Secret Disk Server NG — комплекс защиты конфиденциальной информации и персональных данных на сервере от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия
- защита от несанкционированного доступа баз данных, корпоративной почты и другой информации на дисках сервера
- двухфакторная аутентификация администраторов с помощью электронных ключей
- предоставление доступа к конфиденциальным данным только доверенным сотрудникам
- многопользовательская работа с защищёнными данными
- экстренная блокировка доступа к данным
- возможность использования сертифицированных криптопровайдеров
- надёжная защита баз данных 1С
- поддержка Microsoft Windows Server 2012 R2
Зарегистрировано в реестре российских программ для ЭВМ и БД (№ 519)
Назначение Secret Disk Server NG
Secret Disk Server NG — комплекс защиты конфиденциальной информации и корпоративных баз данных на серверах от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия. Система Secret Disk Server NG надёжно защищает данные и скрывает сам факт их наличия на сервере. При записи данных на диск происходит их зашифрование, при чтении — расшифрование. Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника, даже если он получит физический доступ к серверу или жёсткому диску.
Secret Disk Server NG может быть использован как самостоятельное решение, а также как элемент комплексной системы защиты конфиденциальной информации для решения следующих задач:
- разграничение доступа к данным, хранящимся и обрабатывающимся на серверах приложений, например, файлам баз данных, почтовым хранилищам и др. Управление доступом к данным позволяет гибко разграничить работу сотрудников организации с защищённой информацией;
- сокрытие конфиденциальной информации на сервере обеспечит дополнительный уровень защиты, так как зашифрованные разделы дисков выглядят вне Secret Disk Server NG как неразмеченное пространство;
- защита баз данных 1С. Использование Secret Disk Server NG совместно с решениями на платформе «1С:Предприятие» позволяет предотвратить несанкционированный доступ к данным со стороны своих сотрудников и внешних лиц. Продукт прошёл сертификацию по программе «Совместимо! Система программ 1С: Предприятие».
Когда необходим Secret Disk Server NG
- Для защиты серверов в случае централизованного хранения и обработки ценной корпоративной информации от таких угроз как:
- несанкционированный доступ к конфиденциальным данным на защищаемом сервере или хранилище данных;
- копирование данных нелояльным или подкупленным сотрудником, который может иметь физический доступ к серверу;
- несанкционированное копирование данных по сети предприятия ИТ-специалистом, имеющим расширенные права администратора.
- Для экстренной блокировки доступа к конфиденциальной информации в чрезвычайных ситуациях в случае физического захвата сервера.
- Для реализации защиты высоконагруженных, отказоустойчивых решений. Secret Disk Server NG поддерживает технологию многопоточного шифрования, максимально оптимизируя вычислительные ресурсы современных многопроцессорных систем. Продукт позволяет выполнять резервное копирование зашифрованных разделов и открытых в эксклюзивном режиме файлов без остановки работающих сервисов и приложений (Microsoft Exchange, Microsoft SQL Server и др.).
Ключевые преимущества Secret Disk Server NG
Безопасность
Данные на носителях остаются всегда зашифрованными, что делает доступ к ним невозможным, даже если злоумышленник получит физический доступ к серверу или жёстким дискам.
- Используется встроенная в ядро ОС Windows криптография или быстрые и надёжные криптоалгоритмы из пакета расширения Secret Disk Crypto Extension Pack.
- Доступна установка дополнительных пакетов от сторонних поставщиков криптографии (криптопровайдеров), включая КриптоПро CSP, Signal-COM CSP, Infotecs CSP, которые реализуют российские стандарты алгоритмов шифрования и сертифицированы ФСБ.
- Используется метод двухфакторной аутентификации администратора Secret Disk Server NG при помощи электронного ключа и пароля.
- Экстренное блокирование доступа к данным по сигналу «тревога». Сигнал может быть подан как внешним устройством (например, «красной кнопкой», радио-брелоком, охранной сигнализацией или по GSM-каналу), так и с клавиатуры компьютера или мышью. Реакцию на сигнал «тревога» можно настроить как для сервера в целом, так и для каждого зашифрованного диска в отдельности. Перед отключением диска по сигналу «тревога» может быть выполнена остановка сервисов и служб (например, MS SQL Server, MS Exchange Server и т.п.).
- Имеется возможность запрета сетевого доступа к защищаемым данным, что предотвращает копирование важных данных злоумышленником с расширенными правами администратора сети.
Надёжность
- Решение устойчиво к возможным сбоям операционной системы или отключениям электропитания, что исключает повреждение данных.
- Поддерживаются отказоустойчивые кластерные конфигурации защищаемого сервера.
- Поддерживается резервное копирование и восстановление ключей шифрования на случай утери электронного ключа.
