Клиенты
  • Техносила
  

Обзор технологий защиты информации при ее хранении

Алексей Раевский, Windows IT Pro/RE, №07/2007 22.10.2007

Несмотря на то, что задачи безопасного хранения информации (storage security) в явном виде были сформулированы сравнительно недавно, технологии, которые эти задачи решают, прошли за этот небольшой отрезок времени путь от игрушки для любителей всего нового до вполне зрелого уровня, который уже можно сравнивать с уровнем развития антивирусов и межсетевых экранов.

Объяснить это можно несколькими причинами. Во-первых, существует постоянная тенденция уменьшения размеров носителей данных и увеличения их емкости. Это означает, что степень централизации данных увеличивается, и количество таких «центров», за которыми надо следить, также постоянно растет. Например, раньше довольно сложно было представить, что сотрудник какой-либо компании, для того, чтобы поработать на выходных, взял с собой ноутбук, на который скопировал базу данных объемом несколько десятков гигабайт – такие объемы данных можно было обрабатывать только на мэйнфреймах. В связи с этим, увеличилось количество инцидентов, связанных с пропажей, потерей или хищением носителей – жестких дисков, серверов, магнитных лент, ноутбуков и т.д., содержащих конфиденциальную информацию.

Во-вторых, никто не будет спорить, что сейчас уже более-менее понятно, как защищаться от внешних угроз – например, от вирусов, или от атак через Интернет. Это, конечно, не значит, что данные проблемы решены полностью и на 100% - в области ИБ такое невозможно в принципе. Но, по крайней мере, есть отработанные процессы и практики, которые могут подсказать, с чего начать, на что обращать внимание, что и как делать, чтобы построить защиту от этих угроз и свести риск ущерба от них к экономически целесообразному минимуму. Это приводит к тому, что потребители средств ИБ обращают свое внимание на другие риски, которые не так хорошо изучены и отработаны.

Наконец, интерес к данному типу решений подогревают ведущие мировые вендоры оборудования и программного обеспечения, которые либо приобретают компании, занимающиеся разработкой систем безопасного хранения данных, либо сами разрабатывают такие решения и включают их в свои продуктовые линейки.

В качестве примеров первого варианта развития нельзя не упомянуть производителя систем хранения данных NetApp (Network Appliance, Inc.), который приобрел в 2005 году компанию-разработчика решений по безопасному хранению данных Decru. Кроме этого, всем известный производитель средств сетевой безопасности Check Point Software в конце 2006 года прикупил шведского производителя систем шифрования данных для ноутбуков Pointsec Mobile Technologies.

В качестве примеров второго направления достаточно упомянуть про технологии EFS и BitLocker компании Microsoft, обеспечивающие шифрование данных на дисках, и технологию Oracle Advanced Security от одноименной компании, которая обеспечивает шифрование баз данных, хранящихся на дисках и дисковых массивах.

Даже такая консервативная публика, как аналитики Gartner, рекомендуют защиту данных на магнитных лентах и в хранилищах как один из пяти шагов, приводящих к существенному снижению риска утечки данных [1].

От кого защищаем?

Итак, прежде чем обсуждать плюсы и минусы тех или иных технологических решений, стоит упомянуть, что же представляют собой системы storage security и от кого они защищают.

Проще будет начать ответ на этот вопрос со второй части. Системы storage security обеспечивают безопасность данных во всех случаях, связанных с физическим доступом злоумышленников к носителям данных.

Несмотря на то, что с первого взгляда эта угроза может показаться надуманной, а риск весьма невысоким, ситуаций, в которых такое событие может произойти, гораздо больше, чем может казаться на первый взгляд. Перечислим только некоторые из них:

Размещение сервера в стороннем дата-центре (collocation). В этом случае на сервере может храниться конфиденциальная информация, а физический доступ к нему третьих лиц, не имеющих отношения к компании-владельцу сервера, никак не ограничен.

