Обзор технологий защиты информации при хранении

Несмотря на то что задачи безопасного хранения информации, storage security, в явном виде были сформулированы сравнительно недавно, технологии, которые эти задачи решают, прошли за небольшой отрезок времени путь от игрушки для любителей новинок до вполне зрелого уровня, который уже можно сравнивать с уровнем развития антивирусов и межсетевых экранов.

Объясняется это несколькими причинами. Во-первых, существует постоянная тенденция уменьшения размеров носителей данных и увеличения их емкости. Это означает, что степень централизации данных растет и количество таких «центров», за которыми надо следить, также постоянно увеличивается. Например, раньше было сложно представить, что сотрудник какой-либо компании, чтобы поработать в выходные, берет с собой ноутбук, на который копирует базу данных объемом в несколько десятков гигабайтов — такие объемы данных можно было обрабатывать только на мэйнфреймах. В связи с этим участились случаи пропажи, потери или хищения носителей — жестких дисков, серверов, магнитных лент, ноутбуков и т.д., содержащих конфиденциальную информацию.

Во-вторых, никто не станет спорить, что сейчас уже более-менее понятно, как защищаться от внешних угроз — например, от вирусов или от атак через Internet. Это, конечно, не означает, что подобные проблемы решены полностью: в области информационной безопасности такое невозможно в принципе. Но, по крайней мере, существуют отработанные процессы и методы, которые могут подсказать, с чего начать, на что обратить внимание, что и как делать, чтобы построить защиту от угроз и свести риск ущерба к экономически целесообразному минимуму. Это приводит к тому, что потребители средств информационной безопасности обращают внимание на другие риски, которые не так хорошо изучены и отработаны.

Наконец, интерес к данному типу решений подогревают ведущие мировые поставщики оборудования и программного обеспечения, которые либо приобретают компании, занимающиеся разработкой систем безопасного хранения данных, либо сами разрабатывают такие решения и включают их в свои семейства продуктов.

В качестве примера первого варианта развития нельзя не упомянуть производителя систем хранения данных NetApp (Network Appliance). Эта компания в 2005 году приобрела разработчика решений по безопасному хранению данных Decru. Кроме того, всем известный производитель средств сетевой безопасности Check Point Software в конце 2006 г. купил шведского производителя систем шифрования данных для ноутбуков Pointsec Mobile Technologies.

В качестве примеров второго направления можно назвать технологии EFS и BitLocker компании Microsoft, обеспечивающие шифрование данных на дисках, и технологию Oracle Advanced Security одноименной компании, обеспечивающую шифрование баз данных, хранящихся на дисках и дисковых массивах.

Даже такие консерваторы, как аналитики Gartner, рекомендуют защиту данных на магнитных лентах и в хранилищах как один из пяти приемов, приводящих к существенному снижению риска утечки данных. Подробную информацию и другие материалы можно найти в источниках, приведенных во врезке «Литература».

От кого защищаем?

Итак, прежде чем обсуждать плюсы и минусы тех или иных технологических решений, стоит рассказать о том, что же представляют собой системы storage security и от кого они защищают.

Проще будет начать со второй части вопроса. Системы storage security обеспечивают безопасность данных во всех случаях, связанных с физическим доступом злоумышленников к носителям данных.

Несмотря на то что на первый взгляд эта угроза может показаться надуманной, а риск — весьма невысоким, ситуаций, в которых такое событие может произойти, гораздо больше, чем может показаться. Перечислим только некоторые из них.

• Размещение сервера в стороннем дата-центре (collocation). В этом случае на сервере может храниться конфиденциальная информация, а физический доступ к нему третьих лиц, не имеющих отношения к компании — владельцу сервера, не ограничен.
• Хранение магнитных лент вне офиса, перевозка магнитных лент. Это причина, пожалуй, одного из самых распространенных типов инцидентов, имеющих отношение к проблеме. Как известно, сегодня магнитная лента по-прежнему является самым дешевым носителем, особенно для хранения больших объемов данных. Стандартная политика безопасности, учитывающая проблему восстановления после катастроф, требует хранения резервных копий данных вне основного офиса компании, точнее, вне помещения, где эта информация хранится в процессе работы с ней. Как правило, такие ленты хранят в специальных депозитариях. В процессе перевозки и хранения лент доступ к ним со стороны посторонних лиц ограничить тоже очень сложно.
• Ремонт и утилизация носителей. В первую очередь речь идет о жестких дисках — периодически возникают ситуации, когда при модернизации оборудования жесткие диски, на которых хранилась конфиденциальная информация, не уничтожаются, а продаются по остаточной стоимости как бывшее в употреблении оборудование. При ремонте жесткого диска, если неисправна только электронная часть, специалисты, осуществляющие ремонт, также могут получить доступ к информации, хранящейся на диске. Кстати, в связи с этим некоторые компании, которые серьезно относятся к вопросам безопасности, в случае выхода жестких дисков из строя вообще не сдают их в ремонт, а сразу уничтожают и заменяют новыми.
• Утеря или кража оборудования или носителей. Данной угрозе подвергаются не только магнитные ленты и ноутбуки, но и серверы — зарубежные СМИ неоднократно сообщали о том, что при краже оборудования из офиса компании был похищен сервер или система хранения данных с конфиденциальной информацией.

