Ochrana pomocí šifrování celého disku

Šifrování vypadá jako jednoduchý způsob ochrany dat, ale není to tak snadné. Ušetřete čas díky praktickým tipům. Šifrování celého disku versus systém šifrování složek. Rady spojené s implementací. Kritéria, podle nichž by se měl šifrovací systém vybírat...


Systémy pro šifrování celého disku (FDE, Full Disk Encryption) používají silné kódovací algoritmy k automatické ochraně všech dat uložených na pevných discích počítačů a notebooků. Uživatelé mohou přistupovat k datům pomocí ověřovacích zařízení a metod, jako jsou hesla, tokeny či odpovídající čipové karty. To umožní systému načíst klíč, který disk dešifruje. V mnoha systémech jsou funkce, jako jsou správa klíčů, řízení přístupu, zamykání, reportování a obnovení, spravovány centrálně.

Podle Johna Girarda, analytika společnosti Gartner, pramení hlavní rozdíl mezi dostupnými produkty z jejich různých přístupů ke správě, síle šifrování, ověřování uživatelů, správě zásad a z funkcí s přidanou hodnotou, jako je ochrana informací na výměnných médiích.

Podíváme se zde na dva hlavní aspekty při výběru šifrovacích řešení a seznámíme se s radami od uživatelů zkušených v oblasti implementace šifrování.

 

Hlavní aspekty

Šifrování celého disku (FDE) versus systém šifrování složek (FES). Při použití FDE jsou data automaticky zašifrována při uložení na pevný disk. Liší se to od systémů šifrování souborů a složek, kde uživatel může rozhodnout, která data je potřebné zašifrovat. Největší výhodou FDE je, že neponechává místo pro chyby v případě, kdy uživatelé nedodržují zásady kódování nebo jim nerozumějí.

Natalie Lambertová, analytička společnosti Forrester Research, však poukazuje na to, že nevýhodou FDE je nechráněnost dat při jejich přenosu – například jde o informace sdílené mezi zařízeními, ukládané na přenosném pevném disku, disku USB nebo posílané e-mailem. FES je podle ní pro tyto účely vhodnější, i když vyžaduje více pozornosti při vytváření zásad definujících šifrované objekty a stejně tak při školení uživatelů pro dané zásady. Uvádí, že FES je také výpočetně náročnější než FDE. Vede ke snížení výkonu o 15 až 20 procent ve srovnání s jen 3 až 4 procenty u FDE.

Hardwarové versus softwarové šifrování. Podle Girarda slibuje hardwarové šifrování významné zlepšení výkonu vůči softwarovým technologiím, přičemž nový standard TCG (Trusted Computing Group) nabízí společnou specifikaci správy pro výrobce pevných disků. Přesto prý však existuje nedostatek reálných produktů využívajících tento standard. Hardwarové šifrování se bude vyvíjet a v budoucnu se bude jeho podpora objevovat v dalších subsystémech zařízení, jako jsou procesory a podpůrné čipové sady.

Soudobé pevné disky s vlastním šifrováním, jako například od společnosti Seagate Technologies, jsou zaměřeny především na spotřebitele, uvádí Lambertová. Je to kvůli tomu, že bez TCG zatím nefungují lépe než řešení postavená na softwarovém šifrování a většinou je nelze ani centrálně spravovat.

Výjimkou je podle ní partnerství mezi firmami Dell, Seagate a McAfee za účelem poskytovat notebooky se šifrovanými pevnými disky a nástroje správy na podnikové úrovni. „Firma Wave Systems také prodává software pro správy klíčů pro disky Seagate," uvádí Eric Maiwald, analytik Burton Group.

 

Šifrování – co dělat a co ne

Připravte počítač. Podle Girarda je největší chybou při implementaci šifrování nezajištění toho, aby byl počítač čistý a aby před vlastní instalací správně fungoval. „Existuje-li problém s diskem," vysvětluje, „budou části kódu specifické pro šifrovací stroj nečitelné." Doporučuje před zapnutím funkce šifrování defragmentovat pevný disk, několikrát spustit program Checkdisk, zálohovat data, provést všechny opravy a optimalizovat výkon. I když je zatížení výkonu šifrováním jen v řádu několika málo procent, „proč nezrychlit počítač, aby došlo k minimalizaci poklesu nebo alespoň k výsledku, který je zcela přijatelný?"

