Одновременно различные стандарты и нормативные документы требуют, чтобы важные данные клиентов были надежно защищены при обработке их в информационных системах организации. Все эти факторы привели к тому, что некоторые компании приняли решение шифровать данные на компьютерах своих сотрудников, в том числе и мобильных. В результате появляются ИТ-среды, в которых есть тысячи компьютеров с зашифрованными дисками. Управлять такими системами уже не просто.

В частности, именно с такой проблемой столкнулись пользователи продукта Secret Disk, разработанного и выпущенного на рынок компанией Aladdin более 12 лет назад. Он предназначен для прозрачного шифрования дисков ПК, в том числе и системных разделов, с хранением ключей шифрования в специальном USB-устройстве — eToken. Для наиболее крупных клиентов компания разработала новый продукт - Secret Disk Enterprise, который позволяет управлять корпоративной системой шифрования клиентских компьютеров.

На каждую клиентскую машину устанавливается программа Secret Disk Agent — она-то и обеспечивает локальный доступ к защищенным хранилищам. Agent выполнен в виде MSI-пакета, который может быть установлен на компьютер пользователя через групповую политику Active Directory. Зашифрован может быть в том числе и системный раздел, тогда перед запуском операционной системы производится аутентификация пользователя с помощью eToken и соответствующего PIN-кода. Загрузчик считывает с eToken сертификат пользователя, после чего у него появляется возможность расшифровать файлы, необходимые для загрузки Windows.

Secret Disk Enterprise использует инфраструктуру открытых ключей (Public Key Infrastructure, PKI), интегрированную с Active Directory — в ней хранятся сертификаты пользователей с открытыми ключами шифрования. Все ключи шифрования защищенных разделов располагаются в специальной базе данных Microsoft SQL Server и могут быть получены оттуда по сети при предъявлении сертификата пользователя. Для контроля доступа к серверу используется ролевая модель назначения прав. Все управление выполняется с помощью веб-интерфейса, который написан компанией на ASP.NET. Сервер также собирает статистику обращений за ключами, что позволяет фиксировать действия пользователей со своими защищенными данными. Стоит сервер управления 150 тыс. руб., а на лицензию для каждого клиента придется потратить еще до 1200 руб. Продукт позволяет автоматизировать рутинные операции по работе с системой шифрования Secret Disk и тем самым снизить расходы на поддержку защиты данных.

Организациям, которые уже используют Secret Disk 4, в Aladdin предлагают осуществить переход на корпоративную систему управления со стоимостью клиента в 480 руб. за агентскую лицензию, однако процедура эта не простая: нужно вначале перейти на версию Secret Disk 4.5, затем установить Secret Disk Agent, перешифровать с его помощью данные и лишь затем удалить персональную версию Secret Disk. Кроме того, предусмотрены несколько вариантов установки Secret Disk Enterprise: все на одном компьютере (до 100 клиентов), с выделенным Microsoft SQL Server (до 500 клиентов), с дополнительным сервером управления (до 1 тыс. клиентов), с балансировкой нагрузки между несколькими серверами приложений и сервером горячего резерва(cвыше 1 тыс. клиентов). То есть система может развиваться по мере развития корпоративной сети, обеспечивая требуемый уровень производительности.

Производитель Secret Disk Enterprise подает документы на сертификацию своего нового продукта в системе ФСТЭК. Сертифицировать продукт в системе ФСБ пока не представляется возможным, поскольку в текущей версии не реализована поддержка алгоритма шифрования ГОСТ 28147-89 для защиты системного раздела, хотя при шифровании других разделов можно использовать криптопровайдер CryptoPRO CSP. В следующей версии корпоративного Secret Disk планируется реализовать поддержку ГОСТ в том числе и на системном разделе, для чего компания уже получила лицензии на разработку средств шифрования. В ней планируется также реализовать поддержку многодоменной структуры Active Directory. Новые разработки призваны укрепить позиции Aladdin на рынке систем прозрачного шифрования данных.

Рисунок. Архитектура управления сертификатами в Secret Disk Enterprise

Поделитесь материалом с коллегами и друзьями