Хранение магнитных лент вне офиса, перевозка магнитных лент. Это причина, пожалуй, одного из самых распространенных типов инцидентов, имеющих отношение к проблеме. Как известно, на сегодняшний день магнитная лента по-прежнему является самым дешевым носителем, особенно для хранения больших объемов данных. Стандартная политика безопасности, учитывающая проблему восстановления после бедствий, требует хранения резервных копий данных вне основного офиса компании, точнее, вне помещения, где эта информация хранится в процессе работы с ней. Как правило, эти ленты хранят в специальных депозитариях. В процессе перевозки и хранения этих лент доступ к ним со стороны посторонних лиц ограничить тоже очень сложно.

Ремонт и утилизация носителей. В первую очередь речь идет о жестких дисках – периодически возникают ситуации, когда при апгрейде оборудования жесткие диски, на которых хранилась конфиденциальная информация, не уничтожается, а продаются по остаточной стоимости как бывшее в употреблении оборудование. При ремонте жесткого диска, если неисправна только электронная часть, ремонтирующая организация также может получить доступ к информации, хранящейся на диске. Кстати, в связи с этим, некоторые компании, которые серьезно относятся к безопасности, в случае выхода жестких дисков из строя вообще не сдают их в ремонт, а сразу уничтожают и заменяют на новые.

Утеря или кража оборудования или носителей. Данной угрозе подвергаются не только магнитные ленты и ноутбуки, которым это на роду написано в силу их компактности, но также и сервера – иностранные СМИ неоднократно сообщали о том, что в результате кражи оборудования их офиса компании был похищен сервер или система хранения данных с конфиденциальной информацией.

Серьезность проблемы и ненулевая степень риска подтверждается довольно частыми сообщениями об инцидентах, связанных с утерей носителей с конфиденциальной информацией.

Например, в сентябре 2006 года служащие компании Chase Card Services (подразделение банка JPMorgan & Chase) по ошибке выбросили несколько магнитных лент, содержащих информацию о 2,6 млн. владельцев кредитных карт и банковских счетов.

Компания Iron Mountain, специализирующаяся на хранении, перевозке и менеджменте документов и носителей информации, теряла магнитные ленты дважды за последнее время. Первый раз это произошло в мае 2005 года, когда была утеряна коробка с лентами компании Time Warner, содержащими данные о 600 тыс. ее сотрудников. В апреле 2006 года были утеряны ленты железнодорожной компании Long Island Railroad с данными о 17 тыс. ее клиентах и сотрудниках.

В июне 2006 года неизвестный взломщик проник в один из офисов крупнейшей страховой компании AIG и похитил в числе прочего оборудование хранения данных, на котором хранилась персональная, а в некоторых случаях и медицинская информация 930 тыс. человек.

Вообще, за последние полтора-два года можно насчитать несколько десятков особо крупных инцидентов, в которых отметились такие известные всему миру и уважаемые компании и банки как Citigroup, UBS, Bank of America, Ameritrade, Marriott, ABN Amro Bank и т.д. Во всех случаях речь идет о персональной информации клиентов этих организаций, которая может быть использована злоумышленниками для доступа к банковским счетам пострадавших. Во всех случаях информация на носителях находилась в открытом виде.

Как видно из приведенного обзора, существование проблемы, а также ее серьезность не должны вызывать сомнений даже у профессиональных скептиков.

Отвечая же на вопрос, каким образом можно защитить информацию от этих напастей, из всех современных технологий в качестве лекарства напрашивается наиболее очевидный вариант – шифрование данных. Действительно, если зашифровать данные на носителе одним из современных проверенных алгоритмов шифрования с длиной ключа 128 бит и выше, то можно не беспокоиться за сохранность данных на этом носителе в случае, если сам носитель попадет в руки злоумышленнику. Естественно, необходимо, чтобы ключ шифрования, которым эти данные зашифрованы, должен содержаться в секрете – если его хранить или пересылать вместе с носителем, то смысла в такой защите немного.

В настоящее время на рынке представлено немало решений, реализующих такую защиту. Прежде всего, это упоминавшиеся выше EFS и BitLocker компании Microsoft, а также Oracle Advanced Security компании Oracle.

Существуют и специализированные средства, обеспечивающие защиту информации при ее хранении на серверных платформах, причем предлагаются как программные, так и аппаратные реализации. Среди программных средств наиболее развитые решения предлагают российские компании. Стоит упомянуть Secret Disk Server компании Aladdin, Strong Disk Server компании Физтехсофт и Zserver Suite компании SecurIT. При этом если первые два решения обеспечивают шифрование только разделов жестких дисков, то Zserver Suite включает в себя модули для шифрования жестких дисков, магнитных лент и дисков CD/DVD.