Серьезность проблемы и ненулевая степень риска подтверждается довольно частыми сообщениями об инцидентах, связанных с утерей носителей с конфиденциальной информацией.

Например, в сентябре 2006 г. служащие компании Chase Card Services (подразделение банка JPMorgan & Chase) по ошибке выбросили несколько магнитных лент, содержащих информацию о 2,6 млн. владельцев кредитных карт и банковских счетов.

Компания Iron Mountain, специализирующаяся на хранении, перевозке и работе с документами и носителями информации, за последнее время теряла магнитные ленты дважды. Первый раз это произошло в мае 2005 г., когда была утеряна коробка с лентами компании Time Warner, содержащими данные о 600 тыс. ее сотрудников. В апреле 2006 г. были утеряны ленты железнодорожной компании Long Island Railroad с данными о 17 тыс. ее клиентов и сотрудников.

В июне 2006 г. неизвестный взломщик проник в один из офисов крупнейшей страховой компании AIG и похитил в числе прочего оборудование для хранения данных, на котором хранилась персональная, а в некоторых случаях и медицинская информация 930 тыс. человек.

За последние полтора-два года можно насчитать несколько десятков особо крупных инцидентов, в которых участвовали такие известные всему миру компании и банки, как Citigroup, UBS, Bank of America, Ameritrade, Marriott, ABN Amro Bank и т.д. Во всех случаях речь идет о персональной информации клиентов этих организаций, которая может быть использована злоумышленниками для доступа к банковским счетам пострадавших. Во всех случаях информация на носителях находилась в открытом виде.

Отвечая же на вопрос, каким образом можно защитить информацию от этих напастей, из всех современных средств напрашивается наиболее очевидный вариант — шифрование данных. Действительно, если зашифровать данные на носителе одним из современных проверенных алгоритмов шифрования с длиной ключа 128 бит и выше, можно не беспокоиться за сохранность данных на этом носителе в случае, если он попадет в руки злоумышленника. Естественно, необходимо, чтобы ключ шифрования, которым зашифрованы данные, содержался в секрете: если его хранить или пересылать вместе с носителем, то смысла в такой защите немного.

В настоящее время на рынке представлено немало решений, реализующих такую защиту. Прежде всего, это упоминавшиеся выше EFS и BitLocker компании Microsoft, а также Oracle Advanced Security компании Oracle.

Существуют и специализированные средства, обеспечивающие защиту информации при ее хранении на серверных платформах, причем предлагаются как программные, так и аппаратные реализации. Среди программных средств наиболее перспективные решения предлагают российские компании. Заслуживают упоминания Secret Disk Server компании Aladdin, Strong Disk Server компании «Физтехсофт» и Zserver Suite компании SecurIT. При этом, если первые два решения обеспечивают шифрование только разделов жестких дисков, то Zserver Suite включает модули для шифрования жестких дисков, магнитных лент и дисков CD/DVD.

В приведенной таблице представлены наиболее существенные, на мой взгляд, характеристики систем защиты информации при ее хранении. Информация о продуктах взята с Web-сайтов компаний-производителей, а также из собственного опыта использования указанных продуктов.

Среди производителей аппаратных средств безопасного хранения данных российских компаний, к сожалению, не обнаружено. Наиболее известны в этом сегменте семейство устройств DataFort упоминавшейся уже компании Decru, CryptoStor компании NeoScale и Paranoia компании Digital Security International, причем первые две компании предлагают полный набор решений для шифрования дисков хранилищ и лент, а семейство устройств Paranoia обеспечивает только шифрование магнитных лент.

Как защищаем?

Несмотря на то что концепция такой защиты проста, если не сказать тривиальна, проблемы, как обычно, кроются в деталях. Мы попытаемся рассмотреть общие принципы функционирования таких систем и некоторые конкретные технологии, чтобы у читателей сложилось ясное представление о предмете. Это позволит им более квалифицированно подойти к вопросу о том, нужна ли такая защита, и если нужна, то какая именно.

