Ни для кого не секрет, что системы безопасности периметра сети беспомощны, если злоумышленник получает физический доступ к носителю с информацией. Единственным возможным способом защиты в такой ситуации заключается хранение информации на носителе в зашифрованном виде.

Задачу защиты информации, размещенной на жестких дисках и дисковых массивах, в хранилищах SAN и на магнитных лентах, как раз и решают продукты Zserver и Zbackup компании SecurIT (http://www.securit.ru), в основе функционирования которых лежит принцип прозрачного шифрования информации при чтении и записи данных и невозможность их использования без ключа шифрования даже при изъятии носителя информации.

В конце 2005 г. была выпущена новая версия системы защиты SecurIT Zserver — 4.0. В ней появился ряд новых возможностей, среди которых можно выделить поддержку кворума ключей, перешифровывание разделов, атомарные операции шифрования и устойчивость к сбоям, поддержку защищенных сетевых ресурсов (secure shares), определение сбойных секторов, поддержку USB-ключей.

Photo

Реализованная в Zserver 4.0 функциональность кворума ключей полезна в том случае, когда требуется распределить ключ шифрования между несколькими сотрудниками для снижения влияния человеческого фактора. Ключ шифрования по специальной формуле разбивается на n частей одинакового размера таким образом, что для его восстановления достаточно любых k частей (k <= n). В этом случае говорят о кворуме ключей k/n.

На практике распространены схемы кворума ключей 2/2, 2/3, 2/5 и 3/5. Например, в варианте 2/3 ключ разбивается на три части и по одной части выдается системному администратору, офицеру безопасности и руководителю компании. Чтобы получить доступ к зашифрованным данным, необходимо загрузить на сервер любые две части ключа. В этом случае сохраняется гибкость системы и существенно снижается риск — компрометация какой-либо одной части ключа не приведет к компрометации зашифрованных данных.

Операции первоначального зашифровывания и расшифровывания раздела могут занимать довольно много времени — до нескольких часов. Если во время такой операции произойдет какой-либо системный сбой, процесс шифрования прервется и состояние раздела станет неопределенным, что может привести к потере данных. В Zserver 4.0 эта проблема решена за счет реализации длительных операций шифрования как атомарных транзакций: после того как операция началась, она гарантированно будет завершена или возвращена в начальное состояние (откат транзакции) в любое время по желанию администратора, в том числе после перезагрузки сервера. Кроме того, администратор может в любой момент вручную приостановить операцию шифрования, после чего продолжить или откатить операцию.

При этом в новой версии сохраняется возможность выполнения операций зашифровывания и расшифровывания раздела в фоновом режиме, реализованная в предыдущей версии Zserver. Это означает, что в процессе выполнения указанных операций доступ к шифруемому разделу не блокируется, а пользователи и приложения могут работать с ним в обычном режиме. Диск остается доступным для пользователей даже в состоянии приостановленного шифрования при условии, что он открыт и ключ шифрования загружен в память сервера.

Функция перешифровывания раздела используется для смены ключа и/или алгоритма шифрования, что может потребоваться в случаях риска компрометации ключа шифрования. Данную операцию также рекомендуется периодически выполнять в профилактических целях для обновления ключей шифрования.

В отличие от предыдущих версий Zserver, где перешифровывание проходило в два этапа (расшифровывание раздела и зашифровывание новым ключом), в Zserver 4.0 данная операция выполняется за один проход. Данные расшифровываются только в памяти сервера, что не создает дополнительных предпосылок для утечки информации. Операция перешифровывания, равно как зашифровывание и расшифровывание, выполняется в фоновом режиме, т. е. пользователи могут продолжать работу с данными на разделе. Она реализована как атомарная, а значит, в любой момент может быть приостановлена вручную или в результате системного сбоя, перезагрузки и т. д., после чего ее можно продолжить или откатить.

В системе Zserver 4.0 реализован контроль назначения общего доступа (sharing) к файлам и папкам на зашифрованном разделе. Эта функция обеспечивает защиту данных от несанкционированного доступа в процессе работы системы. Неавторизованный пользователь не сможет получить доступ к данным на зашифрованном разделе не только в том случае, когда в его руки попадет сервер или жесткий диск с данными, но и в процессе работы, когда сервер включен, ключи шифрования загружены и зашифрованные диски открыты.

Информация об общих ресурсах хранится на зашифрованном диске в специальном защищенном хранилище, и работать с ней имеют право только администраторы данного диска. После включения режима защиты сетевых ресурсов все операции с папками общего доступа можно выполнять только через консоль управления Zserver. Попытки что-либо сделать с помощью стандартного интерфейса администрирования Windows будут заблокированы. В простейшем случае можно вообще отключить доступ по сети к файлам и папкам, расположенным на зашифрованном разделе, чтобы файлы использовались только для работы серверов приложений.

В Zserver 4.0 реализована функция определения и обработки сбойных секторов, обеспечивающая регистрацию и специальную обработку ошибок чтения/записи, которые возникают при появлении на диске таких секторов. Сбойные сектора пропускаются, и администратор системы оповещается об их появлении.

В новой версии Zserver появилась возможность хранить ключи шифрования в памяти USB-ключей (в предыдущих версиях — только в смарт-картах). Сейчас на всех поддерживаемых продуктами SecurIT USB-ключах и в смарт-картах ACOS1 можно хранить до 16 ключей шифрования.

Zserver с USB-ключами будет предоставляться по специальному заказу, в стандартную поставку по-прежнему будет входить ридер и две смарт-карты. Стоимость Zserver 4.0 с USB-ключами будет такой же, как со смарт-картами.