21 марта, 2013
Cjdthityyj ctrhtnyj/
Как вы догадались из заголовка — сейчас речь пойдёт о криптографии.
Точнее — об очень полезных фичах нашего нового корпоративного продукта – полнодисковом и пофайловом шифровании. Предупреждаю сразу – здесь будет много специфической технологической информации, пусть и причёсано-разжёванной, но оттого не менее мозговыносящей. В общем, кому интересно по работе или ради расширения кругозора – читаем дальше. Если нет, то, например, познакомьтесь с Новой Зеландией или Гавайями :)
Итак, шифрование.
Логичный вопрос – с чего мы вдруг решили заняться этим направлением, когда кругом полно готовых решений, в том числе платных, бесплатных и условно-бесплатных, проприетарных и оупенсорсных?
На самом деле, тут уже говорилось о двух ключевых проблемах IT-секюрити — зашкаливающей сложности IT-систем и «не резиновых» бюджетах для этих систем создания. Впрочем, это проблема не только секюрити, но IT в целом. А если копнуть ещё глубже, то это вообще глобальная проблема. Важно, что эти два аспекта действуют в точном соответствии с законом сообщающихся сосудов: попытка решить бюджетный вопрос «внебюджетными» способами (например, поставить бесплатный софт) автоматически поднимает уровень жидкости… эээ… сложности системы и, следовательно, её совокупную стоимость владения. Цепочка рассуждения понятна: новый продукт -> разработка политик -> интеграция с существующей системой -> новая консоль управления -> обучение персонала -> [множественные итерации] -> расчёт вероятности успешности проекта представляется затруднительным, действуем наобум. Приём.
Выход?
А вот и ответ на вопрос: всё в одном. Защита от малвары, спама, зеродеев и другой сетевой нечисти, вайтлистинг, default deny, контроль над приложениями, мобильными устройствами и веб-трафиком; все эти рычаги под управлением единой консоли с функциями systems management. Ну и, разумеется, криптографическая защита. При этом без свойственных комплексным решениям компромиссов в надёжности и функциональности.
При этом без «крипты» система защиты что симфонический оркестр без духовых. Шифрование необходимо не только само по себе для предотвращения доступа к данным в случае утери или хищения оборудования. Кстати, любопытное исследование Intel: каждый потерянный ноутбук обходится пострадавшим компаниям в среднем в ~$50К, при этом стоимость оборудования – лишь 2% от этой суммы, остальное – ущерб от компрометации данных (представляете сколько денег можно сэкономить с помощью «крипты»?). Шифрование также играет важную роль в реализации других защитных функций, например, для борьбы с утечками информации, полноценного контроля над приложениями, контейнеризации личных и корпоративных данных и т.д. В результате на рынке шифрования данных наметилась четкая тенденция: движение от узкоспециализированных к комплексным решениям. И вот мы здесь, обсуждаем новые фичи KESB :)
А теперь подробнее – что за крипт-функционал пророс в наших продуктах и чем он лучше, чем у тех парней из-за бугра?
Требования к системе шифрования у всех разные и потому мы пошли путём полной индукции. На выбор предлагается два вида шифрования: полнодисковое (FDE— full disk encryption) и пофайловое (FLE – file level encryption). Таким образом, каждый заказчик может приспособить функцию под свои специфические задачи и требования. Например, использовать FLE для защиты офисных компьютеров, а FDE – для ноутбуков.
FDE, понятно, — это защита всего-всего содержимого носителя с механизмом аутентификации до загрузки ОС. Здесь мы реализовали одну приятную «фишку» — введя логин и пароль на этом этапе, пользователь автоматически входит и в операционную систему (да здравствует Single Sign-On!).
FLE – шифрование отдельных файлов и папок.
Здесь есть три важных отличия на фоне конкурентного ландшафта.
