Защита данных на носителях: новая версия Zserver Suite
Современные компании сталкиваются с бурным ростом объемов данных, необходимых для повседневной работы. Им постоянно приходится держать «на кончиках пальцев» финансовую, маркетинговую, техническую, статистическую и другую информацию для оперативного реагирования на изменения рыночной ситуации, поведение конкурентов и клиентов. При этом высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки. Информация в корпоративных сетях обычно хранится на жестких дисках и магнитных лентах, и попадание именно этих носителей в руки злоумышленника создает наиболее серьезную угрозу информационной безопасности и может привести к тяжелым последствиям.
Комплекс Zserver Suite компании SecurIT (www.securit.ru) обеспечивает решение проблемы защиты данных, хранящихся на любых носителях — серверах, жестких дисках, в хранилищах SAN, на дисках CD/DVD и магнитных лентах. Zserver Suite защищает информацию методом прозрачного шифрования и обеспечивает ее конфиденциальность в случаях несанкционированного физического доступа к носителям посторонних лиц в результате потери, кражи и т. д.
В конце сентября компания SecurIT объявила о выпуске новой версии продукта Zserver Suite 5.0. Одно из основных нововведений в ней — модуль контроля доступа к диску (disk access control), который обеспечивает защиту данных на дисках от несанкционированного доступа в процессе работы системы.
Модуль контроля доступа к дискам объединил возможности контроля доступа к ресурсам общего доступа (secure shares), которые имелись в предыдущей версии, с новой функцией контроля доступа приложений к данным на зашифрованном диске. Последняя позволяет создать «белый список» приложений, которые будут иметь доступ к зашифрованному диску; всем остальным приложениям доступ будет запрещен. Например, если на диске хранятся только базы данных, можно разрешить доступ к этому диску тому приложению, которое непосредственно с ним работает (СУБД), а для всех остальных приложений, в том числе Проводника Windows и файл-менеджеров (FAR, Total/Windows Commander и т. д.), доступ можно запретить.
Чтобы упростить настройку контроля доступа приложений, в системе реализован режим обучения. В этом режиме доступ к диску разрешен для всех приложений, и система собирает информацию о приложениях, которые открывали файлы на диске. Потом, просмотрев эту информацию, можно создать на ее основе «белый список».
Модуль контроля доступа к дискам существенно снижает риск хищения информации в то время, когда диски открыты и с ними работают пользователи.
Кроме того, в Zserver Suite 5.0 реализовано многопоточное шифрование, которое распараллеливает процедуры шифрования на многопроцессорных и многоядерных серверах. Шифрование — это довольно ресурсоемкая операция, а производительность систем хранения данных и систем резервного копирования, как правило, критична для пользователей ИС, поэтому многопоточное шифрование может стать хорошим способом повышения общей производительности системы. Однако в связи с тем, что семейство ОС Windows реализует вытесняющую многозадачность, может оказаться, что запущенные параллельно потоки будут выполняться лишь частично параллельно или даже последовательно. В итоге распараллеливание не только не повысит производительность, а даже снизит ее за счет дополнительных накладных расходов на функции синхронизации. Чтобы этого не произошло, в Zserver Suite 5.0 реализован режим сбора статистики многопоточного шифрования, который позволит определить оптимальные настройки для конкретной конфигурации сервера и провести «тонкую» настройку системы вручную.
В новой версии значительно расширены возможности генерации и управления ключами шифрования. Для генерации ключей шифрования в качестве источника случайных чисел помимо движения мыши теперь можно использовать шумы микрофона звуковой платы, время прихода пакетов данных на сетевую плату и квантовый генератор случайных чисел Quantis. Пользователь может также сгенерировать ключ шифрования с помощью сторонних средств и ввести его вручную посредством HEX-редактора.
Хранить ключи шифрования, кроме уже привычных смарт-карт и электронных ключей, теперь можно и в файле, защищенном с помощью пароля. Эта функция полезна в первую очередь для резервного хранения ключей шифрования в безопасном виде.
Для более удобной интеграции Zserver Suite 5.0 в существующие системы и приложения появилась возможность управления системой через COM-интерфейс. С его помощью можно вызывать функции управления Zserver Suite как из скриптов (JScript или VBScript), так и из любого программного кода. Это значительно расширяет возможности управления, а также способствует наилучшей интеграции системы в любую корпоративную ИТ-инфраструктуру.
В новой версии Zserver Suite реализованы средства удаленного управления с использованием аутентификации Windows. Это позволяет настроить список контроля доступа (ACL) к операциям с Zserver привычным для пользователей Windows образом и выполнять операции управления сервером, используя учетную запись Windows (либо текущую учетную запись, либо другую, которая будет служить для администрирования Zserver Suite). Появилась и возможность разграничения прав доступа к управлению отдельно для каждого защищаемого диска — в свойствах зашифрованного диска имеется свой список контроля доступа.
В числе новых возможностей Zserver Suite 5.0 отметим также увеличение количества событий, информация о которых записывается в журнал, и возможность сохранения конфигурации системы в файл, восстановления из файла и распространения ее на другие серверы по сети.
Консоль управления и модуль «Тревога» новой версии системы Zserver Suite 5.0 поддерживают работу с предыдущими версиями Zserver Suite 4.х. Это позволяет проводить обновление системы Zserver Suite в крупномасштабных корпоративных сетях постепенно.