- Предусмотрена защита от случайного форматирования отключенного зашифрованного диска.
Удобство
Гибкое и удобное администрирование позволяет упростить работу администраторов.
- Поддержка широкого спектра накопителей позволяет защищать отдельные жёсткие диски сервера, любые дисковые массивы (SAN, программные и аппаратные RAID-массивы), а также съёмные диски.
- Решение допускает неограниченное количество зарегистрированных администраторов.
- Поддерживается управление через консоль Microsoft Windows (MMC) или удалённый рабочий стол (RDP).
- Поддерживается централизованное администрирование нескольких серверов из единого центра управления Secret Disk Server NG.
- Поддерживаются индивидуальные сценарии для каждого зашифрованного диска. Индивидуальные сценарии могут выполняться перед подключением диска, после подключения, перед отключением, после отключения, что позволит добиться необходимой реакции от системы.
- Использование метода прозрачного шифрования информации позволяет не останавливать работу сервера во время первоначального зашифрования данных.
ОПИСАНИЕ ПРОЦЕССА ИНСТАЛЛИРОВАНИЯ ПО ALLADIN SECRET DISK SERVER NG
Начальное окно мастера установки SDS NG
Внимательно читаем лицензионное соглашение (Рис.2), выбираем пункт «Я принимаю…» и нажимаем кнопку «Далее».
Подтверждение лицензионного соглашения
Выбираем вид установки программного продукта SDS NG (Рис.3). В связи с тем, что мы устанавливаем серверную версию SDS NG на один сервер, то на этом этапе выбираем «обычную» установку.
Выбор варианта установки SDS NG
Мастер установки завершен (Рис.4). Для запуска с выбранными ранее установками необходимо нажать кнопку «Установить».
Финальное окно настройки мастера установки SDS NG
Запуск процесса установки (Рис.5), копирующего необходимые файлы и регистрирующего в системе необходимы сервисы и компоненты.
Установка SDS NG
После завершения процесс установки, мы получим сообщения мастера об успешном завершении операции (Рис.6).
Завершение работы мастер установки
Установка продукта завершена. После нажатия кнопки «Готово» будет автоматически запущен процесс первоначальной настройки.
Первоначальная настройка SDS NG
После окончания инсталлирования запуститься мастер первоначальной настройки (Рис.7). Для продолжения нажимаем кнопку «Далее».
Запуск мастера первичной настройки
В окне выбора режима работы мастера, так как мы устанавливаем SDS NG в новом окружении, выбираем пункт «Создание новой базы данных» (Рис.8) и нажимаем кнопку «Далее».
Выбор режима работы мастера конфигурации
На этом этапе выбираем текущий домен. Т.к. на Предприятии создан один домен, выбираем его и нажимаем «Далее».
На дальнейших скриншотах описана установка реальной системы на Предприятии, и по соображениям конфиденциальности я не имею права разглашать некоторые параметры настройки данного ПО. Далее некоторые параметры будут закрашены черными линиями.
Выбор контейнера домена для SDS NG
На этом этапе необходимо выбрать алгоритмы шифрования для различных компонентов программного продукта SDS NG (Рис.10). Для начала требуется выбрать поставщика криптографии (крипто провайдер) — от этого зависит, какие алгоритмы шифрования будут доступны для использования в дальнейшем. Так как данные в базе данных должны храниться в зашифрованном виде, на данном этапе необходимо выбрать алгоритм шифрования базы данных. Далее идет выбор алгоритмов шифрования для дисков «системных и несистемных» разделов. Сделав свой выбор, нажимаем кнопку «Далее».
Выбор используемых алгоритмов шифрования
На этом этапе нам предложно выбрать сертификат оператора SDS NG (Рис.11), с помощью которого будет зашифрован мастер-ключ шифрования базы данных. В дальнейшем данный сертификат будет использован для монтирования базы данных перед началом работы. Добавить операторов мы сможем на следующих этапах.
Выбор администратора мастер ключа шифрования
А пока выбираем сертификат и нажимаем «ОК». После первоначального конфигурирования крипто ключей, необходимо выполнить резервную копию мастер-ключа базы данных. Нажимаем кнопку «Далее».
Создание резервной копии секрета мастер-ключа
Запуститься мастер резервного копирования ключа шифрования базы данных (Рис.13). Для запуска работы мастера нажимаем кнопку «Далее».
Мастер создания резервного ключа базы данных SDS NG
Указываем место, куда будет сохранена резервная (Рис.14), после чего нажмем «Далее».
Диалог выбора файла для сохранения копии ключа шифрования
Резервная копия мастер-ключа будет защищена паролем (Рис.15). Вводим пароль, и нажимаем «Далее». Если в дальнейшем потребуется восстановить базу данных из резервной копии, потребуется предъявить именно эту резервную копию мастер-ключа базы данных и пароль.
