Как известно, хакеры ставят перед собой задачу найти бреши в системах безопасности и получить доступ к электронным данным. В итоге крупные компании, такие как Target, испытывают на себе последствия информационных утечек. Однако безопасное хранение электронной информации предполагает наличие не только средств защиты файлов компании и личных документов от хакерских атак, но и инструментов, использующихся в случае, если из строя выйдет аппаратное или программное обеспечение компьютера.
1. Регулярное обновление файлов. Если операционная система инфицирована вирусом, в некоторых случаях необходимо полностью удалить данные на компьютере и переустановить систему. В Mac резервное копирование данных осуществляется автоматически, в ПК же требуется время от времени делать резервную копию данных.
2. Использование внешнего жесткого диска. Внешние жесткие диски могут также применяться для хранения резервных копий ценных файлов. Дополнительные преимущества этих дисков - их портативность и надежность. Некоторые пользователи предпочитают даже сохранять все файлы на внешних дисках, а не на встроенных. Сделать это можно, изменив место хранения файлов по умолчанию в системных настройках.
3. Облачные хранилища. Облачные сервисы - весьма популярный способ хранения цифровых данных. Главное, о чем не стоит забывать, - это безопасный HTTP и регулярная смена пароля. Перед тем, как сделать выбор в пользу того или иного сервиса, представляется целесообразным провести небольшое исследование на предмет того, уделяют ли представители конкретного сервиса должное внимание физической и сетевой безопасности.
4. Контроль доступа к файлам. Помимо бэкапа системы, не лишним будет предпринять меры, относящиеся к физической защите данных. Возможно, следует оборудовать кабинет, который был бы защищен от воздействия влаги и высоких температур. В некоторых случаях следует обратить особое внимание на место хранения компьютера. Если девайс находится в публичном или легкодоступном месте, данным может угрожать опасность. В таких условиях компьютер лучше защитить персональным паролем.
5. Шифровка данных. Во многих компьютерах наличествует функционал шифровки файлов. На большинстве компьютеров под управлением системы Windows установлено программное обеспечение BitLocker, производства Microsoft. Если BitLocker недоступен на ПК, могут помочь такие решения, как DiskCryptor или TrueCrypt. Означенный метод защиты необходимо использовать и по отношению к резервным файлам, включая внешние диски и флеш-накопители.
Дополнительный уровень защиты предоставляет шифровка практически всех приложений, включая файлы Microsoft Office и имэйлы. Шифрование может осуществляться несколькими способами, включая и создание паролей для доступа к файлам.
Облачные хранилища остаются прижившимся в нашей жизни типом сервисов. Они пережили бурный рост, пережили перенасыщение рынка, когда новые «облака» открывались чуть ли не каждую неделю, пережили спад, когда эти же «облака» начали закрываться один за одним. И теперь перед нами просто тип сервиса, который устоялся и стал уже обыденностью, прошел испытание временем, учитывая особенности и скорости современной индустрии.
Облачных хранилищ существуют достаточно много. Каждые имеют свою особенностью и свою аудиторию. Кто-то выбирает только одно «облако», кто-то пользуется сразу несколькими. Мы же выбрали десятку, наиболее интересных из них. Одним из критериев данного топа является бесплатный тариф с бесплатным пространством в облаке, чтобы каждый пользователь смог сам опробовать его. Никакого триала, просто бесплатный тариф с бесплатным пространством.
10. pCloud
Достаточно интересное и быстро развивающееся облако. Блог облака обновляется чуть ли не каждую неделю, и видно, что разработчики активно трудятся над ним. Бесплатно дают 10 Гб, но выполнив несколько простых действий. Можно получить еще несколько Гб. Есть реферальная система, которая также позволит увеличить бесплатное место. Интересно также то, что pCloud, помимо ежемесячной и ежегодной абонентской платы за расширенные возможности, имеет также и тариф с разовым приобретением, вы просто платите определенную сумму и увеличиваете объем своего облака, навсегда, трудно припомнить какое облако еще так поступает.
9. MEGA
Шифрованное хранилище от Кима Доткома. Ходили слухи о том, что облако отобрали у него, о других неприятных перипетиях в управлении MEGA, но это не мешает облачному хранилищу развиваться и существовать дальше. Облако построено на достаточно высоком уровне шифрования, для более комфортной работы с веб-версией, лучше установить специальное расширение для браузера, чтобы процесс декодирования шел намного быстрее. Есть приложения для всех популярных операционных систем. Главное же, что привлекает многих, MEGA дает 50 Гб на бесплатном тарифе. Этот объем был на старте, он остается таким и по сей день.
8. MediaFire
Один из старейших сервисов в данном топе, работает хорошо, но развивается достаточно медленно. Нет версии для компьютеров, так что приходится пользоваться веб-версией, но с мобильными приложениями полный порядок.
Начинал MediaFire как файлообменник, но вовремя понял закат подобных сервисов и перепрофилировался в облачное хранилище. Старые пользователи и те, кто успел попасть под акцию, имеют 50 Гб бесплатного пространства, остальным же дают 10 Гб, но иногда появляется возможность бесплатно увеличить объем доступного места.