Первый вопрос, возникающий в процессе выбора технологии, заключается в том, что именно планируется шифровать. Можно шифровать целиком разделы данных, а можно — отдельные файлы и папки. Второй путь, без сомнения, обеспечивает большую гибкость: существует возможность шифрования данных с тем же уровнем гранулярности, что и настройка прав доступа к файлам. Однако это имеет смысл в большей степени для файл-серверов, а не для серверов приложений, кроме того, у каждого пользователя должен быть свой ключ шифрования, что приводит к дополнительным сложностям, возникающим при решении вопросов о создании, распространении, хранении и удалении этих ключей. В связи с этим в последнее время рынок больше склоняется к варианту шифрования раздела диска — этот способ также решает проблему защиты данных на носителях и более универсален.

Второй вопрос заключается в том, как генерировать, хранить и использовать ключи шифрования. Ответ на первую часть вопроса столь же очевиден, сколь сложнореализуем — использовать физический датчик случайных чисел. Дело в том, что компьютеры — это цифровые устройства, в которых источников случайных чисел практически нет. Все «псевдослучайные» последовательности, сгенерированные с использованием чисто вычислительных функций, легкопредсказуемы, и применять их в качестве ключа шифрования не очень разумно.

В связи с этим приходится изыскивать источники случайных чисел, которые, как правило, находятся вне компьютера. Наиболее распространенный из них — это пользователь, анализируя работу которого на клавиатуре можно сформировать вполне пригодные для генерации ключей шифрования случайные последовательности. Еще лучше задействовать различные аппаратные датчики случайных чисел, от звуковой платы с подсоединенным микрофоном, с которой можно считывать помехи — «белый шум», до специально предназначенного для таких целей оптического квантового генератора случайных чисел Quantis, который генерирует гарантированно случайные числа на основе квантовых эффектов.

С хранением ключей шифрования тоже более-менее все понятно. В современных системах для этого используются смарт-карты и USB-брелки с защищенной PIN-кодом памятью. Для того чтобы считать ключ шифрования с такого устройства, пользователю необходимо ввести PIN-код, причем при вводе неправильного PIN-кода несколько раз подряд смарт-карта блокируется.

Несмотря на очевидную простоту этой концепции, некоторые поставщики не могут удержаться от соблазна усложнить конструкцию, пытаясь предложить пользователям дополнительные возможности. Например, в рекламных материалах по Secret Disk Server в качестве преимущества указывается, что «смарт-карты и USB-ключи применяются как активные криптографические устройства», в то время как в других продуктах «электронные ключи и смарт-карты используются лишь в качестве дискеты с PIN-кодом для хранения ключей шифрования».

Попытаемся разобраться, что это дает пользователю. Действительно, большинство современных смарт-карт имеют возможность выполнять криптографические операции с помощью встроенного процессора — таким образом, что и шифруемые данные и процессор, выполняющий шифрование, и сам ключ шифрования физически находятся в смарт-карте. Основной смысл данной функции — постоянное хранение ключа шифрования в памяти смарт-карты так, чтобы он никаким образом не мог попасть за ее пределы. Например, это актуально для систем ЭЦП: если выполнять генерацию электронно-цифровой подписи процессором смарт-карты, это обеспечивает дополнительный уровень безопасности для секретного ключа, который не выходит за пределы смарт-карты. Таким образом, с высокой вероятностью можно гарантировать, что секретный ключ используется только владельцем смарт-карты.

Итак, если хранить ключ шифрования в смарт-карте, и не загружать его в оперативную память компьютера, а все действия с ним выполнять процессором смарт-карты, мы действительно получим более высокий уровень безопасности. Однако, к сожалению, данная технология неприменима для шифрования данных на носителях.

По оценке, приведенной в статье «cAESar results: Implementation of Four AES Candidates on Two Smart Cards» (см. врезку «Литература»), скорость шифрования алгоритмом AES, достижимая смарт-картами на базе процессора ARM с тактовой частотой 25 МГц, составит порядка 300 Кбайт/с. Большинство современных смарт-карт и US- ключей на их основе реализованы на базе менее быстрых процессоров, их тактовая частота обычно не превышает 6–8 МГц, так что скорость их работы будет еще ниже. Современные SCSI-адаптеры обеспечивают пропускную способность 160 Мбайт/с (Ultra-160) и выше, что делает такую архитектуру неприменимой из-за неприемлемо низкой скорости шифрования.

