НОВОЕ ИЗМЕРЕНИЕ БЕЗОПАСНОСТИ

Zserver — технические подробности

Версия для печати

Принцип работы

Система Zserver — это программно-аппаратный комплекс, осуществляющий «прозрачное» шифрование данных, расположенных на разделах жестких дисках серверов, работающих под управлением ОС Microsoft Windows 2000/2003/2008 (платформы x32 и x64). Система Zserver прозрачна для пользователей и приложений и не требует никаких изменений в их работе. Данные, хранящиеся на защищенных разделах, всегда находятся в зашифрованном виде и недоступны без ввода ключа шифрования.

Шифрование производится на уровне физических секторов, поблочно. При работе с зашифрованными дисками происходит автоматическое «прозрачное» шифрование данных, то есть при чтении с защищенного диска данные «на лету» расшифровываются, а при записи - зашифровываются. Шифрование выполняется системным (kernel-mode) драйвером. Ключ шифрования хранится в оперативной памяти и никогда не выгружается на диск (в swap file).

Права доступа к защищенным дискам для пользователей сети устанавливаются администратором сети с помощью стандартных средств операционной системы. Система Zserver позволяет контролировать назначение прав общего доступа к сетевым ресурсам (папкам общего доступа) таким образом, что все операции с папками общего доступа можно производить только через консоль управления Zserver.

Ключи шифрования

Ключи шифрования загружаются на сервер перед началом работы с защищенными дисками. Для хранения ключей шифрования используются микропроцессорные карты (смарт-карты), защищенные PIN-кодом. Для работы со смарт-картой может использоваться любой PC/SC совместимый смарт-карт ридер. Дополнительно для хранения ключей шифрования могут использоваться USB-ключи, также защищенные PIN-кодом, и файлы, защищенные паролем

Не зная PIN-код, воспользоваться смарт-картой нельзя. Четыре попытки ввода неправильного PIN-кода, заблокируют данные на смарт-карте. На одной смарт-карте может храниться до 16 ключей шифрования. Существует возможность ввода PIN-кода «под принуждением», когда при вводе специального PIN-кода все ключи шифрования, хранящиеся на смарт-карте, стираются.

При работе сервера смарт-карта не требуется. Во время работы системы ключи шифрования хранятся в оперативной памяти сервера и никогда не попадают на жесткий диск в файл подкачки (swap file).

Генерация ключей шифрования

Мастер генерации ключей Zserver Suite позволяет для сбора случайной информации использовать не только движения мышью, но и следующие источники:

шумы микрофона звуковой платы;
время прихода пакетов данных на сетевую плату;
квантовый генератор случайных чисел Quantis;
средства интерфейса Microsoft Crypto API;
ввод случайной последовательности вручную в HEX-редакторе.

Кроме того, ключ шифрования можно сгенерировать любыми сторонними средствами и ввести его вручную.

Для дополнительной гарантии получения качественного ключа шифрования в системе предусмотрена возможность статистического анализа сгенерированной случайной последовательности. В результате такого анализа администратор может принять обоснованное решение, использовать ли полученную последовательность случайных чисел для создания ключа шифрования, или ее стоит перегенерировать.

Эти возможности существенно повышают уровень доверия к процедуре генерации ключа шифрования как к одной из самых критичных процедур в любой криптосистеме.

Многопоточное шифрование

Данная возможность Zserver Suite позволяет существенно повысить скорость шифрования данных на многопроцессорных и многоядерных серверах. Это достигается путем разделения процесса шифрования на несколько самостоятельных потоков, каждый из которых может выполняться на отдельном процессоре или ядре процессора.

В связи с тем, что в семействе ОС Windows реализована вытесняющая многозадачность, может возникнуть ситуация, что потоки, запушенные одновременно, будут выполняться не параллельно, а частично параллельно, или, вообще, последовательно, особенно на системах с высокой загрузкой. При этом выигрыша в производительности не будет, более того, такая схема приведет к падению производительности за счет дополнительных затрат на синхронизацию и переключение потоков.

Для того, чтобы этого не произошло, в Zserver Suite реализован режим сбора информации о том, сколько потоков какой процент времени работают одновременно. На основе этой информации администратор системы может определить и задать оптимальное число потоков для достижения максимального быстродействия.