7. Box
Еще одно облачное хранилище, проверенное временем. Box изначально был ориентирован на бизнес и это позволило ему дожить до наших дней и иметь преданную базу пользователей. Бесплатно дают 10 Гб, а иногда проходят акции по получению 50 Гб бесплатного пространства. Вот только бесплатный тариф имеет множество ограничений. Все эти ограничения уберутся, если вы перейдете на подписку.
6. Облако Mail.Ru
Запустилось Облако Mail.Ru с 100 Гб бесплатного пространства, потом была акция, по которой можно было получить бесплатно 1 Тб, затем объем значительно снизили, а на новых аккаунтах дают мизерное количества места. Облако получило встроенных аудиоплеер, интеграцию с Office Online и продолжает получать новые возможности и поддержку новых форматов, но нестабильность с бесплатным объемом не дает поднять его выше в рейтинге.
5. Яндекс.Диск
Удивительно стабильное, в плане объема, облачное хранилище от Яндекса. На запуске давали 10 Гб бесплатного объема. Прошло несколько лет, а 10 Гб так и осталось, зато есть постоянные акции, когда можно или временно получить бесплатный объем, или увеличить облако на постоянной основе. Добавим сюда поддержку большого числа форматов, интеграцию с Office Online и постоянное развитие приложений.
В конце 2017 года Диск также выделился и . Все что вы загрузите в Яндекс.Диск с телефона — не будет учитываться при подсчете общего объема. По всей видимости это не акция, поскольку никаких сроков не называется. Ограничений по размеру также никаких нет, что делает данную возможность даже лучше, чем есть в Google Photos.
4. iCloud
Если вы любите технику от Apple, то обязательно сталкивались с данным облачным хранилищем. Через него работают многие приложения, происходит бэкап и синхронизация. Можно iCloud использовать и как привычное нам облачное хранилище. Добавим сюда прикрученный офисный пакет от Apple, приложение для Windows и получим неплохое облачное хранилище с преданной фанатской базой.
Вот только если вы не пользуетесь продукцией Apple, для вас более лучшим вариантом станет любое другое облачное хранилище в данном топе, поскольку оно даст вам больше возможностей.
3. Dropbox
Именно Dropbox считают сервисом, из-за которого и начался «взрывной» рост облачных хранилищ. Dropbox один из первых популяризовал данный тип сервисов, и хоть сейчас у него не лучшие времена, сервис продолжает развиваться и получать новые возможности. Бесплатно Dropbox дает всего 2 Гб. Увеличивающих бесплатный объем акций уже давно не проводили, а ограничения бесплатного тарифа не дают пользоваться облаком в полной мере. К сожалению, до идеального облачного хранилища Dropbox уже не дотягивает.
2. OneDrive
Облачное хранилище от Microsoft. Имеется плотная интеграция с офисным пакетом Office Online, который также интегрируют и в другие облачные хранилища, с согласия Microsoft. По умолчанию интегрирован в Windows 8.1 и Windows 10. Поддержка форматов тоже достаточно обширная. Работая в данном облаке, многие пользователи могут спокойно отказаться от полноценного пакета Microsoft Office или Microsoft Office 365, которые дают лишь расширенные возможности для более профессиональных задач.
Покупая подписку на Microsoft Office 365, вам также бонусом дают 1 Тб пространства в OneDrive. Так что многие просто не расширяют объем облака на платной основе, а просто приобретают подписку на Office, а заодно и облачное пространство увеличивают.
1. Google Диск
Облачное хранилище от Google имеет самое больше количество поддерживаемых форматов файлов, которое можно расширить при помощи дополнительных расширений для облака. Офисные документы небольшого объема, а также фотографии и видео с небольшим расширением – не учитываются при подсчете доступного места в облаке. А места этого 15 Гб.
Облако интегрировано с облачным офисным пакетом Google Docs, который имеет простой и удобный интерфейс за что предпочитаем многими для использования в качестве основного офисного пакета. Относительно недавно приложения Google Диска и Google Фото были объединены в одно приложение, получившее название «Google Автозагрузка и синхронизация». Были слухи про приложение для Linux, но пока многие продолжают пользоваться неофициальными клиентами и это чуть ли не единственный серьезный недостаток лидера нынешнего топа.
Сегодня теме информационной безопасности компаний уделяется очень много внимания. Вирусные эпидемии, хакерские атаки, несанкционированный доступ к информации... Все эти опасности, а также методы защиты от них достаточно хорошо изучены, и в большинстве случаев не составляют особых проблем. Однако почему-то мало кто задумывается о том, что абсолютно надежных систем безопасности не бывает. Их не бывает даже в том случае, если не учитывать человеческий фактор, который зачастую становится самым "узким" местом любой защиты. Кроме того, нельзя забывать и о возможности физической кражи носителей с информацией. При этом похищение сервера корпоративной сети, на котором находится вся коммерческая информация компании, может иметь просто катастрофические последствия. Для того, чтобы этого не произошло, необходима "вторая линия обороны", которая способна защитить данные в различных неприятных ситуациях.
Из описания поставленной задачи видно, что справиться с ее решением можно только одним способом. Речь идет, конечно же, о надежном шифровании всей коммерческой информации фирмы. То есть нам нужно специальное решение, которое реализует криптографическую защиту данных, но при этом не осложняет работу с ним простых пользователей. Сегодня на рынке присутствует несколько продуктов такого класса. И сейчас мы попробуем проанализировать функциональные возможности некоторых из них.