Среди производителей аппаратных средств безопасного хранения данных российских компаний, к сожалению, не обнаружено. Наиболее известны в этом сегменте семейство устройств DataFort упоминавшейся уже компании Decru, CryptoStor компании NeoScale и Paranoia компании Digital Security International, причем первые две компании предлагают полный набор решений для шифрования дисков хранилищ и лент, а линейка устройств Paranoia обеспечивает только шифрование магнитных лент.

Как защищаем?

Несмотря на то, что концепция такой защиты проста, если не сказать, тривиальна, проблемы, как обычно, возникают в деталях. Мы попытаемся рассмотреть общие принципы функционирования таких систем, и некоторые конкретные технологии, чтобы у читателя сложилось лучшее понимание предмета. Это позволит ему более квалифицированно подойти к вопросу, нужна ли такая защита, и если нужна, то какая именно.

Первый вопрос, возникающий в процессе выбора технологии, заключается в том, что именно планируется шифровать. Можно шифровать целиком разделы данных, а можно отдельные файлы и папки. Второй путь, без сомнения, обеспечивает большую гибкость – существует возможность шифрования данных с таким же уровнем гранулярности, что и настройка прав доступа к файлам. Однако, это больше имеет смысл для файл серверов, а не для серверов приложений, кроме этого, у каждого пользователя должен быть свой индивидуальный ключ шифрования, что приводит к дополнительным сложностям, возникающим при решении вопросов о создании, распространении, хранении и удалении этих ключей. В связи с этим, в последнее время рынок больше склоняется в пользу шифрования раздела диска – этот способ также решает проблему защиты данных на носителях и обладает большей универсальностью.

Второй вопрос заключается в том, как генерировать, хранить и использовать ключи шифрования. Ответ на первую часть вопроса также очевиден, как и сложно реализуем – использовать физический датчик случайных чисел. Дело в том, что компьютеры – это цифровые устройства, в которых источников случайных чисел практически нет. Все «псевдослучайные» последовательности, сгенерированные с использованием чисто вычислительных функций, легко предсказуемы, и использовать их в качестве ключа шифрования не очень разумно.

В связи с этим, приходится изыскивать источники случайности, которые, как правило, находятся вне компьютера. Наиболее распространенный из них – это пользователь, анализируя работу которого на клавиатуре, можно сформировать вполне пригодные для генерации ключей шифрования случайные последовательности. Еще лучше использовать различные аппаратные датчики случайных чисел, от звуковой платы с подсоединенным микрофоном, с которой можно считывать помехи – «белый шум», до специально предназначенного для таких целей оптического квантового генератора случайных чисел Quantis, который генерирует гарантированно случайные числа на основе квантовых эффектов [2].

Насчет хранения ключей шифрования тоже более-менее все понятно. В современных системах для этого используются смарт-карты и USB-брелоки с защищенной PIN-кодом памятью. Для того, чтобы считать ключ шифрования из такого устройства, пользователю необходимо ввести PIN-код, причем при вводе неправильного PIN-кода несколько раз подряд смарт-карта блокируется.

Несмотря на очевидную простоту этой концепции, некоторые вендоры не могут удержаться от соблазна усложнить конструкцию, пытаясь предложить пользователям дополнительные возможности. Например, в рекламных материалах по Secret Disk Server в качестве преимущества указывается, что «смарт-карты и USB-ключи используются как активные криптографические устройства», в то время как в других продуктах «электронные ключи и смарт-карты используются лишь в качестве дискеты с PIN-кодом для хранения ключей шифрования».

Постараемся разобраться, что это за преимущество и что оно дает пользователю. Действительно, большинство современных смарт-карт имеют возможность выполнять криптографические операции с помощью встроенного процессора – таким образом, что и шифруемые данные, и процессор, выполняющий шифрование, и сам ключ шифрования физически находятся в смарт-карте. Основной смысл данной функции – постоянное хранение ключа шифрования в памяти смарт-карты так, чтобы он никаким образом не мог попасть за ее пределы. Например, это актуально для систем ЭЦП – если выполнять генерацию электронно-цифровой подписи процессором смарт-карты, это обеспечивает дополнительный уровень безопасности для секретного ключа, который не выходит за пределы смарт-карты. Таким образом, с высокой вероятностью можно гарантировать, что секретный ключ используется только владельцем смарт-карты.