Во-первых, мы позволяем настраивать шифрование не только на конкретные типы файлов (например, Word-документы или Excel-таблицы), но и на весь спектр файлов, создаваемых конкретным приложением — независимо от их расширения и местонахождения. При этом правила можно настроить через другой полезный модуль защиты – контроль над приложениями (и снова плюсы от тесной интеграции технологий!).
Ещё практический пример преимуществ интеграции: данные на компьютере зашифрованы FLE, но остаётся лазейка для их хищения с использованием функции снимка экрана (print screen). При помощи нашего контроля над приложениями можно заблокировать программы с такими способностями, а саму волшебную кнопку PrtScr любой сисадмин запросто отключит через системный реестр.
Во-вторых, у нас сохраняется зашифрованность файлов при их перемещении по сети. У многих конкурентов данные защищаются только локально, а при их передаче по сети или копировании на внешний носитель открываются (ага!).
Ещё одна интересная фича — в случае работы с зашифрованной флэшкой есть т.н. мобильный режим (portable mode), позволяющий авторизованным пользователям открывать файлы даже там, где нашего продукта нет – для этого есть специальный автономный файловый менеджер, своего рода мини-браузер. Для просмотра этих файлов браузером и во избежание брутфорса пользователю нужно будет задать пароль, причём не просто «12345», а той степени стойкости, что задана администратором в соответствующей политике.
Наконец, третье преимущество — теперь есть возможность ограничивать доступ к зашифрованным данным для определённых приложений. Пример: заблокировать в Skype отправку защищённых файлов, при этом сохранив его основной функционал. А если кто-то додумается хранить или передавать конфиденциальные файлы через публичные облачные сервисы вроде Dropbox (которые, бывает, взламываются), то и там они будут храниться в зашифрованном виде.
Что FDE, что FLE – оба вида шифрования прозрачны для пользователя, т.е. работают в фоновом режиме и делают шифрацию/дешифрацию данных «на лету», не требуя вмешательства, подтверждений и прочих «press any key». Другими словами, при попытке записать что-либо на диск наш агент тихо перехватывает операцию, шифрует данные и кладёт их в нужное место. Используемый алгоритм – индустриальный «золотой стандарт» AES с 256-битным ключом, сломать можно «всего» за $1,5 трлн, 4 тераватта электроэнергии (больше годового потребления США) и все вычислительные мощности мира.
Разумеется, бывают разные сбои, будь то программные, аппаратные или человеческие и на них есть подходящая управа. В распоряжении админа имеется восстановительный диск со специальной утилитой, которой можно расшифровать данные. Забывчивость же пользователя после летних каникул легко лечится механизмом challenge-response. А если забывчивость вдруг оказалась глубокой и умышленной, то достучаться до зашифрованной информации можно через админские учётные записи.
При этом никаких зоопарков локальных агентов, управляющих систем и политик. Все функции шифрования (ровно как и другие защитные функции) сосредоточены в одном приложении, управляются из единой консоли и подчиняются единой политике безопасности.
Как такое у нас получилось и почему не получилось у других?
Всё просто: мы не бегаем по рынку, скупая других разработчиков в стремлении быстренько «скипануть» процесс разработки. Неа, не бывает такого – при таком подходе в конце концов всегда вылезают косяки и несовместимость, история — свидетель. Мы всё сделали сами, с нуля, и пусть мы были не первые с крипто-защитой в составе комплексного решения, зато её реализация, внутренняя интеграция между разными технологиями, гибкость и масштабируемость оказались на голову выше конкурентов! Да!
И коротко о планах.
Сейчас шифрование работает только в Windows-сетях и только на рабочих станциях. В будущих версиях «прикрутим» его к Windows-серверам, Линуксам и Макам. Будем также поддерживать смарт-карты и токены для входа при загрузке ОС, дополнительные методы восстановления доступа к данным (секретные вопросы), сохранение шифрования файлов при их пересылке по почте и много разного другого.
Подробнее о шифровании в нашем корпоративном продукте читайте в этой брошюре или на сайте.
PS: кто догадался — что в заголовке написано? :)