Для начала давайте хотя бы кратко опишем продукты, которые будем сравнивать. Первый из них называется Zserver. Это разработка одного из лидеров российского рынка информационной безопасности - компании SecurIT. Данная программа постоянно развивается и совершенствуется. Так, например, последняя, 4 версия с новыми интересными функциями появилась 26 октября прошлого года. Вторым продуктом, участвующим в нашем анализе будет утилита StrongDisk Server, разработанная специалистами известной компании "Физтех-софт". Последняя ее версия с номером 3.5 была выпущена 15 ноября 2004 года. Ну и, наконец, третьим, последним продуктом в нашем обзоре будет разработка "КриптоСейф" от компании "ЛАН Крипто", известной своими разработками в области криптографии, в частности, собственными алгоритмами шифрования данных.
Принцип работы всех перечисленных систем защиты информации одинаков. На сервере корпоративной сети создаются специальные хранилища, в которых вся информация записывается в зашифрованном виде. В будущем, они могут подключаться к системе в качестве виртуальных дисков. В этом случае во время чтения с них данных последние будут автоматически декодироваться в памяти, а при записи, наоборот, шифроваться. Таким образом, речь идет о реализации принципа прозрачного криптопреобразования. Его суть заключается в том, что данные всегда хранятся на физическом носителе только в зашифрованном виде, но при этом пользователь может работать с ними точно так же, как и с любой другой информацией.
Для того чтобы продолжать сравнение нужно сразу разобраться с принципом работы рассматриваемых продуктов. Сделаем мы это на примере одного из них - программы Zserver.Пример реализации криптографической защиты данных на сервере
Итак, для подробного описания принципа криптографической защиты информации на сервере мы выбрали продукт Zserver. Причины этого очень просты: на сегодняшний день этот программно-аппаратный комплекс представляет собой одну из наиболее передовых разработок с некоторыми уникальными функциями, больше нигде не реализованными. Причем цена Zserver отнюдь не заоблачная. Более того, она даже меньше стоимости некоторых своих конкурентов.
Программная часть комплекса Zserver состоит из трех модулей. Первый из них устанавливается прямо на сервер сети, на котором хранится конфиденциальная информация. Именно в нем реализованы блок шифрования данных "на лету" и блок управления ключами шифрования. Второй модуль предназначен для управления системой защиты. Он отвечает за генерацию ключей шифрования и загрузку их на сервер, аутентификацию администратора, все операции с дисками и пользователями и может быть установлен на любом компьютере сети.
Последний модуль, входящий в комплекс Zserver, необходим для подачи сигнала "тревога", о котором будет рассказано ниже.
Хранилищем конфиденциальной информации в программе Zserver является указанный администратором раздел жесткого диска. Обычно он вообще не виден в операционной системе, которая считает его просто неразмеченным пространством. После же подключения этот диск "проявляется" вместе со всеми размещенными на нем данными. При этом он становится "обычным" логическим разделом, к которому можно применять все стандартные средства операционной системы, например, разделение прав доступа пользователей. Первоначальная настройка Zserver выглядит так.
Администратор безопасности должен запустить на своем компьютере специальный модуль, консоль управления, и установить по локальной сети соединение с сервером. Стоит отметить, что это соединение и взаимная аутентификация защищены с помощью модифицированного алгоритма Diffie-Hellman. Далее администратору необходимо сгенерировать ключ шифрования. Этот процесс осуществляется путем хаотичного движения мышью, из которого программа "извлекает" случайные числа. Именно с их помощью и создается ключ шифрования. Далее его нужно записать в память смарт-карты или USB-токена, защищенную PIN-кодом. Там этот ключ и будет храниться всегда. Таким образом, он будет недоступен для злоумышленников даже в том случае, если устройство попадет к ним в руки. Ведь для доступа к защищенной памяти необходимо точно знать правильный PIN-код, подобрать который невозможно. Конечно, существует вероятность передачи ключевой информации злоумышленникам сотрудником, имеющим к ней доступ. Однако нельзя забывать, что право подключать зашифрованные диски должны получать только ответственные за информационную безопасность компании лица или руководители. Ну а если среди них есть нелояльно настроенный человек, то данные не спасет ни одна защита.
Следующий шаг - загрузка ключа шифрования из памяти смарт-карты в оперативную память сервера. Только после этого можно приступать непосредственно к шифрованию выбранного логического раздела. Этот процесс может затянуться надолго. И для того чтобы пользователи не "простаивали" в это время, в программе Zserver он реализован в фоновом режиме. То есть во время шифрования информация, размещенная на диске, остается доступной. Это позволяет ни на секунду не останавливать работу офиса компании.
На этом настройку системы защиты можно считать завершенной. Эксплуатация системы осуществляется следующим образом. Для того чтобы подключить защищенный диск администратор безопасности должен запустить на своем компьютере консоль управления, подключить смарт-карту или USB-токен и, введя правильный PIN-код, загрузить ключ шифрования в память сервера. После этого раздел "появляется" в операционной системе. Но это только внешняя сторона процесса. На самом деле специальная служба, получив правильный ключ шифрования, начинает расшифровывать данные, представляя их в обычном для операционной системы виде. USB-токен офицер безопасности после завершения работы с закрытым диском может отключить от своего компьютера. При этом последний все равно останется открытым до тех пор, пока в оперативной памяти сервера размещается ключ шифрования. То есть диск "пропадет" в случае перезагрузки сервера, подачи сигнала "тревога" или соответствующей команды ответственного сотрудника при подключенном к его ПК токене.
