Компьютерная помощь

 

Secret Disk Enterprise - это новый и ожидаемый корпоративный продукт компании «Аладдин Р.Д.», предназначенный для криптозащиты данных на рабочих станциях и ноутбуках пользователей в масштабах предприятия.

 

 

 

 

 

 

Введение

До настоящего времени на российском рынке были представлены в основном зарубежные системы централизованного управления защитой информации на компьютерах и ноутбуках пользователей. Недостатком этих систем является отсутствие поддержки отечественных алгоритмов шифрования и несоответствие требованиям российского законодательства.

В портфеле продуктов компании «Аладдин Р.Д.» давно был продукт для защиты данных на компьютерах пользователей, предназначенный для персонального использования,  - Secret Disk. Его развертывание и сопровождение в масштабах крупного предприятия сопряжено с большими административными и временными затратами, связанными с необходимостью настройки и поддержки данного продукта локально на каждом компьютере.

Компания  «Аладдин Р.Д.» выпустила на рынок новый продукт Secret Disk Enterprise – предназначенный для защиты данных на рабочих станциях и ноутбуках пользователей с централизованной консолью управления и мониторинга. Развертывание, настройка и сопровождение клиентов данного продукта осуществляется из административной консоли.

Secret Disk Enterprise, как и все семейство продуктов Secret Disk, обеспечивает строгую двухфактроную аутентификацию пользователей при доступе к защищаемым данным с помощью ключей eToken Pro.

Принципы работы Secret Disk Enterprise

Основные компоненты и архитектура программного продукта Secret Disk Enterprise представлена на рисунке 1a. Secret Disk Enterprise построен на базе клиент-серверной технологии.

 

Рисунок 1a: Архитектура Secret Disk Enterprise

 

Рассмотрим архитектуру Secret Disk Enterprise более подробно. Начнем с клиентской части:

1. Secret Disk Enterprise Agent Программный модуль, устанавливающийся на рабочую станцию или ноутбук пользователя. Осуществляет шифрование/дешифрование дисков на рабочей станции. Собирает и передает на сервер управления информацию о работе программного продукта, о попытках доступа к зашифрованной информации, о ходе выполнения заданий полученных с сервера управления.

Серверная часть Secret Disk Enterprise более сложна, и состоит их нескольких компонентов:

1. Сервер бизнесс-логики Центральный компонент программного продукта Secret Disk Enterprise. Отвечает за взаимодействие сервера с каталогом Active Directory, осуществляет разграничение прав доступа пользователям к зашифрованным данным, формирует задачи на шифрование/расшифровки данных на компьютерах пользователей. Собирает и обрабатывает информацию о событиях на рабочих станциях и ноутбуках пользователей.
2. Шлюз клиентов Шлюз клиентов осуществляет аутентификацию пользователей Secret Disk Enterprise и перенаправляет запросы клиентов на сервер бизнес-логики. Данный компонент отвечает за сетевое взаимодействие серверной части продукта с клиентами и обеспечивает масштабируемость программного продукта.
3. Административный Web-портал Web-интерфейс, через который происходит настройка и управление программным продуктом Secret Disk Enterprise.
4. База данных MS SQL Для хранения служебной информации, конфигурации а так же данных мониторинга и аудита используется база данных. Стоит отметить, что все данные, кроме сообщений аудита и мониторинга, хранятся в зашифрованном виде.

 

Системные требования Secret Disk Enterprise

Для развертывания Secret Disk Enterprise в Вашей организации необходимо наличие Active Directory. Так как программный продукт обеспечивает строгую двухфакторную аутентификацию на базе цифровых сертификатов с помощью ключей eToken, необходимо наличие центра сертификации.

Secret Disk Enterprise может быть установлен на сервер под управлением операционных систем:

• Windows Server 2003
• Windows Server 2003 R2
• Windows Server 2008
• Windows Server 2008 R2

Сервер, на котором разворачивается продукт Secret Disk Enterprise, должен быть членом домена.