V okrsku města Los Angeles, kde používají produkt Pointsec, nyní provedl tým Roberta Pittmana ze společnosti Check Point Software Technologies kontrolu pevných disků notebooků, aby bylo jasné, kolik na nich existuje volného místa, jak moc jsou disky fragmentované a jaká je úroveň údržby operačního systému. Jeho tým zjistil cca 20 z celkového počtu 12 500 notebooků, jež by už potřebovaly před zašifrováním vyměnit.

Frank Ward, konzultant úřadu státu Connecticut, také spustil software pro vyhodnocení disků na tamějších noteboocích, a to během pilotní fáze implementace šifrovacího softwaru od společnosti McAfee. Podle něho nevyhovělo jeho potřebám 15 procent pevných disků. Díky provedené kontrole všech disků byla chybovost při instalaci softwaru od McAfee na 5 tisících počítačů pouhá 3 procenta.

Nebuďte zbrklí. Je také zcela nezbytné mít jasný plán pro nasazení. Některé organizace používají centralizovaný systém dodávání softwaru. Například Pat Patterson, architekt podnikové bezpečnosti ve společnosti Raymond James Financial, použil LANdesk od společnosti LANdesk Software k provádění hromadného nasazení softwaru Ultimaco. Přesto však plánuje aktivovat software postupně po jednom počítači. Nazývá to pomalým přístupem.

Potřebuje nejen odinstalovat dříve nainstalovaný šifrovací software, ale chce mít také kontrolovatelný způsob umožňující vyřešení libovolných problémů, které by mohly vzniknout. „Nechci riskovat, že by se na všech počítačích najednou mohla objevit modrá obrazovka," vysvětluje.

„Software Utimaco je dobrý pro obnovení z chyb, ale existují situace, kde může být disk na pokraji zkázy a jeho provoz po tři hodiny by ho mohl dorazit. Pokud záležitost uspěcháme, mohly by nás zavalit hovory na linku podpory."

Většina šifrovacího softwaru umožňuje jeho nasazení na počítače uživatelů přes centralizovaný systém dodávky softwaru. Například společnost McAfee nabízí pro tyto účely produkt ePolicy Orchestrator. Není to však vždy jednoduché – jako ukazuje případ státu Connecticut. V distribuovaném státním prostředí Ward zjistil, že mechanizmy centralizovaného nasazení nebyly dostatečně všudypřítomné. Musel pracovat rychle z důvodu státní strategie pro zrychlené nasazení – guvernér jej požádal, aby bylo do konce následujícího měsíce zašifrováno všech 6 tisíc státních notebooků.

Aby toho byl schopen, vytvořil státní úřad pět týmů po třech lidech pro instalaci softwaru McAfee (pro období šesti týdnů) na notebooky svých 55 agentur a v 950 policejních autech. Týmy byly tvořeny dříve vyškolenými správci, personálem společnosti McAfee a zástupcem oddělení IT. „Oznámili jsme agenturám týden předem, aby shromáždili své počítače, a potom jsme se během jednoho dne pokusili nainstalovat maximum, co bylo možné," uvádí Ward. Jeho tým používal konferenční místnost nebo jiné centrální místo, připojil cca 20 počítačů k souborovému serveru, stáhl software, poté je odpojil a ponechal dokončit šifrování, což trvalo cca 2 hodiny pro 100GB disk. „Byla to úplná výrobní linka," vzpomíná Ward. Agentura pokračovala v práci na zařízeních, na nichž nebyl zatím implementován software – na centralizované místo mohly být přineseny obzvláště problematické počítače.

Nepodceňujte čas nasazování. Jak Ward zjistil, instalace tohoto programového vybavení zabere čas, zejména u velkých disků. Dobré pravidlo pro rozhodování je, že softwaru trvá zašifrovat disk v závislosti na jeho velikosti přibližně dvě až čtyři hodiny.