Впрочем, не всегда подключение диска осуществляется так просто. В программе Zserver реализована уникальная функция кворума ключей. Суть ее заключается в разделении ключа шифрования на определенное число (m) частей, каждая из которых хранится в смарт-карте или USB-токене какого-то одного доверенного сотрудников. Для открытия диска необходимо, чтобы в память сервера поочередно были загружены несколько (n) частей ключа, причем n может быть меньше или равно m. Такой подход позволяет с одной стороны достигнуть большой гибкости, а с другой стороны, существенно уменьшить влияние человеческого фактора на надежность всей системы.
Для того чтобы информация, размещенная на защищенном диске, стала доступна сотрудникам компании, необходимо "расшарить" папки. Управление правами осуществляется средствами операционной системы на базе имен пользователей, хранящихся в Active Directory. При этом никаких изменений на остальных компьютерах, входящих в состав локальной сети, производить не требуется. Пользователи точно так же, как и всегда, будут входить под своими именами согласно реализованной в компании политике безопасности. Правда, стоит отметить один момент. Дело в том, что внедрение системы Zserver снизит производительность работы сервера на 10-15% в зависимости от его конфигурации и выбранного алгоритма шифрования. Кроме того, при выполнении некоторые операций (начальное шифрование или перешифрование диска) это падение может быть еще более значительным. Данный момент необходимо учитывать при вводе защиты в эксплуатацию.
При желании администратор может включить функцию защиты сетевых ресурсов. Она необходима для обеспечения безопасности данных от несанкционированного доступа в процессе работы системы. После включения режима защиты сетевых ресурсов все операции с папками общего доступа можно производить только через консоль управления Zserver. Попытки что-либо сделать с помощью стандартного интерфейса администрирования Windows будут заблокированы. В простейшем случае использования данной функции можно вообще отключить доступ по сети к файлам и папкам, расположенным на зашифрованном разделе в случае, если, например, файлы используются для работы серверов приложений.
В процессе работы компании возможны различные исключительные ситуации, при возникновении которых необходимо экстренное закрытие открытых в данный момент защищенных дисков. Осуществляется данная процедура путем подачи на сервер сигнала "тревога". Сделать это можно несколькими способами. Например, подать такой сигнал прямо со своих компьютеров путем нажатия на специально заданную для этого "горячую" комбинацию клавиш могут пользователи, которым администратор безопасности дал такое право.
Другой вариант - использование специального устройства, кнопки, поставляемой в комплекте Zserver. Нажатие на нее, например, при попытке нападения на офис, приведет либо к перезагрузке, либо просто к отключению открытых контейнеров (зависит от настроек). Правда, при этом нужно учитывать, что документы, с которыми работали пользователи на своих рабочих местах, окажутся беззащитными. Более того, в некоторых случаях, например, если отключение диска произошло прямо в процессе записи информации кем-то из сотрудников, часть ее может оказаться испорченной. Фактически, это будет равносильно принудительному прерыванию всех удаленных соединений с простым сервером прямо в процессе работы пользователей.
Причем в системе реализована возможность "привязать" к этому сигналу любые скрипты, написанные на языках Jscript или VBscript. Таким образом можно реализовать, например, подмену настоящего зашифрованного диска на специально подготовленный раздел с ложной информацией. А вообще, для подачи сигнала "тревога" достаточно замкнуть RX и TX контакты com-порта сервера. То есть, при желании, можно включить управление дисками прямо в систему физической безопасности офиса. В этом случае сигнал "тревога" будет подаваться автоматически при срабатывании охранной сигнализации, "несанкционированном" открывании окон или дверей и т.п.
Еще одним способом защиты от несанкционированного доступа к информации является вход под принуждением. Суть его заключается в том, что под угрозой насилия или в случае шантажа сотрудник компании может отдать свою смарт-карту злоумышленникам и сказать им настоящий PIN-код, но наоборот, то есть справа налево. При его вводе система "поймет", что данные находятся под угрозой, сотрет из памяти токена все ключи шифрования и выдаст ошибку. Правда, стоит отметить, что эта функция реализована исключительно средствами Zserver. То есть если злоумышленники попытаются воспользоваться смарт-картой на компьютере, на котором не установлена консоль управления, то они просто получат сообщение о неправильном вводе PIN-кода.
Нельзя забывать и о том, что токен, в котором хранится ключ шифрования, может выйти из строя или быть утерянным ответственным сотрудником. В этих случаях расшифровать защищенный диск будет уже невозможно, то есть вся информация окажется безвозвратно утерянной. Во избежание этой опасности в системе Zserver реализована возможность копирования ключей шифрования с одного защищенного носителя на другой. Тем более что в комплект поставки комплекса входит сразу два токена. То есть администратор безопасности может записать на них одинаковые ключи шифрования и отдать второй экземпляр другому ответственному сотруднику, положить его в сейф компании или передать на хранение в банк.
Помимо описанной опасности потеря токена с ключом шифрования ничем не грозит. Ведь если даже он попадет в руки злоумышленников, то последние все равно не смогут получить доступ к его памяти: подобрать PIN-код невозможно. Смарт-карта предоставляет пользователю четыре, а USB-токен - всего лишь 3 попытки ввода. И если он не угадает правильную строку (что просто-напросто невозможно), то доступ к носителю будет полностью заблокирован.