Дополнительными требованиями для установки являются:

• Internet Information Server 6.0 или выше с установленным компонентом ASP.NET
• .NET Framework 3.5 SP1 или выше
• MS SQL 2005/2008/2008R2, так же возможна установка на MS SQL Express

Клиентское программное обеспечение может быть установлено на компьютер под управлением:

• Windows 2000 Professional
• Windows XP
• Windows Vista
• Windows 7

Поддерживаются как 32-битные так и 64-битные версии.

 

Процесс установки Secret Disk Enterprise

Давайте более подробно рассмотрим процесс установки и первоначальной настройки продукта Secret Disk Enterprise. Для этого воспользуемся демонстрационным стендом компании «Аладдин Р.Д.», который полностью соответствует  указанным выше требованиям. Все составляющие сервера Secret Disk Enterprise будут развернуты на одном сервере – данный вариант подходит для небольших инсталляций или пилотных проектов.

Запускаем процесс установки, и видим приветственное сообщение мастера установки программного продукта (рисунок 1b). Для продолжения работы мастера нажимаем кнопку «Далее».

 

Рисунок 1b: Начальное окно мастера установки Secret Disk Enterprise

 

На следующем окне мастера нам будет предложении лицензионное соглашение (рисунок 2). Внимательно читаем, выбираем пункт «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Далее».

 

Рисунок 2: Подтверждение лицензионного соглашения

 

Далее мастер установки предложит выбрать вид установки программного продукта Secret Disk Enterprise (рисунок 3). Так как мы устанавливаем все компоненты на один сервер, то выбираем обычную установку. В случае более сложной инфраструктуры, можно воспользоваться другими видами установки.

 

Рисунок 3: Выбор варианта установки Secret Disk Enterprise

 

На этом мастер установки завершен (рисунок 4), и для запуска с выбранными ранее параметрами необходимо нажать кнопку «Установить».

 

Рисунок 4: Финальное окно настройки мастера установки Secret Disk Enterprise

 

Запустится процесс установки (рисунок 5), который копирует необходимы файлы и регистрирует в системе необходимы сервисы.

 

Рисунок 5: Установка Secret Disk Enterprise

 

После завершения процесс установки, мы получим сообщения мастера об успешном завершении операции (рисунок 6).

 

Рисунок 6: Мастер установки Secret Disk Enterprise закончил свою работу

 

Установка продукта закончена. После нажатия кнопки «Готово» будет автоматически запущен процесс первоначальной настройки .

 

Первоначальная настройка Secret Disk Enterprise

После окончания процесса установки запуститься мастер первоначальной настройки (рисунок 7). Для продолжения работы мастера нажимаем кнопку «Далее».

 

Рисунок 7: Запуск мастера первичной настройки Secret Disk Enterprise

 

В окне выбора режима работы мастера нам будет предложено создать новую базу данных или подключиться к существующей базе данных. Так как мы устанавливаем Secret Disk Enterprise в новом окружении, то выберем пункт «Создание новой базы данных» (рисунок 8).

 

Рисунок 8. Выбор режима работы мастера конфигурации Secret Disk Enterprise

 

После указания режима работы нажимаем кнопку «Далее».

Мастер настройки предложит выбрать домен Microsoft Active Directory, в котором будет работать Secret Disk Enterprise (рисунок 9). Если в Вашей инфраструктуре несколько доменов, то все они будут отображены в данном окне, а текущий домен будет подсвечен. На нашем стенде создан один домен, следовательно, выбираем его и нажимаем «Далее».

 

Рисунок 9. Выбор контейнера Active Directory для работы Secret Disk Enterprise

 

Следующее окно мастера настройки позволит выбрать алгоритмы шифрования для различных компонентов программного продукта Secret Disk Enterprise (рисунок 10). Прежде всего, необходимо выбрать поставщика криптографии – от этого зависит, какие алгоритмы шифрования будут доступны для использования в дальнейшем.

Как уже упоминалось ранее – данные в базе данных хранятся в зашифрованном виде, и на данном окне мы можем выбрать алгоритм шифрования базы данных.

Далее мы можем выбрать алгоритмы шифрования для дисков - «несистемных разделов» и системных разделов.

