ПО для защиты корпоративных серверов

--> Дата: Фев 18, 2008 73

Компания SecurIT (http://www.securit.ru) выпустила новую версию одного из своих основных продуктов — Zserver, ПО для защиты информации, размещаемой на серверах. Клиент-серверная архитектура позволяет серверной части работать в среде ОС Windows NT/2000/2003, а административному модулю — на всех Windows-платформах.

Основное назначение программы — защита информации на серверах от несанкционированного доступа. Защита организована за счет создания зашифрованных дисков, доступ к которым возможен при загрузке в память сервера ключа, которым диск был зашифрован. Загрузка ключа выполняется с консоли администратора с использованием защищенного TCP/IP-соединения. Защита TCP/IP-соединения обеспечивается за счет шифрования передаваемых данных сессионными ключами, что исключает возможность извлечения информации при анализе сетевого трафика.

Шифрование дисков может выполняться несколькими способами. Обычный — когда шифруется уже имеющийся диск. Особенность этого процесса в новой версии состоит в том, что шифрование выполняется в фоновом режиме и при этом сохраняется возможность работать с диском. Второй вариант (новая функция версии 3.0) — быстрое форматирование диска с шифрованием. Оно доступно только для вновь созданного раздела, еще не имеющего файловой структуры. При таком шифровании раздел шифруется не полностью, но при наполнении его информацией она будет размещаться уже в зашифрованном виде. Время на шифрование раздела существенно сокращается.

Следующее отличие новой версии — использование нескольких криптографических алгоритмов, в том числе поддерживающих ГОСТ 28147-89. Реализация последнего стала возможна за счет подключения внешнего модуля шифрования — программного эмулятора платы "Криптон" производства компании «Анкад». Этот модуль и алгоритм AES, также поддерживаемый программой, используют ключи длиной 256 бит. Расширены возможности хранения ключей на смарт-картах — теперь на одной карте можно хранить до шестнадцати штук, так что при использовании нескольких ключей с разными алгоритмами все они могут разместиться на одной смарт-карте.

В новой версии Zserver появилась возможность поддержки кластерных систем (для этого требуется специальная лицензия — Cluster License). Этот продукт устанавливается на все серверы кластера, затем на одном из них зашифровывают общие диски, а потом загружают на все серверы ключи и открывают зашифрованные диски.

Ядро системы, сервер защиты данных, устанавливается на сервер с защищаемой информацией и выполняет прозрачное шифрование данных. После установки ядра автоматически запускаются системные драйверы и служба SecurIT Zkernel, которая непосредственно выполняет операции с сервером по инструкциям, передаваемым компонентом Zserver Administrator. За все управление отвечает клиентская часть.

Клиентская часть управляет доступом к дискам, проводит операции с ключами и пользователями. К операциям с ключами относятся генерация ключей, запись их на смарт-карту или в файл, дублирование, загрузка ключей на сервер. Через клиентскую часть можно записывать на смарт-карту до шестнадцати ключей и загружать их на различные серверы в соответствии с установленной схемой защиты данных.

При запуске административного модуля в первую очередь выполняется подключение к серверам, предварительно описанным в конфигурации программы. Можно подключаться ко всем серверам одновременно либо к некоторым из них. После подключения в панели программы будут показаны имеющиеся на сервере диски, данные об электронном ключе защиты, используемые алгоритмы, пользователи. Для загрузки ключей необходимо считать их со смарт-карты. Поскольку каждый раздел может быть зашифрован отдельным ключом, допустимо одновременно загружать в память сервера несколько ключей. После загрузки ключей смарт-карту можно убрать.

Подключение и отключение зашифрованных дисков, их шифрование при первом обращении либо форматирование с шифрованием также выполняются через административную часть. Если диск зашифрован, а ключ загружен в оперативную память, то при открытии диска к нему получат доступ все пользователи, которым это разрешено стандартными правилами разграничения доступа Windows. Доступ получат и все приложения, которые будут работать с данными на этом диске. При незагруженном ключе зашифрованный диск будет оставаться недоступным для ОС и, следовательно, для всех пользователей и приложений.

В процессе зашифровывания дисков выполняется их полное шифрование, включая всю служебную информацию (загрузочную запись, таблицу размещения файлов). Поэтому нельзя шифровать диски, содержащие файлы ОС (в том числе файл подкачки и служебные файлы Active Directory), а также загрузочный раздел — в этом случае нарушится работоспособность системы.

На случай критических ситуаций в программу включен модуль подачи тревоги Alarm. Он может устанавливаться как на сервере, где находится ядро, так и на любой рабочей станции. После подачи сигнала тревоги защищенные диски мгновенно отключаются, ключи шифрования удаляются из оперативной памяти, доступ к зашифрованным дискам блокируется. Сигнал тревоги подается по протоколу TCP/IP. Сам сигнал может быть подан либо через вызов модуля, либо через подключенные к нему датчики (например, датчики открытия дверей), либо с помощью "Красной кнопки", также подключаемой к одному из портов. Модуль оповещает все серверы в зависимости от того, какой поступил сигнал.

Функции, выполняемые программой Zserver, можно автоматизировать. Дополнительные действия можно связать с операциями открытия или закрытия защищенного диска, а также со срабатыванием сигнала тревоги. Для этого нужно приобрести дополнительный пакет Zserver Script Pack, расширяющий функциональность системы Zserver.