Таким образом, если хранить ключ шифрования в смарт-карте, и не загружать его в ОЗУ компьютера, а все действия с ним выполнять процессором смарт-карты, это действительно обеспечит дополнительный уровень безопасности. Однако, к сожалению, данная технология не применима для шифрования данных на носителях.

По оценке [3], скорость шифрования алгоритмом AES, достижимая смарт-картами на базе процессора ARM с тактовой частотой 25 МГц, будет порядка 300 Кбайт/с. Большинство современных смарт-карт и USB ключей на их основе реализованы на базе менее быстрых процессоров, их тактовая частота обычно не превышает 6-8 МГц, так что скорость их работы будет еще ниже. Современные SCSI адаптеры обеспечивают пропускную способность 160 Мбайт/с (Ultra-160) и выше что делает такую архитектуру неприменимой из-за неприемлемо низкой скорости шифрования.

Кроме процессора смарт-карты остается только центральный процессор компьютера, а для того, чтобы информация шифровалась им, ключ шифрования должен находиться в ОЗУ компьютера, то есть, покинуть пределы смарт-карты. Таким образом, в чем еще может заключаться смысл использования смарт-карты как активного криптооборудования, которое представляется как преимущество, не вполне понятен.

Хотелось бы отметить еще одну полезную возможность, которая присутствует далеко не во всех системах. Речь идет о кворуме ключей. Данная возможность позволяет реализовать двойное управление (dual control), которое требуется сейчас многим компаниям, и регламентируется различными документами, например, стандартом ISO 13569. Суть данной технологии заключается в том, что ключ шифрования разделяется, например, на пять частей, которые раздаются разным сотрудникам, при этом наличие любых трех частей необходимо и достаточно для восстановления оригинального ключа. С помощью данной технологии можно, во-первых, уменьшить риск компрометации ключа шифрования, и, во-вторых, обеспечить больший уровень доступности данных. Из упоминавшихся здесь систем данная возможность реализована только в Decru DataFort и в Zserver Suite.

В последнее время появилась еще одна функция, преимущество которой не так однозначно – многопоточное шифрование. В данном случае имеется в виду, что на многопроцессорных или многоядерных системах можно попытаться распараллелить процедуры шифрования, что, теоретически, должно привести к повышению производительности.

Однако, на практике не все так просто. Дело в том, что все современные операционные системы реализуют вытесняющую многозадачность. Это означает, что несколько потоков, запущенных параллельно, могут выполняться частично параллельно, или вообще последовательно, на одном процессоре. Это приведет к тому, что за счет использования дополнительных функций, связанных с распараллеливанием и синхронизацией, шифрование может занять больше времени, чем, если бы оно выполнялось в один поток.

В реальности такая картина наблюдается на серверах с повышенной загрузкой, когда кроме шифрования процессоры заняты обработкой других задач. Таким образом, данной возможностью следует пользоваться с осторожностью, предварительно оценив степень загрузки сервера и реальные временные показатели шифрования.

В заключение обзора базовых функциональных возможностей хотелось бы отметить, что намечается тенденция реализации в таких системах некоторых функций по on-line защите данных, которые отвечают за разграничение доступа к данным на зашифрованных дисках. Речь идет о дополнительной проверке прав пользователей и приложений при доступе к защищенному диску. Последнее может быть особенно актуально в случае использования серверов приложений и баз данных. Например, если на диске хранятся только базы данных MS SQL, можно разрешить доступ только сервису MS SQL, а всем остальным приложениям запретить. Это обеспечит невозможность скопировать файлы баз данных на другой носитель, поскольку ни Explorer, ни FAR, ни другие подобные утилиты доступа к диску иметь не будут.