Кроме процессора смарт-карты, остается только центральный процессор компьютера, а для того, чтобы информация шифровалась им, ключ шифрования должен находиться в оперативной памяти компьютера, то есть вне смарт-карты. Таким образом, в чем еще может заключаться смысл использования смарт-карты как активного криптооборудования, не вполне понятно.

Хотелось бы отметить еще одну полезную возможность, которая присутствует далеко не во всех системах. Речь идет о кворуме ключей. Данная возможность позволяет реализовать двойное управление (dual control), которое требуется сейчас многим компаниям и регламентируется различными документами, например стандартом ISO 13569. Суть данной технологии заключается в том, что ключ шифрования разделяется, например, на пять частей, которые раздаются разным сотрудникам, при этом наличие любых трех частей необходимо и достаточно для восстановления оригинального ключа. С помощью данной технологии можно, во-первых, снизить риск компрометации ключа шифрования и, во-вторых, обеспечить больший уровень доступности данных. Из упоминавшихся в статье систем такая возможность реализована только в Decru DataFort и в Zserver Suite.

В последнее время появилась еще одна функция, преимущество которой не так однозначно — многопоточное шифрование. В данном случае имеется в виду, что на многопроцессорных или многоядерных системах можно попытаться распараллелить процедуры шифрования, что теоретически должно привести к повышению производительности.

Однако на практике все не так просто. Дело в том, что все современные операционные системы реализуют вытесняющую многозадачность. Это означает, что несколько потоков, запущенных параллельно, могут выполняться частично параллельно или вообще последовательно, на одном процессоре. Это приведет к тому, что за счет использования дополнительных функций, связанных с распараллеливанием и синхронизацией, шифрование может занять больше времени, чем если бы оно выполнялось в один поток.

В реальности такая картина наблюдается на серверах с повышенной загрузкой, когда, помимо шифрования, процессоры заняты обработкой других задач. Таким образом, данной возможностью следует пользоваться осторожно, предварительно оценив степень загрузки сервера и реальные временные показатели шифрования.

В заключение обзора базовых функциональных возможностей хотелось бы отметить, что появилась тенденция реализации в таких системах некоторых функций по on-line-защите данных, которые отвечают за разграничение доступа к данным на зашифрованных дисках. Речь идет о дополнительной проверке прав пользователей и приложений при доступе к защищенному диску. Последнее может быть особенно актуально в случае использования серверов приложений и баз данных. Например, если на диске хранятся исключительно базы данных Microsoft SQL Server, можно разрешить доступ только службе SQL Server, а всем остальным приложениям — запретить. В результате будет невозможно скопировать файлы баз данных на другой носитель, поскольку ни Explorer, ни FAR, ни другие подобные утилиты доступа к диску иметь не будут.

Хочется также отметить, что жесткие диски — это далеко не единственный вид носителя, который необходимо защищать. При использовании магнитных лент и дисков CD/DVD для хранения и переноса информации шифровать следует и их, вне зависимости от того, насколько отработаны процессы обращения с ними и насколько надежно их охраняют. Более того, этим носителям стоит уделять повышенное внимание, поскольку жесткий диск, как правило, находится внутри сервера, сервер размещается в стойке или в шкафу, и украсть или потерять такую громоздкую конструкцию гораздо сложнее, чем кассету с магнитной лентой или компакт-диск.

Защита ноутбуков — тема для отдельной статьи, поскольку, во-первых, этими средствами пользуются не специально обученные системные администраторы, а обычные пользователи, которым свойственно забывать пароли, терять электронные идентификаторы, нарушать требования политики безопасности, к тому же любое усложнение своей работы они воспринимают в штыки. Во-вторых, парк ноутбуков в крупных компаниях может исчисляться тысячами и десятками тысяч, соответственно необходимо наличие в продукте масштабируемых процедур управления. Наконец, данная проблема не менее, а может быть, и более серьезна, чем защита серверных платформ, о чем говорит и статистика инцидентов, и суммы ущерба, которые достигают порой астрономических размеров.

Что дальше?

Говоря о развитии средств безопасного хранения данных и о прогрессе технологий, которые применяются при реализации этих средств, нельзя не задуматься о том, каковы перспективы развития таких технологий, и чего можно ожидать от производителей в ближайшем будущем.

Основные тенденции, которые характеризуют развитие современных информационных систем, — это интеграция и агрегирование различных информационных служб. По всей видимости, названные тенденции актуальны и для систем безопасного хранения данных.

Надо понимать, что просто утилита, реализующая шифрование раздела без каких-либо дополнительных возможностей, как сделано, например, в BitLocker, — это не совсем то, что может устроить современных корпоративных пользователей. Для них главным является удобство управления и простота интеграции в собственную инфраструктуру, поскольку это самым существенным образом влияет на расходы по содержанию системы.