Ну и напоследок стоит отметить, что система защита информации от несанкционированного доступа не обеспечивает ее безопасности от случайного или намеренного уничтожения или порчи. Поэтому в любом случае на корпоративном сервере должна работать система резервного копирования данных. При этом наличие комплекса Zserver никак не мешает последней. Единственное условие, которое необходимо выполнять - запускать процесс создания резервной копии только тогда, когда защищенный диск открыт. При этом надо помнить, что данные будут копироваться в расшифрованном виде. Для их защиты рекомендуется использовать специальное ПО, например, систему Zbackup от той же компании SecurIT.Сравнение продуктов
Все криптографические продукты всегда начинают сравнивать с реализованных в них алгоритмов шифрования. Zserver и StrongDisk Server в этом плане, в общем-то, похожи. Их разработчики "обучили" свои детища сразу нескольким криптографическим технологиям, в том числе, и алгоритму AES - национальному стандарту США, который де-факто стал современным мировым стандартом. В обоих продуктах пользователи могут для преобразования исходных данных использовать ключи длиной до 256 бит, а этого более чем достаточно для современного уровня развития вычислительной техники. Кстати, в дополнение к уже реализованным алгоритмам шифрования эти программы позволяют подключать внешние модули, содержащие другие криптографические технологии. Так, например, вместе с Zserver можно использовать модуль эмуляции платы "Криптон", реализующий российский национальный стандарт.
Разработка "КриптоСейф" существенно отличается от своих конкурентов. Как мы уже говорили, компания "ЛАН Крипто" известна своими собственными алгоритмами шифрования, которые и использовались в данной разработке. Правда, хорошо это или плохо - вопрос спорный. Дело в том, что авторитетные специалисты в области криптографии не рекомендуют пользоваться программами с собственными алгоритмами шифрования. Все-таки общеизвестные технологии, многократно проверенные всеми лабораториями, в подавляющем большинстве случаев оказываются надежнее. И в случае с "КриптоСейфом" это подтвердилось. С одной стороны, алгоритм, реализованный в этой программе, имеет сертификат и, по утверждениям разработчиков, принят в качестве отраслевого стандарта. Однако, с другой стороны, во время одного из конкурсов криптографических технологий он не смог пройти проверку по линейному криптоанализу. Поэтому говорить о безопасности данных, зашифрованных этим алгоритмом, не приходится.
Второй параметр, по которому следует оценивать надежность криптографических систем - это используемые для хранения ключей шифрования средства. В большинстве случаев гораздо проще украсть ключевую информацию, нежели мучаться с расшифровкой данных. Именно поэтому очень важно надежное хранение ключей шифрования. В программе Zserver для этого могут использоваться любые носители информации. Правда разработчики настоятельно рекомендуют использовать только мобильные носители с защитой PIN-кодом. Кстати, именно поэтому в комплект поставки продукта входит устройство для чтения смарт-карт и две микропроцессорные карты с защищенной памятью. Это обеспечивает действительно надежное хранение ключей шифрования.
В программе StrongDisk Server используется несколько иной подход. В этом продукте ключ хранится вместе с самой защищенной информацией, но в зашифрованном виде. Причем пользователь может самостоятельно выбрать данные, необходимые для его декодирования. Доступны такие варианты как обычный пароль, файл-ключ, код на съемном носителе или биометрическое устройство. И если последние два способа удовлетворяют современным представлениям о надежном хранении данных, то вот первые нет. Более того, использование пароля - явная угроза безопасности всей зашифрованной информации. Все-таки многие пользователи, сколько их не учи, все равно применяют очень слабые ключевые слова, которые легко подбираются полным перебором или перебором по словарю. А руководство компаний частенько старается минимизировать задачи, так что дополнительные устройства к приобретенной системе защиты покупаются далеко не всегда. Примерно то же самое можно сказать и о программе "КриптоСейф". В ней тоже разрешено хранение ключей прямо на жестком диске компьютера.
Идем дальше. Следующим важным моментом является способ генерации ключей шифрования. Многие пользователи не обращают внимания на эту характеристику особого внимания. И совершенно напрасно. В мировой практике известны случаи, когда слабо реализованный генератор случайных чисел, используемый для создания ключей шифрования, послужил причиной для взлома вроде бы надежно закрытой с помощью качественного алгоритма шифрования информации. Именно поэтому во многих современных продуктах стали реализовывать другой подход. Ключ шифрования в них генерирует сам пользователь, беспорядочно нажимая на клавиши клавиатуры или двигая мышь по столу. Такой способ практически полностью исключает "быстрый подбор" ключей шифрования. Именно он и реализован в программах Zserver и "КриптоСейф". В системе StrongDisk Server для генерации ключей шифрования применяется встроенный генератор случайных чисел.
Кстати, отличаются рассматриваемые программы и хранилищами, которые используются для записи информации и организации виртуальных дисков. Обычно для этого применяются отдельные файлы-контейнеры. Такой подход реализован в продукте "КриптоСейф". Разработчики же системы Zserver пошли по другому пути. В их детище в качестве хранилища информации используется отдельный раздел на жестком диске, воспринимаемый операционной системой просто как неразбитое пространство. Ну а StrongDisk Server позволяет пользователям применять оба способа.