Z tohoto důvodu je důležité vybrat systém, který se správci snadno naučí a pro který nabízí dodavatel nebo prodejce přizpůsobené školení. Když si Pittman vybral firmu Check Point, měl vyškolených cca 100 lidí za účelem zašifrovat 12,5 tisíce počítačů (dvě až tři osoby z každé z 38 agentur z L.A.). Podle Pittmana mu pomohlo vytvořit standardizovanou konfiguraci pro implementaci. Celkově to zabralo devět měsíců, přestože 80 procent agentur dokončilo implementaci šifrovacího systému do šesti měsíců.

Zvažte instalaci na pozadí. „K zachování co nejnižšího vlivu při nasazování zvažte systém, který uživatelům umožní během instalace nadále pracovat," tvrdí Girard. Ještě lepší je zajistit, abyste nemuseli proces restartovat, pokud dojde k jeho přerušení.

Nečekejte přijetí všemi uživateli. „Uživatelé mohou být vůči přidanému zabezpečení opatrní a považovat ho za otravné silniční retardéry, které překáží technologickému výkonu," varuje Lambertová. Jedním ze způsobů pro eliminaci potenciálního odporu je zcela vysvětlit, co, proč, jak a kdy předchází implementaci, a zdůraznit, že výkon bude ovlivněn méně než z 5 procent.

Proveďte testování na pilotní skupině. Pilotní testování je důležité z několika důvodů včetně odstranění potenciálních problémů a zjištění případné negativní reakce uživatelů a náročnosti plného nasazení, vysvětluje Lambertová. „Zavedení by mělo být snadné, ale u některých produktů jsou uživatelé zmateni," tvrdí Girard. „Když to bude realizováno hromadně, vzniknou skutečné problémy, protože pokud se nepodaří správné zavedení uživatelů, musí se počítače obnovit."

Proveďte kontrolu vzájemného ovlivnění s ostatním softwarem. Dalším důvodem pro pilotní test je ta skutečnost, že může existovat interference ovladače zařízení nebo BIOSu mezi šifrovacím a ostatním softwarem, varuje Girard. „Měli byste prověřit funkčnost se standardní bitovou kopií a stejně tak s potenciálním softwarem, který bude instalován následující rok," radí.

Mohou také vzniknout konflikty mezi šifrováním a některými systémy správy počítačů, které již využívají záznamy v boot sektoru disku, dodává Maiwald, analytik ve společnosti Burton Group. „V boot sektoru nemůžete mít dvě věci, pokud nebyly navrženy pro vzájemnou spolupráci," a to někteří dodavatelé dělají – například GuardianEdge a Symantec. „Zjistili jsme problémy téměř ve všech podnicích, takže nejlepší radou je vše otestovat."

Zvažte své možnosti ověřování. Dodavatelé nabízejí různé mechanizmy ověřování uživatelů včetně kódů PIN, hesel, čipových karet a tokenů, ale nejpopulárnější je bezesporu použití hesla. I když to může vypadat bezpečněji požadovat po uživatelích dvě různá hesla (jedno před spuštěním a jedno pro vstup do síťové domény), mnoho organizací volí možnost jednotného přihlášení.

Zvažte použití integrované sady. Když Patterson začal hledat šifrovací systém, byl jeho průzkum dvojí, protože mu také končil kontrakt pro antivirový software, a on chtěl zkusit firewall, který byl nabízen jako součást systému Windows. To ho přivedlo ke hledání produktů, ve kterých lze všechny tyto funkce spravovat přes jednu konzoli. „Jinak bychom potřebovali tým lidí, kteří by se o tyto systémy starali, a neexistoval by jednotný obraz dění v síti," vysvětluje.

Se softwarem Utimaco vytvořil Sophos plán integrace šifrování do sady širšího zabezpečení, uvádí Patterson. McAfee také nabízí integrovanou správu šifrování s dalšími funkcemi koncového zabezpečení.