Установка пароля для резервного мастер-ключа
В окне подтверждения параметров (Рис.16) убеждаемся в верности введенных данных, и нажимаем кнопку «Далее».
Проверка параметров для резервного копирования мастер-ключа БД
На этом этапе мы видим сообщение об успешном завершении работы мастера резервного копирования мастер-ключа БД. Для возвращения к мастеру первоначальной настройки нажмем кнопку «Завершить».
Завершение работы мастера резервного копирования мастер-ключа БД
Следующий этап работы мастера первоначальной настройки попросит нас указать сервер управления базами данных, на котором будет располагаться база данных SDS NG и параметры подключения (Рис.18). Можно проверить соединение нажав на кнопку «Тест соединения» и в случае положительного результата нажать кнопку «Далее» для продолжения работы мастера первоначальной настройки.
Настройка параметров SQL-сервера в SDS NG
Здесь необходимо указать имя базы данных на выбранном нами сервере управления базами данных (Рис.19). Соглашаемся с введенными настройками и нажимаем кнопку «Далее».
Выбор базы данных для подключения сервера
Проверяем указанные ранее параметры первоначальной настройки, и если нет ошибок, то нажимаем «Далее».
Подтверждение настроек
Запуск процесса создания базы данных и применения сконфигурированных настроек (Рис.21). Дожидаемся окончания процесса и нажимаем «Далее».
Работа мастера первоначальной настройки
Указываем файл с лицензией на использование программного продукта SDS NG (Рис.22). Выбираем файл с лицензией. Если лицензия действительна, то она подсветиться зеленым, иначе красным. Убеждаемся, что наша лицензия действительна — и нажимаем кнопку «Далее».
Выбор лицензии
Старт сервиса SDS NG. Дожидаемся окончания процесса (Рис.23) и нажимаем «Далее».
Запуск сервера SDS NG
На последнем шаге необходимо смонтировать крипто-хранилище базы данных (Рис.24) — т.к. без него невозможна дальнейшая работа. Убеждаемся, что ключ eToken с сертификатом оператора (ключи идут в комплекте с установочными дисками ПО), который был указан в процессе настройки, подключен к серверу и нажимаем «Далее». Крипто-хранилище будет автоматически смонтировано. Сервер будет готов к работе.
Монтирование крипто-хранилища
Окно завершающего поздравления мастера первоначальной настройки (Рис.25). Устанавливаем галочку «Запустить административный Web-портал» и нажмем «Завершить».
Завершение работы мастера первоначальной установки
SDS NG установлен, первоначальная настройка выполнена и мы можем приступать к работе.
Административный Web-портал позволяет централизованно управлять шифрованием. Главная страница портала представлена на (Рис.26). Забегая вперед скажу, что данный портал работат в по типу локального Интранета, и соответственно внешнего доступа к нему из сети Интернет нет.
Административный Web-портал
Портал в соответствии с административными задачами разделен на 6 логических частей. Наиболее часто используемые функции вынесены на главную страницу, это позволяет ускорить выполнение типовых операций. На (Рис.27) представлен раздел управления рабочими станциями. В этом разделе находятся защищаемые рабочие станции. В этом разделе можно добавить новые защищаемые рабочие станции простым импортом из Active Directory Предприятия.
Рисунок. 27. Интерфейс управления устройствами в SDS NG
В разделе «Диски» (Рис.28), мы можем получить информацию обо всех зашифрованных дисках на всех компьютерах под управлением SDS NG. Так как мы еще не создали ни одного зашифрованного диска, то никакой информации в данном окне мы не увидим.
Интерфейс управления защищенными контейнерами в SDS NG
В разделе «Пользователи» (Рис.29) мы можем управлять пользователями системы SDS NG. Здесь также можно импортировать из Active Directory пользователей, также можно загружать сертификаты пользователей, назначать им различные роли, а также предоставлять им доступ к зашифрованным дискам.
Интерфейс управления пользователями и их ролями в SDS NG
В разделе «Безопасность» (Рис.30) можно создавать собственные роли безопасности, просматривать текущие настройки криптографии, а так же делать резервные копии мастер-ключей шифрования баз данных.
Интерфейс управления настройками безопасности SDS NG
Мониторинг происходящих событий позволяет отслеживать все происходящее в системе и своевременно реагировать на нештатные ситуации. На (Рис.31) мы видим журнал аудита действий на сервере SDS NG. События произошедшие в «штатном» режиме никак не выделяются. В отличии от «нештатных» ситуаций, которые в свою очередь выделяются красной заливкой.
Окно получения отчетов о проделанной системой работе в SDS NG