Наибольший эффект от многопоточного шифрования достигается при шифровании блоков больших размеров, когда приложение производит запись или чтение файлов в больших объемах, например, при резервном копировании информации на магнитную ленту.

Шифрованное форматирование диска

Эта возможность позволяет не зашифровывать целиком только что созданный раздел без данных, что может потребовать достаточно много времени, а сразу включить режим прозрачного шифрования и произвести быстрое форматирование диска. Эта операция может быть выполнена только на вновь созданных разделах, не содержащих данных, поскольку при форматировании все данные на диске будут удалены.

«Фоновое» зашифровывание

Zserver предоставляет возможность в «фоновом» режиме зашифровывать (и расшифровывать) разделы. Это означает, что перед шифрованием не требуется останавливать службы сервера и отключать пользователей, которые работают с данными на предназначенном для зашифровывания разделе. Процесс зашифровывания будет выполняться параллельно с операциями чтения-записи, что позволит избежать простоя сервера и сократить до минимума перерыв в работе пользователей.

Атомарные операции шифрования и устойчивость к сбоям

Как известно, операции первоначального зашифровывания и расшифровывания раздела могут быть довольно длительными – до нескольких часов. В случае если во время выполнения такой операции произойдет какой-либо системный сбой, например, отключение питания, процесс шифрования прервется, и состояние раздела станет неопределенным. Это может привести к потере данных.

В Zserver данная проблема решена за счет реализации длительных операций шифрования как атомарных транзакций. Это означает, что после того, как операция началась, она гарантированно будет завершена, или возвращена в начальное состояние (откат транзакции) в любое время по желанию администратора, в том числе после перезагрузки сервера.

Кроме этого, администратор может в любой момент вручную приостановить операцию шифрования, после чего, можно либо продолжить ее выполнение, либо откатить к исходному состоянию.

Перешифровывание раздела

Перешифровывание диска используется для смены ключа и/или алгоритма шифрования. Это может быть необходимо в случаях, когда есть риск компрометации ключа шифрования. Кроме этого, данную операцию рекомендуется периодически выполнять с профилактическими целями, поскольку ключи шифрования, которыми зашифрованы данные на носителях, рекомендуется периодически менять.

В Zserver данная операция выполняется за один проход, в процессе выполнения каждый блок считывается с диска, расшифровывается старым ключом, зашифровывается новым и записывается обратно на диск.

Данные расшифровываются только в памяти сервера, что не создает дополнительных угроз. Операция перешифровывания, также как и операции зашифровывания и расшифровывания, выполняется в фоновом режиме, то есть пользователи могут продолжать работу с данными на разделе.

Кроме этого, операция перешифровывания также реализована как атомарная, то есть в любой момент она может быть приостановлена, вручную или в результате системного сбоя, перезагрузки и т.д., после чего в любой момент времени ее выполнение можно продолжить или откатить.

Хранение на смарт-карте нескольких ключей и PIN «под принуждением»

Zserver поддерживает смарт-карты и позволяет хранить на них до 16 ключей шифрования. Если на смарт-карте имеется уже записанный ключ с определенным именем (ID), то при попытке записи еще одного такого же ключа администратору будет предложено либо перезаписать существующий ключ, либо отменить операцию.

При записи ключей с разными именами они будут сохраняться в различные области памяти смарт-карты. Если при чтении на смарт-карте находится более одного ключа, то администратору будет предложено выбрать один из них.

Реализована возможность ввода PIN-кода «под принуждением». Его можно использовать если злоумышленник требует ввести PIN-код к смарт-карте с ключами шифрования, угрожая применением силы. PIN-код «под принуждением» представляет собой обратную последовательность символов обыкновенного PIN. К примеру, для PIN по умолчанию – securent, PIN-код «под принуждением»: tneruces. При смене PIN для смарт-карты соответственным образом изменится и PIN-код «под принуждением».

После ввода PIN-кода «под принуждением» система удалит все записанные ключи шифрования из памяти смарт-карты и выведет соответствующую ошибку.