Taková integrace pomůže usnadnit nasazení různých funkcí zabezpečení, prohlašuje Patterson. „Sdělíme-li uživatelům, že hodláme do jejich počítače nainstalovat dalšího agenta, budeme se muset velmi snažit, aby nebyl snížen výkon," vysvětluje. „Přidání dalších funkcí do jednoho produktu je velmi atraktivní, pokud jde o prodej."

Stanton Gatewood, ředitel zabezpečení informačních systémů na univerzitě státu Georgia, chtěl na druhou stranu systém, který je primárně zaměřený na šifrování, takže zvolil PGP. „Posuzovali jsme také ostatní, ale když přišlo na věc a kladli jsme složité technické otázky, nedostávali jsme odpovědi. Vypadalo to, že společnosti, dodávající firewall nebo antivirus, se nyní zabývají šifrováním, protože je to vhodný doplněk."

Připravte si přesvědčivé argumenty. „Přestože šifrování vypadá jako jasná volba, mnoho firem stále zaujímá vyčkávací postoj," tvrdí Lambertová. Přesvědčit manažery zodpovědné za rozhodování, aby předcházeli vyzrazení dat implementací FDE, může vyžadovat použití pádných argumentů.

Girard tvrdí, že je potřebné zvážit náklady na zmírnění následků vyzrazení jednoho datového záznamu, které mohou být srovnatelné s náklady za šifrovací nástroj pro celý počítač. Navíc je přesvědčen, že výdaje v případě zmírnění důsledků vyzrazení velkého množství dat jsou vždy větší než celkové náklady na implementaci šifrování do všech mobilních platforem ve společnosti.

Tyto ceny nejsou nízké. Dokonce klesají a podle Girarda lze očekávat platby okolo 100 dolarů za šifrované místo při celkovém počtu 250 míst při použití plně spravovaného a auditovaného kódovacího produktu s podporou vyměnitelných médií. Tato cena klesá pod cenu 100 dolarů za uživatele při počtu jednoho tisíce míst a pod 70 dolarů při 5 tisících a více místech.

„Můžete zaplatit i méně," tvrdí Ward. Podařilo se mu získat cenu 11,56 dolaru namísto ceníkové částky 76 dolarů, když mu prodejce nabídl akci se slevou 85 procent.

Zvažte podporu vyměnitelných médií. „S obecným rozšířením USB disků je věnováno více pozornosti šifrování vyměnitelných médií a kontrole zařízení," uvádí Lambertová. Obvykle platí, že dodavatelé nabízející FDE nebo FES nabízejí i šifrování pro vyměnitelná média a v některých případech, jako např. Check Point, také integraci správy portů, filtrování obsahu, centralizovaný audit a správu zařízení pro ukládání dat prostřednictvím portu USB.

Šifrování vyměnitelných médií bylo jedno z hodnoticích kritérií Pattersona. Vysvětluje, že produkt Utimaco Data Exchange šifruje soubory namísto celého disku USB, což je kompatibilní s typy dat, která uživatelé ukládají – bývají to rozmanitá data od hudby až po tabulky. Nastavil firemní zásady pro šifrování všeho, co uživatelé kopírují z počítačů. K ověřování použil heslo. Vyžaduje to důkladné školení, aby uživatelé věděli, jak dešifrovat a sdílet soubory se spolupracovníky, takže je zavádění relativně pomalé.

Gatewood uvádí, že PGP nabízí správcům šifrování funkci modulu pro šifrování e-mailu, přenášených souborů a časem i vyměnitelných médií. „Vybrali jsme systém, který se bude rozvíjet," pochvaluje si.

Zajímejte se o metodu obnovení klíče používanou dodavatelem. „Dodavatelé nabízejí různé přístupy k obnovení klíče pro uživatele, kteří zapomenou své heslo," tvrdí Maiwald. Zahrnuje to samoobslužné portály pro nastavení nového hesla, linku technické podpory se systémem odezvy na problémy nebo jednorázové heslo či token, které může poskytnout technik podpory po telefonu. „Hledejte přístup, který se bude dobře hodit k postupům vaší linky technické podpory," radí.