Отдельно стоит обратить внимание, что на данный момент возможно использовать ГОСТ криптографию для «несистемных» разделов. Для этого необходимо, чтобы на компьютере был установлен и выбран в качестве поставщика криптографии CryptoPro CSP.

Определившись с алгоритмами шифрования, нажимаем кнопку «Далее».

 

Рисунок 10. Выбор используемых алгоритмов шифрования в Secret Disk Enterprise

 

Нам будет предложно выбрать сертификат оператора Secret Disk Enterprise (рисунок 11), с помощью которого будет зашифрован мастер-ключ шифрования базы данных. В дальнейшем данный сертификат нам понадобится для работы с базой данных, точнее для монтирования базы данных перед началом работы.

Далее, в процессе работы можно создать еще несколько операторов.

 

Рисунок 11: Выбор администратора мастер ключа шифрования

 

Выбираем сертификат и нажимаем «ОК».

После указания всех настроек, связанных с криптографией, необходимо выполнить резервную копию мастер-ключа базы данных. Читаем приведенную информацию (рисунок 12 ) и нажимаем кнопку «Далее».

 

Рисунок 12: Установщик Secret Disk Enterprise предлагает создать резервную копию секрета

 

Запуститься мастер резервного копирования ключа шифрования базы данных (рисунок 13). Для запуска работы мастера нажимаем кнопку «Далее».

 

Рисунок 13: Мастер создания резервного ключа базы данных Secret Disk Enterprise

 

Укажем место в файловой системе, куда будет сохранена резервная копия мастер-ключа шифрования базы данных (рисунок 14), после чего нажмем «Далее».

 

Рисунок 14: Диалог выбора файла для сохранения копии ключа шифрования

 

Резервная копия мастер-ключа будет защищена паролем (рисунок 15). Вводим пароль, и нажимаем «Далее». В дальнейшем, в случае восстановления базы данных, необходимо будет предъявить резервную копию мастер-ключа базы данных и пароль.

 

Рисунок 15: Установка пароля для резервного мастер-ключа БД

 

В окне подтверждения параметров (рисунок 16) убеждаемся, что указанные настройки верны, и нажимаем кнопку «Далее».

 

Рисунок 16: Проверка параметров для резервного копирования мастер-ключа БД

 

Получим сообщение о завершении работы мастера создания резервной копии ключа шифрования базы данных. Для возвращения к мастеру первоначальной настройки нажмем кнопку «Завершить».

 

Рисунок 17: Завершение работы мастера резервного копирования

 

На следующем шаге мастера первоначальной настройки необходимо указать сервер управления базами данных, на котором будет располагаться база данных Secret Disk Enterprise и параметры подключения (рисунок 18). Для проверки соединения нажимаем кнопку «Тест соединения» и в случае положительного результата нажимаем кнопку «Далее» для продолжения работы мастера первоначальной настройки.

 

Рисунок 18: Настройка параметров SQL-сервера в Secret Disk Enterprise

 

Далее укажем имя базы данных на выбранном нами сервере управления базами данных. Если особых предпочтений нет, то через несколько секунд мастер настройки предложит свое имя базы данных и проверит его на уникальность (рисунок 19). Соглашаемся с введенными настройками и нажимаем кнопку «Далее».

 

Рисунок 19: Выбор базы данных для подключения сервера Secret Disk Enterprise

 

В окне подтверждения параметров проверяем указанные ранее параметры первоначальной настройки, и если все верно, то нажимаем «Далее».

 

Рисунок 20: Подтверждение настроек

 

Запускается процесс создания базы данных и применения указанных ранее настроек (рисунок 21). Дожидаемся окончания процесса и нажимаем «Далее».

 

Рисунок 21: Работа мастера первоначальной настройки Secret Disk Enterprise

 

Теперь нас попросят указать файл с лицензией на использование программного продукта Secret Disk Enterprise (рисунок 22). Выбираем файл с лицензией, если лицензия действительна, то она подсветиться зеленым, иначе она будет подсвечена красным. Убеждаемся, что наша лицензия действительна – подсвечена зеленым, и нажимаем кнопку «Далее».