У варианта с файлами-контейнерами есть одно преимущество - это мобильность. То есть файл с данными можно легко скопировать на любой носитель и присоединить его к другому ПК, на котором установлено соответствующее ПО. Недостаток же такого подхода заключается в уязвимости контейнера. Вирусная атака, неосторожные действия хакеров или самих пользователей могут привести к удалению или порче этого файла. При этом вся информация, содержащаяся в нем, будет утеряна. Кроме того, при большом количестве одновременно подключенных пользователей работа с файлом-контейнером очень сильно замедляется. Второй же вариант, наоборот, полностью лишен мобильности, но зато никакие программы, использующие стандартные функции ОС, не смогут повредить хранилищу. Кроме того, не будем забывать, что речь идет о серверных утилитах, которые призваны защищать важную документацию компании. И мобильность в данном случае превращается во вред. Так что подход, реализованный в Zserver, представляется более практичным. Тем более что простой перенос информации можно обеспечить путем создания хранилищ на съемных носителях.
Ну а теперь давайте поговорим о дополнительных функциях рассмотренных сегодня утилит. Первая из них, Zserver, обладает достаточно широкими возможностями. Во-первых, в этом продукте реализован открытый интерфейс для подключения различных устройств, с которых может подаваться сигнал тревоги - "красных кнопок", радио-брелков, датчиков и устройств контроля доступа в помещение. Более того, одно такое устройство даже входит в комплект поставки. Эта функция необходима в том случае, если в помещение ворвались злоумышленники, желая силой завладеть информацией. Активация режима тревоги приведет к блокировке всех закрытых данных, либо к перезагрузке сервера (в зависимости от текущих настроек). Вторая дополнительная возможность программы Zserver - ведение полного журнала всех действий администратора (действия с ключами шифрования, открытие и закрытие дисков, и т.д.). Эти логи могут оказать неоценимую помощью в случае каких-нибудь инцидентов с коммерческой информацией. С их помощью можно легко увидеть, есть ли в действиях ответственного сотрудника что-то такое, что могло стать причиной утечки данных.
Третьей дополнительной функцией является так называемый кворум ключей. Это уникальная возможность, присутствующая только в продукте Zserver. Суть ее заключается в следующем. Ключ, необходимый для подключения хранилища, делится на несколько, например, на 3 части, каждую из которых получает один из доверенных сотрудников компании. Причем для расшифровки данных нужны не все, а только определенное количество частей, допустим, любые 2. Такой подход позволяет существенно снизить риск утечки данных. Ведь теперь злоумышленникам необходимо будет заполучить не один, а два ключа. Да и работа компании при этом не зависит от одного человека, единолично владеющего необходимым для подключения дисков доступом.
Еще одной интересной возможностью Zserver является "атомарная" реализация шифрования данных. Это значит, что весь процесс кодирования представлен в виде множества отдельных транзакций. Такой подход позволяет избежать потери данных в различных непредвиденных ситуациях. То есть в любой момент операция шифрования может быть прервана или возвращена в начальное состояние, даже в случае неожиданной перегрузки сервера и отключения электропитания.
Помимо этого в программе Zserver реализовано еще немало интересных и полезных функций: поддержка нескольких виртуальных дисков, возможность разграничения прав доступа, интеграция системы с различными приложениями путем выполнения JScript или VBScript сценариев, удобное перешифрование данных и много, многое другое.
В программе StrongDisk Server также есть немало дополнительных возможностей. Во-первых, в ней реализованы "красная кнопка" и ведение лога обращений к защищенной информации. Во-вторых, у StrongDisk Server есть функция резервного копирования данных, которая призвана исправить недостатки использования файлов-контейнеров. Третьим решением (надо признать, очень интересным) являются так называемые ложные диски. То есть пользователь может "под давлением" выдать злоумышленникам специальный ключ, с которым они увидят не настоящие данные, а какую-то другую информацию. Кроме того, в программе StrongDisk Server реализовано несколько функций, предотвращающих утечку уже удаленной информации. Ведь ни для кого не секрет, что уничтоженные с помощью стандартных средств операционной системы данные на самом деле остаются на жестком диске. Дополнительно можно упомянуть о возможности очистки файла подкачки и временных файлов ОС, в которых теоретически может остаться какая-то важная информация.
Еще одной достойной упоминания функцией StrongDisk Server является защита информации, передаваемой между сервером и компьютером конечного пользователя. Достигается это путем установки между ними защищенного соединения (происходит автоматически) наподобие технологии VPN, а также передачей данных в зашифрованном виде. В этом случае на компьютерах конечных пользователей требуется инсталляция специального клиента. Таким образом, компания, на чьем сервере установлена система StrongDisk Server, оказывается защищенной от сниффинга важной информации из корпоративной сети.
Наименьшим набором дополнительных возможностей обладает программа "КриптоСейф". В ней реализованы "красная кнопка", которая может "нажиматься" только с компьютера, зависимые сервисы (автоматический запуск определенных сервисов при подключении контейнеров) и автоматическое отключение контейнеров при длительном простое.