Zvažte integraci služeb Active Directory. Systémy umožňující integraci se službou Active Directory (AD) zjednodušují podle uživatelů správu exponenciálním způsobem. „Při přidání počítače do domény Active Directory je možné zobrazit počítač přes konzolu a lze mu vystavit šifrovací klíče," popisuje Patterson. „Pro správu klíčů to je obrovská pomoc."

Ward uvádí, že integrace služeb AD mu umožnila provádět jednosměrný přenos pro zaplnění databáze McAfee, ušetřila mu velké množství času a poskytla jistotu, že databáze má správnou strukturu. „Bylo důležité, abychom nezvýšili pracovní zatížení správců," uvádí.

Hledejte schopnosti reportování. „Snadné reportování je dalším hlavním kritériem výběru," uvádí Patterson, „aby bylo prokázáno, že jsou notebooky šifrovány, zejména když se nějaký ztratí." „Další běžné reporty obsahují informace, zda uživatelé měli nějaké potíže se šifrováním, kdy volali na linku technické podpory a zda byl problém vyřešen," popisuje Gatewood.

Ověřte si, které platformy jsou podporovány. „Pro platformu Macintosh je mnohem méně šifrovacích platforem než pro Windows," tvrdí Lambertová. Gatewoodova volba PGP byla částečně způsobena podporou pro více platforem – mnoha verzí Windows i systému Mac OS X.

Nepřehlížejte správu klíčů. „Bez silné správy klíčů byste raději šifrování vůbec neměli používat," prohlašuje Gatewood. Umožňuje to obnovit, zrušit a spravovat klíče libovolným způsobem. Nedostatek jejich silné správy je jedním z důvodů, proč se vyhnul všem systémům open source, o kterých uvažoval. Na druhou stranu mu PGP Universal Server umožňuje spravovat nejen vlastní klíče, ale také ty z jiných systémů. „Některé konzoly správy mohou být trochu neohrabané," dodává. Měli byste mít možnost zálohovat databázi správy klíčů.

Zvažte zamykání. Tato funkce zamkne počítač, pokud se z něho někdo nepřihlásí do sítě po definovanou dobu, obvykle je to několik týdnů. Ward uvádí, že v Connecticutu se počítače připojené k síti obvykle přihlašují několikrát denně z důvodu zasílání protokolů šifrovacímu serveru. Pokud se to nestane během nastavené doby, nedovolí počítač uživateli přihlásit se a musí ho odemknout správce. „Vynucuje to disciplínu, takže nepřetržitě získáváte protokoly od klientů a počítače jsou stále aktualizované pomocí nového softwaru a obsahují všechny změny v zásadách," vysvětluje Ward.

 

Podle analytiků společnosti IDC by měl mít ideální systém FDE následující vlastnosti:

* Centrální správa a řízení

* Rychlé nasazení a údržba

* Řízení zásadami

* Zcela transparentní pro uživatele

* Snadná podpora linkou technické podpory nebo IT personálem

* Poskytování podpory pro vyměnitelná média

* Rozšiřitelnost, možnost přidání nových aplikací správy šifrování podle potřeby

* Rozšiřitelnost umožňující organizacím přidávat spravované šifrování do původních podnikových aplikací

 

Kritéria výběru

Podle Erica Leighningera, hlavního architekta zabezpečení organizace Allstate Insurance, zahrnovala výběrová kritéria, která použil při výběru systému FDE, následující vlastnosti:

* Silná správa klíčů

* Ukládání šifrovacích klíčů odděleně od šifrovaných dat

* Řízené pohledy na klíčové podklady (oddělení služeb)

* Obnovení klíčů (lokálně, mimo lokalitu a obnovení po havárii)

* Interoperabilita s podnikovým softwarem

* Podpora pro vyměnitelná média

* Malé snížení výkonu

* Schopnost provádět šifrování na pozadí

* Odolnost proti poruchám (výpadky napájení a vypnutí uživatelem neovlivní proces šifrování)

* Podpora úsporného režimu a hibernace

 

Tento článek vyšel v tištěném SecurityWorldu 3/2010.

* Shoda se specifikacemi FIPS 140-2 a dalšími











Komentáře