развитие средств и технологий восстановления данных существенно повысило требования к надежности утилизации магнитных носителей.

При всей своей простоте Zserver Suite допускает довольно гибкое управление своей функциональностью

Одним словом, применений для средств шифрования масса, и, соответственно, их спектр весьма широк – от очень эффективных, но дорогих аппаратных решений до чисто программных, реализуемых на уровне отдельных приложений или ОС. Но если для индивидуального либо сравнительно узкого использования достаточно даже стандартных средств, скажем EFS и BitLocker, встроенных в современные версии Windows, то в корпоративной среде, пожалуй, требуется что-то более специализированное – пригодное для развертывания в гетерогенной среде, обеспечивающее централизованное управление, разом решающее большинство поставленных задач.

Подобные программные продукты действительно существуют, и сегодня мы познакомимся с одним из них – Zserver Suite российской компании SecureIT. Формально его образуют две составляющие – Zserver и Zbackup, предназначенные, соответственно, для шифрования оперативных данных (разделов жестких дисков) и резервных копий на магнитных лентах или оптических дисках, которые продаются и по отдельности, но в значительной степени используют общую инфраструктуру и выглядят именно единым комплексом. В комплект также входит определенный набор аппаратного обеспечения: лицензионный ключ для защиты самого ПО (для USB или LPT), две смарт-карты типа ACOS1 и считыватель для них, а также тревожная («красная») кнопка, подключаемая к COM-порту (что в некоторых случаях ограничивает ее применение).

Одна из новинок версии 5.x – многопотоковое шифрование. Впрочем, реальный эффект от этой возможности наблюдается далеко не всегда

Комплекс Zserver Suite совершенно прост и может быть развернут даже неспециалистом. Функционально он состоит из трех основных компонентов – службы шифрования, устанавливаемой на защищаемый компьютер (под управлением всех актуальных версий Windows вплоть до Windows Server 2008 или Linux), административной консоли и модуля подачи сигнала тревоги, которые можно разнести практически произвольно. Их взаимодействие осуществляется по стандартному протоколу TCP/IP, поэтому иногда потребуется корректировка настроек брандмауэров, весь трафик автоматически шифруется.

Базовый сценарий использования Zserver также несложен. После развертывания системы из административной консоли устанавливается соединение со всеми защищаемыми компьютерами (на каждом из них необходим упомянутый выше аппаратный ключ). Затем следует сгенерировать (или загрузить готовый) ключ шифрования, который в дальнейшем можно хранить в обычных файлах либо на смарт-картах. Стандартно поддерживаются два криптографических алгоритма: RC5 (128 бит) и AES (256 бит), в специальных конфигурациях (учитывая российское происхождение продукта) может также присутствовать «Криптон», определенный соответствующим ГОСТ.

Теперь можно шифровать существующие диски (либо форматировать с шифрованием), причем текущее их использование не будет прервано. В дальнейшем работа с защищенными накопителями происходит совершенно прозрачно, хотя в отключенном состоянии они не будут видны на системном уровне. Кроме того, поскольку доступ к ним осуществляется посредством специальной системной службы, Zserver не пригоден для обслуживания разделов, критичных для инициализации ОС (системного и пр.). Зато на Zserver можно целиком и полностью переложить функции разграничения доступа к защищенным разделам на уровне пользователей или приложений, для чего достаточно лишь активизировать соответствующие опции (при этом стандартная функциональность будет блокироваться).

Для формирования ключей можно задействовать все доступные источники случайных чисел

Модуль тревоги, как несложно догадаться, предназначен для использования в экстренных ситуациях. По соответствующему сигналу либо все защищаемые ресурсы блокируются, а ключи выгружаются из памяти, либо компьютеры попросту перезагружаются – так или иначе критическая информация становится недоступной. А подать их можно несколькими способами (с любой «уполномоченной» рабочей станции) – с помощью аппаратной кнопки, программной пиктограммы или специальной утилиты и даже по телефону (если дополнительно приобрести расширение Zserver Phone Alarm).

Еще одно экстренное средство – PIN-код «под принуждением» (зеркальная копия обычного), ввод которого приведет к полному обнулению содержимого смарт-карты, в результате чего зашифрованная информация будет, по сути, утрачена. Следует, однако, иметь в виду, что часть подобной функциональности реализуется Zserver Suite, а не средствами самой смарт-карты. Соответственно, завладевший ею злоумышленник может воспользоваться сторонним ПО с менее жесткими ограничениями (скажем, большим допустимым числом попыток ввода PIN-кода). Такие нюансы достаточно четко и подробно описаны в документации.

Zbackup развертывается и функционирует аналогично (даже в случае автономной установки), с той лишь разницей, что обеспечивает работу с магнитными лентами и оптическими дисками. За счет использования стандартных системных интерфейсов гарантируется совместимость со всеми типами оборудования и всем спектром ПО для прожига и резервного копирования.

В заключение приведем еще несколько любопытных особенностей Zserver Suite, которые наверняка придутся по душе специалистам по безопасности:

• имеется возможность формирования так называемого кворума ключей. При этом генеральный ключ разбивается на произвольное число фрагментов так, что для активизации системы необходимо и достаточно загрузить лишь часть из них (в текущей реализации два либо три). Тем самым исключается единоличное вмешательство в работу системы;
• для Zserver Suite имеется опциональный модуль Script Pack, предназначенный для функционального расширения системы. С его помощью можно определить дополнительные реакции на подачу сигнала тревоги, открытие и закрытие зашифрованных дисков. Таким образом, к примеру, можно реализовать дополнительное оповещение (в придачу к стандартному протоколированию).

Все вместе это позволяет рекомендовать Zserver Suite как действительно продуманное и вместе с тем совершенно простое решение по защите конфиденциальных данных, учитывающее целый ряд нюансов. Его применение существенно снизит риски утечки информации, а также предвосхитит ряд проблем, о которых многие даже не догадываются.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365