 

Рисунок 22: Выбор лицензии на Secret Disk Enterprise

 

Стартует сервис Secret Disk Enterprise. Дожидаемся окончания процесса (рисунок 23) и нажимаем «Далее».

 

Рисунок 23: Запуск сервера Secret Disk Enterprise

 

На последнем шаге нам предложат смонтировать крипто-хранилище базы данных (рисунок 24) – без этого невозможна дальнейшая работа. Убеждаемся, что ключ eToken с сертификатом оператора, который был указан в процессе настройки, подключен к серверу и нажимаем «Далее». Крипто-хранилище будет автоматически смонтировано, и сервер будет готов к работе.

 

Рисунок 24: Монтирование криптохранилища

 

В окне завершения мастера первоначальной настройки нам сообщат, что все необходимые шаги выполнены и поблагодарят за выбор решения (рисунок 25). Установим «Запустить административный Web-портал» и нажмем далее.

 

Рисунок 25. Завершение работы мастера первоначальной установки Secret Disk Enterprise

 

Secret Disk Enterprise установлен, первоначальная настройка выполнена, и теперь мы можем приступать к работе.

 

Возможности Secret Disk Enterprise

Давайте рассмотрим возможности централизованного управления шифрованием в Secret Disk Enterprise. Главная страница административного Web-портала представлена на рисунке 26.

 

Рисунок 26. Административный Web-портал.

 

Можно заметить, что портал разделен на 6 частей в соответствии с административными задачами. Все наиболее часто используемые функции вынесены на главную страницу, что позволяет ускорить исполнение типовых операций.

На рисунке 27 представлен раздел управления рабочими станциями. В этом разделе можно получить информацию о защищаемых рабочих станциях или добавить защищаемую новые из Active Directory.

 

Рисунок. 27. Интерфейс управления устройствами в Secret Disk Enterprise

 

В разделе «Диски», представленном на рисунке 28, мы можем получить информацию обо всех зашифрованных дисках, на всех компьютерах, управляемых с помощью Secret Disk Enterprise. Так как на данный момент у нас нет ни одного зашифрованного диска, то никакой информации в данном окне мы не увидим.

 

Рисунок 28. Интерфейс управления защищенными контейнерами в Secret Disk Enterprise

 

В разделе «Пользователи» (рисунок 29) мы можем управлять пользователями системы Secret Disk Enterprise. Здесь можно добавлять пользователей из Active Directory, загружать сертификаты пользователей, назначать роли и предоставлять доступ к зашифрованным дискам.

 

Рисунок 29: Интерфейс управления пользователями и их ролями в Secret Disk Enterprise

 

В разделе «Безопасность» (рисунок 30) можно создавать собственные роли безопасности, посмотреть текущие настройки криптографии, а так же сделать резервную копию мастер-ключа шифрования базы данных.

 

Рисунок 30. Интерфейс управления настройками безопасности Secret Disk Enterprise

 

Важной функцией Secret Disk Enterprise является мониторинг происходящих событий, которая позволяет отслеживать все происходящее в системе и своевременно реагировать на нештатные ситуации. На рисунке 31 представлен журнал аудита действий в сервере Secret Disk Enterprise. Все события происходили в штатном режиме, поэтому они не выделены красным цветом.

 

Рисунок 31. Окно получения отчетов о проделанной системой работе в Secret Disk Enterprise

 

Следует отметить, что в программном продукте предусмотрена возможность выполнять следующие важные функции:

• Восстановление доступа к данным в случае утери/поломки электронного ключа eToken
  Ключи шифрования дисков пользователей хранятся на сервере Secret Disk Enterprise. Эти ключи зашифрованы сертификатами пользователей. В случае утери пользователем ключа eToken, на котором хранится сертификат и закрытый ключ, оператор Secret Disk Enterprise регистрирует в системе новый сертификат пользователя, которым перешифровывается мастер-ключ шифрования дисков, к которым пользователь имеет доступ. Таки образом, утеря пользователем ключа eToken, не приводит к утере зашифрованных данных.
• Поддержка работы с зашифрованными дисками и данными вне доступа к корпоративной сети (например, в командировках)
  При необходимости работы без подключения к серверу существует возможность кэшировать зашифрованные ключи шифрования на компьютере пользователя. В данном случае пользователь может работать с шифрованными дисками без подключения к серверу Secret Disk Enterprise. Кэш имеет время жизни, таким образом можно ограничить время оффлайновой работы пользователя.
• Аудит использования защищенных ресурсов и действий пользователей
  Secret Disk Enterprise Agent, установленный на компьютере пользователя фиксирует все действия с зашифрованными дисками и передает их на сервер. Фиксация событий происходит и при оффлайновой работе. Таким образом, все действии пользователя не останутся незамеченными.

