Zecurion Zserver (Storage Security)

Zecurion Zserver (Storage Security)

Zecurion Zserver (Storage Security) является комплексом криптографических решений для защиты данных, которые хранятся на серверах, магнитных лентах, оптических дисках, в хранилищах и на внешних площадках. С помощью шифрования носителей Zecurion Zserver (Storage Security) защищает данные в процессе использования, хранения и транспортировки.

Возможности

Все компоненты Zecurion Zserver изначально спроектированы для обеспечения надежной защиты хранимой информации. Благодаря прозрачному шифрованию, данные всегда хранятся на носителях в зашифрованном виде и автоматически расшифровываются только в оперативной памяти.

Защита конфиденциальной информации на корпоративных серверах

Zserver осуществляет шифрование серверов в любых дисковых конфигурациях. Система защищает информацию на жестких дисках, на RAID-массивах, в сетевых хранилищах SAN.

Защита любых типов данных от несанкционированного доступа

Zserver хранит в зашифрованном виде корпоративную информацию в любых формах: файлы всех типов, папки, базы данных, физические и виртуальные диски.

Защита данных за пределами организации

Корпоративная информация, перемещаемая за пределы корпоративной сети организации, остается защищенной благодаря шифрованию носителей резервного копирования — магнитных лент и оптических дисков.

Прозрачное шифрование

Система Zserver прозрачна для пользователей и приложений и не требует никаких изменений в их работе. Данные, хранящиеся на защищенных разделах, всегда находятся в зашифрованном виде и недоступны без ввода ключа шифрования.

При работе с зашифрованными дисками данные автоматически расшифровываются при чтении и зашифровываются при записи. Работа системы никак не отражается на процессах обработки данных, поэтому рядовые сотрудники не будут знать о наличии системы шифрования.

Централизованное управление доступом

Система Zserver позволяет контролировать назначение прав общего доступа к защищенным сетевым ресурсам централизованно — через консоль управления Zserver.

При этом управление доступом через Zserver будет приоритетным и исключающим возможность изменений с помощью стандартных средств операционной системы. Таким образом обеспечивается дополнительная защита информации: например, к финансовым данным можно открыть доступ только сотрудникам бухгалтерии, а к базе данных клиентов — только для приложения «1С», при этом сотрудники не смогут не только скопировать данные, но даже обнаружить файл, в котором эти данные хранятся.

Фоновое шифрование

Процесс внедрения Zserver (первоначального зашифровывания) осуществляется в «фоновом» режиме — параллельно с операциями чтения-записи и незаметно для работающих в этот момент пользователей и приложений.

Перед шифрованием не требуется останавливать службы сервера и отключать пользователей, которые работают с данными на предназначенном для зашифровывания разделе — это позволяет избежать простоя сервера и прерывания бизнес-процессов. Шифрование производится на уровне физических секторов, поблочно. Шифрование выполняется системным (kernel-mode) драйвером. Ключ шифрования хранится в оперативной памяти и никогда не выгружается на диск (в swap-файл).

Пауза и продолжение шифрования

Процесс первоначального зашифровывания раздела при необходимости может быть приостановлен в любой момент.

После паузы можно либо продолжить шифрование, либо откатить его (произойдет отмена шифрования и расшифровывание данных). В результате какого-либо сбоя, например отключения питания, процесс шифрования прервется без потери данных, после этого его также можно восстановить или откатить. (При этом стоит помнить, что по общепринятым правилам безопасности необходимо в любом случае сделать резервную копию перед первичным зашифровыванием данных.

Перешифровывание раздела

Зашифрованный раздел может быть перешифрован с использованием нового ключа. Процесс перешифрования также выполняется в фоновом режиме, то есть пользователи в это время продолжают работу с данными на разделе.

В Zserver операция перешифровывания выполняется за один проход, в процессе выполнения каждый блок считывается с диска, расшифровывается старым ключом, зашифровывается новым и записывается обратно на диск. Данные расшифровываются только в памяти сервера, что не создает никаких дополнительных угроз их компрометации. Операция перешифровывания также реализована как атомарная, то есть в любой момент она может быть приостановлена, вручную или в результате системного сбоя, перезагрузки и т. д., после чего в любой момент времени ее выполнение можно продолжить или откатить.

Надежная защита ключей шифрования

Открыть или закрыть доступ к зашифрованным данным может только администратор информационной безопасности с помощью специального ключа шифрования. (После открытия доступа данные будут доступны для обычных пользователей и приложений в прозрачном режиме.) Ключи шифрования могут храниться на специальных смарт-картах и USB-ключах, дополнительно защищенных PIN-кодом. Такой подход надежно защищает ключи шифрования и, соответственно, саму зашифрованную ими информацию.