Ну а теперь осталось только сравнить цены на рассмотренные программы. Итак, стоимость Zserver для Windows колеблется примерно от 32500 (для 10 пользователей) до 67500 (для неограниченного количества пользователей) рублей. В комплект поставки помимо самой программы входит необходимое аппаратное обеспечение (кард-ридер, 2 смарт-карты и "красная кнопка"). Цена продукта StrongDisk Server также зависит от числа пользователей и меняется от 24600 (для 10 пользователей) до 82500 (неограниченное число лицензий) рублей. Ну а стоимость "КриптоСейфа" колеблется от 21600 (на 10 пользователей) до 60000 (неограниченное количество лицензий) рублей, плюс покупатель может заплатить 7000 рублей за годовую техническую поддержку.
Приобрести продукты можно в .
Идея облачных хранилищ гениальна. Вместо того чтобы хранить данные локально на используемых устройствах, внешних дисках и домашних сетевых хранилищах и возиться с доступом, синхронизацией и резервными копиями, пользователи по Интернету переносят файлы и папки в дата-центры служб и не знают забот. Доступ обеспечивается из приложения или программы-клиента, где бы пользователь ни находился - нужно только ввести пароль. Проблем с местом для хранения нет: сервисы предлагают до 30 Тбайт, причем за начальный период пользования плата не взимается.
И все же есть в бочке меда ложка дегтя, из-за которой забывается вся прелесть использования облаков. Пользователи передают в чужие руки свои данные: фото из последнего отпуска на море, или видео со свадьбы, или личную переписку. Поэтому в этом сравнении мы сосредоточились на безопасности десяти сервисов облачного хранения данных: IT-гигантов - Apple, Google, Microsoft, Amazon, двух хостингов - Box и Dropbox, - специализирующихся на облачном хранении, а также двух поставщиков услуг из России - «Яндекс» и Mail.ru.
Плюс миллиард пользователей за пять лет
Еще в 2015 году количество пользователей облачных хранилищ составляло около 1,3 млрд. К 2020-му их станет на 1 млрд больше.
Трафик данных - в три раза больше
В 2015 году пользователи облачных хранилищ передавали в среднем всего 513 Мбайт данных в месяц. К 2020-му объем увеличится втрое.
Функциональные возможности: можно ли верить рекламе
Поставщики, разумеется, знают, что пользователи придают безопасности особое значение, и должны идти навстречу их требованиям. Если бегло просмотреть все предложения, складывается впечатление, что облачные сервисы используют высочайшие стандарты безопасности и поставщики прикладывают все усилия, чтобы защитить данные своих клиентов.
Впрочем, при более внимательном прочтении становится ясно, что это не совсем соответствует действительности и стандарты не всегда новые. Поставщики услуг исчерпывают возможности безопасного хранения данных далеко не полностью, а «высокий уровень безопасности», «SSL-защита» или «безопасное шифрование» - не более чем слоганы, позволяющие воспользоваться тем, что у большинства клиентов нет специальных знаний в вопросах безопасности.
Объем памяти в Сети
Сервисы облачного хранения данных завлекают клиентов бесплатными предложениями. За некоторую плату объем можно увеличить.
TLS - далеко не все
«SSL» и «HTTPS» - популярные и всем известные аббревиатуры из области безопасности. Но бдительность терять не следует. Этот вид шифрования - необходимость, но не гарантия исключительной безопасности данных. Криптографический протокол TLS (Transport Layer Security - «протокол защиты транспортного уровня»), в 1999 году официально заменивший SSL 3.0 (Secure Sockets Layer - «уровень защищенных cокетов»), обеспечивает защищенный обмен данными между веб-сайтом облачного хранилища и программой-клиентом на вашем компьютере или приложением на вашем смартфоне.
Шифрование во время передачи данных важно в первую очередь для защиты поступающих метаданных. Без TLS любой злоумышленник может перехватить передачу и изменить данные или украсть пароль.
Мы проверили облачные хранилища с помощью комплексного инструмента для тестирований Qualys (sslabs.com/ssltest). Все поставщики используют актуальную версию стандарта TLS 1.2. Шесть из них предпочитают 128-битное шифрование AES, четыре - более мощное AES 256. И то, и другое нареканий не вызывает. Все сервисы активируют дополнительную защиту Perfect Forward Secrecy (PFS - «совершенная прямая секретность») для того, чтобы переданные зашифрованные данные даже впоследствии нельзя было расшифровать.
HSTS же (HTTP Strict Transport Security - «строгая транспортная безопасность HTTP») - еще один механизм безопасности, который защищает от операций типа downgrade attacks, - большинство поставщиков не использует. Весь список, то есть TLS 1.2 с AES 256, PFS и HSTS, есть только у Dropbox.
Двойная защита доступа
Доступ к личным данным должен быть защищен двухэтапной верификацией. Amazon помимо пароля запрашивает PIN-код, который генерируется приложением.
Шифрование на сервере - вопрос доверия
Еще одна стандартная функция, кроме безопасной передачи, - это шифрование данных на сервере поставщика. Amazon и Microsoft, увы, составляют исключение из правил, не шифруя данные. Apple использует AES 128, остальные - более свежий AES 256.
Шифрование в дата-центрах - не диковинка: если злоумышленникам, несмотря на все меры безопасности, все-таки удастся украсть данные пользователя, им еще понадобится ключ - если только они не прибегнут к вымогательству. И часто именно тут возникает проблема: этот вид шифрования - весьма сомнительный выход, если поставщики хранят ключи к вашим данным.