 

Мы рассмотрели основные возможности программного продукта Secret Disk Enterprise Описали установку и первоначальную настройку, привели скришоты и описания основных разделов административного Web-портала. Пришло время сделать выводы.

 

Выводы

Продукты для шифрования данных на компьютерах индивидуальных пользователей делают многие российские компании, однако «Аладдин Р.Д.» пошел значительно дальше своих конкурентов, выпустив продукт корпоративного управления подобными средствами защиты для целого предприятия. Фактически это уникальный продукт, аналог которого вряд ли в ближайшее время разработают российские конкуренты. Иностранные разработчики, хотя и имеют аналогичные функциональные возможности по организации корпоративной криптозащиты, не поддерживают российских алгоритмов шифрования - это сильно ограничивает применимость таких решений.

Продукт достаточно специфичен  и должен управляться специалистами. При этом не требует никакой квалификации от пользователей - они вообще могут и не знать, что диски на их компьютерах зашифрованы.

Именно это и нужно корпоративным пользователям - плохо, когда генеральный директор, установив на свой компьютер систему шифрования, должен сам разбираться, как её настроить, и “почему она не работает”. Чтобы избавить от подобной заботы сотрудников стоит установить централизованное средство управления шифрованием Secret Disk Enterprise. Кроме того, при централизованном хранении ключей шифрования предприятие защищено от потери этих ключей - они хранятся на сервере и передаются пользователю по мере необходимости. Также компания контролирует доступ сотрудников к своим защищаемым данным и в любой момент может запретить такой доступ.

В тоже время, при помощи Secret Disk Enterprise осуществляется централизованное управление политиками шифрования на предприятии. Появляется возможность контролировать все защищенные объекты и управлять ролями пользователей. В продукте предусмотрена возможность сохранения резервной копии ключа. Установка и настройка продукта достаточно проста и не должна вызывать вопросов у человека, понимающего основные принципы организации криптозащиты.

Довольно удобная быстрая установка и настройка клиентского программного обеспечения на рабочих местах пользователей за счет использования групповых политик Microsoft Active Directory или специализированных средств распространения программного обеспечения.

Важной особенностью продукта являет поддержка в нем нескольких алгоритмов шифрования  AES-256, Triple DES. Особо следует отметить поддержку алгоритма ГОСТ 28147-89. Данный алгоритм реализуется с помощью сертифицированной библиотеки криптопровайдеров КриптоПро CSP, что позволяет использовать продукт в том числе и в государственных проектах. Впрочем, пока продукт только передан на сертификацию во ФСТЭК и отсутствие сертификата по защите персональных данных несколько ограничивает использование продукта.

Шифровать с помощью ГОСТ 28147-89 можно только несистемные разделы, что связано с использованием внешних криптопровайдеров - они не могут быть использованы до старта операционной системы. Впрочем, компания работает над реализацией шифрования по ГОСТ и для системных разделов - получены все необходимые для этого лицензии, однако к выпуску текущей версии завершить разработку не удалось.

Важным преимуществом продукта является тот факт, что пользователь даже при наличии злого умысла не может «потерять» доступ к данным, так как вся ключевая информация хранится централизованно.

К минусам продукта следует отнести ориентацию только на технологии Microsoft, в построении базы данных, в административном Web-сервере, в корпоративном каталоге и в поддержки клиентских рабочих станций. Все компоненты могут работать только под управлением операционных систем Windows, да еще и требуют внедрения таких технологий Microsoft как SQL Server и Active Directory. При этом поддержка альтернативных баз данных и серверов каталогов пока не планируется.