Генерация ключей шифрования

В системе Zecurion Zserver предусмотрена возможность генерации исключительно надежных ключей шифрования. Для сбора случайной информации можно использовать движения мышью, шумы микрофона звуковой платы, квантовый генератор случайных чисел Quantis, ввод случайной последовательности вручную в HEX-редакторе и другие источники.

Для дополнительной гарантии получения качественного ключа шифрования в системе предусмотрена возможность статистического анализа сгенерированной случайной последовательности. В результате такого анализа администратор может принять обоснованное решение, использовать ли полученную последовательность случайных чисел для создания ключа шифрования или ее стоит перегенерировать. Эти возможности существенно повышают уровень доверия к процедуре генерации ключа шифрования как к одной из самых критичных процедур в любой криптосистеме.

Безопасное хранение ключей шифрования

Для хранения ключей шифрования используются электронные идентификаторы: микропроцессорные карты (смарт-карты) или USB-брелки. На одной смарт-карте можно хранить одновременно до 16 ключей шифрования.

Помимо смарт-карт по желанию заказчика для хранения ключей шифрования могут быть использованы USB-токены. На всех поддерживаемых USB-ключах (Rainbow iKey 10xx/3000, ruToken, eToken Pro) можно хранить до 16 ключей шифрования, так же, как в смарт-картах. Функция PIN-кода для входа под принуждением в USB-ключах не реализована.

Защита ключей PIN-кодом

Дополнительный уровень защиты обеспечивает 8-значный PIN-код, который необходимо ввести для того, чтобы получить доступ к памяти электронного ключа и прочитать ключ шифрования.

Не зная PIN-код, прочитать ключ шифрования невозможно, а дополнительное ограничение по вводу PIN-кода исключает возможность его перебора. Четыре попытки ввода неправильного PIN-кода заблокируют данные на смарт-карте или USB-ключе.

Ввод PIN-кода «под принуждением»

Для экстренных случаев существует возможность ввода специального PIN-кода «под принуждением», при котором все ключи шифрования, хранящиеся на смарт-карте, стираются.

PIN-код «под принуждением» представляет собой обратную последовательность символов обыкновенного PIN. Его можно использовать, если «нежеланные гости» требуют ввести PIN-код к смарт-карте с ключами шифрования, угрожая применением силы.

Кворум ключей шифрования

Кворум ключей шифрования в Zecurion Zserver позволяет минимизировать человеческий фактор за счет разделения ключей на несколько частей. В таком случае для открытия доступа к данным может быть задействован не один, а несколько сотрудников, например, будет обязательно участие системного администратора, руководителя службы безопасности и исполнительного директора.

При создании кворума ключ шифрования по специальной формуле разбивается на n частей одинакового размера, так, что для его восстановления достаточно любых k частей (k ≤ n). В этом случае говорят о кворуме ключей k/n.

На практике распространены схемы кворума ключей 2/2, 2/3, 2/5 и 3/5. Например, в варианте 2/3 ключ разбивается на три части и по одной части выдается системному администратору, офицеру безопасности и руководителю компании. Чтобы получить доступ к зашифрованным данным, необходимо загрузить на сервер любые две части ключа. В этом случае сохраняется гибкость системы и существенно снижается риск — компрометация какой-либо одной части ключа не приведет к компрометации зашифрованных данных.

Загрузка ключа шифрования

Ключ шифрования загружается администратором один раз при старте сервера для начала работы с зашифрованными данными.

Смарт-карта (или USB-ключ) с ключом шифрования требуется только для открытия диска, после чего ее можно извлечь из картридера. После загрузки со смарт-карты ключи шифрования хранятся в оперативной памяти сервера и никогда не попадают на жесткий диск, в том числе в файл подкачки (swap-файл). После перезагрузки сервера ключи шифрования стираются из оперативной памяти, и для получения доступа к зашифрованным данным требуется снова загрузить ключ шифрования.

100%-ный контроль доступа

Ключи шифрования генерируются администратором Zecurion Zserver самостоятельно при внедрении или в процессе эксплуатации системы. При этом Zserver не создает никаких резервных копий или мастер-ключей, то есть доступ к данным может получить только владелец ключа шифрования.

Это значит, что злоумышленник не сможет получить ключ шифрования никаким способом, в том числе в этом вопросе не сможет помочь и Сервисный центр Zecurion . По этой же причине будет невозможным восстановить доступ к зашифрованным данным при утере или повреждении ключа шифрования. Для минимизации рисков утери ключа рекомендуется создавать копию ключей шифрования сразу же после генерации и хранить ее в защищенном помещении вне офиса — например в банковской ячейке.