Хочется также отметить, что жесткие диски – это далеко не единственный вид носителя, который необходимо защищать. При использовании магнитных лент и дисков CD/DVD для хранения и переноса информации шифровать следует и их, вне зависимости от того, насколько отработаны процессы обращения с ними и насколько надежно за ними следят и охраняют. Более того, этим носителям стоит уделять повышенное внимание, поскольку жесткий диск, как правило, находится внутри сервера, сервер находится в стойке или в шкафу, и украсть или потерять такую громоздкую конструкцию гораздо сложнее, чем кассету с магнитной лентой или компакт-диск.

Защита ноутбуков – это вообще тема для отдельной статьи, поскольку, во-первых, этими средствами пользуются не специально обученные системные администраторы, а обычные пользователи, которые имеют тенденцию забывать пароли, терять электронные идентификаторы, нарушать требования политики безопасности, кроме того, любое усложнение своей работы они воспринимают в штыки. Во-вторых, парк ноутбуков в крупных компаниях может исчисляться тысячами и десятками тысяч, соответственно, необходимо наличие в продукте масштабируемых процедур управления. Наконец, данная проблема не менее, а может и более серьезна, чем защита серверных платформ, о чем говорит и статистика инцидентов, и суммы ущерба, которые достигают порой астрономических размеров.

Что дальше?

Говоря о развитии средств безопасного хранения данных и о прогрессе технологий, которые применяются при реализации этих средств, нельзя не задуматься о том, каковы перспективы развития этих технологий, и чего можно ожидать от производителей в ближайшем будущем.

Основные тенденции, которые характеризуют развитие современных информационных систем – это интеграция и агрегирование различных информационных служб. По всей видимости, данные тенденции актуальны и для систем безопасного хранения данных.

Надо понимать, что просто утилита, реализующая шифрование раздела без каких-либо дополнительных возможностей, как это, например, сделано в BitLocker – это не совсем то, что может устроить современных корпоративных пользователей. Для них во главу угла становится удобство управления и простота интеграции в собственную инфраструктуру, поскольку это наиболее существенным образом влияет на расходы по содержанию системы.

Основные проблемы, которые возникают перед пользователями систем безопасного хранения данных – это защита большого количества серверов. Если количество серверов в организации, на которых хранится конфиденциальная информация, хотя бы больше десяти, а это еще не крупная компания, то уже возникает проблема хранения и управления ключами шифрования.

Проблема заключается в том, что, во-первых, различные диски надо шифровать разными ключами, то есть их надо хранить и периодически загружать на эти сервера. Во-вторых, разделы жестких дисков надо периодически перешифровывать – а это означает смену ключа шифрования, то есть генерацию нового ключа и уничтожение старого. С носителями для резервного копирования - магнитными лентами и дисками CD/DVD – ситуация еще более сложная. Бывает, что эти носители должны храниться какое-то продолжительное время, иногда до нескольких лет. Соответственно, столько же должны храниться и ключи шифрования, которыми эти носители зашифрованы, при этом должно обеспечиваться относительно быстрое нахождение ключа для расшифровки конкретного носителя.

Эти соображения приводят к выводу о необходимости какого-то централизованного сервера, который является защищенным хранилищем ключей шифрования. Этот сервер должен обеспечивает их своевременную генерацию, хранение, автоматическую загрузку в нужные места – на сервера, где непосредственно шифруются носители, и утилизацию.

Актуальность такого решения очевидна уже в том случае, когда количество ключей шифрования, с которым приходится иметь дело в какой-то одной организации, исчисляется несколькими десятками. А это, как уже говорилось, даже не крупная компания.

Выводы

Как видно из приведенного обзора, несмотря на то, что технологии обеспечения безопасного хранения данных активно развиваются, далеко не все технологические изыски, предлагаемые производителями, представляют собой образец инженерно-технического творчества. Это накладывает дополнительную ответственность на потребителя таких средств, которому надо не просто выбрать приемлемое решение, которое удовлетворяет его сегодняшние потребности. Необходимо, по крайней мере, задаться вопросом, что будет через несколько лет и с его хозяйством, и со средствами, которыми он планирует пользоваться.

Неправильный выбор решения приведет к тому, что все затраты, направленные на приобретение и поддержку данных систем, придется списать в убыток, а это совсем не то, за что руководство компаний премирует свои ИТ-службы.