Кворум ключей

В Zserver реализована функциональность кворума ключей. Она может быть полезна в том случае, когда требуется распределить ключ шифрования среди нескольких сотрудников, для снижения влияния «человеческого фактора». При этом ключ шифрования по специальной формуле разбивается на n частей одинакового размера, так, что для его восстановления достаточно любых k частей (k ≤ n). В этом случае говорят о кворуме ключей k/n.

На практике распространены схемы кворума ключей 2/2, 2/3, 2/5 и 3/5. Например, в варианте 2/3 ключ разбивается на три части и по одной части выдается системному администратору, офицеру безопасности и руководителю компании. Чтобы получить доступ к зашифрованным данным, необходимо загрузить на сервер любые две части ключа. В этом случае сохраняется гибкость системы и существенно снижается риск — компрометация какой-либо одной части ключа не приведет к компрометации зашифрованных данных.

Для использования возможности кворума ключей в Zserver во время генерации ключа шифрования нужно включить опцию «Использовать Кворум Ключей» и указать общее количество ключей и количество ключей для кворума. После генерации каждую часть ключа необходимо сохранить на отдельный носитель.

Для использования ключа необходимо последовательно загрузить на сервер с помощью стандартной команды «Загрузить Ключ» определенное при задании кворума количество частей ключа. При этом порядок загрузки частей ключа и время между загрузками отдельных частей роли не играет.

Контроль доступа к диску

Модуль Zserver Disk Access Control («Контроль доступа к диску») расширяет функциональность системы Zserver Suite и дает возможность контролировать доступ приложений и пользователей к данным зашифрованного раздела. Это обеспечивает защиту данных от несанкционированного доступа в процессе работы системы. Подробнее

Определение сбойных секторов

Функция определения и обработки сбойных секторов (bad block sense). Данная функция обеспечивает регистрацию и специальную обработку ошибок чтения/записи, которые возникают в случае появления на диске сбойных секторов.

Сбойные сектора корректно обрабатываются, и обеспечивается информирование администратора системы о появлении сбойных секторов. Таким образом, обеспечивается функционирование Zserver в любых условиях, даже при возникновении сбоев оборудования.

Поддержка USB-ключей

В Zserver реализована возможность хранения ключей шифрования в памяти USB-ключей. На всех поддерживаемых продуктами SecurIT USB-ключах (Rainbow iKey 10xx/3000, ruToken, eToken Pro) можно хранить до 16 ключей шифрования, также как в смарт-картах. Функция PIN-кода для входа под принуждением в USB-ключах не реализована.

Для того чтобы Zserver мог работать с USB-ключом, необходимо сгенерировать и записать в ключ специальную лицензию.

В стандартную поставку Zserver входит смарт-карт ридер и две смарт-карты. Поставка Zserver с USB-ключами осуществляется по специальному заказу.

Удаленная настройка Zserver

Для того чтобы настроить параметры работы Zserver, достаточно установить соединение с сервером и открыть окно «Настройки». С помощью консоли управления можно задавать следующие параметры работы серверного модуля Zserver:

Серверный порт TCP/IP;
Действие по сигналу «тревога»: выгрузка ключей шифрования и блокировка доступа к зашифрованным разделам или перезагрузка сервера;
Таймаут сигнала «тревога» при отсоединении лицензионного ключа;
Тип журналирования (в текстовый файл или в EventLog);
События, которые будут записываться в журнал.

Кроме этого, с помощью консоли управления можно просматривать конфигурацию ПО Zserver и лицензионную информацию.

Администрирование нескольких серверов

Консоль управления Zserver позволяет одновременно подключаться к нескольким серверам Zserver. В процессе работы на подключенные сервера можно одновременно загружать ключи.

В связи с тем, что шифрование дисков сервера проводится в фоновом режиме, после начала шифрования диска можно свернуть окно с индикатором прогресса.

Статус шифрования диска будет отображаться в списке дисков. Для открывания индикатора прогресса шифрования нужно дважды щелкнуть мышью по значку диска.

Во время шифрования можно производить другие операции, как с этим сервером, так и с остальными. Можно отключиться от сервера, при этом шифрование раздела на сервере будет продолжаться, и в любой момент можно снова подключиться к серверу и проверить статус шифрования.