Сигнал «тревога»

Сигнал «тревога», или так называемая «красная кнопка», необходим для экстренного блокирования доступа к зашифрованным данным. Он стирает из памяти сервера все ключи шифрования и делает данные недоступными, может подаваться с любой рабочей станции сети или через Интернет по протоколу TCP/IP, а также по мобильному телефону, радиобрелку или команде сигнализации.

Система Zserver имеет открытый интерфейс для подачи сигнала «тревога» и позволяет подключать различные датчики и устройства контроля доступа в помещение (датчики открывания дверей, окон, движения, изменения объема, электронные и кодовые замки). С помощью дополнительных модулей можно настроить блокировку доступа к данным с помощью телефонного звонка на специальный номер или радиобрелка. Для восстановления доступа к данным после сигнала «тревога» необходимо перезагрузить сервер и заново загрузить ключ шифрования.

Администрирование нескольких серверов

Консоль управления Zserver позволяет одновременно подключаться к нескольким серверам Zserver. В процессе работы на серверы можно одновременно загружать ключи, осуществлять шифрование в фоновом режиме, производить другие операции с любым из подключенных серверов.

Журналирование

Все действия, выполняемые администратором Zserver, записываются в журнал. Журналирование можно осуществлять в различные форматы файлов (текстовый или XML) или в Windows Event Log, при этом журнал может храниться как на локальном, так и на удаленном компьютере.

Для анализа XML-файлов журнала можно воспользоваться встроенным генератором отчетов, который позволяет гибко настраивать вид и формат отображения и экспорта информации о событиях, а с помощью конструктора запросов можно задать любые условия для просмотра событий.

Работа в виртуальных средах

Архитектура Zecurion Zserver специально адаптирована для использования продукта в виртуальных средах, в том числе VMware и Hyper-V.

Дополнительные возможности

Zserver Enterprise Key Server

Модуль Zserver Enterprise Key Server дает возможность централизованного управления ключами шифрования на неограниченном количестве серверов. Подробнее

Zserver Script Pack

Дополнительный пакет расширения Zserver Script Pack позволяет подключать внешние сценарии и задавать собственную реакцию на события системы. Подробнее

Zserver Disk Access Control

Модуль контроля доступа к диску Zserver Disk Access Control позволяет управлять доступом к информации со стороны пользователей и приложений, выполняя роль дискового firewall. Подробнее

Кластерная версия

Zecurion Zserver может функционировать на серверах в составе кластера под управлением Microsoft Cluster Services.

Для этого необходимо установить Zecurion Zserver на все серверы кластера, затем на одном из них зашифровать общие диски, а потом загрузить на все серверы ключи и открыть зашифрованные диски. Для работы в кластерной конфигурации необходимо наличие Zserver в специальной редакции Cluster Edition.

COM-интерфейс

Для более тесной интеграции с существующими информационными системами в Zecurion Zserver существует возможность управления комплексом через COM-интерфейс. Это позволяет значительно расширить возможности по управлению системой и встроить команды управления Zecurion Zserver практически в любое ПО.

При установке консоли Zecurion Zserver создается COM-объект, с помощью которого можно осуществлять удаленное управление Zserver. Данный объект позволяет выполнять следующие операции с сервером через COM-интерфейс:

  • установка и разрыв соединения с сервером;
  • загрузка и выгрузка ключа;
  • открытие и закрытие (в том числе принудительное) диска;
  • включение и выключение шифрования для CD/DVD и стримеров;
  • зашифровывание, расшифровывание и перешифровывание дисков;
  • отправка сигнала «тревога»;
  • определение статуса носителей.

При этом указанные функции можно вызывать как из скриптов (JScript, VBScript, VBA и т. д.), так и из программного кода. Это позволяет значительно расширить возможности по управлению системой и встроить команды управления Zecurion Zserver практически в любое ПО.

Уничтожение данных

Систему Zserver можно использовать для уничтожения данных. Для этого достаточно зашифровать информацию на диске и уничтожить ключ шифрования.

Поскольку ключ шифрования уникален, то есть не имеет копии ни у владельца данных, ни у разработчика системы, то все данные, зашифрованные этим ключом, можно также считать уничтоженными, вне зависимости от их физического местонахождения.

Запросить демо-версию
Отмена










в формате +7 (987) 654-32-10

Задать вопрос по продукту
Отмена










в формате +7 (987) 654-32-10