То есть какой-нибудь администратор облачного сервиса легко может в любой момент просмотреть все ваши фотографии. Если верится с трудом, может, вариант доступа следственных органов к данным будет более убедительным. Конечно, поставщики всячески демонстрируют серьезное отношение к делу, но клиентам приходится пересиливать себя и проявить доверие, поскольку таким образом их данные защищены не полностью.
Dropbox обеспечивает безопасность с помощью 256-битного шифрования AES во время хранения и SSL/TLS во время передачи
Без шифрования end-to-end
Итак, большинство сервисов обеспечивает безопасность данных пользователей путем защиты передачи и шифрования на сервере, причем все участники нашего сравнения, которые шифруют данные пользователей, имеют ключи. Ни один из сервисов не использует шифрование end-to-end. Его принципиальное отличие от шифрования во время передачи и на сервере - шифрование с самого начала.
End-to-end подразумевает шифрование локально на устройствах пользователя и передачу уже в этом виде в дата-центры. При обращении к данным они возвращаются обратно к пользователю в том же зашифрованном виде и расшифровываются на его устройствах. Смысл в том, что пользователь, во-первых, отправляет данные исключительно в зашифрованном виде, а во-вторых, не выдает поставщику никаких ключей.
То есть даже если админ сгорает от любопытства, злоумышленник похищает данные или следственным органам нужно их раскрыть, ничего у них не получится.
С постоянным шифрованием тесно связана реализация так называемого «принципа нулевого разглашения» (Zero knowledge).
В переводе на простой язык суть его в следующем: никто, кроме вас, не знает, как расшифровать ваши данные. Ни один поставщик услуг облачного хранения данных не получает информацию, которую можно использовать для расшифровки зашифрованных данных, - вы ему ничего не сообщали, у него «ноль знаний». Осуществить это на практике затруднительно и довольно неудобно, и участники нашего сравнения по этому критерию ничего представить нам не могут.
Без двухфакторной аутентификации
Очевидно, что поставщики занимаются вопросами безопасности данных своих клиентов, но почему-то не до конца продумывают план действий. Доступ к данным, хранящимся в облаке, эффективно защищает двухфакторная аутентификация. Суть его заключается в следующем.
Для успешного завершения процесса входа недостаточно только имени пользователя и пароля - нужен еще PIN-код, причем не постоянный, как, например, для банковской карточки, а генерируемый приложением на смартфоне или отправляемый по SMS на телефон. Обычно такие коды действительны в течение 30 секунд.
Пользователю нужно держать под рукой смартфон, привязанный к учетной записи, и во время выполнения входа после пароля ввести полученный код. Отечественные поставщики этот простой и эффективный метод защиты не предлагают, в отличие от интернет-гигантов, а также «узкопрофильных» Box и Dropbox.
Фактическая скорость облачных хранилищ
Мы измерили скорость облачных хранилищ по кабелю (до 212 Мбит/с), DSL (18 Мбит/с) и LTE (40 Мбит/с). На диаграмме представлена средняя скорость по всем способам соединения.
Сам себе шифровальщик. Boxcryptor шифрует файлы на устройстве и обеспечивает удобное управление аккаунтами в облачных хранилищах в одном окне. Пользователи могут выбрать, нужно ли им самим управлять ключом или нет
Местонахождение - тоже важный аспект
Несмотря на все старания, в домашних условиях невозможно достигнуть того уровня безопасности, который предлагает сервис облачного хранения данных в дата-центре, и это мощный аргумент в пользу облачного хранилища. В этом можно убедиться, взглянув на их оборудование. Все поставщики, кроме Dropbox, даже для бесплатных предложений сертифицированы по международному стандарту ISO 27001.
Немаловажную роль играет также местонахождение дата-центров. Серверы Amazon, Google и других компаний находятся в США и подпадают под действие американских законов. На серверы, которые находятся только в России, например, «Яндекс» и Mail.ru, соответственно, распространяются российские законы.
Чтобы не мешать работе других программ, Dropbox использует автоматическое ограничение в клиенте
Вывод: есть куда расти
Сервисы облачного хранения данных, которые мы рассмотрели, по безопасности предлагают только стандартный набор. Искать шифрование End-to-end или Zero knowledge не имеет смысла. Защиту передачи данных обеспечивают все сервисы, однако шифрованием на серверах Amazon и Microsoft не занимаются.
Зато дата-центры отвечают высоким требованиям информационной безопасности. Вместе с тем, облачного хранилища с идеальной защитой сравнение не выявило.
Преимущества поставщиков России - в местонахождении, однако самые простые методы защиты, например двухфакторную аутентификацию, они игнорируют. Вы должны сами позаботиться о постоянной защите данных, даже если это означает большие расходы и сложное управление.
В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.
Архитектура
За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.
Гипервизор Proxmox Virtual Environment
Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.
На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».
Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:
Облачное хранилище данных ownCloud
Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.
OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).
Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".
Одноразовые пароли OTP
Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.
На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд
Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.
Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert
Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.
Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru
Проинициализированный Token Seed выглядит следующим образом:
Для отключения OTP достаточно удалить Token Seed из настроек.
Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:
Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";
Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.
IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart
Защита от брутфорса
В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.
После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart
В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP
P.S.
Live версию ownCloud можно посмотреть на официальном сайте
Загрузка...