Zserver Script Pack

Zserver Script Pack позволяет расширить функциональность системы Zserver, выполнять определенные заданные пользователем действия для более тесной интеграции Zserver с остальными компонентами операционной системы и серверными приложениями. Подробнее

Сигнал «тревога»

Сигнал «тревога» для блокирования доступа к зашифрованным данным можно подать с любого компьютера, связанного с сервером по TCP/IP. При этом происходит либо блокирование доступа к защищенным данным и уничтожение ключа шифрования в памяти сервера, либо перезагрузка сервера.

Подача сигнала «тревога» на сервер может осуществляться как из консоли администрирования, так и с помощью модуля Alarm. Модуль Alarm может быть установлен на компьютер под управлением Windows NT/2000/XP/2003/Vista/2008.

В модуле Alarm можно задать список серверов, которым нужно отправить сигнал «тревога». Подача сигнала происходит последовательно по всему списку серверов, указанных в конфигурации Alarm. С каждым сервером устанавливается защищенное соединение и по нему передается специальная команда.

Для восстановления доступа к данным после сигнала «тревога» необходимо перезагрузить сервер, загрузить ключ шифрования и открыть диск.

Модуль «тревога» может устанавливаться отдельно, а его администрирование выполняется удаленно с помощью консоли управления, аналогично серверному модулю. При этом для модуля «тревога», так же как и для серверного модуля, доступны возможности сохранения конфигурации в файл, загрузки конфигурации из файла и распространения конфигурации по сети. Это значительно повышает удобство работы с большим числом установленных модулей тревоги.

Открытый интерфейс

Система Zserver имеет открытый интерфейс для подачи сигнала «тревога» и позволяет подключать различные датчики и устройства контроля доступа в помещение (датчики открывания дверей, окон, движения, изменения объема, электронные и кодовые замки).

Поддержка Microsoft Cluster Services

Zserver работает с кластерными системами. Для этого необходимо установить Zserver на все сервера кластера, затем на одном из них зашифровать общие диски, а потом загрузить на все сервера ключи и открыть зашифрованные диски.

Для работы в кластерной конфигурации необходимо наличие Zserver в специальной редакции Cluster Edition.

Сохранение и распространение конфигураций

Для большего удобства работы администратора в Zserver Suite есть возможность сохранения конфигурации системы в файл, восстановление настроек из файла, и распространение настроек какого-либо сервера по сети на остальные сервера. Последняя возможность особенно удобна при наличии в сети нескольких серверов, для которых предполагаются одинаковые или идентичные настройки.

COM-интерфейс

Для более тесной интеграции с существующими информационными системами в Zserver Suite существует возможность управления комплексом через COM-интерфейс. При установке консоли Zserver Suite создается COM-объект, с помощью которого можно осуществлять удаленное управление Zserver. Данный объект позволяет выполнять следующие операции с сервером через COM-интерфейс:

установка и разрыв соединения с сервером;
загрузка и выгрузка ключа;
открытие и закрытие (в том числе принудительное) диска;
включение и выключение шифрования для CD/DVD и стримеров;
зашифровывание, расшифровывание и перешифровывание дисков;
отправка сигнала «Тревога»;
определение статуса носителей.

При этом указанные функции можно вызывать как из скриптов (JScript, VBScript, VBA и т. д.), так и из программного кода. Это позволяет значительно расширить возможности по управлению системой и встроить команды управления Zserver Suite практически в любое ПО.

Журналирование

Все действия, выполняемые администратором Zserver, записываются в журнал. Журналирование можно осуществлять в различные форматы файлов (текстовый или XML) или в Event Log, при этом журнал может храниться как на локальном, так и на удаленном компьютере.

Для анализа XML-файлов журнала можно воспользоваться встроенным генератором отчетов, который позволяет гибко настраивать вид и формат отображения и экспорта информации о событиях, а с помощью конструктора запросов можно задать любые условия для просмотра событий.

Анонсы

Zecurion и HeadHunter исследовали защиту данных в российских компаниях

Zecurion расширяет бизнес в новом офисе