Основные проблемы, которые возникают перед пользователями систем безопасного хранения данных, — это защита большого количества серверов. Если число серверов, на которых хранится конфиденциальная информация, хотя бы больше десяти, а это еще не крупная компания, то уже возникает проблема хранения и управления ключами шифрования.

Проблема заключается в том, что, во-первых, различные диски надо шифровать разными ключами, т. е. их требуется хранить и периодически загружать на эти серверы. Во-вторых, разделы жестких дисков следует время от времени перешифровывать, а это подразумевает смену ключа шифрования, т. е. генерацию нового ключа и уничтожение старого. С носителями для резервного копирования — магнитными лентами и дисками CD/DVD — ситуация еще сложнее. Бывает, что эти носители должны храниться какое-то продолжительное время, иногда до нескольких лет. Соответственно, столько же должны храниться и ключи шифрования, которыми эти носители зашифрованы, при этом должно обеспечиваться относительно быстрое нахождение ключа для расшифровки конкретного носителя.

Эти соображения приводят к выводу о необходимости централизованного сервера, который является защищенным хранилищем ключей шифрования. Этот сервер должен обеспечивать их своевременную генерацию, хранение, автоматическую загрузку в нужные места — на серверы, где непосредственно шифруются носители, и утилизацию.

Актуальность такого решения очевидна уже в том случае, когда количество ключей шифрования, с которым приходится иметь дело в какой-то одной организации, исчисляется несколькими десятками. А это, как уже говорилось, даже не крупная компания.

Выводы

Как видно из приведенного обзора, несмотря на то что технологии обеспечения безопасного хранения данных активно развиваются, далеко не все технологические изыски, предлагаемые производителями, представляют собой образцы инженерно-технического творчества. Это накладывает дополнительную ответственность на потребителя таких средств, которому надо не просто выбрать приемлемое решение, удовлетворяющее его сегодняшние потребности. Необходимо, по крайней мере, задуматься о том, что будет через несколько лет и с его хозяйством, и со средствами, которыми он планирует пользоваться.

Неправильный выбор решения приведет к тому, что все затраты, направленные на приобретение и поддержку данных систем, придется списать в убыток, а это совсем не то, за что руководство компаний премирует свои ИТ-службы.

В связи с тем что ИТ-инфраструктура каждой компании уникальна, очень сложно дать универсальные рецепты. Тем не менее можно отметить несколько моментов, на которые следует обратить внимание в любом случае.

Во-первых, стоит отдать предпочтение продуктам наиболее динамично развивающейся компании-производителя. Это не только укрепит уверенность в том, что в случае кардинальных изменений ситуации на рынке такая компания с большей долей вероятности окажется на плаву, но и позволит надеяться на более высокую оперативность в реализации поддержки новых версий операционных систем, очередных пакетов исправлений и т.д.

Во-вторых, лучше, если для компании-производителя разработка таких систем — основной бизнес. Это гарантирует максимальное внимание к качеству продуктов и к проблемам пользователей.

В-третьих, если есть какие-то сомнения, надо обязательно проводить тестовое внедрение. Это позволит заранее узнать о возможных проблемах совместимости или неудовлетворительной скорости работы. Практически все поставщики предлагают потенциальным пользователям для ознакомления либо пробные версии с ограниченной функциональностью, либо «боевые» версии на определенное время, и не стоит этой возможностью пренебрегать.

В-четвертых, лучше выбирать решения, построенные по модульному принципу и обладающие, таким образом, более высоким потенциалом для расширения. Компания, в которой сегодня пара десятков компьютеров и один сервер, вполне может за несколько лет существенно вырасти, и если понадобятся дополнительные возможности, например защита резервных копий на магнитную ленту, разумнее будет использовать комплекс средств одного производителя.

Наконец, стоит помнить о том, что скупой платит дважды, и любая экономия на средствах защиты информации может обойтись существенно дороже.

Таким образом, можно сделать вывод, что рынок систем, обеспечивающих безопасное хранение данных, уверенно двигается к состоянию устойчивого равновесия. Активно развиваются программные и аппаратные средства, предлагающие потребителям максимальные функциональность и качество, повышается сознательность пользователей, которые начинают более серьезно относиться к проблеме, а в рамках международной организации IEEE функционирует рабочая группа, разрабатывающая стандарты шифрования носителей данных. Это позволяет надеяться, что в ближайшее время промышленные решения окончательно вытеснят любительские поделки, а потребителям не надо будет ломать голову, как не купить кота в мешке.