В связи с тем, что у каждой компании ИТ-инфраструктура по своему уникальна, очень сложно дать универсальные рецепты, которые помогут принять правильное решение. Тем не менее, можно отметить несколько моментов, на которые стоит обратить внимание в любом случае.

Во-первых, стоит отдать предпочтение продуктам наиболее динамично развивающейся компании-производителя. Это не только повысит уверенность в том, что в случае каких-то кардинальных изменений ситуации на рынке такая компания с большей долей вероятности окажется на плаву, но и позволит надеяться на более высокую оперативность в реализации поддержки новых версий ОС, очередных сервис-паков, в исправлении собственных ошибок и т.д.

Во-вторых, лучше, если для компании-производителя разработка таких систем – основной бизнес. Это гарантирует максимальное внимание к качеству продуктов и к проблемам пользователей.

В-третьих, если есть какие-то сомнения, надо обязательно проводить тестовое внедрение. Это позволит заранее узнать о возможных проблемах совместимости или неудовлетворительной скорости работы. Практически все вендоры предлагают потенциальным пользователям для ознакомления либо пробные версии с ограниченным функционалом, либо боевые версии на ограниченное время, и лучше этой возможностью не пренебрегать.

В-четвертых, лучше выбирать решения, построенные по модульному принципу, и обладающие, таким образом, лучшим потенциалом для расширения. Компания, в которой сегодня пара десятков компьютеров и один сервер вполне может за несколько лет существенно увеличиться, и если понадобятся дополнительные возможности, например, защита резервных копий на магнитную ленту, разумней будет использовать комплекс средств одного производителя.

Наконец, стоит помнить о том, что скупой платит дважды, и любая экономия на средствах защиты информации может обойтись существенно дороже.

Резюмируя вышесказанное, можно сказать, что рынок систем, обеспечивающих безопасное хранение данных, уверенно двигается к состоянию устойчивого равновесия. Активно развиваются программные и аппаратные средства, предлагающие потребителям максимальные функциональность и качество, повышается сознательность пользователей, которые начинают более серьезно относиться к данной проблеме, а в рамках международной организации IEEE функционирует рабочая группа, разрабатывающая стандарты шифрования носителей данных [4]. Это позволяет надеяться, что в ближайшее время промышленные решения окончательно вытеснят любительские поделки, а потребителям не надо будет ломать голову, чтобы не купить кота в мешке.

Приложение

В данную таблицу сведены наиболее существенные, по мнению автора, характеристики различных систем защиты информации при ее хранении. Информация о продуктах взята с веб-сайтов компаний-производителей, а также из собственного опыта анализа и использования указанных продуктов.

  Zserver Suite 5.0 Secret Disk Server NG 3.2 StrongDisk Server 4.1
Производитель SecurIT Аладдин Р.Д. Физтехсофт
Защищаемые носители Жесткие диски, магнитные ленты, диски CD/DVD Жесткие диски Жесткие диски
Операционные системы Windows 2000, 2003, XP; Linux Windows 2000, 2003, XP Windows 2000, 2003, XP
Хранение ключей шифрования Смарт-карты, USB-ключи ruToken, iKey, eToken Смарт-карты и USB-ключи eToken Смарт-карты, Dallas TM, USB-ключи iKey, eToken, ruToken
Кворум ключей шифрования есть нет нет
Шифрование алгоритмом ГОСТ 28147-89 есть есть есть
Многопоточное шифрование есть есть есть
Разграничение доступа к функциям управления системой есть нет нет
Ведение журнала событий есть нет есть
Поддержка кластерных платформ Microsoft Cluster Services нет нет
Статусы и совместимость IBM Server Proven
IBM System Storage Proven
нет информации нет информации

Литература

  1. Gartner Identifies Top 5 Steps to Dramatically Limit Data Loss and Information Leaks. http://www.gartner.com/it/page.jsp?id=495173.
  2. Quantum Random Number Generator. http://www.idquantique.com/products/quantis.htm
  3. G. Hachez, F. Koeune, and J.-J. Quisquater. cAESar results: Implementation of Four AES Candidates on Two Smart Cards. In Second Advanced Encryption Standard Candidate Conference, pp. 95—108.
  4. The IEEE Security in Storage work group (SISWG). http://www.siswg.org/

Оригинал статьи в формате PDF


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить